Formularspam und die Gegenmaßnahmen

by Bernhard Wurm 24. September 2010 13:57

Sofern man keine Gegenmaßnahmen ergreift ist man defakto nicht gegen Formularspam gefeilt. – leider.

Was ist Formularspam?

Man spricht von Formularspam, wenn Formulare, wie beispielsweise das Kommentar-Formular bei einem Blog, das Anfrageformular einer Webseite oder das Anmeldeformular eines Newsletters von Computerprogrammen automatisch mit scheinbar sinnlosem Inhalt ausgefüllt wird.

Die ist beim Blog ärgerlich oder bei einem E-Mail-Marketing-System welches nach Anzahl der Abonnenten abrechnet u.U. auch mit Kosten verbunden. Im Falle von verbotenen Inhalten könnte der unter Umständen sogar rechtlich belangt werden.

Warum wird das gemacht?

So wie bei klassischem Spam oftmals aufgrund von Geld. Irgendjemand wird diesen Formularspam lesen und möglicherweise etwas kaufen. Wenn ihn niemand liest ist dies auch nicht schlim denn meist enthält die Spam-Nachricht Links, wodurch der Pagerank bei Suchmaschinen erhöht wird. Dabei fallen quasi keine Kosten an.

Wie schützt man sich vor Formularspam?

Doch wie wird man die Quälgeister wieder los? Hierzu existieren verschiedene technische Maßnahmen:

Chaptcha’s

Im Blog aktivierte ich ein sogenanntes Chaptcha. Genauer das Produkt ReChaptcha von Google. Dabei wird in einem Bild eine Zahlen-Buchstabenfolge angezeigt, welche vom Benutzer abgetippt werden muss, bevor das Formular abgeschickt werden kann. Diese Zahlen-Buchstabenfolge ist leicht verunstaltet, sodass es lediglich Menschen lesen können. Computerprogramme sollten dies nicht analysieren und daher das Formular nicht abschicken können.
Das Problem: Leider steigt dadurch auch die menschliche-Drop-Out-Quote, da manchmal auch Menschen an der zusätzlichen Hürde scheitern.

Thinktime

Ein Mensch benötigt im Allgemeinen Zeit zum Tippen und Lesen, bevor das Formular nach dem Aufruf abgeschickt wird. Hier spricht man von einer sog. Thinktime. Wenige Formularspam Programme benutzen eine Thinktime, wodurch diese einfach erkennbar und auszuschließen sind. Diese Methode ist (noch) sehr wirksam, doch da es technisch sehr einfach ist eine Thinktime einzubauen handelt es sich hier nur um eine Frage der Zeit.

Javascript

Formularspam-Programme sind sehr einfach zu programmieren, solange sie kein Javascript interpretieren. Und genau das kann man sich zu nutze machen. Ein/Zwei versteckte Felder im HTML-Code welche durch Javascript ausgefüllt werden Beispielsweise durch die Generierung einer Zufallszahl,welche in ein Feld geschrieben wird. Im zweiten Feld steht die Zahl + 1. Erst wenn die Überprüfung der beiden Werte korrekt durchgeführt wurde lässt sich das Formular absenden (bzw. läuft die Überprüfung idealerweise natürlich auch am Server). Da kaum ein Programm Javascript auswertet ist dies ein sehr guter Schutzmechanismus.

Einfache Aufgaben

Bauen Sie einfache textuelle Aufgaben ein, die der Benutzer lösen muss und in ein Eingabefeld schreibt. Also zum Beispiel “3 + 4”. Am Server wird die Lösung überprüft. Ein guter Schutz mit sehr geringer Drop-Out-Quote.

Plausibilitätsprüfung

Dieser Schutz funktioniert nicht mehr so gut wie das schon einmal der Fall war, aber immerhin besser als nichts! Prüfen Sie Eingabefelder auf Plausibilität. Prüfen Sie Formate in ensprechenden Feldern, Prüfen Sie, ob in zwei verschiedenen Feldern gleiche Eingaben gemacht wurden etc. und verweigern Sie im zweifelsfall die Annahme.

Ich habe bereits all diese Mechanismen in verschiedenen Systemen eingabaut. Es handelt sich daher um Erfahrungswerte :-)

Da ich es leid bin automatisierte Kommentare (vor allem in Russisch) zu löschen habe ich nun einen Chaptcha Mechanismus eingebaut.  Scheut also bitte nicht vor Kommentaren!

Tags:
Categories: General
E-mail | Kick it! | DZone it! | del.icio.us
Permalink | Comments (5) | Post RSSRSS comment feed

Comments

piratenpartei-duisburg.de on 8/22/2011 6:07:04 AM

Pingback from piratenpartei-duisburg.de

Piratenpartei Duisburg » Immer wieder Blogspam..

Hallhuber Online Shop Germany on 4/10/2012 7:16:58 AM

Nicht alle Kommentare sind Spams. Inhaltliche passende Kommentare, die manuell ausgefüllt sind, würde ich immer beibehalten.

ulrics Germany on 7/28/2012 4:11:45 AM

Da mein Blog inzwischen anscheinend besser in den Suchmaschinen gerankt nimmt auch das Spamaufkommen zu. Bei einem einfachen Wordpresskonto kann ich allerdings leider keiner der vorgenannten Methoden anwenden. Was schon schade ist.
Ich verwende jedenfalls folgende Technik. Bei eindeutigen Spammern, veröffentliche ich die Adresse auf einer speziellen Unterseite ohne Verlinkung mit einem entsprechenden Kommentar dahinter. Ich hoffe einfach, dass die Suchmaschinen dies lesen und die Seite entsprechend schlechter bewertet. Negativ SEO nenne ich das. Smile
Bei passenden Kommentaren schaue ich mir meist zuerst die Seite und lösche ggf. den Link.

ulrics Germany on 7/28/2012 4:12:14 AM

Da mein Blog inzwischen anscheinend besser in den Suchmaschinen gerankt nimmt auch das Spamaufkommen zu. Bei einem einfachen Wordpresskonto kann ich allerdings leider keiner der vorgenannten Methoden anwenden. Was schon schade ist.
Ich verwende jedenfalls folgende Technik. Bei eindeutigen Spammern, veröffentliche ich die Adresse auf einer speziellen Unterseite ohne Verlinkung mit einem entsprechenden Kommentar dahinter. Ich hoffe einfach, dass die Suchmaschinen dies lesen und die Seite entsprechend schlechter bewertet. Negativ SEO nenne ich das. Smile
Bei passenden Kommentaren schaue ich mir meist zuerst die Seite und lösche ggf. den Link.

ulrics1.wordpress.com on 7/29/2012 2:38:46 AM

Pingback from ulrics1.wordpress.com

SEO-Spam | ulrics

Add comment




  Country flag

biuquote
  • Comment
  • Preview
Loading