Wie kann man Spam bekämpfen?

13.03.2009, 19:28 Uhr
Martin Ladstätter
1 Kommentar

In einem Vortrag "SPAM - ene, mene, muh und raus bist du" zeigte Markus Ladstätter Möglichkeiten auf, wie man SPAM wirkungsvoll bekämpfen kann und trotzdem barrierefreie Angebote betreibt.

Markus Ladstätter
Ladstätter, Martin

Am 12. März 2009 fand der Accessibility-Stammtisch zum Thema „Spamschutz und barrierefrei?“ in Wien statt. „Lasst uns Spam den Kampf ansagen!“, hielt Markus Ladstätter zu Beginn des praxisorientierten Vortrages das Ziel fest und demonstrierte anhand von Beispielen, wie dies in der Praxis realisierbar ist.

Formular-Spam

Bevor er konkrete Maßnahmen besprach, erläuterte er, was die Richtlinien für barrierefreie Web-Angebote (WCAG 2.0) diesbezüglich festhalten.

Die WCAG 2.0 stellt bei CAPTCHAs zwei Kriterien auf, die BEIDE erfüllt werden müssen:

  1. Stellen Sie einen Erklärungstext bereit (Technik G143) sowie
  2. Stellen Sie ein weiteres CAPTCHA in einer anderen Modalität zur Verfügung (Technik G144)

Aber wer meint, dass ein visuelles CAPTCHA und eine Rechenaufgabe nun bedeuten, dass eine Spamabwehr barrierefrei sei, der irrt, zeigt er anhand eines eindrucksvollen Beispiels. „Auch einfache Aufgaben schließen Nutzer aus“, hält er fest.

Warum sind dann CAPTCHAs geduldet?

Die für die WCAG 2.0 zuständige Organisation – das W3C – erläutert dies so: Auch wenn CAPTCHAs manches Mal von Personen mit unterschiedlichen Behinderung nicht gelöst werden können, war es notwendig, CAPTCHAs nicht grundsätzlich zu verbieten. Es hätte nämlich sonst die Gefahr bestanden, dass Webseitenbetreiber sich einfach nicht der WCAG 2.0 verpflichtet gefühlt hätten, was weitreichende negative Konsequenzen hätte.

Die WCAG 2.0 empfiehlt daher „mehr als zwei Modalitäten anzubieten“. CAPTCHAs sollen durch Kundenservice umgangen werden können und sie sollen nicht für registrierte Nutzer eingesetzt werden.

Die Vorteile von CAPTCHAs sind, dass gute noch recht sicher und leicht zu implementieren sind. Allerdings – so zählt der Experte die Nachteile auf – sind gute CAPTCHAs kaum mehr lösbar und daher für ALLE Menschen eine Barriere. Auch wäre die Sicherheit durch CAPTCHAs nur kurz gewährleistet. (Siehe auch: „CAPTCHAs im Spannungsfeld zwischen Accessibility und Sicherheit„).

Honigtöpfe und weitere Techniken

„Bei BIZEPS-INFO verzichten wir auf CAPTCHAs“, berichtete Markus Ladstätter, der für den technischen Betrieb des Nachrichtendienstes verantwortlich ist, und ergänzt: „Wir setzten keine CAPTCHAs ein, weil die Sicherheit nur von kurzer Dauer, die Belästigung für den Benützer allerdings permanent ist.“

Er zählt eine Reihe von Techniken auf und beginnt mit dem Honigtopf (englisch Honeypot). „Viele Spambots haben das Bedürfnis, alle Formularfelder auszufüllen. Honigtöpfe ziehen Spambots genauso an wie Bären“. Konkret empfiehlt Ladstätter, den „Honigtopf“ so aufzustellen:

  • Eingabefeld anbieten, das leer bleiben muss
  • per CSS aus dem Viewport herausschieben
  • möglichst zufällige Namenswahl und Position innerhalb des Formulars
  • serverseitig prüfen, ob das Feld leer ist

Kurz erläutert er folgende weitere mögliche Techniken:

  • Eingaben pro IP / Zeitintervall limitieren
  • Wie schnell wurde das Formular ausgefüllt
  • Nur gewisse Anzahl an Links zulassen
  • Bestätigungsseite vor dem Absenden, …

Der Vorteil dieser Techniken im Vergleich zum Einsatz von CAPTCHAs sei, dass sie „weniger Barrieren“ haben und ein „guter Schutz durch Mehrfachtest“ erreichbar wäre. Allerdings ist die Implementierung aufwändiger. Er empfiehlt, den Erfolg der Techniken genau zu beobachten und bei Bedarf nachzujustieren.

Erfahrungen bei BIZEPS-INFO

Nach dem Aufzeigen der Theorie brachte Markus Ladstätter Beispiele aus der Praxis anhand des BIZEPS-INFO Forums, welches keine Registrierung vorschreibt und daher besonders vor Spam geschützt werden muss.

In Vorbereitung für seinen Vortrag hatte er in 16 Tagen alle Eintragsversuche gespeichert und anschließend analysiert. „Insgesamt gab es 942 Einträge, wovon 870 Spam waren“, zeigt er gleich zu Beginn auf, wie groß der Bedarf an Schutzmaßnahmen bei BIZEPS-INFO ist.

Ladstätter hat sich aus den Erfahrungen für folgenden Mehrfachtest bei BIZEPS-INFO entschieden. Jeder Eintragsversuch muss zuerst den Honigtopf-Test bestehen, durchläuft dann eine Zeitmessung und abschließend wird geprüft, ob eine gewisse Anzahl von Links nicht überschritten wird. Erst wenn alle Test bestanden sind, wird der Eintrag freigeschalten.

detaillierte Beschreibung der Tortengrafik im Text So sieht das Ergebnis im Detail aus:

  • Honigtopf: 35,4 %
  • Zeitmessung: 44,1 %
  • Maximale Anzahl an Links: 12,1 %
  • Nachrichten: 7,6 %
  • durchgekommener Spam: 0,8 %
  • irrtümlich gelöscht: 0,0 %

Das Ergebnis des Mehrfachtests bei BIZEPS-INFO lautetet daher: „99,2 % Spam abgewehrt!“, zeigt er abschließend auf.

E-Mail Maskierung

Im zweiten Teil seines Vortrages beschäftigte sich der Experte mit dem schwierigen Thema der E-Mail Maskierung auf Web-Seiten. Er zeigt einige Möglichkeiten auf und wies darauf hin, dass keine davon wirklich komfortabel ist.

Die Techniken sowie die im Vortrag erwähnten Links finden sich alle in der Präsentation „SPAM – ene, mene, muh und raus bist du“.

Monatliche Stammtische

Der Accessibility-Stammtisch ist ein informelles Treffen für alle, die sich für das Thema „barrierefreies Internet“ interessieren. Der Stammtisch findet monatlich statt und wird von der Plattform accessible media organisiert.

Hier können Sie sich Bilder von den letzten Stammtischen von accessible media ansehen.

Hier beginnt der Werbebereich Hier endet der Werbebereich
Hier beginnt der Werbebereich Hier endet der Werbebereich

Hinterlassen Sie einen Kommentar

Die Kommentarfunktion für diesen Artikel ist abgeschalten.

Ein Kommentar