[Typo3-german] Behindertenfreundlichkeit und Emailadresse

Christian Weiss typo3 at web-impressions.de
Tue Aug 9 11:04:23 CEST 2005


Hallo Sebastian,

das Fazit der NG ist:
Barrierefreie Websites sind besonders schwer vor Spam Attacken zu schützen.
Es gibt diverse Möglichkeiten dieses jedoch erheblich einzuschränken.
Ich möchte hier anmerken, das wir in diesem Thread nicht versuchen das
Internet im Ganzen zu verbessern. Wir möchten unseren Teil dazu beitragen,
das Spam vermieden wird. Es stellt sich also die Frage: "Welche Techniken
können WIR einsetzen, um Spam zu verhindern / zu minimieren?"

Ungeeignete Lösungen für barrierefreie Websites sind:
- eMail-Adressen zu "verschlüsseln" (nicht für Screenreader geeignet)
- CAPTCHAs (nicht für Screenreader geeignet)
- eMails per mailto-Link einbauen (spambotgeeignet)
- barrierefreies Kontaktformular mit Referer-Check (siehe Sebastians
Anmerkungen)

Geeignete Lösung (Ergebnis der Diskussion)
- barrierefreies Kontaktformular mit "Human-Checkbox" o.ä.
- barrierefreies Kontaktformular mit "Session-Check"
- barrierefreies Kontaktformular mit "Human-Checkbox" o.ä. & "Session-Check"
Selbstredend sollte das Formular eine Meldung ausgeben, wenn die
Funktionalität durch das Schutzsystem verhindert wurde (damit der
menschliche Besucher eine Chance hat seine Software-/Hardware-Einstellungen
zu ändern)

Je schwerer wir es den Angreifern machen, um so aufwendiger wird es für die
Angreifer, die sich in der Regel, dann leichtere Ziele suchen. Je mehr sich
die Angreifer jedoch auf andere Ziele konzentrieren, je höher wird der
öffentliche Druck für die Betreiber dieser Systeme geeignete Schutzmaßnahmen
zu entwickeln/einzusetzen. Ich finde es nicht richtig mit dem "Finger" immer
auf andere zu zeigen, wenn man selbst aktiv werden kann/sollte. Sebastian,
bitte lasse es jetzt nicht politisch werden...

Ich bin der Meinung Sicherheit/Spamschutz ist eine mehrschichtige
Angelegenheit, ein Filter für die Mailbox wird durch diese Technik nicht
überflüssig, aber stark entlastet. Wir verhindern damit, das "unsere"
eMail-Adresse in einer Spam-eMail-Datenbank landet und vielfach genutzt bzw.
verkauft wird, die Verbreitung unserer eMail-Adresse steht nichts mehr im
Wege. Derzeit gibt es noch keine nennenswerten Tendenzen daß
Spam-Kontaktformular-Datenbanken existieren und genutzt werden. Diese
Datenbanken müßten die Adresse des Kontaktformulars und eine Anweisung zur
automatisierten Nutzung enthalten.

Ich sehe in den von Peter angesprochenen Brute-Force-Attack gegen
Mailserver: das "wilde Kombinieren" von Zeichen => die Generierung von
eMailadressen; mit anschließender Prüfung, ob diese vom Mailserver
angenommen werden noch keine konkurrierende Spam-Methode (siehe auch: meine
Antwort auf Peter)

Appell:
Es wird ein Wettstreit der Disziplinen bleiben, dem man sich stellen sollte.

Gruß
Christian


"Sebastian Nohn" <sebastian at nohn.net> schrieb im Newsbeitrag
news:mailman.1.1123573367.5065.typo3-german at lists.netfielders.de...
> Christian Weiss wrote:
>
> > Sebastian mein: wenn Du ein Kontaktformular einsetzt sollte dieses durch
ein
> > CAPTCHA gesichert sein, also eine Grafik, die nicht-maschinenlesbare
Zeichen
> > darstellt, welche jedoch von einem sehendem Menschen erkannt und
eingegeben
> > werden können. Sebastian ist mit diesem Vorschlag jedoch am Thema
vorbei,
> > schließlich geht es um barrierefreie Websites (also auch für Blinde).
>
> Was du mir unterstellst... Ganz im Gegenteil. Ich bin der Meinung,
> Kontaktmöglichkeiten so barrierefrei wie möglich zu gestalten, also eine
> ganz normale E-Mail-Adresse in einem ganz normalen mailto:-Link. Auch
> ein Kontaktformular, wenn es denn sein muß.
>
> Im übrigen gibt es inzwischen einige Ansätze, Captchas eben doch
> rechnergestützt zu knacken (teils auch unabhängig von OCR-Mechanismen -
> Stichwort 1: Zufall vs. Pseudozufall vs. Berechenbarkeit; Stichwort 2:
> Porno gegen Captcha verschenken), so das ich Captchas insegesamt noch
> 1-2 Jahre gebe.
>
> > Du kannst Dein Kontaktformular gegen dumme Spambots schützen, wenn Du
> > prüfst, ob der Spambot bevor er auf die Kontaktseite gekommen ist in
einer
> > anderen Seite deiner Website war, so wie es ein Mensch gewesen wäre. Der
> > Referer wird leider nicht von jedem Browser übertragen bzw. von
persönlichen
> > Firewalls unterdrückt. Ein Hinweis auf der Kontaktseite (der angezeigt
wird,
> > wenn kein Referer vorhanden ist) hilft dem menschlichem Besucher sicher
> > weiter, auch wenn dieser Blind ist.
>
> Besser wäre hier sicher die Möglichkeit, Sessions zu nutzen. Damit
> umschiffst du solche Probleme wie blockierte Referrer, IP-Flackern,
> Session-Splitting etc.
>
> > Direktlinks (Deeplinks) zu Deinem Kontaktformular von exteren Websites
wären
> > leider auch funktionslos. Und Intelligente Spambots können trozdem noch
> > spammen.
> >
> > Du könntest jetzt z.B. prüfen, ob der Seitenaufruf der Referer und der
> > Kontaktseite kürzer als z.B. 1 Sekunde auseinander lagen, dann ist es
> > unwarscheinlich, dass ein User so schnell geklickt hat, und schon gar
nicht
> > der behinderte Mensch.
>
> Was aber auch nur wieder ein kleines Stück intelligenz mehr beim Spambot
> erfordert.
>
> Methoden, Maschinen von Menschen zu trennen müssen von ganz normalen
> Menschen noch begreifbar sein. CAPTCHAs überfordern schon viele
> nicht-behinderte Menschen und fallen gerade auch gegenüber Maschinen um.
>
> Man sollte also Spambots Spambots sein lassen und auf intelligente
> Filtermaßnahmen setzen. Die einzige - recht effektive Maßnahme wie
> kürzlich ein Beispiel aus Russland gezeigt hat - Alternative ist noch
> die Selbstjustiz.
>
> Sebastian





More information about the TYPO3-german mailing list