Sprung zum Inhalt [/] Tastaturkürzel / Accesskeys [0]
webdesign weisshart Startseite

Webdesign nach Maß von webdesign weisshart

Mein Blog

RSS Feed AbonnementRSS 2.0 Feed

zur Liste der Kategorien | zum Archiv

CAPTCHAs automatisch lösen - ein neuer Dienst

Mittwoch, 10. Juli 2013

CAPTCHA [’kæptʃə] ist ein Akronym für Completely Automated Public Turing test to tell Computers and Humans Apart. Das bedeutet wörtlich: “Vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen".
Quelle: Wikipedia

Leider ist das System inzwischen komplett pervers: Maschinen sind zumeist besser im Lösen von CAPTCHAs als Menschen. Von blinden und sehbehinderten Menschen ganz zu schweigen. Letztere sind sogar darauf angewiesen, CAPTCHAs von Maschinen lösen zu lassen.

Es gibt einen (zumindest für mich) neuen Dienst: Rumola von skipinput.com
Hier eine Seite mit Anleitungen für blinde und sehbehinderte Menschen (englisch).
Rumola wird als Addon für Firefox, Chrome und Safari angeboten. Safari leider derzeit nicht in der aktuellen Version 6, sondern nur Version 5.
Rumola light (mobil) gibt es derzeit für Android. Für iOS ist es angekündigt.

Nach der Installation des Addons muss man sich mit einer E-Mail Adresse registrieren. Nach der Registrierung hat man 10 Credits kostenlos. Die kostenlosen Credits gelten nur am Tag der Registrierung. Also jedenfalls noch am gleichen Tag testen! Weitere Credits kosten 0,79 € für 50 Credits / 1 Jahr bzw. 1.55 € für 150 Credits / 6 Monate.
Bezahlung mit PayPal oder LiqPay.

Ein Kurztest zeigt, dass das Addon tadellos und schnell funktioniert. Wenn ein CAPTCHA auf einer Seite gefunden wird, gibt Rumola eine entsprechende Meldung aus. Ein Doppelklick im Eingabefeld füllt dieses automatisch aus mit der Lösung des CAPTCHAs.

Screenshot 1
Ein ReCAPTCHA Eingabefeld vor dem Lösen des CAPTCHA
Screenshot 2
Das ReCAPTCHA Eingabefeld ist von Rumola mit der Lösung ausgefüllt worden.

Nachtrag

Rumola füllt das Ergebnisfeld mit dem gelösten CAPTCHA nicht nur auf Doppelklick, sondern bereits dann, wenn man ein beliebiges anderes Formularfeld auszufüllen beginnt. Sehr komfortabel.

Nachtrag 2

Rumola lässt sich via Kontextmenü auf einzelnen Seiten deaktivieren. Nützlich z. B. auf eigenen Seiten, um den Alert zu unterdrücken.


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

CAPTCHAs - der nicht enden wollende Unfug - und ein Gegenmittel

Montag, 23. Juli 2012

CAPTCHAS. Ich hab’ mir schon die Finger wund getippt über dieses Thema. Nicht, weil ich persönlich mehr als nur die »normalen« Probleme mit dem Lösen dieser unsinnigen Aufgaben hätte. Ich habe keine, außer einer altersbedingten Sehbeeinträchtigung. Aber ich muss mich jedesmal wieder darüber ärgern, wenn ich mit zusammengekniffenen Augen versuche, so ein Ding zu entziffern. Und ich muss mich über die Gedankenlosigkeit ärgern, mit der Millionen von blinden und sehbehinderten Menschen von der Nutzung vieler Online-Dienste ausgeschlossen werden.

Als kürzlich eine mehrtägiger Ausfall von WebVisum zu berechtigter Aufregung unter betroffenen Surfern führte, habe ich mich aus purer Neugierde auf die Suche nach Alternativen gemacht. Und ich wurde fündig: bei Captcha Monster, einem Firefox-Addon.

Captcha Monster bietet eine kostenlose 30tägige Testphase an. Danach kostet Captcha Monster US$ 2,99 (2,63 €) zuzügl. MWSt. pro Monat. Mein 30-Tage-Testzeitraum läuft demnächst ab. Aber ich habe mich so daran gewöhnt, Captchas mit einem Rechtsklick und wenigen Sekunden Wartezeit lösen zu lassen, anstelle von »Augenverrenkungen«, dass ich den Dienst vermutlich abonnieren werde. Obwohl … (siehe oben).

Ein Hinweis an blinde Leser:
Captcha Monster kann problemlos neben WebVisum installiert, und alternativ verwendet werden.


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

Wie man Kommentatoren erfolgreich vergrault

Donnerstag, 26. April 2012

Kommentarspam - die unendliche Geschichte. Über kaum ein Thema habe ich so oft gebloggt.
Man kann Kommentatoren aber auch vergraulen. Bei Menschen zumindest funktioniert das. Ob’s auch geben Spambots hilft? ;-)
Wie man Kommentatoren erfolgreich vergrault, zeigt das ZDF: Man blockiert Kommentare mit dem Hinweis »Ihr Kommentar wird moderiert. Bitte haben Sie etwas Geduld.«. Meine Geduld wird nunmehr seit 24 Stunden (erfolglos) auf die Probe gestellt. Ich glaube inzwischen, die Ursache erraten zu haben: Kommentare mit einem Hyperlink werden automatisch blockiert, und mit diesem Kommentar versehen.
Liebes ZDF. Ich verstehe ja, dass ihr mit dem Moderieren nicht nachkommt (Eigentlich verstehe ich es nicht, aber das ist eine andere Geschichte). Dann aber bitte einen Hinweis, dass Hyperlinks in Kommentaren nicht erwünscht zulässig sind. Und diesen Hinweis bitte bevor ich mir die Mühe mache, einen Kommentar zu schreiben.
Warum schreibe ich mir meinen Frust in meinem Blog von der Seele, und nicht eine E-Mail an das ZDF? Weil das ZDF meinen Rat nicht will. Siehe dieser Artikel. (Meine GEZ Gebühren nimmt es gerne. Aber das ist schon wieder eine andere Geschichte .)

Nachtrag:
Ich hab’ mir mal den Spaß gemacht, einen Kommentar an den (anscheinend überlasteten) Moderatoren des ZDF vorbei zu schleusen. Trotz Hyperlink. ;-) Womit bewiesen wäre: Manuelle Moderation ist kein Spamschutz.


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

Der CAPTCHA-Unfug stirbt nicht aus

Freitag, 2. April 2010

CAPTCHAs sind unwirksam, und schließen Menschen aus. Wie oft wurde darüber schon geschrieben. CAPTCHAs wollen sicherstellen, dass ein Mensch, und nicht eine Maschine, ein Formular ausfüllt. Wobei man Maschine gleichsetzt mit Spambot. Wer täglich gegen Spam jeglicher Art kämpft, hat mein volles Verständnis. Und ich kann auch verstehen, dass man jede Maßnahme bereitwillig übernimmt, die Abhilfe gegen die lästigen Spambots verspricht. Aber CAPTCHAs sind einfach der falsche Weg.
CAPTCHAs können von Maschinen leichter gelöst werden als von Menschen!
Lassen Sie mich das an einem Beispiel erläutern:
Das homepage-forum.de verwendet die Forensoftware vBulletin.
Dort versucht man, Spambots mit CAPTCHAs auszuschließen. Diese CAPTCHAs sehen z. B. so aus:

Ich schaffe es nicht, auch nur eines der gezeigten CAPTCHAs zu lösen. Und weil es vermutlich nicht nur mir so geht, hat vBulletin eine pfiffige Funktion eingebaut: Ein Link unter dem CAPTCHA “Grafik neu laden” ermöglicht es, ein neues CAPTCHA aufzurufen. Beliebig oft! Und nach einigen Versuchen sind auch lesbare CAPTCHAs dabei:

Klasse.
Denkste!
Genau diese leicht lesbaren CAPTCHAs sind ein Kinderspiel für Maschinen, die mit OCR arbeiten. Und Maschinen, anders als Menschen, haben keine schlechten Nerven. Sie geben nicht nach einigen erfolglosen Versuchen entnervt auf. Vielmehr haben sie schier endlose Geduld. Wie gesagt: ein neues CAPTCHA kann beliebig oft angefordert werden. Und anders als bei Menschen, genügen den Spambots Trefferquoten von 10%, 1% und sogar weniger. Im Klartext: Wenn ein Mensch ein CAPTCHA nach dem 10 Versuch noch nicht gelöst hat, dann dürfte auch der Geduldigste entnervt aufgeben. Anders ein Spambot: wenn der nur bei jedem 100sten Versuch erfolgreich ist, dann genügt das immer noch, um die Welt mit Spam zu beglücken.
Nach dieser langatmigen Einleitung komme ich auf den Punkt:
Offensichtlich wurde auch das homepage-forum.de von Spambots beglückt. Und der vermeintliche Spamschutz mit CAPTCHAs war offensichtlich unwirksam. Deshalb hat homepage-forum.de zusätzlich! zur CAPTCHA-Abfrage jetzt noch eine Rechenaufgabe eingeführt. Rührend! Warum man sich von den CAPTCHAs nicht trennen konnte oder wollte, kann ich nicht nachvollziehen. Eine intelligente Kombination alternativer Möglichkeiten, wie hier beschrieben, würde Menschen nicht ausschließen/nerven, und Spambots sicher in die Schranken weisen.


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

Spamschutz - ohne Rechenaufgabe

Samstag, 19. Juli 2008

Seit langem setzte ich als Schutz gegen Kommentarspam eine Rechenaufgabe ein. Mit vollem Erfolg. Kein einziger böser Bot machte sich die Mühe, 5 plus 3 auszurechnen.
Seit heute gibt es - versuchsweise - eine neue Art des Spamschutzes. Nein, kein CAPTCHA! Menschliche Besucher werden von meiner Technik nicht belästigt oder gar ausgesperrt; sie merken gar nichts von einem Spamschutz. Das Ausfüllen eines zusätzlichen Feldes ist nicht mehr erforderlich.
Ob der Schutz wirksam ist, wird sich zeigen. Aus diesem Grund werde ich die Technik auch erst nach einer maximal mehrwöchigen Testphase veröffentlichen.
Vorab sei nur so viel verraten: Ganze 6 Zeilen PHP sind hierfür erforderlich!


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

Captchas sind ein Irrweg

Sonntag, 16. März 2008

Sie schließen Menschen von der Benutzung der dahinter liegenden Dienste aus.
Wie oft schon habe ich - obwohl mit keiner nennenswerten Sehschwäche geschlagen - beim dritten oder vierten erfolglosen Versuch, so ein Captcha zu entziffern, entnervt aufgegeben.

Aber sie hindern "böse" Bots nicht daran, solcherart vermeintlich geschützte Dienste für ihre Zwecke zu missbrauchen:

… Nach Angaben des Maildienstleisters MessageLabs liegt die Erkennungsrate der Captchas (Completely Automated Public Turing Test to Tell Computers and Humans Apart) durch die Spammer-Tools zwischen 20 und 30 Prozent…

Quelle: Heise Security

Eine Trefferquote von "nur" 20 Prozent ist für einen Spambot - anders als für mich - kein Grund, von seinem Treiben Abstand zu nehmen. Bots werden also von Captchas nicht wirkungsvoll ausgesperrt, wohl aber Menschen! Was für eine Perversion.


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

Der endlose Kampf gegen die bösen Bots

Sonntag, 28. Oktober 2007

… geht in die nächste Runde.

In meinen Serverlogs finden sich eine Unmenge von “zweifelhaften” Besuchern. Wenn Google, Yahoo und Co. meine Seite spidern, dann ist das ja erwünscht.
Aber ein guter Teil der “mechanischen Besucher” kommt wohl nur, um hier nach E-Mail Adressen und ähnlichem zu suchen, und diese Informationen dann zu mehr als zweifelhaften Zwecken zu benutzen.

Gegen dieses Gesindel gehe ich ab heute mit einer neuen Waffe ins Gefecht: spider-trap.de

Das Teil ist relativ schnell installiert und konfiguriert, nachdem man sich durch die gute Dokumentation gearbeitet hat.
Etwa mehr Mühe bereitete die Umgestaltung der Seite, die das manuelle Freischalten der Site ermöglicht, falls versehentlich ein Mensch in die für Spider aufgestellte Falle gestolpert ist. Diese Seite beinhaltete ein Captcha, und das musste natürlich geändert werden, und durch einen zugänglichen Schutzmechanismus ersetzt werden.


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

Spambots sind blöd

Mittwoch, 22. August 2007

… aber lästig. Sie spammen jedes, aber auch wirklich jedes Formularfeld zu, das sie irgendwo auf irgend einer Seite finden.
Es bleibt also nichts anderes übrig, als jedes Formular, welchem Zweck es auch dient, vor diesen maschinellen Idioten zu schützen.

Ich setze hierzu zwei verschiedene Methoden ein. Beide Methoden vermeiden den größten Nachteil der - leider - weitverbreiteten Captchas: Sie ermöglichen das korrekte Ausfüllen und Abschicken eines Formulars auch dann, wenn der Besucher nicht mit einem Adlerblick gesegnet ist.

Methode 1: Die Rechenaufgabe

Die Seite, die vom Formular aufgerufen wird (das kann auch die absendende Seite sein Stichwort: Affenformular), überprüft serverseitig ob die Rechenaufgabe richtig gelöst wurde.

Falls nein, kann hier nochmals ein Hinweis ausgegeben werden.
Jedenfalls wird das Formular nicht verarbeitet, was ja der Zweck der Sache war.

Methode 2: ein verstecktes, leeres Eingabefeld

Diese Methode macht sich den Umstand zunutze, dass Spambots, wie schon der Titel dieses Beitrags ausdrückt, dumm sind, und jedes Feld eines Formulars ausfüllen.
Der Trick besteht nun darin, ein zusätzliches Feld ins Formular einzufügen, das NICHT ausgefüllt werden darf.
<input class="versteckt" name="email" size="35" type="text" />

Damit menschliche Benutzer hier nichts eintragen, wird das Feld per CSS versteckt. Aber Achtung! Das Feld nicht als type="hidden” auszeichnen, und NICHT mit display:none oder visibility:hidden verstecken. So dumm sind die Bots dann doch nicht.
Richtig ist vielmehr, das Feld per CSS aus dem viewport zu verschieben.
Zum Beispiel mit diesen CSS Anweisungen:
.versteckt {
position:absolute;
left:-1000px;
top:-1000px;
width:0;
height:0;
overflow:hidden;
display:inline;
}

Dann noch ein Hinweis für Besucher, die das CSS nicht interpretieren (zum Beispiel Screenreader), und die das “versteckte” Feld dennoch zu sehen bekommen, dieses Feld nicht auszufüllen. Diese Anmerkung selbst wird natürlich auf die gleiche Weise vor sehenden Benutzern versteckt.

Falls nun das versteckte Feld dennoch ausgefüllt ist, wird die Bearbeitung des Formulars serverseitig verweigert.
Mit PHP könnte dies im einfachsten Fall so aussehen:
if ($_GET["email"] != "") exit;
______________________

Nachtrag 03.11.:
Wenn das so zu schützende Formular bereits länger online war, dann ist die Wahrscheinlichkeit groß. dass Spambots die Informationen über dieses Formular bereits gespeichert haben, und nicht erst die Seite spidern, um die Formulardaten zu sammeln. Sie werden also ihren Spam ohne das “versteckte” Input Feld abschicken, und obige Abfrage funktioniert nicht mehr.

Die PHP Auswertung wird also erweitert:

if (( !isset($_GET["email"])) || $_GET["email"] != “") {
echo ‘
<p>Das Feld nach dem Suchfeld muss leer bleiben, sonst funktioniert die Suche nicht.
<br />Bitte gehen Sie mit der Zurück-Funktion Ihres Browsers zurück zur Suchfunktion.</p>
‘;
exit;
}

Was passiert hier?
Das Feld “email” muss geGETed werden (das aber machen die Spambots mit alten Datenbeständen nicht), aber es muss leer sein (wenn die Seite neu gespidert wird, dann schreiben die Bots hier was rein).


Blog / Artikel empfehlen: auf Twitter empfehlen auf Facebook teilen Google+

Ältere Beitäge:

Kategorien:

Tastaturkürzel

zum Seitenanfang