Ausfüll-Geschwindgikeit bei Forms

  • Hallo :)

    Also mal vornweg: das is keine Verarschung :D

    Würde gerne mal (relativ) genau ermittelt wie schnell User in der lage sind Formulare auszufüllen.
    Hintergrund für das ganze sind mal wieder die "lieben" Spambots...

    Möchte eine "Schwelle" festlegen ab der das Form nichtmehr von einem Menschen ausgefüllt worden sein kann.

    Feldversuch: (bitte alle mitmachen)
    http://kendo-bunker.de/donkey/speedtest/

    Hab mir viel Arbeit mit dem Script gemacht - es mir also ernst damit.
    Ausser die Zeit wird nichts gespeichert - versprochen ;)


    Gruß, Donkey

  • Richtige Bots sind auf einen Seite direkt programmiert dh , die haben halt einfach eine solche Zeitsperre, von dem her bringt dir nix außer Logik was bei Bots

    mfg

  • Nunja, du kannst aber auch die bots mit html & css in ne falle locken, indem du eifach per css die beschriftungen an andere felder schiebst. Dadurch tragen bots flasche werte ein und damit haste sie dann am wickel. Aber einen bot, der exakt für eine seite abgerichtet ist, kannst du nur mit logik-text oder über neb captcha abwehren.
    Das problem bei der zeitmessung ist das vorausfüllem von textfeldern von browserseite her. Das kannst du ohne js auch nicht fesstellen.

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

    Einmal editiert, zuletzt von Tobse (10. August 2010 um 23:45)

  • Spam kannst du sehr leicht abwenden, indem du einfach speicherst, wann von einer bestimmten IP etwas kam. Auch wenn dann doch mal was durchschlüpft, hält es sich in grenzen (sprich den extrem spam, indem so oft wie möglich etwas geschickt wird). Dann kommt zwar 1-2 mal was durch, aber dann kannst die IP komplett bannen.
    Bei deinem vorhaben (geh jetzt mal von der Site-Anmeldung aus), würden 10-15min denke ich mal aktzeptabel sein. Zu der Zeit frage, unter 10 Sekunden würd ich aufjedenfall einen Bot erwarten.
    Ganz extreme spamversuchen, können auch von mehreren adressen ausgeführt werden - wenn es jemand auf dich abgesehen hat, kommt er durch.

    Dass dein Captcha, total sinnlos ist, leg ich dir auch mal ans herz... Dieser lässt sich mit 100% erfolgsquote zerlegen. Von einer anderen Sichtweise her, wird sich allerdings niemand die mühe machen...

    Wie Tobse schon erwähnte, default-bots die einfach so mal was ausfüllen wollen, kannst du mit einem falschen input schon ausschalten.

    Wenn es jemand wirklich auf dich abgesehen hat, bringt dir dein derzeitiges Captcha wie gesagt nüx, auch die ganzen Vorsichtsmaßnahmen nicht wirklich. Aber darüber musst dur dir erst sorgen machen, wenn es wirklich passiert....
    Dann ist eine inhalts-blacklist eine hilfe - wenn ein spam durchkommt, dann nur einmal. Irgendwann hat der Spammer auch kein echten Inhalt mehr, den er reinbringen kann (außer er will dich nur nerven).


    Naja. Les dich selbst mal rein ;) . Hier mal zum Anfang: http://caca.zoy.org/wiki/PWNtcha

  • ich hatte auch ne ganze weile probs mit bots bis ich das Q+A (query and answer)captcha genommen hab, seither hab ich 0 anmeldeversuche von bots!!
    ist noch immer die wie ich finde sicherste methode.
    einfach fragen rund um die seite stellen und gut is (bei mir isses zB wie lautet die domain ohne www oder wieviele kaninchen sind im logo) leicht für menschen, aber bots kommen damit offensichtlich nicht klar :D

  • Captcha-Vermeidungswege find ich immer gut. Habe das Formular 2x ausgefüllt. Beim ersten mal mit normalem Eintippen 12,41 Sekunden, beim zweiten Mal mit autocomplete 6,25 Sekunden.
    Ich denke wenn du pro Eingabefeld 1,5 Sekunden rechnest bist du auf der sicheren Seite. Falls tatsächlich mal ein echter Besucher schneller sein sollte kannst du ja immer noch einen Hinweis ausgeben, dass das Formular aus Gründen der Spamvermeidung erst nach x Sekunden abgeschickt werden kann.
    Sehr gut bewährt hat sich bei mir bisher auch die Methode ein input-Feld mit einem Namen den jeder Bot ausfüllen dürfte (z.B. email, homepage, name ...) per CSS auf hidden zu setzen und nach dem Abschicken zu prüfen ob das Feld ausgefüllt wurde. Falls ja war es ein Bot (hab das hier glaub schon mal irgendwo geschrieben). Das Feld sollte aus Gründen der Barrierefreiheit mit einem Label wie "Dieses Feld nicht ausfüllen" versehen werden.
    Dann noch das hier bereits angesprochene IP-Logging und du bist für die meisten Seiten schon auf der - ziemlich - sicheren Seite.
    Meiner Meinung nach sollten solche Schritte immer der erste Weg sein und Captchas erst dann eingefügt werden, wenn man trotzdem noch viel Spam bekommt, also erst wenn man den Bedarf auch belegen kann.

    Wie hier schon gesagt wird, ein Bot der extra auf deine Seite angepasst ist, wird davon nicht abgehalten werden. Aber meiner Meinung nach halten da sehr sehr sehr viele Webentwickler ihre Seiten für viel zu bedeutend. Sicherheit und Spamschutz sind natürlich immer wichtig, es schadet aber nicht da eine gewisse Verhältnismäßigkeit zu wahren. Das Kontaktformular auf der privaten Seite von Peter Müller mit <10 unique Besuchern im Monat braucht beim besten Willen kein kompliziertes Captcha, nur damit der Webentwickler zeigen kann, dass er es kann.
    Wenn es wirklich nötig sein/werden sollte, würde ich zu einer Lösung mit Fragen, wie im Vorschlag von Synaptic, raten.
    Und wenn es wirklich um jeden Preis Captchas sein sollen, dann wenigstens keine farbigen. Ich z.B. habe eine Rot-Grün-Sehschwäche, was bei Männern recht verbreitet ist, und bin da schon häufiger auf Captchas gestoßen die ich beim besten Willen nicht entziffern konnte.
    Für mich ein Grund eine solche Seite nicht mehr zu besuchen.

    "Programming today is a race between software engineers
    striving to build bigger and better idiot-proof programs,
    and the universe trying to build bigger and better idiots.
    So far, the universe is winning."
    Rick Cook

  • Danke für die vielen Tipps.

    Hab demnächst vor die Site komplett neu zu schreiben (invalid, nicht besonders userfreundlich, hier und da ein technisches Problem...)
    Diesmal mach ich mir halt Gedanken bevor ich zu tippen anfange :D

    Das Captcha dass ich da eingebaut habe is wirklich nicht besonders wirkungsvoll. Wollte es möglichst einfach halten, dass es eigentlich jeder lesen kann.
    Mit so einem Teil kann man ja User für immer vergraulen.

    Ausserdem hab ich noch eine IP-Speere eingebaut die das jeweilige Form nach dem Absenden für eine halbe Stunde sperrt.
    Weiss jetzt nicht wie effektiv das ist.

    Beim Bannen von IP (dauerhaft) bin ich mir immer nicht sicher ob ich damit vielleicht unschuldige User ausschliesse - IPs wechseln ja auch.

    Über so eine Falle (verstecktes input) hab ich schon nachgedacht,
    aber ich frag mich immer ob das noch soviel bringt wenn ich im label schreibe "Bitte nicht ausfüllen". Das kann ein Bot doch auslesen, oder?

  • Klar kann er das auslesen, aber idR den Inhalt nicht interpretieren. Dafür müßte er ja der deutschen Sprache und Grammatik mächtig sein, das wäre schon ein krasser Bot :D

    "Programming today is a race between software engineers
    striving to build bigger and better idiot-proof programs,
    and the universe trying to build bigger and better idiots.
    So far, the universe is winning."
    Rick Cook

  • Die logische Frage scheint mir eine ganz gute Sache zu sein.
    So wird der User nicht wirklich gestört und der Spam ist vorbei.

    Bei mir würde ich fragen, was für ein Tier auf meiner Seite unten rechts ist.
    Oder mach ein kleines Bild neben dem Labelfeld und frage, wie viele Vögel sich auf dem Bild befinden.
    Sowas kann kaum ein Bot.
    Also nichts mit der Seite, sondern ein zusätzliches Bild im Formular, ähnliche wie syn's Idee.

  • Das käne ha einen captcha ähnluch ;) ich habe auch schon hesehen, dass drei umrisse von personen gezeigt waren, in den umrissen stand mit 100% kontrast der name der person. Gefragt war dann, wie der mann im bild heisst. Ich finds ne eht coole idee!

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

  • Dann bau die Seite so, dass bei Blinden das Audiocaptcha kommt und bei anderen Usern die logische Frage.
    Oder so, dass die logische Frage vorgelesen wird in einer Audiodatei.
    Dann wär das Problem nicht mehr dasselbe.

    Aber hast du wirklich User, die entweder blind oder taub sind?

  • Hallo!

    Hatte so eine ähnliche Idee.
    Eine Rechenaufgabe die man sich alternativ auch vorlesen lassen kann.
    Funzt eigentlich auch.

    Nur bekomm ich es nicht hin Die Rechnung als Bild auszugeben (zumindest nicht so dass Bild und Audio die gleiche Rechung enthalten :roll:

    Hier mal was ich bis jetzt hab:

    captcha_generator.php

    index.php

    Wie bekomm ich den jetzt das Bild zum Laufen?

    Test: http://kendo-bunker.de/donkey/captcha/


    EDIT: naja, ander Zusammenstellung der mp3s muss ich noch arbeiten - klappt nicht immer...

    EDIT2: Problem gelösst ;)