Hi martin;

Was meint Ihr, kann man das vernünftig lösen, ohne den User zu
einer Eingabe eines abgelesenen Textes oder der Beantwortung
einer Frage zu zwingen ?

Ich kann diese Seite empfehlen:
http://www.1ngo.de/web/captcha-spam.html
Ich schließe mich da auch der Meinung des Autors dieser Seite an.
Ich denke der Tipp mit der Zeit ist der sinvollste durch dieses muster werden glaub die meisten Bots ausgesiebt. Wenn du willst kannst du ja die Zeitramen etwas enger setzen als im Vorschlag.

mfg,
haltich

@@heinetz:

Für ein öffentliches Forum oder ein Weblog mag das ja ein probates Mittel sein

Nö, auch dafür nicht. [Wikipedia: Captcha]

Was meint Ihr, kann man das vernünftig lösen, ohne den User zu einer Eingabe eines abgelesenen Textes oder der Beantwortung einer Frage zu zwingen ?

Ja. Spambots Fallen stellen, bspw. versteckte Formularfelder, in die ein menschlicher Nutzer nichts einträgt, ein Bot aber doch.

Live long and prosper,
Gunnar

hi,

Was meint Ihr, kann man das vernünftig lösen, ohne den User zu
einer Eingabe eines abgelesenen Textes oder der Beantwortung
einer Frage zu zwingen ?

Sowas habe ich auch mal umgesetzt mit Hilfe eines Cookie:

• Das Formular muss einmal aufgerufen werden, damit der Cookie gesetzt und eine Sessin servseitig erzeugt wird,
• der POST darf erst nach ein paar Sekunden erfolgen, CountDown per Javscript auf dem Absendebutton, damit der User das auch sieht (!), die Delay-Zeit wird außerdem zufällig erzeugt innerhalb gewisser Grenzen,
• innerhalb einer Session (gültig auch nur in einer Browsersitzung) darf nur ein POST erfolgen.

Das Ganze ist umso wirkungsvoller, wenn in der POST-Response kein Cookie mitgegeben wird, ein Bot, der einfach nur postet, sieht somit nicht, das ein Cookie im Spiel sein muss.

Wer Cookies nicht mag, kann den SessionKey auch URL-encoded im POST-Request mitgeben, das ist jedoch leichter zu knacken (Cookies übrigens auch), das Ganze aus der Sicht des KnackerBots:

• Sessionkey besorgen und DelayZeit in Erfahrung bringen (GET auf Formular),
• POST mit Sessionkey nach Ablauf der DelayZeit.

Die meisten Bots, die mir so untergekommen sind, analysieren ein Formular, wenn dieses auch noch zufällig mit verschiedenen hiddenFields generiert wird, die allesamt irgendeinen wiederum zufälligen Wert haben müssen, der anhand eines SessionKeys serverseitig hinterlegt wird, ist das kaum noch zu knacken.

Viele Grüße,
Hotte

Hallo Forum,

danke für euren Statements. Ich bin auch dazu gekommen,
dass mir der Ansatz unter http://www.1ngo.de/web/captcha-spam.html
ambeste gefällt.

beste gruesse,
heinetz