Skip to content

Das versteckte Captcha

Captchas sind wirklich "a pain in the ass". Aber was wäre, wenn diese Captchas super simpel wären und sogar automatisch beantwortet und dann versteckt würden? Ein normaler Benutzer würde jedenfalls nicht wirklich etwas von dem Captcha mitbekommen. Hier ist also meine nächste AntiSpam Abwehr in der Spam Biene: Die versteckten Captchas.

Wie funktioniert das?

Das Plugin erzeugt ein recht simples Captcha mit einer Frage in normalem Text, also z.B.:

Was ist Eins plus Drei?

Ein Bot muss hier schon tricksen, um das Captcha zu lösen, einem normalen Kommentator dürfte die Antwort dagegen nicht schwer fallen (es wird 4 und "Vier" in der entsprechenden Sprache akzeptiert, Großschreibung egal).

Es geht dann aber noch einen Schritt weiter: Per Javascript wird die Frage automatisch beantwortet und das Captcha dann sofort wieder versteckt. Dieser Mechanismus geht davon aus, dass Bots kein Javascript ausführen, erst recht nicht aus einer externen Datei.

Das bedeutet: Wenn ein Besucher Javascript angeschaltet hat, bekommt er von dem Captcha gar nichts mit, hat er kein Javascript angeschaltet (was heutzutage wohl die wenigsten Besucher aber die meisten Bots so haben), muss die simple (und dann nicht versteckte) Frage eben beantwortet werden.

Testlauf

Letzte Nacht habe ich den Honig Topf bei mir mal ausgeschaltet und nur das versteckte Captcha laufen lassen. Falls ihr das Captcha zu sehen bekommt (und es automatisch gefüllt wird), dann solltet ihr einfach einen Refresh auf der Seite machen, dann hat eurer Browser die neue CSS Klasse noch nicht eingelesen, die das Captcha nach automatischer Antwort versteckt.

Resultat: Es kamen 118 Spam Kommentare rein, 2 fischte das Bayes, der Rest wurde vom Captcha abgefangen. Eventuell war bei den zweien die Antwort gerade 0 oder 1, was Bots vielleicht dann doch mal zufällig ausfüllen. So weit ich in meiner Datenbank sehe war kein False Positive dabei.

Fazit

Dies scheint also ebenfalls ein recht effektiver Trick zu sein, der keinen großen Aufwand produziert (für Benutzer und Server Belastung). Interessant wäre für mich, wie Screenreader auf dieses Captcha reagieren. Falls sie "sichtbar" werden, wären sie zumindest gut vorlesbar. Und natürlich auch, ob das Captcha bei Besuchern mit normalem Browser irgendwelche Probleme produziert.

Update

Mist, das war der erste echte Kommentar, der seit der Schaltung des Versteckten Captchas rein kam. Meine Datenbank sagt, dass da zwar das Captcha automatisch eingegeben wurde, aber falsch. Weder ich noch Matthias können das allerdings im Moment reproduzieren. :-(

Bitte melden, falls ihr Probleme beim Kommentieren hattet und wie genau ihr auf die Seite gekommen seid und kommentiert habt. Danke!

Trackbacks

yellowled

yellowled on : yellowled via Twitter

Continue reading "yellowled via Twitter"
@fritzweisshart Nein. Honeypot, http://t.co/T3BV1kGP und dahinter noch einen Bayes-Filter als „Abfangjäger“.

Comments

Display comments as Linear | Threaded

Grischa

Grischa Read on twitter: on :

Da das versteckte Captcha für mich bewiesen hat, dass es sehr effizient Bots abweisen kann, habe ich jetzt den Honeypot wieder eingeschaltet und das versteckte Captcha auf "moderieren" gestellt.

Da der Honeypot die erste Barriere in der SpamBee ist, teste ich jetzt also, ob "echte Kommentare" (die durch den Honeypot ja durchgehen) durch das versteckte Captcha abgewiesen werden. Diese werden (so der Fall) dann erst mal moderiert und es geht somit nichts verloren. Schauen wir mal. :-)

Grischa wrote about: Hinweise zu CommentSpice 1.01

Mario

Mario Read on twitter: on :

Ich surfe normalerweise mit Firefox dem Addon "NoScript", welches Javascript bei angesurften Seiten erstmal deaktiviert. Natürlich schaltet man Seiten/Blogs, die man regelmäßig besucht für Javascript frei.

Die Maßnahme könnte also zur Hürde für Erstbesucher werden, die auch so unterwegs sind und zum ersten mal kommentieren wollen.

Ich habe zum Test für diesen Kommentar mal JS in NoScript blockiert und bekomme also jetzt das Captcha zu sehen, Mal sehen, was mit dem Kommentar passiert.

Mario

Mario Read on twitter: on :

OK, mein vorheriger Kommetar ging glatt durch. Jetzt ist allerdings (auch nach Browser-Refresh) das Ergebnis im Captcha nicht mehr vorbelegt. Dann also Kopfrechnen :-)

Grischa

Grischa Read on twitter: on :

Bedeutet: Den ersten Kommentar hast Du geschrieben, als NoScript hier deaktiviert (und JavaScript aktiviert) war? Beim 2. Kommentar dann umgekehrt? Dann hat sich das Plugin also so verhalten, wie es sollte. :-)

Im 2. Fall wurde ein Bot vermutet und Dir das Captcha vorgesetzt. Offenbar konntest Du es aber problemlos lösen. :-D

Gut, NoScript ist dann tatsächlich so ein Fall, den ich mit den "wenigen Besuchern" meinte. Das Addon ist zwar schick (und ich habe es mir jetzt auch mal installiert), aber prozentual gesehen haben das halt nicht viele, denke ich.

Kann von Blog zu Blog anders sein, das kann der Blogbetreiber dann wohl einschätzen und es ggf. dann eben ausschalten.

Danke für die Tests! Scheint bei Dir gut funktioniert zu haben, oder?

Mario

Mario Read on twitter: on :

Beide Kommentare wurden mit deaktiviertem Javascript geschrieben. Einziger Unterschied war, dass beim zweiten Kommentar die Lösung des Captchas nicht im Lösungsfeld vorbelegt war. Dieser Kommentar ist jetzt mit aktiviertem Javascript erstellt und das Captcha ist nicht zu sehen (so soll es ja auch sein).

Grischa

Grischa Read on twitter: on :

Beim ersten Fall hattest Du aber das NoScript eingeschaltet, als die Seite bereits geladen war, oder? War bei mir dann das selbe Verhalten: In dem Fall merkt sich schlicht der Browser, was das Javscript (vor dem Ausschalten) da noch eingetragen hatte.

Grischa wrote about: Das Konzept Tasse vs. Tassen auf dem Tisch

Dirk Deimeke

Dirk Deimeke Read on twitter: on :

Ich habe jetzt die Biene in allen Blogs installiert und es kommt mehr Spam durch denn je. Allerdings nur in einem einzigen Blog.

Hast Du eine Idee?

Grischa

Grischa Read on twitter: on :

Nein, so ohne weitere Angaben natürlich nicht.. Du hast aber den Honeypot in der Installation des Plugins dieses einen Blogs eingeschaltet, oder?

.. und in den anderen Blogs wirkt es? Kann man bei dem einem Blog irgendein Muster erkennen? Ich habe bei mir inzwischen einen speziellen Bot, der das Honeypot umgeht (und bei mir dann in das HCaptcha rennt). Vielleicht willst Du die nächste Version der Biene mal beta testen mit HCaptcha angeschaltet?

Grischa wrote about: Die Spamschutz Biene

Dirk Deimeke

Dirk Deimeke Read on twitter: on :

Ich habe das Comment-Spice-Plugin deinstalliert und die Spamschutz Biene installiert.

In sieben von acht Blogs werden fast alle Kommentare vom Honeypot ausgefiltert und bei genau einem nicht.

Ich teste gerne die nächste Version der Biene!

Dirk Deimeke

Dirk Deimeke Read on twitter: on :

Ein kurzer Blick in die Datenbank zeigt, dass die Biene, die Kommentare rejected, sie aber dennoch direkt danach von Bayes noch einmal rejected werden. "Irgendwie" werden die Kommentare nicht gelöscht.

Grischa

Grischa Read on twitter: on :

Hmm. Dann gibt es also ein Problem beim Löschen.. Wenn Bee und Bayes den als SPAM markieren und rejecten aber nicht löschen (können), dann hilft Dir natürlich keine weitere AntiSPAM Methode.

Ich könnte höchstens mal ein Debug Log generieren, aber wenn auch Bayes nicht löscht, dann scheint das ein Problem außerhalb der Plugins zu sein, nicht?

Grischa

Grischa Read on twitter: on :

Hmm.. Wobei der Papierkorb noch so leicht was anderes ist, aber stimmt, es schafft zu signalisieren, dass S9Y nicht speichern soll.

Wie ist das denn, wenn Du das Bayes mal testweise weg nimmst? Gehen die Kommentare dann online? Oder ist das vielleicht einfach nur so, dass das Bayes sie noch einmal abweist, nachdem Bee es schon getan hat? (Würde mich allerdings wundern, ist bei mir nicht so..)

Ich mache mal eine Beta klar und schicke Dir den Link per Mail.

Grischa wrote about: Google+ Android Client mit komplett neuer Oberfläche

Fritz Weisshart

Fritz Weisshart Read on twitter: on :

Getestet mit Firefox und dem Screen Reader NVDA. JavaScript aktiv.

Die Rechenaufgabe wird vorgelesen, und ebenso die richtige Lösung. Also kein Problem, wenn auch der unvorbereitete Besucher sich möglicherweise am Kopf kratzen wird ob der unerwarteten Mathematik-Lektion.

Jetzt Firefox mit deaktiviertem JavaScript (egal, ob mit oder ohne Screen Reader) und das Formular mit der falschen Lösung abgeschickt:

Ich erhalte eine Meldung »Kommentar wurde hinzugefügt«. Aber das wurde er - richtigerweise - nicht. Das Problem: Ab diesem Zeitpunkt wird kein Kommentarformular mehr angezeigt, ich bin also auf Dauer vom Kommentieren dieses Blogs ausgesperrt, nur, weil ich auf die Schnelle nicht realisiert habe, dass die Vorgabelösung falsch war. (Ich weiß, Cookies löschen löst das Problem.)

Ist das wirklich nötig?

Fritz Weisshart

Fritz Weisshart Read on twitter: on :

Ich hab' jetzt übrigens im Firefox überhaupt kein Kommentarformular mehr, egal ob mit oder ohne JavaScript oder Cookies.

Damit kann ich leben.

Aber ob du das so wolltest?

Grischa

Grischa Read on twitter: on :

Hö? Da muss aber irgendwas "besonders" bei Dir sein: Es gibt nirgends eine Funktion, die den Kommentarbereich dauerhaft ausblendet.

Das passiert bei Serendipity nur einmal: Wenn Du einen Kommentar hinterlassen hast. Dann musst Du noch mal auf die Überschrift klicken, dann bekommst Du ein neues Kommentarfeld (Reload versucht den Kommentar noch mal zu schicken, anstatt die Seite frisch zu laden).

Grischa wrote about: GCM: Aktive Benachrichtigung am Android Gerät

Grischa

Grischa on :

Na bei allen sicher nicht, aber bei einigen und sicher bei allen Serendipity Blogs.

Warum das so ist, weiß ich nicht, hat mich ehrlich gesagt auch immer eher genervt, hat aber sicher einen guten Grund. ;-)

Fritz Weisshart

Fritz Weisshart Read on twitter: on :

Anstelle von Reload mal die Zurück-Taste gedrückt, und dann das Formular nochmal abgeschickt (ich weiß, so was tut man nicht)

Da gibt's dann eine etwas kryptische Fehlermeldung:

Antispam Maßnahme: Ungültiger Kommentar.

Kommentar wurde nicht hinzugefügt, da Kommentare für diesen Eintrag entweder deaktiviert sind, Sie ungültige Eingaben gemacht haben oder Anti-Spam-Maßnahmen angewendet wurden.

Grischa

Grischa on :

Naja.. Mit der Aktion lieferst Du zweimal den selben Kommentar ab, und das sieht mein Blog halt als Spam Versuch. ;-)

Mario

Mario Read on twitter: on :

Ich habe gerade noch ein Problemchen mit dem Captcha festgestellt. Wenn man eine Kommentarantwort aus dem Backend erstellt, fehlt das Captcha und der Kommentar wird wegen des "falsch gelösten Captchas" abgewiesen oder in die Moderation gestellt (je nach Einstellung).

Grischa

Grischa on :

Oh! Echt? Ich dachte, genau dafür hätte ich neulich einen Fix gebaut? Ich schaue mir das mal an. Danke für den Hinweis!

hampa

hampa Read on twitter: on :

Hallo Grischa. Ich habe das Captcha mit diversen Einstellungen ausprobiert. Einmal mit "NoScript" dann ohne, Captcha ohne JavaScript leer gelassen und danach ausgefüllt. Dann das Ganze noch einmal mit JavaScript. Von mir aus gesehen hatte ich keine erkennbaren Probleme. (Browser Firefox 14.0.1 - Linux)

Ich beobachte weiter.

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
This blog allows you to add audio comments using audioboo.fm. Create a new boo and enter the link to the page into the boo field.
record
If you enter your twitter name, your timeline will get linked to your comment.
Promote one of your recent articles
This blog allows you to announce one of your recent blog articles with your comment. Please enter your the corresponding URL as homepage and a selection box will pop up letting you choose an article. (Javascript needed)
(Requirements: 1 comments written)
Standard emoticons like :-) and ;-) are converted to images.
tweetbackcheck