{"id":558,"date":"2008-03-11T15:44:41","date_gmt":"2008-03-11T13:44:41","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/558-captcha-sind-mausetot-aber-sie-riechen-noch"},"modified":"2018-06-01T00:29:26","modified_gmt":"2018-05-31T23:29:26","slug":"captcha-sind-mausetot-aber-sie-riechen-noch","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/558-captcha-sind-mausetot-aber-sie-riechen-noch","title":{"rendered":"Captcha sind mausetot (aber sie riechen noch)"},"content":{"rendered":"

Ich schrieb schon ein paar mal \u00fcber Captchas, unter anderem wie man Mathe-Captchas knackt<\/a> und warum Captchas auf Dauer nicht funktionieren<\/a> werden. Das war am 8. Februar. Inzwischen sind wir von der Realit\u00e4t \u00fcberholt worden.<\/p>\n

Anscheinend ist auch die letzte Antispam-Bastion gefallen, die Captchas die Google Mail vor den Spammern sch\u00fctzen. Moderne Spambots k\u00f6nnen inzwischen 20-30% der Captchas korrekt<\/a> erkennen. Das reicht leicht, um fl\u00e4chendeckend Google Mail Spamaccounts anzulegen. Der Vorteil eines Spammers bei Google Mail ist insbesondere, dass diese Domains noch kaum blockiert werden, da bisher das Spamaufkommen relativ niedrig war. Ganz im Gegensatz z.B. zu Yahoo Mail oder Hotmail. In meinem direkten Bekanntenkreis findet sich niemand, der noch Yahoo Mail oder Hotmail verwendet. Alles was von dort kommt, ist 100% Spam. Beide Domains werden daher von mir inzwischen komplett blockiert.<\/p>\n

Interessanterweise scheint sich das Problem noch nicht rumgesprochen zu haben. Da gibt es die Seite PWNtcha<\/a>, die diverse Captchas dekodieren kann (aber keinen Source Code ver\u00f6ffentlicht). Dort ist man immer noch der Meinung, dass es gute Captchas geben kann, die auch in Zukunft funktionieren. Ich widerspreche dieser Ansicht ganz entschieden. Moderne Captchas wie sie z.B. Yahoo einsetzt sind so kompliziert, dass die Erkennungsrate echter Menschen teilweise unter der von Captcha-Dekodern liegt. Da l\u00e4sst man den Schutz besser ganz weg.<\/p>\n

Komplett vernachl\u00e4ssigt wird in der ganzen Diskussion die Barrierefreiheit. Was macht denn ein Anwender, der leider nicht sehen kann? Arschkarte gezogen? Das sollte eigentlich nicht sein. Ich frage mich ja, wann in Amerika die ersten Blindendiskriminierungsprozesse stattfinden, weil sich Blinde bei Google Mail nicht anmelden k\u00f6nnen.<\/p>\n

Ein paar Wirrk\u00f6pfe glauben zwar noch, das Gelbe vom Ei erfunden zu haben, praktisch steckt aber nur hei\u00dfe Luft dahinter. Ein Beispiel ist dieser Programmierer<\/a>, der glaubt durch geschickt benannte Eingabefelder das Spam-Problem zu l\u00f6sen. Wenn man sich den daraus resultierenden HTML-Code anschaut, dann sind zwar die Formularfeldnamen kodiert, irgendwo muss aber noch eine verst\u00e4ndliche Beschreibung stehen denn Menschen m\u00fcssen die ja auch richtig ausf\u00fcllen k\u00f6nnen.<\/p>\n

<tr<\/span>><td<\/span>>Name:<\/td<\/span>><td<\/span>><input<\/span> name<\/span>=\"7f0f3f86b0bcd308584728af6ab2335d\" <\/span><\/span>\r\nstyle<\/span>=\"width: 200px;\" <\/span>type<\/span>=\"text\"<\/span>><\/td<\/span>><\/tr<\/span>>\r\n<tr<\/span>><td<\/span>>E-Mail:<\/td<\/span>><td<\/span>><input<\/span> name<\/span>=\"dc7b8fd4bf5bc84ea95ce39b7b625bc5\" <\/span>\r\nstyle<\/span>=\"width: 200px;\" <\/span>type<\/span>=\"text\"<\/span>><\/td<\/span>><\/tr<\/span>>\r\n<tr<\/span>><td<\/span>>Betreff:<\/td<\/span>><td<\/span>><input<\/span> name<\/span>=\"2d9f7da47a267ae7d2e69e535ec9315a\"\r\n<\/span>style<\/span>=\"width: 200px;\" <\/span>type<\/span>=\"text\"<\/span>><\/td<\/span>><\/tr<\/span>><\/pre>\n
Ich sch\u00e4tze, in etwa drei Minuten kann ich einen kleinen Parser schreiben, der die Texte neben den Eingabefeldern richtig den Formularfeldnamen zuordnet.<\/p>\n
Der Autor schreibt \u00fcbrigens ganz stolz, dass noch niemand<\/em> sein geniales Verfahren \u00fcberlistet hat und er seither keinerlei Spamprobleme hat. Das hat einen einfachen Grund. Die Seiten auf denen dieses Verfahren eingesetzt wird sind so unwichtig, dass sich kein einziger Spammer bisher die M\u00fche gemacht hat, drei Minuten in einen Parser zu investieren. Sobald sich das Verfahren jedoch auf mehr Seiten durchsetzen sollte wird es sofort gebrochen und ist auch gleich wieder verschwunden.<\/p>\n
Ich pers\u00f6nlich tendiere ja zu mathematischen Rechenaufgaben. „Berechnen Sie den Cosinus des zweiten Logarithmus der vierten Nullstelle der Riemannfunktion!“ oder so w\u00e4re z.B. eine Aufgabe die zwei Probleme mit einem Streich l\u00f6st. Zum einen bleiben die Spammer drau\u00dfen, zum anderen steigt das Niveau der Kommentare denn die Flachmaten d\u00fcrften mit dieser Aufgabe leicht \u00fcberfordert sein.<\/p>\n
Aber mal im Ernst … gerade bei Angeboten die sich an die breite Masse richten werden Captchas in Zukunft nicht mehr funktionieren. F\u00fcr die muss das Captcha so trivial sein, dass es irgendwie noch richtig eingegeben werden kann und das bedeutet, irgendeine Software kann garantiert das gleiche.<\/p>\n
Das Problem: Ich sehe keine echte Alternative. Audio-Captchas sind zwar nett aber helfen nicht bei Schwerh\u00f6rigen, JavaScript-Gelumpe wird mittelfristig auch \u00fcberlistet, sobald es weiter verbreitet ist (oder die Spammer steuern einfach einen Browser fern). Und dann darf nicht vergessen werden, dass es in China<\/a> eine Menge Leute gibt die den ganzen Tag vor dem Computer sitzen, World of Warcraft spielen und die gewonnenen Artikel in der realen Welt verkaufen. Die k\u00f6nnten genauso gut auch Captchas eingeben.<\/p>\n
Ich f\u00fcrchte wir haben zumindest technisch den Kampf gegen Spam verloren.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ich schrieb schon ein paar mal \u00fcber Captchas, unter anderem wie man Mathe-Captchas knackt und warum Captchas auf Dauer nicht funktionieren werden. Das war am 8. Februar. Inzwischen sind wir von der Realit\u00e4t \u00fcberholt worden. Anscheinend ist auch die letzte Antispam-Bastion gefallen, die Captchas die Google Mail vor den Spammern sch\u00fctzen. Moderne Spambots k\u00f6nnen inzwischen […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/558"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=558"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/558\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}