Alternative zu Captchas

[Sprint]

Hallo,

da mich diese ständigen Captcha Abfragen selbst nerven, hab ich mir für die neue Seite ein Alternative überlegt.

Da auf der Seite wegen ihrer Mehrsprachigkeit sowieso eine Session läuft, wird beim Start des Kontaktformulars ein MD5 Hash aus der IP des Users erzeugt und in einer Sessionvariablen abgelegt. Der Hash wird auch für die Feldnamen verwendet. Ein Feld in dem Formular wird nicht benötigt und wird im Label mit Homepage betitelt. Dieses Feld soll aber leer bleiben, wird entsprechend beschriftet und auch per CSS versteckt.
Nach dem Absenden wird als erstes auf die Sessionvariable geprüft. Ohne die wird gleich abgeblockt. Dann wird überprüft, ob der Hash in den Feldnamen enthalten ist und der IP entspricht. Außerdem muß das Homepage Feld leer sein.

So, jetzt würde mich eure Meinung dazu interessieren. Ist es ausreichend, sind irgendwo Lücken oder kann man es vereinfachen? Danke schon einmal für eure Überlegungen.

Viele Grüße,
Sprint

 

[SkTnOnAmE]

Den Sinn der IP mit dem Hash und den Feldnamen hab ich jetzt nicht ganz verstanden.
Ein Bot bekommt ja ebenfalls eine IP und somit wäre das soweit sehr "sinnfrei".
Das ausgeblendete Feld, wäre eine Möglichkeit, falls der Bot denn alles ausfüllt.

Da bin ich aber mal gespannt auf die weiteren Antworten.

 

[bofh1337]

Du könntest die Millisekunden stoppen, von da an, wo das Formular aufgerufen wurde bis zu dem Zeitpunkt, wo es abgeschickt wird....ein normaler Mensch schafft es nicht, innerhalb 1 Sekunde seine Mail-Adresse, ein Betreff und Text zu posten...das können nur Bots, also kannst du diese Kontakt-Anfrage dropen.

Noch sinnvoller wäre es, wenn du dich mal auf http://www.bot-trap.de umschaust, wenn du das Script von dort richtig eingebaut hast, kommen schon mal 90-95% der Bots nicht weiter bei dir und nur noch ein kleiner Rest bleibt übrig.

Dann gibt es auch noch eine fertige Lösung in Sachen "Re-Captcha"...diese soll sehr gut laufen, aber inzwischen gibt es auch dagegen eine Bot-Klamotte, also ist es eher eine frage der Zeit, bis es von Hinz und Kunz geknackt wird.

Es gibt "Frage + Antwort"-Captchas....wobei ich da noch nie eins gesehen habe

 

[Sven Mintel]

Ich habe gute Erfahrung mit den hier teilweise genannten Methoden.

Das mit dem Hash macht durchaus Sinn, so ein Bot muss ja nicht gezwungenerweise über die Formularseite selbst die Daten senden.

Auch das mit dem versteckten Feld bringt recht gute Resultate(momentan zumindest noch).

Das mit der Zeitmessung macht natürlich auch Sinn

Ich bin der Ansicht, je "hausbackener" der Schutz ist, desto besser, und wenn er denn mal "geknackt" wurde, erweitert man ihn halt

 

[Sprint]

Den Sinn der IP mit dem Hash und den Feldnamen hab ich jetzt nicht ganz verstanden.
Ein Bot bekommt ja ebenfalls eine IP und somit wäre das soweit sehr "sinnfrei".
Das ausgeblendete Feld, wäre eine Möglichkeit, falls der Bot denn alles ausfüllt.

Da bin ich aber mal gespannt auf die weiteren Antworten.

Aus dem Hash ist ja nicht ersichtbar, daß er aus einer IP entstanden ist. Es kann also ein beliebiger Wert vom Bot erstellt werden, der aber zum einen keine IP ist, und falls durch Zufall doch, nicht mit der empfangenen IP übereinstimmt.

Dann gibt es auch noch eine fertige Lösung in Sachen "Re-Captcha"...diese soll sehr gut laufen, aber inzwischen gibt es auch dagegen eine Bot-Klamotte, also ist es eher eine frage der Zeit, bis es von Hinz und Kunz geknackt wird.

Es gibt "Frage + Antwort"-Captchas....wobei ich da noch nie eins gesehen habe

Genau das will ich ja nicht, um dem normalen User keine extra Last aufzubürden. Ob Captcha oder Re-Captcha, immer muß er ein Bildchen identifizieren. Außerdem wären dann Screenreader oder Textbrowser-User völlig außen vor. Bei Frage+Antwort ist dann noch das Problem der Sprache.