Mega Captcha
Von lästigem Spam und den Gegenmaßnahmen wie Captchas habe ich schon viel geschrieben. Wie man garantiert verhindert, dass ein Bot seinen Müll absetzt sieht man beim Mega Captcha.
Add comment April 23rd, 2008
Spambots koennen nicht Kopfrechnen
… meine Besucher hingegen schon. Hoffe ich zumindest :D. Im Hintergrund von Anderscht? läuft der Spamfresser Spam Karma. Die Software arbeitet eigentlich sehr gut und lässt praktisch nichts durch. Konkret: Bei derzeit 4100 bemerkten Spameinträgen musste ich nur einen Eintrag aus der Spamliste retten. Jedoch liegt mein Blog auf einem Shared Hosting Server und ist daher etwas langsam. Die zusätzliche Belastung durch die Spambots will ich mir jetzt ersparen.
Daher wurde nun zusätzlich das Math Comment Spam Protection Plugin installiert. Jeder der einen Kommentar hinterlassen will muss nun eine kleine Rechenaufgabe wie 3 + 4 rechnen. Kein Aufwand, oder :D? Meine Zweifel an der Funktionsfähigkeit werden hoffentlich nicht bestätigt. Ich freue mich auf das Rechentalent der Leser(innen).
3 comments November 4th, 2006
Hot Captcha: Noch ein Ansatz gegen Spam?
Hot Catpcha versucht das Problem der unlesebaren Captchas zu umgehen. Es werden neun Bilder von Frauen/Männern gezeigt. Der Nutzer muss jetzt die drei gut Aussehenden markieren und kann ein Formular absenden.
Es stellt sich jedoch die Frage, wer da seine Fotos zur Verfügung stellt, bzw. ob überhaupt ein Einverständnis vorliegt. Nebenbei dürfte es sich auch noch um Diskriminierung handeln. Und einem Bot kann man sehr einfach beibringen wie die "schönen" Bilder heißen, oder welchen Hashwert sie haben. Wie man es anderscht und oder besser machen kann steht in meinen bisherigen Artikel zu Captchas.
2 comments Juli 17th, 2006
Spamschutz mit Rechenaufgaben?
Dr. Web berichtet im Blog von einem "neuen" Verfahren zur Spambekämpfung in Blogs und E-Mailformularen. Der Nutzer muss somit keine nicht-barrierefreien und schlecht leesbaren Captchas einsetzen.
Der entscheidende Nachteil des ganzen ist, dass die Rechnaufgabe, zum Beispiel "Summe 4 + 7" als Text im Formular steht. Somit braucht der Spambot nur gesagt bekommen: Finde [number] [mathSymbol] [number], berechne die Formel und setze das Ergebnis ein. Ein Aufwand von vielleicht einer halben Stunde. Solange die Bots das aber nicht beherrschen sollte es den Spam den ein trotzdem dahinter laufendes Spam Karma zu bearbeiten hat gewaltig reduzieren.
Zukunftssicher ist es aber aus zwei Gründen nicht. Der Erste wurde bereits genannt und der Zweite ist PISA :D.
Add comment Juli 6th, 2006
Wordpress Hashcash durch Spam Karma ersetzt
Wie bereits in den Beiträgen Wordpress Anti Spam Plugin und Barrierefreies Captcha fuer Menschen und leider auch Maschinen beschrieben habe ich in "Anderscht?" bisher auf Wordpress Hashcash gesetzt. Nur leider haben moderne Spambots Javascript Unterstützung eingebaut. Und somit erhalte ich trotz Hashcash täglich mehrere Dutzend Kommentarspams. Seltsamerweise immer auf den gleichen Beitrag.
Jedenfalls wurde mir das jetzt zu dumm und daher habe ich das ultimative Anti Spam Plugin Spam Karma installiert. Dies bewertet einen Kommentar auf mehrere Arten und errechnet aus den einzelnen Werten einen Spamscore. Ist dieser zu hoch, wird der Kommentar als Spam klassifiziert und ich bekomme das aktiv gar nicht mehr mit. Zwar erschlägt einen die Optionsvielfalt im Verwaltungsbereich, aber ich lasse erst einmal alles auf Standard.
Ich bitte alle Leser hier Testweise einen Kommentar zu hinterlassen. Sollte etwas nicht gehen, so bitte ich um eine kurze Mail mit Betriebssystem und Browserversion.
9 comments Mai 1st, 2006
Barrierefreies Captcha fuer Menschen und leider auch Maschinen
Dr. Web hat ein Tutorial für ein barrierefreies Captcha. Das "Captcha" ist aber mehr eine Spielerei. Eine Maschine knackt das praktisch sofort, sobald man ihr das Muster fuer die Zahlen von 0 bis 9 beigebracht hat. Der Vorteil der barrierefreiheit ist jedoch nicht von der Hand zu weisen. Es gibt auch noch eine Moeglichkeit mittels Javascript und Hashfunktionen wie sie z.B. Elliot Back fuer Wordpress erstellt hat: HashCash 3.0 Beta. Das setze ich hier ein. Ein Screenreader wird das aber ebenso nicht besonders moegen und der Besucher muss Javascript aktiviert haben.
In den Kommentaren schreibt der Autor Rene Schmidt er habe
noch nie davon gehoert, dass Spammer OCR-Software einsetzen, um CAPTCHAs lesen lassen zu koennen.
Dem muss ich entschieden widersprechen. Es kommt immer auf den Zweck an. Sogar normale Nutzer werden mittels Spam E-Mails dazu angehalten Captchas zu entschlüsseln. Ihnen wird gesagt, sie erhalten dadurch Zugang zu irgendwelchen schmutzigen Seiten. In Wahrheit wird aber ein Yahooaccount oder ähnliches für den Spamer angelegt. Menschliche OCR Hardware :D. OCR Software wird auch eingesetzt. Einen Überblick gibt PWNtcha.
Vor bereits dreieinhalb Jahren habe ich aus aktuellem Anlass selbst ein einfaches Captcha geschrieben und auf tutorials.de veröffentlicht. Dort ist es mit fast 15.000 Hits sehr beliebt. Jedoch muss man deutlich sagen, dass es nicht mehr als sicher gelten kann. Seiten von mir, die es einsetzen hatten aber bisher noch nie Probleme mit Spam, weil es den meisten Script Kiddies zu aufwändig ist, oder sie schlicht keine Ahnung haben.
1 comment April 3rd, 2006
Wordpress Anti Spam Plugin
Heute war es so weit. Ein Spambot hat mein Blog gefunden und gleich einmal an die 30 Einträge hinterlassen. Das ich ein rel=”nofollow” in den Kommentarlinks habe interessierte ihn nicht einmal. Dank dem Masseneditiermodus von Wordpress habe ich das ganze in ein paar Sekunden gelöst :D.
Um das aber in Zukunft zu vermeiden und nicht ausarten zu lassen habe ich nach dem derzeit besten Wordpress Plugin gegen Spam gegoogelt und bin auf das Wordpress Hashcash Plugin gestoßen. Es berechnet mit Javascript einen Hash der erst durch den Server verifiziert werden muss. Das erzeugt einiges an Overhead bei der Erstellung und verlangt dem Client ein paar Millisekunden Rechenzeit ab, die er wohl übrig hat :D. Zudem ist es wesentlich einfacher zu installieren als eine Captcha Lösung und im Gegensatz zu der angeblich auch noch schwerer zu knacken. Der Nachteil ist natürlich, dass der Besucher Javascript aktiviert haben muss.
Add comment Februar 27th, 2006