Kampf dem Spam: Captchas – wirklich notwendig?
Was soll das überhaupt?
Diese Frage werden Sie sich sicherlich auch schon gestellt haben, nachdem Captchas an immer mehr Stellen auftauchen. Zugegeben, Spam ist mittlerweile zu einem chronischen Problem geworden, und solange es genügend Leute gibt, die auf die enthaltenen Verweise klicken oder auf die Angebote einsteigen, wird sich an der Problematik nicht wirklich etwas ändern. Die einzige Möglichkeit, um Spam zumindest etwas einzudämmen, ist, die Verbreitungswege zu versperren, doch sorgt dies i. d. R. eher für den gegenteiligen Effekt: Anstatt daß Spammer entnervt aufgeben, setzen sie alles daran, Sicherheitsvorkehrungen zu umgehen und so weiter ihren Müll verbreiten zu können.
Genauso ist es letztlich mit Captchas: Solange sie nur selten eingesetzt
wurden, lohnte es sich nicht, Spambots mit einer Captcha-Analyse auszustatten.
Doch nachdem immer mehr Websites, die Foren, Gästebücher o. ä. bereitstellen,
Captchas einbinden, haben die Spammer ebenfalls nachgezogen und ihre Spambots
mit entsprechenden Möglichkeiten ausgestattet – zumal ein Captcha einen Spammer
nicht daran hindern wird, seinen Müll manuell zu verbreiten, so sich dies als
notwendig erweist.
Zudem ergeben sich im Zusammenhang mit Captchas noch einige weitere Probleme,
die deren Handhabung nicht wirklich vereinfachen. Zudem erweisen sie sich, wie
bereits an anderer Stelle aufgezeigt,
als
überflüssig und unsinnig; es werden in dem Zuge aber auch Möglichkeiten
aufgezeigt, wie man einem Spammer das Spammen sauer machen kann.
Ich werde hier ebenfalls noch genauer auf die einzelnen Aspekte der
verschiedenen Captchas eingehen sowie die damit verbundenen Probleme genauer
beleuchten.
Unleserlich!
Hand aufs Herz: Wie oft haben Sie sich auch schon darüber geärgert, daß Sie,
wenn Sie sich irgendwo anmelden wollten, eine schwer oder nicht zu
entziffernde Zeichenfolge entschlüsseln oder irgendwelche schlecht erkennbare
Bilder deuten mußten?
Leider sind die Captchas, die einem präsentiert werden, immer schlechter zu
erkennen, so daß man teilweise raten muß, was dort überhaupt zu lesen ist. Zwar
kann man in diesem Fall ein neues Captcha anfordern, doch was ist, wenn auch
nach dem sechsten oder siebten Mal kein brauchbares Bild erscheint? Mit jedem
weiteren erfolglosen Versuch steigt natürlich der Unmut des Besuchers, der
irgendwann entnervt aufgibt und i. d. R. so schnell nicht zurückkehrt. Der
Besucher einer Webseite möchte diese möglichst einfach bedienen können, anstatt
erst ein stundenlanges Rätselraten vollführen zu müssen. Alleine dies spricht
bereits ganz massiv gegen die Verwendung von Captchas.
Nicht barrierefrei!
Was für einen Menschen ohne Sehschwäche bereits zu einem Problem wird, wird für
Menschen mit Sehschwäche oder Blinde zu einem Ding der Unmöglichkeit.
Schließlich können die Betroffenen das Captcha kaum oder gar nicht entziffern.
Dies wird zwar von den Anbietern einiger Captchas berücksichtigt, so daß man
sich das Dargestellte auch akustisch ausgeben lassen kann, doch scheitert dies
meist an anderen Hürden, z. B.
die Kenntnis der verwendeten Sprache.
Wenn der Rechner dann auch noch über keinerlei Sprachausgabe verfügt, so ist es
einem Blinden oder zu stark Sehbehinderten unmöglich, ohne fremde Hilfe mit dem
betroffenen Formular zu arbeiten.
Genau aus diesem Grund spricht sich auch das W3C
gegen
die Verwendung von Captchas zur Spamabwehr aus – ganz zu schweigen davon,
daß es ganz massiv den gesetzlichen Regelungen, die in verschiedenen Staaten
gelten, um die Benachteiligung von Behinderten zu beseitigen, zuwiderläuft.
Wenn Sie hier barrierefrei bleiben wollen, so kommen Sie nicht umhin, daß Sie
sich etwas anderes einfallen lassen, um Spam abzuwehren, ohne dabei Ihren
sehbehinderten Nutzern das Leben schwerzumachen.
Zwar haben die graphischen Captchas mittlerweile Verstärkung durch reine Textcaptchas bekommen, die somit problemlos z. B. von einer Braillezeile angezeigt oder mittels Sprachausgabe angesagt werden können, doch können sich auch hier wieder einige Probleme ergeben, z. B. für Leute, die eine Leseschwäche oder Verständnisschwierigkeiten haben, weshalb der Text solcher Captchas nicht zu verklausuliert sein darf.
nach obenSchwer einzubinden!
Hier kommen wir zu einem weiteren Haken: In Abhängigkeit vom verwendeten Dokument- oder MIME-Typ kann es sein, daß Sie das Captcha gar nicht einbinden können, selbst wenn Sie es wollten. Viele Captchas sind leider darauf angewiesen, daß der Browser bestimmte Möglichkeiten bereitstellt, damit das Captcha in die Seite eingebunden werden kann, i. d. R. den iframe sowie die JavaScript-Methode document.write(). Damit fällt diese Methode jedoch aus, wenn mindestens eine dieser beiden Komponenten nicht zur Verfügung steht, da sich das Captcha so nicht einbinden läßt. So enthalten einige Varianten des (X)HTML keinen iframe, und da es leider keine anderweitige Möglichkeit gibt, das Captcha einzubinden, steht man hier auf verlorenem Posten. Die andere Einschränkung ergibt sich immer dann, wenn das Dokument mit dem MIME-Typ application/xhtml+xml übergeben wird, da dann die Methode document.write() nicht zur Verfügung steht. Dies verhindert letztenendes, daß man ein Captcha in eine solche Seite überhaupt einbinden kann, aber glücklicherweise gibt es andere Methoden, die sich wesentlich einfacher bewerkstelligen lassen.
nach obenNicht sicher!
Leider hat sich die Implementierung verschiedener Captcha-Systeme als nicht sicher erwiesen, weshalb es ein Leichtes war, diese zu knacken und so trotz aktiver Sicherung Spam zu verbreiten. Dies sind die häufigsten Schwächen, die in Captchas auftreten können, i. d. R. gleich mehrere zusammen:
- Fest vorgegebener Zeichensatz
- Eingeschränkte Anzahl verfügbarer Zeichen
- Keine oder nur unzureichende Verzerrung der Zeichen
- Keine oder zu geringe Farbvarianz oder zu schwacher Farbgradient in der Schrift
- Keine oder zu geringe Farbvarianz oder zu schwacher Farbgradient des Hintergrundes
- Keine oder zu effektschwache Bildstörungen
- Unterschiedliche Bildebenen für Schrift und Hintergrund
- Zu regelmäßige Anordnung der Zeichen
Sites wie
PWNtcha,
Breaking Gimpy und
aiCaptcha
demonstrieren, wie leicht so manche Captchas zu knacken sind. Darüber hinaus
wird auch
Social Engineering
eingesetzt, um Captchas zu umgehen.
Möglich wird dies, da im (X)HTML-Quellcode immer auch eine Kennung angegeben
werden muß, mit der das Captcha erstellt wird, da der verwendete Dienst
erkennen können muß, wer das Captcha angefordert hat. Sonst wäre es nicht
möglich, die eingegebene Lösung zu überprüfen.
Genau diese Kennung wird von Spammern abgegriffen, um damit ihrerseits Captchas
anzufordern, die bei erfolgreicher Lösung den Zutritt zu einem abgesicherten
Bereich freigeben.
Fazit
Egal wie man es auch dreht und wendet: Die Vorteile, die Captchas bieten,
werden durch ihre Nachteile um mehrere Größenordnungen übertroffen. So ist es
gerade bei graphischen Captchas sehr schwer bis unmöglich, daß Sehbehinderte
mit adäquatem Aufwand auf die betroffene Seite zugreifen können, was somit
bedeutet, daß es nicht barrierefrei ist. Doch nicht nur Sehbehinderte jedweder
Art haben hier Probleme, manche Captchas sind so stark verzerrt, daß selbst
Leute ohne Sehschwäche ihre liebe Not haben, das Dargestellte zu entziffern.
Zwar wird meist ein Verweis angeboten, über das man ein neues Captcha anfordern
kann, doch muß man im Extremfall sehr lange warten, bis ein brauchbares Bild
erscheint. Hier ist ein frustrierter Benutzer nahezu sichergestellt.
Zwar werden diese Nachteile durch reine Textcaptchas abgemildert, da diese im
Klartext übergeben und so von einer Braillezeile oder Sprachausgabe umgesetzt
werden können, doch stellt sich auch hier wieder die Frage, wann und inwieweit
die Spammer nachziehen und ihre Spambots mit Modulen ausstatten, die es ihnen
erlauben, auch diese Form des Captchas zu knacken.
Ein ganz wesentliches Manko ist jedoch der eigentliche Sicherheitsaspekt, da
manche Captchas viel zu leicht zu durchschauen sind und somit kein wirkliches
Hindernis für einen Bot darstellen. Dafür wird jedoch die Benutzbarkeit durch
normale Menschen z. T. erheblich erschwert, was größtenteils den kaum noch zu
entziffernden Darstellungen geschuldet ist. Und auch alternative graphische
Captchas, die irgendwelche Symbole oder Gegenstände darstellen, sind besonders
problematisch, da Sehbehinderte hier überhaupt nichts mehr
vernünftig erkennen können und ihnen so die Tür vor der Nase zugenagelt wird.
Zudem werden die Technologien zur Mustererkennung in Graphiken immer
ausgefeilter, so daß es nur noch eine Frage der Zeit ist, bis Captchas komplett
ausgehebelt werden.
Unter diesen Gesichtspunkten ist der Nutzen von Captchas mehr als fragwürdig.
Zudem gibt es effektivere Maßnahmen, um einem Spambot das Leben schwerzumachen,
weshalb diese eindeutig zu bevorzugen sind. Darüber hinaus bleiben sowohl die
Barrierefreiheit als auch die Einfachheit der Benutzung Ihrer Website gewahrt,
so daß bei Ihren Besuchern in dieser Hinsicht kein Unmut aufkommt.