Das ansonsten ja wirklich äußerst gut funktionierende und bedienbare CMS ExpressionEngine (
http://expressionengine.com... ) hat eine große Schwachstelle: Die Captchas sind nicht Bot-sicher. Ich habe in letzter Zeit durchschnittlich 10 Spam-Kommentare pro Tag bekommen, bei denen es Bots offensichtlich geschafft haben, das Captcha zu lesen und damit zu umgehen (also das Captcha-Feld automatisch auszufüllen).
Kein Wunder, bei diesen Captchas:
Jetzt hatte ich die Nase voll und habe für ExpressionEngine ein Captcha-Addon eingebaut (
http://devot-ee.com... ), das mit Fragen/Antworten operiert und nicht mit Bildern. Statt Fragen und Antworten gebe ich in beide Felder das gleiche Wort ein…
… so dass der Besucher einfach nur abtippen muss:
Und siehe da - kein einziger Spam-Kommentar mehr. Ist schon interessant: Die Bots können heutzutage verzerrte Schrift auf Bildern entziffern, aber nicht ein Wort im Klartext. Schade, Jungs.
Achim schrieb dazu am 24.11.2011 | #permlink
Silvan schrieb dazu am 24.11.2011 | #permlink
Schönes Beispiel! Denn natürlich könnten Bots auch leicht ein Wort im Klartext lesen und einsetzen. Aber wenn nur Du (und eine zu vernachlässigende Zahl von Nutzern) so ein Modell einsetzt, lohnt es für die Spammer nicht, ihre Bots daraufhin zu erweitern.
Würde genau das, was Du tust, inkl. dem netten "Da-Pfeilchen" als Wordpress-Plugin ein paar zehntausend Mal installiert, würden wir staunen, wie schnell die Bots das beherrschen. Das ist mit diesen Standardfragen "Welche Farbe hat der Himmel?" genau so - installiert man ein Plugin, das hinreichend oft genutzt wird, brechen die Bots dieses Plugin.
Kann man aber eigene Fragen einbauen, die z.B. zielgruppenspezifisch (für diese aber immer noch sehr einfach zu lösen) sind und individualisieren, ist eine Standard-Methode auch wieder schnell so zu variieren, dass sie je Projekt wieder sicher ist.
Deswegen sollte man lieber den geringsten Widerstand für die Nutzer versuchen zu erzielen, und die Bot-Sicherheit vorwiegend aus der Individualisierung ziehen. Ist mit Viren und Plattformen ja letztlich auch nicht anders.
Ich hasse diese Captchas eh - bei der DENIC z.B. braucht es ab und zu drei Versuche je nach Zufallsergebnis, bis man den Inhaber einer Domain angezeigt bekommt. Lästig! Der Tag wird kommen, wo die Bots die Bilder treffsicherer interpretieren als unsereins.
Und selbst wenn nicht, hat glaube ich http://www.intern.de... oder ein anderes Newsportal schon vor Jahren davon berichtet, dass findige Spammer Websites betreiben mit leicht oder gar nicht bekleideten Damen, und dort Galerien oder Videos erst nach Eingabe eines Captchas freigeben, welches sie von Google, Hotmail und Co. beziehen, um dort mit menschlicher Hilfe Spam-Konten einzurichten.
Notfalls bezahlt man ein paar Menschen in Bangladesh dafür, die Captchas zu lösen, es sind Tausenderpreise von 1.20 $ im Gespräch dafür. Oder man mietet bei
http://www.freelancer.com...
http://www.freelancer.com...
jemand, der Dir gezielt für einen speziellen Dienst einen OCR DeCaptcha-Service entwickelt, oder der Projekte wie
»I need someone to develop a desktop application in C# (.NET). This will be a program that do automatic account registration and post to thousands of Pligg sites.«
realisiert. Kein Wunder, dass beim Suchwort Spam gleich 8 "nonpublic"-Projekte angeboten werden... Erstaunlich eher, dass diese Branche mit so offenem Visier ihrer Tätigkeit nachgeht.