Fast jede Webseite besitzt Web-Formulare. Meistens sind es Kontaktformulare, welche nur Mails versenden. Häufig werden aber auch Formulare für Registrierung, Bestellung, Gästebuch usw. verwendet, welche nicht nur Mails versenden, sondern auch noch Einträge in der Datenbank machen.
Irgendwann wird man plötzlich mit Mails von der eigenen Webseite überschüttet. Es sind Spam-Mails welche über irgendein Formular der Webseite (z. B. Kontaktformular) versendet werden. Dagegen gibt es verschiedene Mittel. Am besten: Die Honigfalle!
CAPTCHA Codes
Oft sieht man auf anderen Webseiten unterhalb der Formulare einen sog. CAPTCHA-Code, den man von einem Bild ablesen und eintippen muss. Diese Spamschutz-Maßnahme wird häufig verwendet und bietet auch einen einigermaßen guten Schutz. (Obwohl es manche Spamprogramme auch schaffen, die Zeichen aus dem Bild auszulesen)
Nachteile der CAPTCHA Codes: Es ist einfach lästig, immer diesen Code eingeben zu müssen. Außerdem ist der Code manchmal schlecht zu lesen. Diese Methode gilt daher nicht als “barrierefrei”.
Es gibt noch eine ähnliche Methode mit Rechenaufgaben, aber auch diese werden von den Spambots teilweise schon gelöst und der Benutzer ist auch hier gezwungen eine zusätzliche, lästige Eingabe zu machen, selbst wenn es nur ein Zeichen ist.
Deshalb möchte ich eine andere, einfache und sehr elegante Methode vorstellen, die schon seit längerem bekannt ist und auch erfolgreich angewendet wird.
Honeypot Methode
Die Methode heißt “Honeypot” (Honigtopf) und ist sozusagen eine süße, verlockende Falle für die Spambots.
Diese haben nämlich die Angewohnheit, alle Eingabefelder auszufüllen, die sie finden können.
Die Spambots können da einfach nicht widerstehen.
Beispiel: Kontaktformular mit Honeypot Spamschutz
Der Trick geht wie folgt:
Man erstellt einfach ein zusätzliches Eingabefeld mit dem Hinweis, dass dieses Feld leer bleiben soll, da es eine Spamschutz-Maßnahme ist.
Besucher der Webseite wissen dann Bescheid und es ist bequemer ein Feld einfach leer zu lassen, statt einen Code aus einem Bild zu entziffern und einzutippen.
Dieses zusätzliche Feld kann man mit CSS auch unsichtbar machen (Display: none;), sodass die Besucher nichts davon mitbekommen.
Die Spambots aber tappen prompt in die Falle und füllen das Feld aus (auch wenn es unsichtbar ist).
Nun wird in der Programmierung (PHP) noch die Bedingung eingesetzt, dass das Formular erst verarbeitet wird, wenn dieses Feld leer ist. Und schon hat man einen einfachen, sehr effektiven und barrierefreien Spamschutz. Der Honigfalle sei Dank!
Für Programmierer sollte es selbstverständlich sein, dass darüber hinaus sämtliche Eingabevariablen (POST und GET) immer vor der Weiterverarbeitung gefiltert und geprüft werden müssen, um Spam oder SQL-Injection (Manipulation der Datenbank) zu vermeiden. Dazu gibt es in PHP zahlreiche Funktionen.
14. Dezember 2011 um 10:50 Uhr
Leider verhindern Honey Pots nur sehr eingeschränkt Spam. Wird ein herkömmliches CAPTCHA durch einen Honey Pot ersetzt kann sich das Spamaufkommen erhöhen. Dies ist zumindest meine Erfahrung im praktischen Einsatz.
Natürlich haben auch die Entwickler solcher Spambots längst dieses Problem erkannt.
Die Bots füllen einfach nicht jedes Feld aus, sondern agieren auf dem Zufallsprinzip. Genügend Versuche führen dann zu genügend viel Spam.
15. Dezember 2011 um 13:52 Uhr
Vielen Dank für den Kommentar
Ja es stimmt, es ist nunmal ein ewiges Wettrüsten zwischen den Entwicklern von Spambots und Anti-Spam Maßnahmen. Einen 100%igen Schutz gibt es ohnehin nicht.
Die Methode verringert zumindest das Spamaufkommen, denn nicht alle Spambots sind so schlau.
Dieser Blog verwendet im Übrigen ein Plugin namens Antispam Bee welches nach demselben Prinzip funktioniert und erfolgreich Spamkommentare blockt.
16. Januar 2012 um 19:06 Uhr
Also, die Captchas finde ich auch sehr benutzerfeindlich. Sind sie zu gut lesbar, werden sie auch ganz gut von Spambots entziffert, und sind sie schwieriger, hat man oft auch als Mensch Probleme, die richtigen Zeichen zu erkennen. Nach zwei Fehlversuchen spätestens bin ich jedenfalls ziemlich genervt.
Die Honeypots werden leider noch selten als Plugin angeboten, daher habe ich noch keine Erfahrungen damit machen können. Spambee ist super, das stimmt, und es wendet ja gleich mehrere Methoden an, aber das gibt es meines Wissens nur für WordPress.
Eine weitere Möglichkeit ist es, eine Frage zu stellen, am besten in deutsch, falls man eine rein deutschsprachige Website hat. Dann werden neben den Bots auch diejenigen menschlichen Spammer abgeblockt, die der deutschen Sprache nicht mächtig sind. Der Benutzer muss dann zwar die Antwort eintippen, aber das ist nicht so lästig wie ein schwer lesbares Captcha. Rechenaufgaben hingegen werden wohl inzwischen auch schon zu leicht von den Bots gelöst und von menschlichen Spammern natürlich auch, egal aus welchem Land.
Noch eine Lösung gibt es manchmal als Plugin: Der Benutzer muss ein Häkchen in ein Feld setzen. Das Feld wird per JavaScript erzeugt, die Spambots können das nicht erkennen, setzen also kein Häkchen hinein und schon sind sie entlarvt.
17. Januar 2012 um 09:37 Uhr
@Torsten
Vielen Dank für Deine wertvollen Tipps.
Ja, Captchas können schon nerven, z.B. bei Denic.de. (Die durchlöcherten Buchstaben gehen mir schon ziemlich auf den Wecker)
Das mit JavaScript ist ein gute Lösung. Einziger Beigeschmack: Wenn Benutzer JavaScript deaktviert haben geht es nicht. Klar, dass da ein entsprechender Hinweis im NOSCRIPT Tag rein muss.
Aber die perfekte Lösung gibt es wohl nicht. Am besten man kombiniert verschiedene Methoden und muss auch bereit sein kleine Kompromisse einzugehen im ewigen Kampf gegen Spam.