Kontaktformular mit einfachen Spam-Schutz

[azett]

Hab ne entsprechende Fehlermeldung eingebaut; die Mindestzeit wird zudem über eine versteckte CMS-Option konfigurierbar sein, Default sind 15 Sekunden.

[mozzi]

Hallo,

da ich bzgl. Spam überdurchschnittlich allergisch bin, hatte ich mir aus Anlaß einer anklickbaren Mailadressenangabe eine Javascript-Erzeugung programmiert, die folgendes in der angegebenen Reihenfolge tut:
- Der mailto: -Anfang wird ganz normal als Variable gesetzt,
- es wird eine Wartezeit gestartet, die mittellange läuft und dann den mittleren Bereich der Mailadresse ergänzt,
- es wird eine Wartezeit gestartet, die lange läuft und dann den letzten Bereich der Mailadresse ergänzt,
- es wird eine Wartezeit gestartet, die schnell läuft und dann den Anfang der Mailadresse ergänzt.

Oder das Ganze mit noch mehr Schritten.
Erst am Ende des selben Javascripts wird die komplette Mailadresse in den HTML-Quelltext eingefügt. Die Zeitspanne vom Seitenaufruf bis zum Einfügen der Mailadresse beträgt 2 Sekunden, sicher geht es auch deutlich schneller.

Wie lange javascript-fähige Bots bei setTimeOut warten, oder ob sie sowas von vornherein unterschlagen, weiß ich nicht. Aber wenn ein Bot sowas tatsächlich abarbeitet, dann müßte er die TimeOut-Zeitangabe runterskalieren, um an die Mailadresse zu kommen. Und sowas halte ich für sehr unwahrscheinlich. Reines Abarbeiten wäre jedenfalls wohl zu uneffektiv für einen Spambot. Es sei denn, dabei ist schon berücksichtigt, daß TimeOuts nur recht selten auftreten, und der Bot hat entsprechende Puffer etc... ich hoffe aber stark, das ist nicht der Fall! ...

Um auf die Eingangsfrage zurückzukommen:
Mit diesem Ablauf wird ja letztlich per Javascript ein HTML-Inhalt aufgebaut, der kurz nach dem Seitenaufruf zur Verfügung steht und von aktuellen Spambots wohl kaum so erkannt werden kann.
Und das ist ja bei Weitem nicht nur auf Mailadressen anwendbar.

Ob man letztendlich auf diese Art ein ganzes Formularfeld aufbaut, oder ein bestimmtes Feld mit einem bestimmten Wert belegt, oder einfach nur die "Abschicken"-Taste von inaktiv auf aktiv umschaltet (als Bedienungshilfe im Fall von serverseitiger Reaktionszeit-Abfrage), ist ja eher zweitrangig; wichtig ist, daß der erzeugte Inhalt so gestückelt zur Verfügung gestellt wird, daß die relevanten Anteile vom Bot nicht erkannt werden. Wie z.B. eben ganze Domainnamen in Mailadressen, oder relevante Namen von Eingabefeldern in Formularen.

Für Mailadressen habe mir direkt ein kleines PHP-Skript gebastelt, das den Javascript-Quelltext nach Einlesen der Mailadresse erzeugt. Das ist ohne aufwendige Abwandlungen genauso auch für andere Zwecke verwendbar.

Grüße
Mozzi

[stefanbe]

Coole Idee wenn man JavaSript hat

gruss stefanbe

[azett]

Jau, aber was passiert bei abgeschaltetem JS?

Wobei ich anmerken möchte, daß mir bei per "mail"-Element eingefügten Mailadressen bisher noch kein nennenswertes Spam-Problem bekannt ist - die Mailadressen sind sehr trickreich gegen Bots geschützt. Ohne JavaScript, das war mir dabei sehr wichtig.
Was das Formular angeht, möchte ich erstmal die Ergebnisse der dynamischen Inputnamen ab Version 1.12 abwarten - vielleicht hat sich das Problem damit ja schon.

[mozzi]

Hallo,

also die Sache mit den HexCodes hatte ich eigentlich schon mal als Vor-vor-vor-Stufe zu Javascript-Lösungen vermittelt bekommen, angeblich wären Spambots schon lange darauf abgerichtet. Kann natürlich sein, daß das vorwiegend für Klartext- "mailto:"- Vorsätze gilt, also für Stellen wo nur die eigentliche Mailadresse codiert ist.
Aber es war auch schon zu lesen, daß verschiedene Robots bereits Javascript abarbeiten, und daß auch Spambots in diesem Bereich weiterentwickelt würden.
Aber wenn selbst auf der Mozilo-Seite mit der Kontaktmailadresse nichts kommt... erstaunlich, aber wohl aussagekräftig.

Bzgl. Javascript habe ich mittlerweile eher die Position bezogen, daß eine (Einstiegs-) Seite am besten außer einer Anmerkung gleich gar nichts mehr enthalten soll, wenn Javascript nicht läuft. Dann kann man sich wenigstens darauf verlassen, daß einige recht wichtige Javascript-Detailergebnisse auch beim Besucher ankommen, wenn der überhaupt so weit vordringt.
Wie z.B. eben die Mailadresse - oder man versteckt mit Javascript erfolgreich ganze Frames oder wichtige Links, die nicht über Google der entsprechenden verweisenden Seite zugeordnet werden sollen, z.B. weil sie die Suchergebnis-Reihenfolge nachteilig beeinflussen würden.
Oder z.B. bei einer Seite mit CSS-Aufklappmenü: Wenn dort bloß der IE mangels Ersatz-Javascript-Unterstützung streikt, hält man wohl eher die Seite für fehlerhaft und verschwindet wieder tatenlos, als wenn man nur eine Meldung bzgl. Javascript zu lesen bekommt und sonst nix.

Naja egal, ich verdrück mich dann mal

Grüße
Mozzi

[azett]

angeblich wären Spambots schon lange darauf abgerichtet. Kann natürlich sein, daß das vorwiegend für Klartext- "mailto:"- Vorsätze gilt, also für Stellen wo nur die eigentliche Mailadresse codiert ist.

Der Trick ist, daß Bots weder ein "mailto:" noch ein "@" sehen und es deswegen erst gar nicht versuchen
Insofern ists besser, die Mailadresse in ein "mail"-Element zu setzen, als sie (wie ich das schon oft gesehen habe) einfach als Text zu schreiben.

Bzgl. Javascript habe ich mittlerweile eher die Position bezogen, daß eine (Einstiegs-) Seite am besten außer einer Anmerkung gleich gar nichts mehr enthalten soll, wenn Javascript nicht läuft. Dann kann man sich wenigstens darauf verlassen, daß einige recht wichtige Javascript-Detailergebnisse auch beim Besucher ankommen, wenn der überhaupt so weit vordringt.

Ich als Purist mit grundsätzlich erstmal deaktiviertem JS finde, daß eine Website unbedingt auch ohne JS funktionieren muß (auch der Barrierefreiheit wegen), auch wenn sie dann vielleicht nicht so lecker aussieht. Aber das ist meine ganz persönliche Meinung - die Diskussion darüber nähme wohl eher religiöse Züge an

Nichtsdestotrotz hast du einen interessanten Ansatz mit deiner Lösung - poste die doch ruhig mal ausführlich bei den Tipps und Tricks

[mozzi]

OK kommt demnächst.
Frage dazu: Ich kann ja entweder den erzeugten Javascript-Code posten, oder den PHP-Quelltext dazu, der die Mailadresse im Klartext einliest. Im letzteren Fall würde ich mir aber ganz gern vorbehalten, eine Quellen-Nennung mit Link im erzeugten Quelltext zur Bedingung machen können zu wollen
Gibt es da Einwände oder Beschränkungen?
Das Skript war zwar jetzt kein riesen Kraftakt, aber die Sache hat ja durchaus ihren Wert.
?

Grüße
Mozzi

[azett]

Deinen Quelltext kannst du selbstverständlich zu deinen Bedingungen veröffentlichen, gar keine Frage

[hausl78]

Hallo!

Zum Thema SPAM etc.. Ich find die Idee im Forum hier gut, mit diesen Fragen wo - meines Erachtens -  ein Bot sich die Zähne ausbeißt eben einen kleinen Pool von Fragen wie eben bereits genannt "Ist Wasser trocken oder nass?" oder was mir spontan einfällt:

Was ist heller Tag oder Nacht?
Was duftet Rosen oder Knoblauch?  :roll:


Solche sinnvollen Fragen halt..  Ich denk wenn das ein Pool mit  zB 20 Fragen ist das per Random wechselt und die Prüfung mit dem von azett erwähnten geheimen Feld, dann kann fast schon nichts mehr schiefgehen.. Einziger Nachteil ist, das man statt "12" halt dann "rosen" eingeben müßte...

Juergen

[azett]

Wir haben einen Grundstock an einfachen Rechen- und Denkaufgaben drin ("2 durch 2", "Elvis Presleys Vorname"), siehe 1.12-Demo - es werden sich aber auch ganz einfach neue hinzufügen lassen.

[hausl78]

Ah, Super!
Das ist genau was ich meinte... nein ist sogar noch besser  

[albatros]

Hi,

allen Usern, die häufig ungebetenen Besuch auf ihrer Website haben, möchte ich mal BotTrap http://www.bot-trap.de ans Herz legen. Ich habe das inzwischen auf mehreren Websites im Einsatz und bin sehr zufrieden.

hth

albatros