Seite 4: Ausgefülltes Textfeld

Inhaltsverzeichnis

Wenn das Textfeld ausgefüllt ist

Heuristische Tests auf Schlüsselworte haben die gleichen Nachteile wie aktuelle Anti-Spam-Software: Ihre Qualität hängt von den verwendeten Algorithmen und von der Pflege der Black- und Badword-Listen ab. Damit entbrennt ein stetiges Wettrennen zwischen Spammern und Captcha-Herstellern.

Ein Formularfeld per CSS auszublenden und bei ausgefülltem Feld den Zugriff zu verweigern, basiert auf dem Verhalten von Spam-Bots, mangels semantischer Analyse jedes Feld auszufüllen, um überall ihre Werbebotschaft zu hinterlassen. Alternativ könnte man den Wert von Standardfeldern wie "Name" prüfen – im Blog des Autors finden sich viele Spam-Kommentare von "Name" (die Standardbelegung).

Microsofts ASP.Net Control "NoBot" hält sich im Grunde an die vom W3C vorgeschlagenen Nutzungsbeschränkungen und prüft, wie schnell der Benutzer das Formular absendet (Menschen brauchen länger als drei Sekunden) und wie häufig er dies tut (Spammer liefern meistens viele Nachrichten hintereinander ab). Zusätzlich führt es eine Rechnung in Javascript durch, deren Ergebnis stimmen muss. Streng genommen prüft es hierbei nicht, ob ein Mensch das Formular benutzt, sondern nur, ob ein Javascript-fähiger Browser verwendet wird. Allerdings erfüllt dieses Verfahren immerhin alle Bedingungen außer der zweiten. Bei abgeschaltetem Javascript weist dieses Verfahren einen Mensch immer ab.

Eine möglichst effiziente Kontrolle sollte mehrere Verfahren kombiniert anwenden. Zwar bietet eine transparente Lösung nicht notwendigerweise mehr Sicherheit als ein Bild-Captcha, belästigt aber immerhin den Benutzer nicht.

Für Wordpress existiert ein Plug-in, das ein logisches Puzzle benutzt, aber die Antwort bei aktiviertem Javascript automatisch gibt. Der Autor konnte damit den Spam in seinem Blog eliminieren, ohne dass die Benutzer etwas von dem Test merken.