ist das "barrierefrei" ?

Donkey

Hallo!

Da ja Grafik-Captchas immer mehr in Verruf geraten und eh nicht barrierefrei sind, bin ich auf der Such nach Alternativen.

Ok
- Audio-Captchas sind auch nicht wirklich barrierefrei und setzen Hardware und Software vorraus.
Ausserdem recht aufwendig in der Herstellung.

- Bei den Math-Captchas bin ich überzeugt dass man die auch genauso gut weglassen könnte, weil jeder Bot die bequem auslesen und lösen kann.

- Captchas bei denen man Fragen beantworten muss sind auch recht arbeitsintensiv und man muss sich ständig neue Fragen überlegen die auch jeder beantworten kann.

Hab mir daher gedacht einfach ein Wort zu nehmen, die Buchstaben durcheinanderzuwürfeln und der Besucher muss das Wort wiederherstellen.

So in der Art vielleicht:

Zitat

Bringen Sie die Buchstaben in die richtige Reihenfolge:

r H c i s h

Der dazu gehörige Code (wem´s interessiert)

PHP

<?php


// Ein Wort aus der Datenbank oder woher auch immer
$wort = 'Hirsch';


// Der erste Buchstabe des Worts wird isoliert
$first = $wort[0];


// Die Buchstaben des Wortes werden "gemischt"
$mixed = str_shuffle($wort);


// Leerzeichen zwischen den Buchstaben einfügen
// damit ein Screenreader die Einzel-Buchstaben vorliesst und nicht irgendein schräges Wort
$split = str_split($mixed);
$space = implode(' ',$split);


// Der erste Buchstabe wird hervorgehoben
$output = str_replace($first, '<em>'.$first.'</em>', $space);


// Das "gemischte" Wort ausgeben
echo $output;


?>

Alles anzeigen

Is das für jeden lösbar oder zu "schwer"?

driver

zu "schwer" is sicherlich personanabhängig. dass obriges vermutlich
hirsch heißt find ich jetzt z.b. durchaus lösbar. man müsste halt schauen,
dass du immer einfache und kurze wörter nimmst. wenn eins mal 10 buchstaben
hat, dann is die ganze aufgabe zwar nicht unbedingt unlösbar - aber mühseelig.

des mit den fragen find ich eigentlich noch mit am besten. so arbeitsintensiv ist
das nun auch nicht. 10 fragen anlegen und dann immer eine zufällig auslesen.

Donkey

Bleibt noch zu klären: Welche Fragen?

Fragen die eigentlich zur Allgemeinbildung gehören, sind für viele nicht lösbar.

Z.B. Wie heisst unsere Bundeskanzlerin mit Vornamen?

dazu hab ich auch was lustiges gefunden:
http://webmaster-verzeichnis.de/blog/optimale-frage-fur-captcha/

gut das ist nur ein Fake, aber sowas gibts durchaus.

driver

ich würd einfach mal schauen was du für eine zielgruppe hast.
ne seite die sich mit html/php-code beschäftigt wird ja jetzt nicht
unbedingt von totalen idioten besucht.

ich mein hier im forum gibts auch paar fragen, z.b. "was is der höchste berg deutschlands".
im vergleich zu deiner find ich die sogar schwerer...

thilda

Es gab doch mal ein britisches expewriment. Das wurde auch bei GMX veröffentlicht und ging auch mal per Mail rund...
Dabei ging es darum das alle buchstaben AUßER der erste und der letzte im wort wild vertauscht werden. Das wort erschließt sich dennoch ohne Probleme dem Mensch.

Dein Rätsel fand ich jetzt nicht sooo toll.
Ich habe zu lange gebraucht als das es einfach hinzutippen sein soll.
Dann lieber olle Zahlen und Buchstaben.
Oder einfach anders, ohne captcha!

Hier mal ein Bsp. , habe das Original leider nicht mehr gefunden
Artikel auf Computerbild

The User

Gibt natürlich recht aufwändige Captchas wie reCaptcha. Aber natürlich mit Bild.

Wenn es jemand wirklich auf dich abgesehen hat und du es barrierefrei haben möchtest, dann kommt der Bot drauf. Aber ein 0815-Bot kann auch an einem Mathe-Rätsel oder einem passiven Captcha. (Input, den man nicht ausfüllen darf) scheitern.

Donkey

Vielleicht is es am Besten mehrere Captchas anzubieten, damit sich der Besucher aussuchen kann womit er am Besten zurecht kommt bzw. was die Umstände (Hardware, Software, usw) hergeben.

Also z.B. Grafik-, Audio-, und "Logik"-Captcha und eins davon muss ausgefüllt werden.

Macht natürlich um so mehr Arbeit

Ich weiss nicht wie zuverlässig "Honeypot"-Felder sind, wie sie The User erwähnt hat.

Also ich geh davon aus (ich weiss es nicht wirklich) das Bot den Text anhand der Tags indentifizieren in denen er steht.
Und wenn in <label>-Tag steht "nicht ausfüllen" oder sowas....
Das kann man ja einen Bot beibringen.

Hat einer Erfahrungen damit?

Bandit

Eine Kombination aus beidem. Eine Grafik mit dem Text "nicht ausfüllen" und ein Captcha. Schon weiß ein Bot nicht mehr, was er mit den Grafiken anstellen soll.

Donkey

Also den Bot quasi mit verschiedenen (irrelevanten) Grafiken in die Irre führen?

Gute Idee

Bandit

Was ich auch immer gerne einbaue:

Bots erkenne Formulare und sprechen diese dann direkt an. Der "normale" User macht das ja so nicht, er kommt auf die Seite und klickt sich dann zum Formular. Deshalb setze ich auf der Startseite eine Session-Variable, die ich dann beim Abschicken des Formulars prüfe.

Donkey

Wenn die Variable leer ist weil die Seite direkt angesteuert wird könnte es ein Bot sein - nicht schlecht.

Hab auch mal was gelesen dass man die Zeit die man zum normalerweise zum Aussfüllen braucht messen soll. Bots machen das ja viel schneller.

Aber ich weiss nicht so recht was ich davon halten soll.

Bandit

Ein Bot hat das Formular in ein paar Millisekunden ausgefüllt, der Mensch braucht definitiv länger.

thilda

Ich habe das mal gemacht.
Für mein Gästebuch habe ich folgende sicherheitsmaßnahmen ergriffen.

1.
Eine anklickfeld das vom Normalen user nicht sichbar war. Mit css versteckt. Der bot der nur den Quellcodeliest und das CSS ignoriert klickt es an und schon ist das Formular ungültig. (fehlermeldung nicht vergessen)

2.
Alle möglichen sachen wie URL="", href="", ... werden erkannt und wenn das im Post drinn steht ist es spam. Hatte das eingebaut weil es viele vorfälle gab. (Fehlermeldung nicht vergessen).

3.
eigentlich nur nebensächlich aber es war auch drinne. Die Wortlänge durfte nicht länger als X-Zeichen sein. Ich habe 50 genommen was auch noch sehr lang ist... (Fehlermeldung nicht vergessen).

4.
Wie schon angesprochen, die Zeit. Beim aufrufen der Formularseite habe ich die Zeit in eine Varable gesetzt und mit der Zeit des Abschickens verglichen.
War die Zeit zu knapp, war es spam. Die benötigte Minimalzeit habe ich manuell ausgetestet. Bedenke auch dabei das manche viele sachen von ihrem Browser als ausfühhilfe angeboten bekommen, schnell tippen können, ...
Bei meinem Formular waren es glaube ich 5 sec. Das war schon sehr optimistisch gerechnet. (auch hier wieder nicht die fehlermeldung vergessen)

Soviel zu dem was ich angewendet habe. Und seither hatte ich keine Probleme mehr mit Spam von Bots.

Donkey

Also je mehr ich darüber nachdenke, desto mehr komm ich zu der Erkenntnis, dass es vielleicht doch besser ist auf Captchas zu verzichten und dem Spam "hinter den Kulissen" den Kampf anzusagen - ohne das der Besucher was davon mit bekommt.

Allerdings hab ich noch nicht wirklich rausgefunden wie man das macht dass auch der Code einigermaßen schlank bleibt.

z.B. sowas hier:

PHP

$forbidden = 'Die Nachricht enthält unzulässige Zeichen.':


if(eregi("BCC:", $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}
if(eregi("CC:", $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}
if(eregi("Content-Type:", $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}
if(eregi("<script", $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}
if(eregi("\[url', $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}
if(eregi('\[img', $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}
if(eregi('<a href', $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}
if(eregi('<img src', $setnachricht)){$error .= '<p>'.$forbidden.'</p>';}

Alles anzeigen

Bekommt man das nicht kleiner hin? z.B. mit nen Array oder so?

Donkey

Denke, nach reichlich probieren hab ich hinbekommen mit dem Array

PHP

<?php


$setnachricht = $_POST['setnachricht'];




$check = array("BCC:", "CC:", "Content-Type:", "<script", "[url', '[img', '<a href', '<img src');
$number = count($check);


$count = 0;
while ($number > $count){


    $checkstring = str_replace($check[$count], '', $setnachricht);
    if ($checkstring != $setnachricht){
      $error = 'Unzulässige Eingabe!';
    }
    $count++;
}


if (!empty($error)){
    echo $error;
}
else{
    echo'Alles OK!';
}


?>

Alles anzeigen

Thonixx

Vielleicht wär folgendes auch noch eine Möglichkeit?

strip_tags()

Donkey

Ja ist sicher eine Möglichkeit.
Aber in dem Beispiel werden ja nicht nur Tags gefiltert

So kann man auch Wörter filtern - z.B. Viagra oder sowas.

Thonixx

Ich habe das eher als zusätzlichen Filter gemeint, der dann halt einfach alle Tags noch entfernt.

Donkey

Als zusatzlicher is er gut, so kann man es sich sparen die ganzen Tags ins Array zu schreiben und anstatt ne Blacklist ne Whitelist erstellen - für die Tags.

Wird ja eh empfohlen eine Whitelist der Blacklist vorzuziehen.

thilda

Im Grunde könnte man doch auch ein preg_match benutzen.
Aber so sieht es doch auch schon ganz nett aus.
Ist auch etwas übersichtlicher als das preg_match