Text-Captchas als Spamschutz

Viele Webmaster, die Kontaktformulare, Onlineumfragen oder Registrierungsformulare in ihre Webseiten eingebunden haben, kennen das Problem: innerhalb kurzer Zeit erhält man darüber Spam. Grund ist, dass Spammer sogenannte Harvester (auch Webcrawler, Spider, Robot, oder kurz Bot genannt) benutzen. Dabei handelt es sich um eine spezielle Software, die automatisch das WWW durchsucht, dabei Webseiten analysiert und dann versucht gefundene Kontaktformulare automatisch mit Spam auszufüllen.

Um dies zu verhindern, kommen sogenannte Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) zum Einsatz, also eine Methode um Computer und Menschen voneinander zu unterscheiden.

Bitte beachten: Text-Captchas sind für den Einsatz auf Webseiten, unter Berücksichtigung der Barrierefreiheit, gut geeignet. Dagegen spricht, dass auch ein Spam-Bot diese Captchavariante u.U. leicht erkennen könnte. Hier muss der Bot keine OCR-Routinen einsetzen, sondern nur erkennen, ob, wie im Beispiel #1, eine Rechenaufgabe gelöst werden muss. Deshalb könnte man neben der Rechenaufgabe auch noch eine Zeitabfrage einbauen. D.h. sobald die Webseite aufgerufen wird, speichert ein Skript die aktuelle Uhrzeit (z.B. als Cookie, Session oder verstecktes Formularfeld). Wird das Formular nun abgeschickt, so prüft das Skript, ob mindestens X Sekunden, seit dem Aufruf der Webseite vergangen ist. Grund: ein Bot benötigt zum Ausfüllen des Formulars einen Sekundenbruchteil - wohingegen ein menschlicher Benutzer erheblich mehr Zeit benötigt.

Siehe auch: Komplettes Beispiel (Grafik-Captcha) inklusive Formular und Auswertung

Beispiel #1

Dies ist wahrscheinlich das weltweit am leichtesten zu verstehende Text-Captcha schlechthin. Denn hier muss der Benutzer nur eine einfache(?) Rechenaufgabe lösen.

Download: example1.zip (Formular inkl. Auswertung)

Beispiel #2

Bei dieser Captchavariante kommen tausende frei wählbare Fragen in Betracht, wobei man nur darauf achten muss, dass es jeweils nur eine Antwort geben sollte. Gibt sich der Webmaster bei der Erstellung der Fragen hier etwas Mühe, so dürften Spam-Bots kaum eine Chance haben dieses Captcha zu knacken.¹

Beispiel #3

Zufällige Zeichenfolgen wären natürlich auch möglich, aber sie sind kein Hindernis für Spam-Bots, wenn die Eingabeaufforderung immer dem gleichen Schema folgt.

Beispiel #4

Hier ist Vorsicht geboten, denn laut Umfragen zum Thema Allgemeinbildung, würden z.B. sogar viele Amerikaner diese Frage ebenfalls falsch bzw. nicht beantworten können. Anderseits wäre es eine Art IQ-Test, um bestimmte Benutzer z.B. aus einem Politikforum fern zu halten ;-)

Diese Beispiele sollten reichen und ich überlasse es der Fantasie des Einzelnen, sich entsprechende Fragen auszudenken.

¹ Einen kleinen Wermutstropfen gibt es, denn auch Spammer/Spam-Bots können erfinderisch sein. Z.B. überlassen einige Spammer das Lösen/Erkennen von Captchas einfach anderen Personen. Wie's geht? Sie kopieren und fügen z.B. unser Grafik-Captcha auf einer Pornoseite als Zugangscode ein, und warten bis ein dortiger Besucher den korrekten Captcha-Code eingibt. Und sobald sie den Code haben, fügt der Spam-Bot den Code auf unserer Webseite ein.