Kategorien
Design HTML/CSS

Schluss mit unleserlich: Are You a Human realisiert Captchas als HTML5-Spiel

Kaum ein Anmeldeformular kommt heutzutage ohne CAPTCHAs aus. Für Benutzer sind die meist sehr kryptischen Buchstaben und Ziffern oft eine Herausforderung, da sie mitunter nicht nur für Maschinen unleserlich sind. Der Dienst „Are You a Human“ stellt CAPTCHAs zur Verfügung, die ganz ohne unleserliche Zeichen auskommen. Vielmehr werden die klassischen CAPTCHAs durch kleine Spiele ersetzt, den sogenannten PlayThrus.


Alternative zu klassischen CAPTCHAS mit „Are You a Human“

HTML5-Spiele statt kryptische Zeichen

Das Prinzip von „Are You a Human“ ist einfach: Der Benutzer muss in einem kleinen Spiel eine Aufgabe erfüllen, die von Spam-Bots nur schwerlich zu bewerkstelligen ist. In den unterschiedlichen Spielen, die angeboten werden, geht es immer darum, aus herumschwebenden Objekten eines oder mehrere irgendwo sinnvoll abzulegen. Da müssen Außerirdische auf einem Planeten platziert werden oder Basketballspieler auf einem Spielfeld.

Die Spiele sind nicht schwer und binnen weniger Sekunden zu schaffen. Eine klassische CAPTCHA-Eingabe dauert in der Regel länger und ist deutlich frustrierender. Wer das Spiel „gewonnen“ hat, kann ein ausgefülltes Formular abschicken oder erhält Zugriff zu der Seite, die eben für Spam-Bots nicht zugänglich sein soll.

CAPTCHA-Spiel per Plugin oder Bibliothek einbinden

Um den Dienst nutzen zu können, stellt „Are You a Human“ Plugins für gängige Content-Management-Systeme wie WordPress und Drupal zur Verfügung. Die Plugins lassen sich – einmal installiert – allerdings nur auf Formulare anwenden. Neben den Plugins gibt es auch Bibliotheken – unter anderem für PHP und Perl – für jene, die den Dienst individuell und ohne CMS in ein Webprojekt integrieren möchten.


Beispiele für PlayThrus

Für alle Plugins und Bibliotheken gibt es Anleitungen. Die Bibliotheken lassen sich sehr flexibel einsetzen. Was nach einer erfolgreichen Spielrunde, einem PlayThru, geschehen soll, wird über eine einfache „if“-Abfrage festgelegt. So lassen sich nicht nur Formulare verschicken, sondern auch beliebige Inhalte darstellen, die Spam-Bots vorenthalten werden sollen.

Basistarif kostenlos

„Are You a Human“ bietet einen kostenlosen Basistarif, der keine Limitierung der PlayThrus beinhaltet. Allerdings ist es beim Basistarif nicht möglich, ein spezielles Spiel auszuwählen. Der „Personalized“-Tarif unterstützt für 19 Dollar im Monat mehrsprachige PlayThrus und ermöglicht die freie Auswahl eines Spieles. Beim „Professional“-Tarif für 79 Dollar im Monat gibt es zudem die Möglichkeit, auf das „Are You a Human“-Branding zu verzichten.

Fazit: „Are You a Human“ ist eine schöne Alternative zu den nervigen CAPTCHAs, die im Web kursieren. Da sie auf HTML5 basieren, sind sie auch auf Mobilgeräten einsetzbar.

(dpe)

Kategorien
Webdesign

Sichere Techniken zur E-Mail-Spam-Bekämpfung

Spam ist ein altes Problem, mit dem wohl jeder Web-Entwickler, dessen Kunden und sowieso jeder Anwender zu tun hat. Moderne Spam-Filter, die zum Beispiel in GoogleMail in vollem Maße zum Einsatz kommen, liefern häufig verblüffende Ergebnisse, doch weitaus nicht jeder zeigt sich bereit, seine private E-Mail-Korrespondenz einem externen Onlinedienst anzuvertrauen. Also stellt sich die Frage, an welche Techniken Seitengestalter sich wenden sollten, um die E-Mail-Adresse des Kunden – etwa auf einer Kontaktseite – leserlich anzeigen zu lassen, den Posteingang des E-Mail-Inhabers jedoch vor aufdringlicher Werbung zu bewahren.

1. Vermeidung von Stereotypen
Eine bewährte Methode, mit der sich E-Mail-Adressen von Spam-Bots verstecken lassen, ist eine einfache Umschreibung der Adresse, damit sie nur von Besuchern der Seite – im Klartext: Menschen – entziffert werden kann. Bis dato konnte sich diese Vorgehensweise als erfolgreich erweisen, doch Spam-bots lernen genauso wie Seitenentwickler dazu, so dass unklar ist, ob sie sich auch in Zukunft bewähren kann. Außerdem kann es vorkommen, dass unerfahrene Anwender nicht in der Lage sein werden, eine E-Mail-Adresse korrekt zu entziffern. Unter anderem werden folgende Ansätze häufig verwendet:

  • Ersetzen von Punkten durch „d-o-t“, „@“ durch [at] und Ergänzung durch beliebig viele Leerzeichen dazwischen.
    Beispiel: e-mail@office.de -> e-mail [at] office [d-o-t] de.
  • Einfügen von Zeichen vor und nach dem „@“-Zeichen.
    Beispiel: e-mail@office.de -> e-mail {!@!} office.de
  • Vermeidung von Stereotypen: beim Crawlen im Web fügen Spam-Bots automatisch allgemeine Benutzerkontennamen wie „info“, „service“, „admin“ unter anderem zu einem gefundenen Domainnamen hinzu und legen diese in einer Spam-Datenbank ab. Deshalb ist es sinnvoll, solche Adressen wie info@office.de, service@office.de und admin@office.de nach Möglichkeit zu vermeiden.

2. Ersetzen des Textes durch Bilder
Die meisten Spam-Bots sind bisher noch nicht in der Lage, Bilder nach eingebetteten Textinhalten zu durchsuchen. Deshalb ist die Präsentation einer E-Mail-Adresse durch ein entsprechendes Bild ohne direkte Beziehung auf die Adresse im Quelltext eine viel versprechende Methode. Die Bilder für E-Mail-Adressen lassen sich durch mehrere Online-Tools „on the fly“ generieren, so dass Web-Entwickler diese nur geschickt in eine Seite einzufügen haben.

3. Ersetzen des Textes durch ASCII und Javascript-kodierten Text
Ein weiterer populärer Ansatz basiert darauf, E-Mail-Adressen als ASCII-Code oder Javascript-kodierte Text anzuzeigen. Bei dieser Methode sehen Seitenbesucher keinen Unterscheid in der E-Mail-Präsentation, doch Spam-Bots werden die Adresse beim Durchstöbern des Quelltextes nicht finden. Es gibt webbasierte Tools, die E-Mail-Links in wenigen Sekunden umwandeln lassen:

  • Online Email Protector: E-Mail-Adresse eingeben, generierten ASCII-Code oder komplexen Javascript-Code erhalten.
  • Spam-me-not E-mail Link Obfuscator: Web-Entwickler können verschiedenen Kodierungsalgorithmen verwenden, wie etwa dezimale, hexadezimale oder zufallsbasierte Notation.
  • Email Riddler verschlüsselt E-Mail-Adressen und wandelt diese in eine Folge von Ziffern (HTML-Kodierung).
  • Advanced Email Link Generator with Anti-Spam Encoder sagt das, was sein Name vermuten lässt, mit mehreren verfügbaren Optionen und Kodierung von mailto-Links.

4. Ersetzen der E-Mail durch ein Kontaktformular
Anstatt die E-Mail-Adresse mit schlauen Methoden zu verstecken, greift manch ein Seitenbetreiber zu einer radikalen alternativen Lösung. Auf die Anzeige der E-Mail-Adresse wird dabei ganz verzichtet, und stattdessen setzt man ein simples Kontaktformular ein, mit dem Seitenbesucher ihr Anliegen abschicken können. Designagenturen nutzen diese Gelegenheit gleich aus, um den potenziellen Kunden ein „Design Brief“ gleich mit ausfüllen und abschicken zu lassen.

Die Faustregel gilt: je weniger Felder ein Kontaktformular enthält, desto mehr Anfragen werden Sie erhalten. Häufig wird in solchen Formularen ein Captcha benutzt. Allerdings muss sie nicht einem kryptischen Erkennungsspiel ähneln (auch bekannt als „erkenne-fünf-kaum-lesbare-Ziffern-und-gebe-sie-an-Spiel). Meistens ist es genug, den Benutzer zu fragen, welche Farbe etwa für Apfelsine typisch ist oder zu beantworten, ob Eis eher für „kalt“ oder „warm“ steht.

5. Sichere Lösung
Eine der bekanntesten Regeln, der man unter allen Umständen zur Bewahrung seiner E-Mail-Adresse vor Spam folgen sollte, ist, die E-Mail-Adresse nie im Web zu veröffentlichen. Eine simple Methode, deren Effizienz selbst die Erwartungen von optimistischen Lesern übetreffen wird, basiert genau auf dieser Idee, die durch ein Zusammenspiel von zwei E-Mail-Adressen erweitert wird.

Als Seitenbetreiber erstellt zwei E-Mail-Adressen. Eine ist für seriöse geschäftliche Kontakte gedacht und wird nur für Kommunikation mit Partnern und Kunden benutzt. Die andere ist für kurze Anfragen der Öffentlichkeit gedacht; sie wird durch eine der oben aufgezählten Methoden kodiert und im Web veröffentlicht.

Der Clou liegt dabei darin, dass Seitenbetreiber bei einer wichtigen Kontaktaufnahme eines potenziellen Kunden die Korrespondenz über die „geschäftliche“ Adresse fortsetzen. Kleinere Fragen oder Anmerkungen werden dagegen aus „offener“ E-Mail-Adresse beantwortet, die auch im Web veröffentlicht ist. Sollte die letztere Adresse irgendwann in eine Spam-Datenbank aufgenommen werden, so genügt dem Seitenbetreiber ein schneller Wechsel zu einer neuen Adresse, die Spam-Bots noch nicht kennen.

Auf diese Weise lassen sich geschäftliche Kontakte ohne jegliche Sorgen über Spam-Überflutung pflegen und Spam-Anteil im Posteingang auf satte 0% reduzieren.

6. Verwendung des GoogleMail-Filters
Eine weitere nützliche Technik, mit der sich die Anzahl der Spam-Mails deutlich minimieren lässt, macht sich die Effizienz des GoogleMail-Filters zunutze. Leider bietet GoogleMail nicht die Option, Google’s Filter für eigene Mails direkt zu verwenden. Dennoch kann man alle E-Mails, die in Ihren Posteingang über Ihre Adresse gelangen, auf eine E-Mail von GoogleMail weiterleiten und gefilterte Mails wiederum an eine weitere, „saubere“ Adresse weiterzuleiten, die Sie anschließend ständig abrufen werden.

Sollte der GoogleMail-Filter gewisse E-Mails zufällig als Spam einstufen, so genügt ein kurzer wöchentlicher Blick in den Spam-Ordner, um wichtige Nachrichten nicht zu verpassen. Ergebnisse sind zwar nicht immer absolut korrekt, dennoch sieht man den Unterschied direkt – Hunderte von Mails lassen sich durch GoogleMail auf 2-3 pro Tag reduzieren. ™

Weiterführende Information

Kategorien
Webdesign

Warum das Auslagern von Web-Formulare Zeit spart und die Sicherheit erhöht – 6 Alternativen

Ein alter Hut, denn schließlich gab es das schon in den Kindertagen des Webs – Stichwort Formmailer. Damals verfügte längst nicht jeder Webspace über eine CGI-Schnittstelle, die Programmierung mit PERL war wenigen Webdesignern geläufig, und PHP war noch nicht erfunden. Also griff der Webmaster wenn er ein Kontaktformular brauchte auf einen externen Dienstleister zu. Genau das gibt es längst wieder. Mit frischen Ideen, serviceorientiert. Und das bietet durchaus Vorteile.

Warum Geld ausgeben für etwas, das man auch umsonst haben kann? Nun, da gäbe es gleich eine Reihe von Gründen:

  • Zuerst die Zeitersparnis beim Erstellen der Formulare – sofern man auf die bereitgestellten Galerien zurückgreift und die vorgegebenen Designs anpasst.
  • Es ist keine eigene Installation nötig. Das spart ebenfalls Zeit, besonders wenn man sich mit dem Scripting nicht allzu gut auskennt.
  • Keine Scripts auf dem eigenen Server bedeutet einen Zugewinn an Sicherheit. Angreifer brechen häufig durch schlecht gewartete, falsch eingestellte oder alte, vergessene Scripts in Server ein. Wer seine Formulare auslagert hat keine Probleme mehr mit XSS (cross-site scripting) oder SQL-Injection.
  • Es ist keine Wartung mehr nötig, das Aktualisieren und Patchen übernimmt der Dienstleister
  • Externe Dienste entlasten den Server. Allemal wenn viel verschickt werden muss, aber auch falls Konfigurationsfehler vorliegen.

Nachteile

  • Höhere Kosten oder Werbung im Formular. Letzteres ist bei professioneller Verwendung keine Option.
  • Man ist von der Zuverlässigkeit und Performance des Anbieters abhängig.

Die Spezialisten verfügen über eine veritable Auswahl verschiedener Formulare und Formulartypen, die man sich dann selbst nach Bedarf und Wunsch anpasst. Das zeigen wir mit einem Muster beim Anbieter Wufoo.

Screenshot

Dessen Preisstaffel geht von Null bis 199,95 US Dollar. So schwergewichtig muss das Paket aber nicht gleich sein. Für knapp 25,- Dollar können bereits unbegrenzt viele Formulare gebastelt und gehostet werden. Diese dürfen dann zusammen pro Monat 3000mal verwendet werden. Das sind dann schon eine Menge Kontaktanfragen. Im Falle eigener Umfragen könnte das aber schon zu wenig sein.

Wie einfach ist das? Nach der Anmeldung klickt man kurzerhand zum Editor durch. Das Wunschformular wird in wenigen Schritten zusammengeklickt.

Screenshot

Die Beschriftungen sind zwar auf Englisch, dem kann jedoch abgeholfen werden. Ein Doppelklick auf ein Element und man gelangt in den Editiermodus.

Screenshot

Hier lässen sich unter „Form Settings“ weitere Angaben festhalten. Etwa die Bezeichnung des Formulars, man kann ein CAPTCHA verwenden und die Sprache einstellen. Nicht zu vergessen die „Field Settings“, hier werden die einzelnen Eingabefelder und Formularobjekte konfiguriert.

Im nächsten Schritt wird es persönlich. Wofoo will wissen wohin die Formulareingaben der Besucher geschickt werden sollen. Das kann klassischerweise via E-Mail geschehen, man hat aber auch die Möglichkeit sich per Handy belästigen zu lassen oder einen passwortgeschützten RSS-Feed aufzusetzen.

Screenshot
Fertiges Formular mit Farbschema

Das Ergebnis ist ein Basisformular ohne Gestaltung, das aber funktioniert und sofort seinen Zweck erfüllen kann. Fehlt noch ein passendes Design. Der Dienstleister stellt seinen Kunden einige riesige Bibliothek mit fertigen Formularen für so ziemlich alle denkbaren Fälle zur Verfügung. Und dann ist da noch der Theme Generator. Es hilft bei der Auswahl einer Farbpalette. Hat man etwas passendes gefunden, fügt man es per Klick seinem Account hinzu und kann es fortan für jedes Formular benutzen. Dazu dient eine Drop-Down-Auswahl.

Screenshot
Hier kann man ein Farbschema aussuchen

Wie es sich für einen Online Dienst gehört gibt es ein persönliches Kontrollzentrum, das Auskunft über den Verbrauch und gegebenenfalls die Aktivitäten liefert. Die Formulare laufen auf einer Thirdleveldomain bei Wufoo.

Screenshot

Genug von Wofoo, es gibt weitere, interessante Dienstleister

Icebrrg
Dieser Anbieter verfolgt praktisch denselben Preisplan wie Wofoo, es geht von null bis 199 Dollar pro Monat. Wer sich für das „Titanic“ genannte dickste Paket entscheidet kann soviele Formulare senden lassen wie er will. Den schöneren Theme-Generator hat aber Wofoo. Wer LightCMS benutzt freut sich über Icebrrg, denn der Dienst ist komplett integriert. Auch sonst lässen sich erzeugte Formulare einfach in bestehende Webseiten integrieren. Das funktioniert via Copy&Paste, installiert werden muss nichts.

Screenshot

Formspring
Auch hier liegen die Preise zwischen null und 149,- Dollar pro Monat. Das Gratisangebot ist wie überall mit Werbung in eigener Sache garniert. Formspring bietet eine 30 Tage Geld-zurück-Garantie.

Screenshot

Der Formulargenerator erlaubt auch das Hochladen oder Kopieren eines existierenden Formulars und bietet ansonsten mehrere Dutzend Vorlagen und 11 schlichte Designs – mehr gibt es erst gegen Bezahlung (die hier so genannten Style Templates). Das Generatorerzeugnis kann via Javascript eingebettet werden, alleinstehend laufen oder als HTML herunter geladen werden. Für das Blog-System TypePad gibt es ein Widget.

Formsite
Gleich sechs Preiszonen lassen sich hier ausmachen. Zwischen kostenlosem Schnupperzugang und Enterprise mit bis zu 1000,- Dollar monatlich ist alles dabei. Man ist stolz darauf schon seit 10 Jahren im Geschäft zu sein. Leider sieht man das teilweise auch den Designs an, die nicht wie die frischesten wirken.

Screenshot

Immerhin ist die Auswahl vorgefertigter Formulare groß. Die Formulare können in eigene Seiten integriert werden. Features für Anspruchsvolle gibt es reichlich.

Screenshot

Jotform
Hier handelt es sich zu erst einmal um einen WYSIWYG Formular Editor. Man kam bequem sein Formular zusammenklicken, betexten, Felder verschieben und den Quellcode anschließend herauskopieren. Die Formulare können dann auf den eigenen Seiten zur Verfügung gestellt werden. Unterstützung erhält man vom Form-Wizard. Leider stehen nur 5 Themes für das Design zur Auswahl.

Screenshot

Mitglieder dürfen ihre Formulare bei Jotform hosten. Und das ist günstig. Zur Auswahl stehen ein Gratiszugang und das Premiumangebot für 9,- Dollar im Monat. Dafür gibt es SSL, Support, 1 Gigabyte Upload und die Möglichkeit so viele Formulare senden zu lassen wie man will. Eine 30 Tage Geld-zurück-Garantie gibt es außerdem.

Screenshot
Der Formular-Assistent

Formassembly
Maximal 34,- Dollar werden bei diesem Anbieter fällig. Formassembly bietet als einzige Firma eine Abrechnung nach Stückzahl (5 Cents pro Sendung). Der Formularprofi bietet unter anderem standardkonforme Formulare, unterstützt Fremdsprachen, mehrseitige Formulare und die Überprüfung von Nutzereingaben. Ein Design-Generator gehört nicht zum Angebot.

Screenshot
Aus dem Angebot…

Alle sechs Anbieter versprechen denselben Dienst, ihre Leistungen unterscheiden sich aber. Während Wufoo viel Wert aufs Design legt, sich klickfreundlich und modern gibt, ist auf der anderen Seite die Formassembly ein Dienst für anspruchsvolle Formularnutzer. Lohnen kann sich der Einsatz unter praktischen und sicherheitstechnischen Gesichtspunkten.

Kategorien
Webdesign

Der Captcha-Dienst „reCAPTCHA“ – mithelfen und Wissen digitalisieren

Jedes etablierte Online-System lässt sich mittlerweile über mindestens ein Plugin um eine Captcha-Funktionalität erweitern, jene verdrehten Buchstaben-Zahlen-Kombinationen, die bei korrekter Eingabe den Seitenbesucher als Menschen legitimieren. Das Projekt reCAPTCHA entlockt dem Captcha-Gedanken einen höheren Nutzwert: Das Captcha-Feld zeigt Worte, die bei der Digitalisierung von Büchern nicht erkannt wurden. Und somit vervollständigt jede Eingabe unser digitalisiertes Wissen.

Funktionsweise

Die Idee ist einfach wie genial: Ist ein Wort derart undeutlich gedruckt, dass selbst eine spezialisierte OCR-Anwendung es nicht zu erkennen vermag, so taugt es wunderbar als Captcha.

Beispiel einer Eingabemaske
Abbildung: Beispiel einer reCAPTCHA-Eingabemaske

Das Projekt reCAPTCHA der Carnegie Mellon Universität stellt die Schnittstelle zur Verfügung zwischen einer Datenbank mit digitalisierten, jedoch nicht identifizierten Worten sowie Internetbenutzern, die webweit täglich etwa 100 Millionen Captchas eingeben müssen, um sich zu authentifizieren.

Mehrere Mechanismen sorgen hierbei für eine gleichbleibend hohe Qualität der reCAPTCHA-Ergebnisse:

  • Anstatt zufälliger Buchstaben-Zahlen-Kombinationen müssen sinnvolle Worte erkannt werden. Falls selbst mehrere Buchstaben für einen Menschen unleserlich sind, so kann dieser doch meist das komplette Wort erfassen; und das mit hoher Wahrscheinlichkeit auch dann, wenn er kein englischer Muttersprachler ist.
  • Zusätzlich zu einem unbekannten erscheint bei jeder Aufgabe auch ein dem reCAPTCHA-System bekanntes Wort. Gibt der Besucher dieses Kontrollwort korrekt ein, dann vermutet das System die Bereitschaft, auch das unbekannte Wort richtig einzutippen zu wollen.
  • Die angezeigten Worte sind dreifach deformiert: Altersbedingte Verfärbungen und Ausfransungen auf dem Original, Unschärfe beim Scanvorgang und schließlich grafische Transformationen, wie sie auch bei normalen Captchas Verwendung finden (Verwirbeln, Verdrehen, Durchstreichen).
  • Es existieren mittlerweile mehr als 100.000 Kontrollworte, deren Anzeige unabhängig von ihrer Verbreitung gleichmäßig häufig erfolgt. Die Menge der Kontrollworte erhöht sich stetig.
  • Diese Kontrollworte gelten als für Maschinen unlesbar, da sie zuvor von zwei unabhängigen Erkennungsprogrammen unterschiedlich gedeutet beziehungsweise nicht sinnvoll erkannt wurden. Captcha-Bots, die derartige Worte korrekt erkennen, wären diesen Anwendungen also überlegen und hätten gute Chancen, ihre Entwickler ehrbar in Lohn und Brot zu bringen.
  • Das unbestimmte Wort erscheint bei mehreren Anfragen zufällig deformiert in unterschiedlichen Kontrollwort-Kombinationen. Über einen Vergleichs- und Bewertungsalgorithmus werden die Resultate entweder als wahrscheinlichste Lösung in die Datenbank zurückgespeichert, in die Liste der Kontrollworte aufgenommen oder als unlösbar gekennzeichnet.
  • Vom Captcha-Prozess unabhängig werden die gescannten und berichtigten Dokumente abschließend nochmals einer Überprüfung unterzogen. Jede Technik ist immer nur so perfekt, wie der Mensch, der sie bedient…

Auf diese Weise konnte reCAPTCHA bisher die digitale Speicherung von circa 440 Millionen unerkannten Worten vorantreiben (Stand: September 2008). Mittlerweile übertrifft die Qualität der digitalisierten Resultate sogar die Arbeit zweier professioneller Transkriptoren.

Nutzung

Um den Captcha-Service für Ihre Webseiten nutzen zu können, ist eine kostenlose Registrierung notwendig. Als Nächstes benötigen Sie ein Schlüsselpaar, mit dem die Kommunikation zwischen Besucher-Browser, Ihrem Webserver und dem reCAPTCHA-Server abgesichert wird. Melden Sie sich dafür an Ihrem reCAPTCHA-Account an, fügen Sie die entsprechende Domain hinzu und erzeugen Sie das Schlüsselpaar.

Schlüsselpaar erzeugen
Abbildung: reCAPTCHA-Eingabemaske: Erzeugung eines Schlüsselpaares

reCAPTCHA stellt Plugins für die gebräuchlichsten (Open-Source-)Anwendungen zur Verfügung (unter Anderem WordPress, MediaWiki, Typo3, Joomla). Sollte für Ihr System kein Plugin aufgeführt sein, haben Sie zwei Möglichkeiten:

  1. Meist hat die Entwicklergemeinde beziehungsweise der Anbieter Ihrer Anwendung bereits ein Plugin entwickelt. Fündig werden Sie oft im entsprechenden Portal bei den Downloads oder Plugins. Ansonsten schafft sicherlich eine Anfrage im Forum oder beim Support Abhilfe.
  2. Sie können mit den gegebenen Code-Snippets (PHP, ASP.NET, Python, Perl, Ruby, Java) einfach und schnell Ihre Formulare direkt modifizieren.

Die Dokumentation der reCAPTCHA-API sowie der Plugins ist erschöpfend auf den reCAPTCHA-Seiten erklärt (unter anderem auch die Anpassung von Stil und Sprache). Einige Programmierkenntnisse sollten Sie allerdings im Gepäck haben.

Ablauf einer reCAPTCHA-Abfrage

Ablauf einer Abfrage
Abbildung: Ablauf einer reCAPTCHA-Abfrage (© 2009 Carnegie Mellon University)

  1. Bei Aufruf einer Captcha-Seite wird zusammen mit dem Formular auch das eingebundene reCAPTCHA-Javascript mit dem öffentlichen Schlüssel (Public Key) von Ihrem Webserver zum Browser des Besuchers übertragen.
  2. Das Javascript fordert beim reCAPTCHA-Server eine zu lösende Aufgabe an. Der Server füllt als Antwort das Captcha-Feld des Formulars mit zwei Worten und verbindet diese Aufgabe mit einer ID.
  3. Der Besucher füllt nun Formular sowie Captcha-Feld aus und schickt das Formular zurück an Ihren Webserver.
  4. Der reicht die Antwort, die ID und Ihren privaten Schlüssel (Private Key) zur Überprüfung an den reCAPTCHA-Server weiter.
  5. Dieser wiederum vergleicht nun Schlüssel, ID sowie Usereingabe und gibt eine entsprechende Antwort zurück. Fällt diese Antwort positiv aus, setzt Ihr Webserver die Verarbeitung des Formulars fort (Kommentar, Bestellvorgang, Anmeldung et cetera). Bei Unstimmigkeiten und der entsprechenden Fehlermeldung stoppt Ihr Server die Verarbeitung und teilt dies dem Browser Ihres Besuchers mit. Hierbei wird das Formular inklusive Fehlermeldung erneut gesendet und der Ablauf startet von neuem.

Emailadresse verbergen

Als weiteren Service bietet reCAPTCHA mit Mailhide das Verbergen von Emailadressen an. Geben Sie auf der reCAPTCHA-Webseite die Email-Adresse ein, die Sie maskieren möchten. Klicken Sie auf die Schaltfläche Protect It!, und auf der folgenden Seite erhalten Sie den notwendigen HTML-Code. Tauschen Sie diesen auf Ihrer Webseite gegen den entsprechenden Email-Verweis aus.

Angabe der zu maskierenden Emailadresse
Abbildung: Angabe der zu maskierenden Email-Adresse


Abbildung: Resultierender HTML-Code

Die Email wird ab sofort im Format „adre…@domain.de“ angezeigt. Klickt nun ein Besucher auf die drei Punkte, so öffnet sich ein Popup-Fenster, in dem er zunächst ein Captcha lösen muss, bevor ihm die Emailadresse im Klartext angezeigt wird.

Die Maskierung von vielen Emails können Sie über die angebotene reCAPTCHA Mailhide API automatisieren. Eine Registrierung hierfür ist nicht erforderlich. Über die reCAPTCHA-Seite können Sie einfach ein Schlüsselpaar generieren und sofort einsetzen.

Diskussion der Kritikpunkte

  • Barrierefreiheit: Wie so oft, bei grafikorientierten Abfragemethoden, sind sehbehinderte Menschen auch hier benachteiligt. Zwar existiert die Möglichkeit, sich eine Audiodatei abspielen zu lassen, doch sind die Einspielungen für Nicht-Muttersprachler kaum zu lösen. Zudem kann der Abspielknopf nur über die Maussteuerung und nicht über die Tabulatortaste erreicht werden.
  • Sprache: Aktuell werden nur englische Worte abgefragt. Harren wir der Digitalisierung von FAZ, Zeit und SZ…
  • Lösen durch Maschinen: Wie oben beschrieben, wäre ein Captcha-Bot wünschenswert, der alle Worte erkennt, um die OCR-Technologie voranzutreiben.
  • Lösen durch Menschen: Sich in die Kommunikation zwischen Browser, Server und reCAPTCHA einzuklinken, dürfte durch die Verschlüsselung mit privatem und öffentlichem Schlüssel schwierig sein. Ob indisches Fremdlösen funktioniert, vermag ich nicht zu beurteilen, da auch das wohl nur über Man-in-the-middle-Attacken ablaufen könnte.

Und selbst, wenn es gelänge, die reCAPTCHA-Methode zu missbrauchen, hätte es doch etwas Gutes: Auch damit wird das digitalisierte Wissen erweitert. Es kostet nur etwas mehr Nerven.

Fazit

Der reCAPTCHA-Dienst ist eine elegante und schnell anzuwendende Lösung, um Webseite und Postfach spamfrei zu halten. Der Programmieraufwand ist übersichtlich, erfordert allerdings einige Grundkenntnisse.

Und die Betreiber denken weiter: Angelehnt an das Projekt ASIRRA von Microsoft könnten zukünftig Bilddatenbanken von digitalisierten Gegenständen angelegt werden. Oder Videodatenbanken. Auf dem Feld der Identifizierung von komplexen Objekten und Vorgängen ist der Mensch bisher von der künstlichen Intelligenz noch ungeschlagen. ™