Sicherheit ist - nicht nur zur Zeit - ein großes Thema. Und Schutz. Und Spam (also Werbung per Mails, per Kommentar, per Nutzerregistrierung). Anlässlich einer Kundenanfrage ein paar Gedanken dazu: Weshalb CAPTCHAs schlechte Usability sind, weshalb sie mehr schaden als nützen - und die Erklärung, weshalb mein Kontaktformular ohne ein CAPTCHA auskommt und ich trotdzem nicht in Spam ertrinke.
Contao bietet eine Reihe von Hilfsmitteln, um das Erstellen von Webseiten einfacher zu machen. Eins davon ist der Formulargenerator, mit dem auch komplexe Applikationen erstellt werden können. Das Spektrum reicht vom einfachen Kontaktformular über ausgefeilte, kontextsensitive Formmailer bis hin zu komplexen Userupload-Szenarien. Wenn ich nur strukturiert genug an eine Aufgabe herangehe, dann kann ich sie damit auch umsetzen.
Das schöne an Contao ist, dass dieses 'Hilfsmittel' im Core zur Verfügung steht und somit systemweit genutzt werden kann. Auch eine Lösung mit einem vermeintlichen Spamschutz ist möglich - Contao bringt dazu ein Schlicht-CAPTCHA mit, das aus einer simplen Rechenaufgabe besteht. "Rechnen Sie 3 plus 5" ist so eine Aufgabe, und dieser Ansatz ist gar nicht mal so schlecht, wenn man ihn mit anderen Lösungen vergleicht.
Jedem ist sicherlich 'Re-Captcha' bekannt, ein Dienst, mit dem Google die Benutzereingaben benutzt um Bücher zu digitalisieren. Darüberhinaus gibt es noch etliche weitere Lösungen, bei denen es immer darum geht, unleserliche Buchstaben-Bilder in ein sinnvolles Textfragment zu wandeln. Ich kenne niemanden, der davon nicht genervt wäre. Mal vom Erfolg solcher Captchas abgesehen (Maschinen erzielen mittels OCR inzwischen erstaunlich gute Ergebnisse) fallen diese Captchs nicht nur auf die Nerven, sie sperren auch Benutzerinnen und Benutzer massiv aus. Hier sei als Beispiel jemand mit einer massiven Sehschwäche genannt - im Zeifelsfall sieht diese Person das Bild gar nicht und muss auf die in meinen Augen wirklich schlimme Alternative eines vorgelesenen Textes ausweichen. Ganz klar gesagt: Diese Audio-Captchas habe ich in meinem gesamten Leben noch nie lösen können. Zwischenfazit zu diesem Thema: Google ärgert Benutzer und Benutzerinnen um Geld mit digitalisierten Büchern zu verdienen. Dabei bleiben - nach meinen persönlichen Statistiken - ungefähr 25 Prozent der Kontakte auf der Strecke.
Der Contao-Ansatz ist dagegen zugänglicher. Keine unleserlichen Texte, daher eine mögliche Audio-Transskription beim Surfer, und eine in den meisten Fällen mit Grundschulkenntnissen lösbare Rechenaufgabe. So schlecht ist das also nicht, und vor allem auch erfolgreicher beim Aussperren von Maschinen - die können nämlich besser OCR als sie die Aufgabe inhaltlich verstehen. Trotzdem ist es nach meinem Dafürhalten überflüssig, so etwas einzusetzen.
Zur Begründung ein paar Gedanken dazu, wer so ein Formular überhaupt zu sehen bekommen soll: Menschen. Und menschliche Benutzerinnen und Benutzer unterscheiden sich in einigen Merkmalen von maschinellen Usern. Menschen nutzen Webseiten, und irgendwann navigieren sie dann zu einem Kontaktformular, weil sie etwas zu sagen haben - also ist im Regelfall vor der Formularbedienung eine Reihe von Schritten mit einem bestimmten Browser (technisch schreib ich jetzt mal das Wort 'Useragent' ...) im Serverlog vorhanden. In 99 % der Fälle - und wenn man 100 % haben möchte, dann schaltet man vor das Formular eine weitere Seite, die einen Cookie setzt. Ein Bot, der diese Seite überspringt, weil er Zeit sparen möchte, wird dadurch sicher ausgeschlossen.
Weiter: menschliche Benutzer haben IP-Adresse (also die Nummer, die vom Provider ihrem Internetzugang zugeordnet ist), die im Regelfall nicht auf einer der Listen bekannter Spamversender steht. Diese Listen sind IP-basiert, und wenn man Adressen, die auf einer dieser Listen stehen, von vornherein nicht auf den Webserver lässt, dann erspart man sich auch so einiges. Geregelt wird das über eine dynamische Regel in der .htaccess oder in einer ACL. Wenn man neckisch veranlagt ist, dann leitet man diese ungebetenen Gäste dann noch automatisiert auf das Kontaktformular der FDA weiter.
Schließlich ein weiteres Indiz: Menschen füllen bei Formularen Felder aus, die sie sehen. Ein Roboter macht sich meistens nicht die Mühe, die Seite aufzurufen, das Formular zu analysieren, das entsprechende CSS zu parsen um festzustellen, dass ein bestimmtes Formularfeld mit 'visibilty:hidden' und 'display:none' ausgezeichnet ist. Sie beantworten dann also in aller Regel die versteckte Frage "Sind Sie eine Maschine?" mit einem freundlichen 'Ja'. Der Formularinhalt wird darauf entweder verworfen oder automatisch zur Aufnahme in eine der oben genannten Spam-Listen versandt.
Obendrein kann man noch einen Wortfilter über die Formulardaten laufen lassen und die Hinweise auf potenzsteigernde Mittel, Offshore-Finanzdienstleister oder Kinderporno-Kontaktbörsen weitgehend ausschließen. Sie möchten dese Post nicht bekommen, ganz einfach.
Conclusio: Es gibt eine Reihe von sicheren Möglichkeiten, Spam in Formularen zu verhindern. All diese Möglichkeiten kommen mit Methoden aus, die menschliche Benutzerinnen und Benutzer weder behelligen noch nerven. Die Problematik, mit benutzerbezogenen Methoden wie Captchas Kunden zu verprellen, wird damit sicher vermieden. Captchas sind einfach überflüssig, und der Usability-Gewinn ist groß.
Einen Kommentar schreiben
Kommentar von Joachim Schwender |
Captchas sind übergriffig. Es ist nicht Aufgabe eines jeden Benutzers die Unfähigkeit des Betreibers die Plattform zu schützen zu kompensieren. Dessen Schutzbedürfnis ist keine Rechtfertigung um Benutzer zu belästigen. Capchas sind nicht barrierefrei und somit menschenverachtend. Diese Einschränkung ist deutlich unverhältnismässig. Captchas sind eine Seuche im Internet, mit Monopomacht rücksichtslos durchgesetzt.
Hast Du Fragen oder Anregungen? Dann nutze die Kommentarfunktion.