Skip to content

versteckte Captcha

Seit ein paar Wochen hab ich hier ja die Captchas komplett deaktiviert und einen Honeypot für Spambots im Einsatz.

Spamblock BieneIn der Zwischenzeit hat Grischa diese Funktion in ein eigenes Plugin ausgelagert und um ein verstecktes, sich selbst lösendes Captcha erweitert. Und die Betaversion davon läuft hier nun auch smile
Es ist also wieder ein Captcha im Kommentarbereich, es ist eine einfache Rechenaufgabe, die Du aber wahrscheinlich nicht einmal siehst. Denn mit aktiviertem Javascript (haben Spambots nicht) löst sich das Captcha von allein und versteckt sich auch gleich. Ohne Javascript schreib halt einfach ne vier rein wink

Honig statt Captchas

Vor ziemlich genau zwei Jahren hatte ich hier die Captchas deaktiviert bzw. zurückgefahren. Zuletzt musste nur bei Einträgen die älter als eine Woche sind eine verzerrte Zeichenfolge richtig erkannt werden. Zusammen mit dem Bayes Plugin hat das die meisten Spamkommentare abgehalten, nur selten kamen noch welche durch.

Nun hat Grischa sein CommentSpice Plugin um einen Honigtopf erweitert. Die Betaversion ist hier jetzt aktiv und die Captchas dauerhaft abgeschaltet.
Der Honigtopf arbeitet recht simpel: er bietet den (idR. automatisierten) Spambots ein weiteres Eingabefeld an das dieser ausfüllen kann. Mit einem normalen Browser siehst das Eingabefeld nicht (auch nicht mit einem textbasiertem Browser wie Links) und kannst es daher auch nicht ausfüllen. Ist das Honigfeld ausgefüllt ist das also ein eindeutiger Hinweis auf einen Spambot. Bots die nicht stur alles ausfüllen werden wie menschliche Spammer weiterhin durch das Bayes Plugin geprüft.

Kommentieren ohne CAPTCHA: Zwischenbilanz

Knapp 4 Wochen nach Beginn meines Tests ist es Zeit für eine Zwischenbilanz:

Ohne CAPTCHAs, nur mit dem Bayes-Plugin kommt fast kein Spam durch. Es gab eine Handvoll die durchkamen und angelernt wurden, ebenso gab es 2 oder 3 richtige Kommentare die fälschlicherweise gefiltert wurden und auch als Ham angelernt wurden.
3 IPs (keine Dial-In IPs) habe ich über die .htaccess direkt ausgesperrt, von dort kam sehr viel Spam auf einmal.

So gesehen ist es kein Problem auf die CAPTCHAs zu verzichten.
Die erkannten Kommentare lasse ich nur moderieren, so kann ich falsch erkannte Kommentare anlernen und freigeben, ebenso kann ich die erkannten als Spam markieren und den Filter damit bestätigen.

Da es aber 10-20, teils auch doppelt so viele Kommentare sind die täglich abgefangen werden und zur Sicherheit durchgesehen werden müssen habe ich mich dazu entschlossen die CAPTCHAs für ältere Kommentare wieder zu aktivieren. Die Spamkommentare kommen nämlich fast alle für Beiträge die schon älter sind. Für den Anfang habe ich die CAPTCHAs für Kommentare die 30 Tage und älter sind wieder aktiviert. Das müsste einen Großteil der Spammer abfangen und ermöglicht freies kommentieren bei neueren Beiträgen.

Das scheint mir als Kompromiss geeignet, zumal die einfachen CAPTCHAs von Serendipity nicht sehr anstrengend sind. Was bei Textbrowsern und Braillezeilen natürlich dennoch nicht hilft. Ein Kompromiss halt.

Test: kommentieren ohne Captcha

Angeregt durch Dirks Artikel und meine guten Erfahrungen mit dem Bayes Plugin für Serendipity habe ich hier testweise die Captchas deaktiviert.

Kommentieren ist jetzt also ohne Intelligenztest möglich.

Evtl. wird hin und wieder ein Spamkommentar durchrutschen bis der Algorithmus genauer trainiert ist. Die Captchas halten nämlich schon eine große Menge der automatisierten Spammer ab so dass sie den Bayes Filter gar nicht erreichen.
Vorerst lasse ich die Kommentare auch nur moderieren, d.h. ich kann sie bei Bedarf hervorholen falls sie fälschlicherweise als Spam klassifiziert wurden. Die E-Mail Benachrichtigung die ich darüber bekomme sortiere ich allerdings so weg dass mich eine Spamwelle nicht auf dem Telefon nervt. Falsch als Spam einsortierte Kommentare können also einige Stunden brauchen bis ich sie bemerke und freischalte.

Das Ganze ist vorerst ein Test ob es so praktikabel ist. Wenn es zu sehr stört werde ich die Captachas aber wieder aktivieren, evtl. dann so dass sie erst ein paar Tage nach erscheinen des jeweiligen Artikels nötig sind. Denn so schlimm finde ich die einfachen Captchas von Serendipity nicht.