Wer ein Formular zur Interaktion auf seiner Internetseite hat, kennt das Problem des massenhaften Botspams. Automatische Skripte versuchen dort Inhalte mit Backlinks zu produzieren, egal ob Anfrageformular, Kommentarfunktion eines Blogs oder Registerformular…
So wird auch unser Kontaktformular für Vermittlungsanfragen täglich von Spambots belagert. Maßnahmen, die negative Auswirkungen auf die Conversion haben (Captcha, Rechenaufgabe etc.) wollten wir aus verständlichen Gründen hier nicht einsetzen.
Es gibt aber eine weitere, sehr effektive Möglichkeit. So tracken wir nun die Zeit, die ein Besucher braucht, um das Online Formular auszufüllen. Wenn die Ausfüllzeit unter zehn Sekunden liegt, wird die Kontaktanfrage als Spam markiert. Hierbei liegt die Erfolgsquote derzeit bei 100% 
Constantin
Ähnliche Nachrichten:
- Rote Karte für Verlagsseiten: Da ich kürzlich auf einer Nachrichtenseite vor lauter Werbung gar nicht mehr wusste, wo oben und unt…
- AdSense in Euro umwandeln: Google AdSense bietet ab sofort die Möglichkeit, die Währung innerhalb eines angelegten Kontos auf E…
- SEO Videoseminar zu gewinnen: Gerade für Unternehmen, welche ihre Mitarbeiter in das Thema Suchmaschinenoptimierung einführen möch…
Ja, das ist eine schöne Metrik. Dummerweise liegt sie voll im Einflußbereichs des Spammers. Soll heißen: ich schreibe meinen Spambot jetzt einfach um, so dass er mindestens 20 Sekunden für das Formular braucht. Das stört mich auch nicht weiter, da er ja 20 Formulare parallel bearbeiten kann und ich so keinen nennenswerten Verlust an Quantität habe.
Aber du hast offenbar recht, dass Spammer im Moment noch nicht so weit sind und es also kurzfristig eine funktionierende Lösung ist.
Hallo,
Spamprogramme sind auf Masse ausgelegt. Solange diese Methode nicht populär ist, wird sie funktionieren. Denn man könnte sein Spamprogramm ja auch so umschreiben, dass es die Matheaufgaben ausrechnen kann, ein großes Problem ist dies nicht.
Liebe Grüße,
Constantin
Zitat: “Maßnahmen, die negative Auswirkungen auf die Conversion haben (Captcha, Rechenaufgabe etc.) wollten wir aus verständlichen Gründen hier nicht einsetzen.”
Kommentatoren im Blog generieren aber auch Conversion
Schöner Ansatz und eine Überlegung wert.
Ich habe speziell in den letzten Wochen einen starken Anstieg von offenbar .ru Spamkommentaren auf meinen Blogs beobachtet, langsam nervt das schon wieder. Eine Zeit lang dachte ich schon es gibt kein Spammer mehr
Richtig! Als nächstes werde ich das Mathe-Plugin im Blog abstellen und durch die Zeitprüfung ersetzen!
Liebe Grüße,
Constantin
Ich benutze derzeit noch ein anderes, bisher sehr gut funktionierendes Verfahren: ein unsichtbares Texteingabefeld – evtl. mit einem zu prüfenden Defaulttext (per CSS nicht angezeigt).
Bisher haben so gut wie alle Bots im ersten Versuch dieses Feld ausgefüllt. Interessanterweise versuchen sie es dann oft nochmals und lassen das Feld unangetastet (wie sie auf diese Idee kommen und wieso sie das nicht beim ersten Versuch machen, würde mich mal interessieren).
Zu dem Zeitpunkt habe ich aber schon die IP und einen MD5-Hash der Textarea vom ersten Versuch. Wenn einer dieser beiden Komponenten innerhalb einer bestimmten Zeitspanne erneut auftaucht, wird der Zugriff gesperrt und die Zeitspanne neu getriggert.
Und das beste ist: für den “normalen” Besucher ist das absolut unsichtbar.
Hallo Balu,
ja, diese Möglichkeit habe ich teilweise auch schon genutzt. Allerdings ohne deine Erweiterung mit dem IP-Tracking. Dies wird, wie du ja schon sagst, dann auch von einigen Bots bespammt.
Ich entscheide mich aber trotzdem für meine Methode, weil sie weniger komplex ist und ich keine Userbezogenen Daten in einer Datenbank speichern muss.
Liebe Grüße,
Constantin
Wir überprüfen unsere Kommentatoren telefonisch und erst wenn diese den Kommentar telefonisch bestätigen, schalten wir die Kommentare frei. Damit errreichen wir auch 100%
Das ist eine einfach wie schlaue Idee. Natürlich liegt das wie im ersten Kommentar erwähnt im Einflussbereich, allerdings wird der Trick es wahrscheinlich (oder eher hoffentlich?) nicht in die große Welt der Kontaktformulare schaffen, da es sicherlich nicht für jeden das beste Mittel darstellt.
Ich gehe davon aus, dass du diese Zeiterfassung und -überprüfung selber geschrieben hast, oder? Ich würde sowas gerne ins cformsII Contact Form einbauen. Mal schauen, ob ich das selber hinkriege…
Hallo Gerald,
das haben wir tatsächlich auch überlegt und das System sogar schon einem Rollout unterzogen. Erst in der praktischen Anwendung haben wir gemerkt, dass wir ja gar keine Telefonnummer der Kommentierenden haben. Daran ist es dann letzendlich gescheitert…
Hallo Mark,
sonst kannst du dich auch gerne bei mir melden, dann schaue ich mal ob ich helfen kann.
Die Befürchtung aus dem ersten Kommentar würde ich gar nicht teilen. Denn ich glaube, dass die meisten Spamscripte einfach Step by Step arbeiten und sich so eben keine Warteschleife von 10 Sekunden einbauen liese, denn dann würde man nur noch einen Bruchteil des Spams absetzen können. Theardfähig dürften die wenigsten Spamscripte sein
Constantin
Userbezogene Daten?
Ich speichere die Daten ja nur bei Fehleingabe die normalen Usern nicht passieren sollte.
Und der Inhalt der sonstigen Eingabefelder wird auch nicht gespeichert, nur ein MD5-Hash vom “großen” Eingabefeld.
Das ist weniger, als beim ordentlichen Absenden des Formulars gespeichert wird
.
PS: Und auch aus der IP könnte man einen Hash machen, so dass keines der gespeicherten Elemente mehr userbezogen ist…
Interessanter Ansatz, man muss nur aufpassen, dass man keine Schnelltipper bei seinen Kontaktlern hat … in 10 Sekunden könnte ich so einiges tippern
Die Idee ist auf jeden Fall sehr gut. Hoffe das kann man bei meinem Kontaktformular auch umsetzen. Zum Glück halten sich die Spambeiträge in Grenzen. Aber ein Formular unter 10 Sekunden auszufüllen ist schon schwer xD
Eine sehr schöne Idee aber wie bereits viele Besucher hier geschrieben haben, nur solange sinnvoll wie es nicht jeder benutzt. Warscheinlich kann man das noch irgendwie ausbauen, da müsste man mal ein paar Überlegungen machen.
Klingt äußerst sinnvoll. Weiterentwickeln könnte man die Spambots natürlich in diese Richtung. Als nächstes misst man dann die Tippgeschwindigkeit ^^
Das ist eine sehr gute Regel und wir setzten das schon lange ein. Das ist in der Spamshield Extension (spamshield) von TYPO3 schon Standard. Der Parameter nennt sich “session.time” macht aber nur Sinn wenn auch Parameter session = 1 ist.
Diese Technik (allerdings mit 6 Sekunden) setze ich schon seit Jahren erfolgreich ein, funktioniert prächtig. Parallel dazu noch ein per CSS verstecktes “mail”-Inputfeld, das nicht gefüllt sein darf sowie ein “xyz”-Feld, zur wirklichen Übermittlung der Mailadresse. Natürlich erhalten Spam-Bots und reale Besucher die identische Danke-Seite. Bislang ist bei über 8.000 Kommentaren auf mehreren Dutzend Seiten kein einziger Spammer durchgekommen, false positives gab es genau 2mal, damit kann ich leben. Wenn sich diese Spamabwehr allerdings auf breiterer Front durchsetzt, muß ich mir demnächst wohl etwas Neues ausdenken…