{"id":1089,"date":"2012-03-16T17:59:45","date_gmt":"2012-03-16T16:59:45","guid":{"rendered":"https:\/\/sgaul.de\/?p=1089"},"modified":"2014-03-13T21:34:50","modified_gmt":"2014-03-13T20:34:50","slug":"spam-schutz-durch-honeypots","status":"publish","type":"post","link":"https:\/\/sgaul.de\/2012\/03\/16\/spam-schutz-durch-honeypots\/","title":{"rendered":"Spam-Schutz durch Honeypots"},"content":{"rendered":"<p>Durch <a href=\"http:\/\/www.webdesignshock.com\/invisible-captcha\/\">Webdesignshock.com<\/a> bin ich heute auf einen sehr interessanten Artikel zum Thema CAPTCHAs und Spam-Schutz gekommen. Im Artikel\u00a0<a href=\"http:\/\/www.londonswebdesign.com\/articles\/Web-articles-Honeypot-CAPTCHA-vs-Spambots.html\">Honeypot CAPTCHAs vs. Spambots<\/a> schreibt Michael Clark \u00fcber ein Verfahren, in dem sich nicht mehr Menschen als solche \u201eausweisen\u201c m\u00fcssen, sondern Bots sich selbst verraten sollen.<!--more--><\/p>\n<h2>Bots mit versteckten Eingabefeldern k\u00f6dern<\/h2>\n<p>Die Idee ist eigentlich recht simpel: Spam-Bots sind gierig und versuchen ihre Inhalte an m\u00f6glichst vielen Stellen los zu werden. Daher, so die Theorie, werden sie auch jedes sinnvolle Feld bef\u00fcllen. Dies kann man nutzen, indem man speziell f\u00fcr die Bots ein zus\u00e4tzliches Feld mit verlockendem Namen anbietet. Da es versteckt ist, wird es von normalen Nutzern nicht ausgef\u00fcllt und verr\u00e4t so den Bot.<\/p>\n<h3>Inputs richtig verstecken<\/h3>\n<p>Vor dem Nutzer versteckt man das Eingabefeld, die f\u00fcr den Bot nur schwer erkennbar ist. Ein <code>&lt;input type=\"hidden\"&gt;<\/code> ist verr\u00e4terisch, ein <code>display: none;<\/code> in einer externen CSS-Datei hingegen f\u00fcr den Otto-Normal-Bot un\u00fcberwindbar. Noch sicherer ist eine absolute Positionierung au\u00dferhalb des sichtbaren Bereichs der Seite.<\/p>\n<h3>Der richtige Feldname<\/h3>\n<p>Ebenfalls wichtig ist es, einen verlockenden Namen zu finden. Clark verwendet auf seiner Seite \u201eNickname\u201c und ist damit laut eigener Aussage recht erfolgreich. In den Kommentaren schl\u00e4gt er au\u00dferdem \u201eBusiness-Mail\u201c vor. Ich kann mir auch ein \u201eSubject\u201c sehr gut vorstellen&#8230;<\/p>\n<p>Besonders erfolgversprechend ist es sicherlich, ein in dem jeweiligen Website-System \u00fcbliches Feld zu verwenden. Die Frage ist nur, ob Kommentatoren gern auf Website-URL \u00a0(etwas Eigenwerbung) oder E-Mail-Benachrichtigungen verzichten w\u00fcrden.<\/p>\n<h2>False Positives<\/h2>\n<p>In seinem Artikel spricht der Autor au\u00dferdem \u00fcber \u201eFalse Positives\u201c, also f\u00e4lschlich als Spam markierte Eintr\u00e4ge. Das \u00fcberrascht mich ehrlich gesagt sehr: Nutzer ohne Javascript sind ja schon wenige, aber ohne CSS? So erfolgreich ist <a href=\"http:\/\/de.wikipedia.org\/wiki\/Lynx_(Browser)\">Lynx<\/a> doch gar nicht&#8230;<\/p>\n<p>Schlussendlich gilt f\u00fcr diese wie f\u00fcr jede andere Art: Man sollte der Sortierung nicht blind vertrauen.\u00a0Clark scheint vermeintliche Spam-Eintr\u00e4ge anfangs direkt gel\u00f6scht zu haben. Das ist sicher nicht empfehlenswert. Ein Spam-Flag und nicht-automatisches Ver\u00f6ffentlichen sind hier der sinnvolle Weg.<\/p>\n<h2>WordPress-Plugin: Invisible Captcha<\/h2>\n<p>Mit <a href=\"http:\/\/wordpress.org\/extend\/plugins\/invisible-captcha\/\">Invisible Captcha<\/a> gibt es auch ein einfach einzubindendes WordPress-Plugin. Da meine momentane L\u00f6sung <a href=\"http:\/\/wordpress.org\/extend\/plugins\/obstcha\/\">Obstcha<\/a> von <a href=\"http:\/\/www.georf.de\">Georg<\/a> in letzter Zeit zunehmend schw\u00e4chelt und dieser in absehbarer Zeit wohl kaum die Zeit hat, sich darum zu k\u00fcmmern, werde ich das wohl auch einmal versuchen&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Durch Webdesignshock.com bin ich heute auf einen sehr interessanten Artikel zum Thema CAPTCHAs und Spam-Schutz gekommen. Im Artikel Honeypot CAPTCHAs vs. Spambots schreibt Michael Clark \u00fcber ein Verfahren, in dem sich nicht mehr Menschen als solche \u201eausweisen\u201c m\u00fcssen, sondern Bots sich selbst verraten sollen.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[91],"tags":[382,386,381],"_links":{"self":[{"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/posts\/1089"}],"collection":[{"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/comments?post=1089"}],"version-history":[{"count":3,"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/posts\/1089\/revisions"}],"predecessor-version":[{"id":2524,"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/posts\/1089\/revisions\/2524"}],"wp:attachment":[{"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/media?parent=1089"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/categories?post=1089"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sgaul.de\/wp-json\/wp\/v2\/tags?post=1089"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}