Ich hab vor wenigen Tagen ein Captcha entdeckt, was ziemlich gut ist (Glaube ich). Hier!

weitere Variante: GalaxyNews

Vielleicht bin ich ja blind oder blöd (oder beides), aber bei diesen Beispielen handelt es sich doch wohl um einen Scherz. Man möchte als Besucher etwas beitragen, aber anstatt dafür freundlich empfangen zu werden, muss man erstmal fünf Minuten rätseln. Lächerlich, grotesk, albern.

Naja, es ist ja nicht so, dass die Seiten die ich programmiere "gut" besucht werden, da es kleine Projekte sind. Aber dennoch braucht es einen einfachen Schutz, der das meiste abhält.

Ein einfacher Schutz, der auch tatsächlich einfach ist, reicht meist völlig, denn der beste Botschutz hat nicht die ausgefeilste Technik, sondern ist einfach nur einzigartig.
Je mehr Webseiten ein System nutzen, desto günstiger wird das Knacken der einzelnen Installation. Ein Bot für 1000 € kostet bei einem System, dass auf 10.000 Seiten im Einsatz ist, nur 10 Cent pro Werbung. Bei einem System, das nur auf einer Webseite aktiv ist, kostet die einzelne Werbung 1000 €. Auf welches sich die Spammer stürzen werden, dürfte offensichtlich sein.

Du kannst es dir also wirklich einfach machen und zum Beispiel ein Dutzend dumme Fragen einbauen, etwa: "Wo wachsen Bäume? [ ] Mond, [ ] Sonne, [ ] Erde". Wenn du etwas Lustiges einbaust, hat das ganze sogar Unterhaltungscharakter.

Das Kontaktformular auf meiner Seite ist übrigens gänzlich ungeschützt. Als das Thema beim letzten Mal aufkam, hatte ich vorsichtshalber nochmal geprüft, ob es noch funktioniert (ja, es funktioniert), weil es mich nach den ganzen Horrorgeschichten anderer Leute wunderte, dass das Ding spamfrei bleibt.
Das Einzige, was es vielleicht von anderen unterscheidet, ist, dass es per robots.txt von der Indizierung durch Suchmaschinen ausgeschlossen ist, schlicht, weil ich in der Indizierung keinen Nutzen sah. Ob das nun tatsächlich der Grund sein sollte oder ich bislang lediglich Glück hatte, weiß ich nicht. Aber du kannst es ja mal ausprobieren.

Ich habe keine Lust gross mit DBs zu arbeiten und da war der Zeitstempel eine komfortable und einfache Methode.

Das ist auch in Ordnung, das Problem bei dir ist die Grafik, die sich leichtens mittels Zeichenerkennung automatisiert auslesen lässt.

Das mit dem header() habe ich noch nicht ganz auf die Reihe bekommen.

header("Cache-Control: no-cache");

Dazu muss ich vielleicht sagen, dass die Bildcode-Funktion ein Bild erstellt und auf dem Server ablegt und nicht direkt dem Browser übergibt. Also kann ich keine HeaderInfos zum Bild mitschicken, oder?

Nein, dann nicht, da hast du wieder das gleiche Problem wie mit den <meta>-Angaben: Andere Baustelle.

Es ist aber eh ein Umweg, erst eine Datei zu erstellen. Wenn du imagepng() keinen Dateinamen übergibst, schickt die Funktion die Grafikdaten direkt an den Browser. Mit

header("Cache-Control: no-cache");
header("Content-type: image/png");
…
imagepng($bild);

müsste sich das Cache-Problem daher lösen lassen. Achte jedoch darauf, dass im PHP-Skript als aller Erstes <?php steht und als aller Letztes ?>, keine Leerzeichen, keine Zeilenschaltungen davor bzw. dahinter, gar nichts.

Aber dies nur zur Theorie, in der Praxis hast du ja, wie schon überdeutlich klar geworden sein sollte, ein ganz anderes Problem.

Hi,

Aber dennoch braucht es einen einfachen Schutz, der das meiste abhält.

wie wäre es mit einem Schutz, der alles abhält und dennoch echte Besucher nicht stört?
Meine Alternative zu Captchas tut dies sehr zuverlässig.

freundliche Grüße
Ingo

Das müsste 1. Funktionieren, weil die Bots _glaube ich_ soweiso keine Sessions können, oder?

Ich frage mich, woher (allerdings gerade bei Suchmaschinenspammern, nein, -optimierer heißen die ja) die weit verbreitete Annahme kommt, die Gegenseite (Suchmaschine, Spammer) sei auf jeden Fall dümmer als man selbst.

Bitte verstehe das ausdrücklich nicht so, dass du dumm wärest, aber wenn du darauf kommst, dass ein Bot mit Cookies umgehen können müsste, dann wird es ein Botprogrammierer, der seine monatlichen €-Tausender wert ist, unter Garantie auch. Zumal die Implementierung von Cookie-Code um einiges leichter ist als einem Bot das Lesen beizubringen. Und letzteres können Spambots, deswegen ist diese ganze Bild-Captcha-Geschichte IMHO eine weitestgehend tote Kuh, da zuckt bestenfalls noch ein Öhrchen.

2. müsste es funktionieren, weils die Formularergebnisse ja oft durch fremde Seiten an das "Verarbeitungs-Skript" gesendet werden

Oft? Woher weißt du das? Irgendwo gehört oder hast du verlässliche Daten?

Davon abgesehen: Dass ein Formular mitsamt Spamdaten erst unter einer fremden URL aufgebaut wird, nur um dort mittels eines Browsers an das Zielskript abgeschickt zu werden, halte ich für höchst unwahrscheinlich, weil viel zu aufwendig.
Das Zusammenstellen eines Formulardatensatzes ist keine Hexerei, sowas kriegt jeder Bot von ganz alleine hin. Es kann höchstens sein, dass der Bot etwas zu sparsam ist und Daten schickt, ohne vorher das Formular abzurufen - dann hilft die Cookie-Methode in der Tat.

Fremde Seiten sind da aber nicht im Spiel. Da Einzige, was gemacht wird, ist das Durchleiten von Bild-Captchas an Pornoseiten zwecks humanoider Entschlüsselung. Aber auch da werden keine Daten von einer fremden Seite direkt an das betroffene Formular geschickt.