Ausfüll-Geschwindgikeit bei Forms

Donkey

Hallo

Also mal vornweg: das is keine Verarschung

Würde gerne mal (relativ) genau ermittelt wie schnell User in der lage sind Formulare auszufüllen.
Hintergrund für das ganze sind mal wieder die "lieben" Spambots...

Möchte eine "Schwelle" festlegen ab der das Form nichtmehr von einem Menschen ausgefüllt worden sein kann.

Feldversuch: (bitte alle mitmachen)
http://kendo-bunker.de/donkey/speedtest/

Hab mir viel Arbeit mit dem Script gemacht - es mir also ernst damit.
Ausser die Zeit wird nichts gespeichert - versprochen

Gruß, Donkey

Pion

Richtige Bots sind auf einen Seite direkt programmiert dh , die haben halt einfach eine solche Zeitsperre, von dem her bringt dir nix außer Logik was bei Bots

mfg

Donkey

Ja das hab ich mir auch schon gedacht.
Aber zumindest wird man damit der "Laufkundschaft" Herr.

Ich möcht endlich mal die Captcha von meiner Site verbannen.
Das Dumme is nur das meine Seit extrem anfällig für Spambots ist...

http://werbehalle.de

Tobse

Nunja, du kannst aber auch die bots mit html & css in ne falle locken, indem du eifach per css die beschriftungen an andere felder schiebst. Dadurch tragen bots flasche werte ein und damit haste sie dann am wickel. Aber einen bot, der exakt für eine seite abgerichtet ist, kannst du nur mit logik-text oder über neb captcha abwehren.
Das problem bei der zeitmessung ist das vorausfüllem von textfeldern von browserseite her. Das kannst du ohne js auch nicht fesstellen.

Grevas

Spam kannst du sehr leicht abwenden, indem du einfach speicherst, wann von einer bestimmten IP etwas kam. Auch wenn dann doch mal was durchschlüpft, hält es sich in grenzen (sprich den extrem spam, indem so oft wie möglich etwas geschickt wird). Dann kommt zwar 1-2 mal was durch, aber dann kannst die IP komplett bannen.
Bei deinem vorhaben (geh jetzt mal von der Site-Anmeldung aus), würden 10-15min denke ich mal aktzeptabel sein. Zu der Zeit frage, unter 10 Sekunden würd ich aufjedenfall einen Bot erwarten.
Ganz extreme spamversuchen, können auch von mehreren adressen ausgeführt werden - wenn es jemand auf dich abgesehen hat, kommt er durch.

Dass dein Captcha, total sinnlos ist, leg ich dir auch mal ans herz... Dieser lässt sich mit 100% erfolgsquote zerlegen. Von einer anderen Sichtweise her, wird sich allerdings niemand die mühe machen...

Wie Tobse schon erwähnte, default-bots die einfach so mal was ausfüllen wollen, kannst du mit einem falschen input schon ausschalten.

Wenn es jemand wirklich auf dich abgesehen hat, bringt dir dein derzeitiges Captcha wie gesagt nüx, auch die ganzen Vorsichtsmaßnahmen nicht wirklich. Aber darüber musst dur dir erst sorgen machen, wenn es wirklich passiert....
Dann ist eine inhalts-blacklist eine hilfe - wenn ein spam durchkommt, dann nur einmal. Irgendwann hat der Spammer auch kein echten Inhalt mehr, den er reinbringen kann (außer er will dich nur nerven).

Naja. Les dich selbst mal rein . Hier mal zum Anfang: http://caca.zoy.org/wiki/PWNtcha

synaptic

ich hatte auch ne ganze weile probs mit bots bis ich das Q+A (query and answer)captcha genommen hab, seither hab ich 0 anmeldeversuche von bots!!
ist noch immer die wie ich finde sicherste methode.
einfach fragen rund um die seite stellen und gut is (bei mir isses zB wie lautet die domain ohne www oder wieviele kaninchen sind im logo) leicht für menschen, aber bots kommen damit offensichtlich nicht klar

SinnlosS

Captcha-Vermeidungswege find ich immer gut. Habe das Formular 2x ausgefüllt. Beim ersten mal mit normalem Eintippen 12,41 Sekunden, beim zweiten Mal mit autocomplete 6,25 Sekunden.
Ich denke wenn du pro Eingabefeld 1,5 Sekunden rechnest bist du auf der sicheren Seite. Falls tatsächlich mal ein echter Besucher schneller sein sollte kannst du ja immer noch einen Hinweis ausgeben, dass das Formular aus Gründen der Spamvermeidung erst nach x Sekunden abgeschickt werden kann.
Sehr gut bewährt hat sich bei mir bisher auch die Methode ein input-Feld mit einem Namen den jeder Bot ausfüllen dürfte (z.B. email, homepage, name ...) per CSS auf hidden zu setzen und nach dem Abschicken zu prüfen ob das Feld ausgefüllt wurde. Falls ja war es ein Bot (hab das hier glaub schon mal irgendwo geschrieben). Das Feld sollte aus Gründen der Barrierefreiheit mit einem Label wie "Dieses Feld nicht ausfüllen" versehen werden.
Dann noch das hier bereits angesprochene IP-Logging und du bist für die meisten Seiten schon auf der - ziemlich - sicheren Seite.
Meiner Meinung nach sollten solche Schritte immer der erste Weg sein und Captchas erst dann eingefügt werden, wenn man trotzdem noch viel Spam bekommt, also erst wenn man den Bedarf auch belegen kann.

Wie hier schon gesagt wird, ein Bot der extra auf deine Seite angepasst ist, wird davon nicht abgehalten werden. Aber meiner Meinung nach halten da sehr sehr sehr viele Webentwickler ihre Seiten für viel zu bedeutend. Sicherheit und Spamschutz sind natürlich immer wichtig, es schadet aber nicht da eine gewisse Verhältnismäßigkeit zu wahren. Das Kontaktformular auf der privaten Seite von Peter Müller mit <10 unique Besuchern im Monat braucht beim besten Willen kein kompliziertes Captcha, nur damit der Webentwickler zeigen kann, dass er es kann.
Wenn es wirklich nötig sein/werden sollte, würde ich zu einer Lösung mit Fragen, wie im Vorschlag von Synaptic, raten.
Und wenn es wirklich um jeden Preis Captchas sein sollen, dann wenigstens keine farbigen. Ich z.B. habe eine Rot-Grün-Sehschwäche, was bei Männern recht verbreitet ist, und bin da schon häufiger auf Captchas gestoßen die ich beim besten Willen nicht entziffern konnte.
Für mich ein Grund eine solche Seite nicht mehr zu besuchen.

Donkey

Danke für die vielen Tipps.

Hab demnächst vor die Site komplett neu zu schreiben (invalid, nicht besonders userfreundlich, hier und da ein technisches Problem...)
Diesmal mach ich mir halt Gedanken bevor ich zu tippen anfange

Das Captcha dass ich da eingebaut habe is wirklich nicht besonders wirkungsvoll. Wollte es möglichst einfach halten, dass es eigentlich jeder lesen kann.
Mit so einem Teil kann man ja User für immer vergraulen.

Ausserdem hab ich noch eine IP-Speere eingebaut die das jeweilige Form nach dem Absenden für eine halbe Stunde sperrt.
Weiss jetzt nicht wie effektiv das ist.

Beim Bannen von IP (dauerhaft) bin ich mir immer nicht sicher ob ich damit vielleicht unschuldige User ausschliesse - IPs wechseln ja auch.

Über so eine Falle (verstecktes input) hab ich schon nachgedacht,
aber ich frag mich immer ob das noch soviel bringt wenn ich im label schreibe "Bitte nicht ausfüllen". Das kann ein Bot doch auslesen, oder?

SinnlosS

Klar kann er das auslesen, aber idR den Inhalt nicht interpretieren. Dafür müßte er ja der deutschen Sprache und Grammatik mächtig sein, das wäre schon ein krasser Bot

Cujo

Zitat von Donkey

Ich möcht endlich mal die Captcha von meiner Site verbannen.

Hier findest du Alternativen zu Captchas Captchas sind Blödsinn - Alternativen gegen Spam

Donkey

Danke für den Link

Sehr interessant, auch die anderen Sachen dort

Thonixx

Die logische Frage scheint mir eine ganz gute Sache zu sein.
So wird der User nicht wirklich gestört und der Spam ist vorbei.

Bei mir würde ich fragen, was für ein Tier auf meiner Seite unten rechts ist.
Oder mach ein kleines Bild neben dem Labelfeld und frage, wie viele Vögel sich auf dem Bild befinden.
Sowas kann kaum ein Bot.
Also nichts mit der Seite, sondern ein zusätzliches Bild im Formular, ähnliche wie syn's Idee.

Tobse

Das käne ha einen captcha ähnluch ich habe auch schon hesehen, dass drei umrisse von personen gezeigt waren, in den umrissen stand mit 100% kontrast der name der person. Gefragt war dann, wie der mann im bild heisst. Ich finds ne eht coole idee!

Donkey

Da stellt sich aber wieder die Frage nach der Barrierefreiheit wenn Grafiken eingesetzt werden (das gleiche Problem haben auch Audiocaptchas).

Gut bei meiner Site kommts nicht so sehr darauf an, da eh alles mit Grafiken voll is
Aber diesen Aspekt sollte man normal nicht ausser Acht lassen.

Aber die Ideen find ich gut

Thonixx

Dann bau die Seite so, dass bei Blinden das Audiocaptcha kommt und bei anderen Usern die logische Frage.
Oder so, dass die logische Frage vorgelesen wird in einer Audiodatei.
Dann wär das Problem nicht mehr dasselbe.

Aber hast du wirklich User, die entweder blind oder taub sind?

Donkey

Hallo!

Hatte so eine ähnliche Idee.
Eine Rechenaufgabe die man sich alternativ auch vorlesen lassen kann.
Funzt eigentlich auch.

Nur bekomm ich es nicht hin Die Rechnung als Bild auszugeben (zumindest nicht so dass Bild und Audio die gleiche Rechung enthalten

Hier mal was ich bis jetzt hab:

captcha_generator.php

PHP

<?php
// Zufallsrechnung erzeugen und Ergebnis (verschlüsselt) in Variable schreiben
$counter = 0;
while($counter == 0){
    unset($result);

    // 2 zufällige Zahlen erzeugen
    $zahl1 = mt_rand(1,20);
    $zahl2 = mt_rand(1,10);

    // Rechenart zufällig festlegen
    $arithmetic_arr = array('+', '-');
    $arithmetic = $arithmetic_arr[mt_rand(0,1)];

    // Ergibnis berechnen
    if($arithmetic == '+'){$result = $zahl1 + $zahl2;}
    else{$result = $zahl1 - $zahl2;}

    // Prüfen ob Ergebnis grösser 0 (Null) ist, also positiv.
    // Wenn ja: Schleife beenden. Wenn nein: das Ganze nochmal bis ein positives Ergebnis rauskommt
    if($result > 0){
        $result = hash(md5, $result);
        break;
    }
}


// Zufallsrechnung in Variable schreiben
$cc = $zahl1.' '.$arithmetic.' '.$zahl2;


// Audiocaptcha aus der Zufallsrechnung erzeugen und in Variable schreiben
$cc_fe = str_replace(' ', '|', $cc);


$mp3 = explode('|', $cc_fe);
$mp3_path = 'mp3/';


$mp3_arr = array(
    '1' => '6hcbf8gn.mp3',
    '2' => 'jdl8fp6j.mp3',
    '3' => '5yfvwik8.mp3',
    '4' => '26zfysg5.mp3',
    '5' => 'qrc6mnem.mp3',
    '6' => 'v56vehfu.mp3',
    '7' => 'bz9aswxs.mp3',
    '8' => 'teczts9a.mp3',
    '9' => 'ly4lthwh.mp3',
    '10' => '57k1ag08.mp3',
    '11' => '27bmk16b.mp3',
    '12' => 'ix6buawm.mp3',
    '13' => 'r3onty0j.mp3',
    '14' => '7kw3jtpx.mp3',
    '15' => 'jx9km1bm.mp3',
    '16' => '98dsmneh.mp3',
    '17' => '0x9k3d7b.mp3',
    '18' => 'k4jejm8s.mp3',
    '19' => 'hlu5fbof.mp3',
    '20' => 'a0zu7bvk.mp3',
    '+' => '11llrlsi.mp3',
    '-' => '2rxf6a84.mp3',
    'start' => '271t0wia.mp3'
);


foreach($mp3_arr as $key => $value){
    $mp3_1 = $mp3_path.str_replace($mp3[0], $value, $mp3_arr[$mp3[0]]);
    $mp3_2 = $mp3_path.str_replace($mp3[1], $value, $mp3_arr[$mp3[1]]);
    $mp3_3 = $mp3_path.str_replace($mp3[2], $value, $mp3_arr[$mp3[2]]);   
}


$audio_captcha = '<object type="application/x-shockwave-flash" data="'.$mp3_path.'emff_easy_glaze_small.swf" width="22" height="22">
<param name="movie" value="'.$mp3_path.'emff_easy_glaze_small.swf">
<param name="FlashVars" value="src='.$mp3_path.'271t0wia.mp3,'.$mp3_1.','.$mp3_2.','.$mp3_3.'&amp;repeat=yes">
</object>';


unset($cc_fe);
?>

Alles anzeigen

index.php

PHP

<?php
include('captcha_generator.php');


function captcha(){
    $font = 'arial.ttf';


    header ("Content-type: image/png");
    $im = imagecreate (100, 20);
    $black = imagecolorallocate ($im, 0, 0, 0);

    $color[] = imagecolorallocate ($im, 255, 255, 255);
    $color[] = imagecolorallocate ($im, 255, 255, 0);
    $color[] = imagecolorallocate ($im, 0, 255, 0);
    $color[] = imagecolorallocate ($im, 0, 255, 255);
    $color[] = imagecolorallocate ($im, 255, 255, 128);
    $color[] = imagecolorallocate ($im, 255, 128, 64);

    imagettftext ($im, 14, 0, 25, 16, $color[mt_rand(0,5)], "arial.ttf", $cc);
    imagepng ($im);
    imagedestroy ($im);
}
?>




<form action="auswerten.php" method="post">


    <p>Bitte geben Sie das Ergebnis ein.<br />
    Sie k&ouml;nnen sich die Rechnung auch vorlesen lassen, falls Sie das Bild nicht entziffern k&ouml;nnen.</p>

    <p><img src="<?php captcha(); ?>" />&nbsp;&nbsp;<?php echo $audio_captcha; ?></p>

    <p><input type="text" name="captcha" size="12" /></p>

    <input type="hidden" name="result" value="<?php echo $result; ?>" />

    <input type="submit" value="Senden" />

</form>


<?php
unset($result);
unset($cc);
unset($audio_captcha);
?>

Alles anzeigen

Wie bekomm ich den jetzt das Bild zum Laufen?

Test: http://kendo-bunker.de/donkey/captcha/

EDIT: naja, ander Zusammenstellung der mp3s muss ich noch arbeiten - klappt nicht immer...

EDIT2: Problem gelösst

Ausfüll-Geschwindgikeit bei Forms

Tags

Benutzer online in diesem Thema