Jetzt auch mobil Kommentieren!

noCAPTCHA: Google startet sein unsichtbares CAPTCHA-System

Einen Kommentar schreiben
[o1] Kribs am 09.03. 18:00
+3 -2
Hoffentlich wird das bald dann flächendeckend eingesetzt, den Tor-Browser kann ich zur zeit kaum nutzen, die ständige Captcha abfragen nerven einfach nur noch.
[re:1] Gelegenheitssurfer am 09.03. 20:01
+1 -6
@Kribs: Hoffentlich setzen die den Mist NICHT ein, damit ist man auf Gedeih und Verderb dem Richterspruch des Captchas ausgeliefert.
"Du bist ein Bot!", "Nein, ich bin ein User!", "Ich sage du bist ein Bot und kommst hier net rein.", dazu ist Maschinenlernen einfach noch viel zu blöde.
[re:1] Ludacris am 09.03. 20:52
+1 -
@Gelegenheitssurfer: ich bin mit einer riesen Webseite seit 3 Monaten im betaprogramm. Sofern du als Bot erkannt werden solltest kommt die bilderabfrage wie wie auch schon beim reCaptcha.
[re:2] Ludacris am 09.03. 20:55
+1 -
@Gelegenheitssurfer: sieht dann so aus:

https://picload.org/image/rlldgrii/screenshot_20170309-205408.png

https://picload.org/image/rlldgriw/screenshot_20170309-205344.png
[re:2] Suchiman am 10.03. 13:23
+2 -
@Kribs: Es braucht nicht viel Kreativität um zu schlussfolgern, dass der Mechanismus womöglich im Tor Browser gar nicht erst funktioniert, da der Tor Browser ja tracking versucht zu verhindern worauf diese AI aufsetzt.
[re:1] Kribs am 10.03. 14:22
+ -1
@Suchiman: Das hat doch erst mal überhaupt nichts mit Tracking zu tun, das Captcha soll ja nur Bots von der Seite fernhalten, indem man den Menschen zum betreten eine Aufgabe stellt.
Sobald ich die Seite/den Dienst freigeschaltet habe kann ich auch getrackt werden, was der Tor-Browser nicht verhindert, er liefert nur falsche Daten an den Tracker.
Somit gibt es absolut auch keinen Hinderungsgrund für den Tor-Browser .
[o2] bumabuma am 09.03. 18:01
+1 -2
Mobilgeräte haben aber keine Maus(führung).
[re:1] gonzohuerth am 09.03. 18:21
+1 -1
@bumabuma: Und auch da bekommst du ein bestimmtes Verhalten heraus, da man nun man einfach nicht exakt auf Pixel xy drückt
[o3] hhf am 09.03. 18:31
+ -2
Auch das wird nicht lange vorhalten.
[o4] andi1983 am 09.03. 18:55
+1 -
Naja Zeit wird es schon. Sonst ist man ja nur noch beschäftigt Schriften zu erkennen, Puzzle zusammenzusetzten, Bilder einzukreisen usw. usw.
[o5] Smedi am 09.03. 19:02
+1 -
Ich bin Webentwickler und arbeite schon seit mehr als 10 Jahren erfolgreich mit einem selbst programmierten System zur unsichtbaren Spam-Abwehr. Ich verstehe eh nicht warum man da so einen HeckMeck draus machen muss oder überhaupt auf die Idee kommen kann Benutzer mit den typischen Captchas quälen zu wollen. Dabei reicht doch schon eine einzige Regel um 90% vom Spam abzuwehren. Je nach Formularumfang muss zwischen dem Seitenaufruf und dem Absenden des Formulars eine Mindestzeitspanne liegen. Das ist schnell programmiert und alleine das wehrt schon fast alles ab. Die Bots verlieren bei einem solchen Vorgehen massiv an Effektivität. Durch weitere Regeln die eigentlich nur logisch sind, lässt sich auch der Rest abfangen. Aber nein, da braucht man ja gleich ein komplexes KI System - am besten noch mit neuronalen Netz.....
[re:1] max06.net am 09.03. 19:38
+ -1
@Smedi: Allerdings darf man auch den Traffic der verschiedenen Seiten nicht unter den Tisch fallen lassen - eine kleine Homepage einer Privat-Person wird um einiges seltener für Spam missbraucht als größere Seiten mit User-Content.

Wir betreiben ein Forum mit über 2,5 Mio Nutzern und werden immer wieder von verschiedenen Spam-Wellen getroffen, hauptsächlich aus Südkorea. Diese lassen sich recht einfach mittels Geo-Blocking aussperren, Catcha-Systeme haben hier dagegen keine Chance - am anderen Ende sitzen nämlich Menschen und keine Bots. Anstatt also die Meta-Daten für eine Filterung zu verwenden, füttern wir diese zusammen mit dem Text an ein neuronales Netz eines externen Anbieters - und das ist ziemlich effizient.

Übrigens können auch Spam-Bots so gebaut werden, dass sie eine Formular-Eingabe simulieren und sich dabei entsprechend Zeit lassen.

Edit: Das ganze kommt natürlich auch auf die Art des Spams an. Der typische Bot legt es nur darauf an, seine Posts möglichst oft zu verbreiten, menschliche Spammer achten eher auf die Lebensdauer der Posts, daher sind diese qualitativ "hochwertiger"/schwerer zu erkennen.
[re:1] Smedi am 09.03. 20:06
+1 -
@max06.net: Der Traffic spielt keine so große Rolle, wenn das System zur Spamabwehr effektiv ist und Ressourcen spart. Eine auf einem neuronalen Netz basierende KI ist nicht unbedingt der performanteste Weg auf einer High Traffic Seite.

Bots können natürlich auch zeitgesteuert agieren. Trotzdem macht es sie damit erheblich ineffektiver. Man darf es auch nicht bei einer Regel belassen. Ich arbeite mit einer Reihe von Regeln die auf logischen Überlegungen basieren.

Menschliche Spammer sind nochmal ein eigenes Thema. Egal ob mein genanntes Regelwerk, klassische Captchas oder Googles unsichtbares Captcha. Kein System ist zu 100% vor Spam unter zuhilfenahme menschlicher Ressourcen geschützt. Auch bei der KI-basierten Analyse von Mausbewegungen reicht es schon das Verhalten von echten Menschen einmal aufzuzeichnen und dann mit minimalen Veränderungen immer wieder abzuspielen.

Wenn es um Spam von oder mit Hilfe von Menschen geht, muss man ohnehin zusätzlich mit Methoden arbeiten den gesendeten Content zu analysieren - hier kommt es halt wirklich stark auf den Bereich an wie man letztlich vorgehen sollte. Das geht allerdings über das Thema Captchas weit hinaus bzw. hat nicht mehr viel damit zu tun.
[re:2] lutschboy am 09.03. 19:48
+4 -1
@Smedi: ... dass dann sowieso nicht funktioniert. Schon das jetzige System setzt Cookies, JavaScript, iframes und vorallem die aktive Nutzung von Google Diensten voraus. Ich muss fast 100% aller ReCaptchas händisch lösen, nix mit Haken klicken und fertig, weil mein Browser viele Sachen blockt und ich keine Google Cookies habe. Und dann hat man auch noch das großartige Vergnügen wenn man AdBlocker oder uMatrix nutzt auf jeder Seite ReCaptcha whitelisten zu dürfen. Bei unsichtbaren ReCaptchas wird das richtig großartig weil man dann nicht mal mehr mitbekommt dass überhaupt was geblockt wurde bis man analysiert, warum es gerade nicht weitergeht.
[re:1] Smedi am 09.03. 20:17
+3 -1
@lutschboy: Da hast du einen nicht uninteressanten Punkt angesprochen, der ganz besonders für unser Land gilt. Eine nicht unerhebliche Zahl von Nutzern möchte gerne nicht überall seinen digitalen Fingerabdruck hinterlassen. Ein nicht unrealistisches Szenario ist dabei das blockieren von Google-Servern. Und schon tritt genau das Dilemma ein was du gerade erläutert hast. Der Nutzer kann das Formular nicht mehr absenden und der Programmierer kann schwer nachvollziehen warum der Nutzer Probleme hat.

Bei der Nutzung eines logischen Regelwerks hingegen spielt es keine Rolle ob der Nutzer Google-Dienste blockt, einen Ad-Blocker nutzt, Javascript deaktiviert hat, Cookies deaktiviert oder sonstwas.

Ich nutze solche Systeme auf Websites mit mehr als 500.000 Besuchern pro Monat mit großem Erfolg. Damit meine ich nicht nur die gute Spam-Abwehr, sondern auch die Conversion-Rate die nicht durch ein doofes Captcha reduziert wird.

Mir ist es wirklich unbegreiflich wie sich Captchas so etablieren konnten. Um die nötigen Regeln zu definieren muss man wirklich kein Genie sein und viel länger als eine Captcha-Lösung zu einzubinden dauert es auch nicht.
[re:1] andy01q am 10.03. 13:42
+ -2
@Smedi: Mir scheint dein logisches Netzwerk basiert auch ein wenig auf Unwissenheit der Bot-Programmierer auf. Für größere Netzwerke wird das schon uneffektiver und für Baukästen wie die meisten Foren-Softwares wo der Admin ein Häkchen Captcha Ja/Nein? ankreuzt ist die Methode dann eher öffentlich.
Ich denke auch, dass die Bots durch Wartezeiten bei gezielten Angriffen wenig abgehalten werden. Man kann auch Botnetze mit einer großen IP-Range und wenig Rechenleistung mieten, die Bots die dann zu 7-stelligen Zahlen die Wartezeit abwarten ddosen dann halt nebenbei noch für irgendeinen anderen Kunden irgendwas.
[re:1] Smedi am 10.03. 20:04
+ -
@andy01q: Für viele der Regeln ist deine Aussage zutreffend - einige Regeln sind dennoch bei mir im Einsatz, bei denen die Kenntnisse der Bot-Programmierer keine so große Rolle spielen. Natürlich: Sind alle Regeln im Einzelnen ganz genau bekannt, kann man selbstverständlich einen Bot Programmieren der sämtliche Regeln umgehen kann. Der funktioniert dann nicht für jedes Regelwerk und muss jedesmal neu konfiguriert werden, aber möglich ist es. Genauso wie es möglich ist Googles unsichtbares Captcha zu "knacken" oder jedes andere System.

Am Ende ist es so: Ob Regelwerk, Captcha oder Analyse der Mausbewegungen oder sonstwas - es ist und bleibt ein Katz und Maus Spiel.

Übrigens Unwissenheit würde ich es bei den Bot-Programmierern nicht nennen. Warum sollten die sich die Mühe machen, wenn es noch gar keine Notwendigkeit dazu gibt. Vielleicht ist die Notwendigkeit irgendwann da, aber immerhin gibt es dann trotzdem Hürden für die Bots. Solange nicht jeder das selbe Regelwerk benutzt und die Konfigurationen gut gemischt sind, wird immer noch ne Menge abgefangen, ohne Einbußen auf die Benutzerfreundlichkeit einer Seite. In ein paar Jahren, wenn alle unsere Internet of the Things Geräte gigantische Botnetze bilden spielt das wohl eh keine Rolle mehr. Wie gesagt - Katz und Maus bis in die Ewigkeit.
[re:2] Alexmitter am 09.03. 23:36
+ -2
@lutschboy: Wer nicht auto fahren will geht halt zu fuß.
[re:1] lutschboy am 10.03. 06:53
+2 -1
@Alexmitter: Wenn dann will ich Rad fahren, ich habe kein Auto. Aber wenn ich Auto fahren wollen würde müsste ich deshalb noch lange nicht auch 20 meine Gedanken protokollierende Beifahrer haben
[re:1] Alexmitter am 10.03. 16:18
+ -
@lutschboy: Der unterschied ist das niemand deine oder meine Gedanken protokolliert, wenn doch währe das trotzdem nicht sehr interessant, bei niemanden.
[re:2] lutschboy am 10.03. 18:28
+ -
@Alexmitter: Stimmt, die Werbeindustrie z.B. interessiert sich ja nur dafür was Kieselsteine denken. Politiker, Geheimdienste und Behörden interessieren sich nur für die Gedanken von Kohlenstoffatomen. Und natürlich, Datenbanken protokollieren nicht was Tracker tracken, Tracker werden dafür genutzt, keine Daten zu sammeln, das ist ihr Zweck. Geh deine Medizin schlucken, bitte ...
[re:3] Alexmitter am 10.03. 19:34
+ -
@lutschboy: "Stimmt, die Werbeindustrie z.B. interessiert sich ja nur dafür was Kieselsteine denken"
Vielleicht dafür was ich kaufe, aber garantiert nicht was ich denke.

"Politiker, Geheimdienste und Behörden interessieren sich nur für die Gedanken von Kohlenstoffatomen"
Das ist ein ganz anderes Problem, das du aber nur vermeiden kannst in dem du in einem Baumhaus lebst, irgendwo im Urwald und dich weit weg von allem elektronischen aufhältst.

"Datenbanken protokollieren nicht was Tracker tracken"
Ach komm schon, was denkst du denn was da für Daten anfallen, deine geheimsten träume oder eher welches zeug du dir bei Amazon kaufst. Die Kassiererin im Supermarkt weis genauso viel über dich.

"Geh deine Medizin schlucken, bitte ..."
Du bist genau der typ von Mensch der sich sein Auto auf 25kmh runterregeln lässt, alles andere währe ja gefährlich, aber das es da etwas gibt das man Spaß nennt, und das man nur ein einziges leben lang genießen kann, das vergisst man. Ich weis nicht wie es dir so geht, aber ich genieße lieber mein eines kleines leben in vollen Zügen, nutze was ich kann und bremse mich nicht absichtlich aus.
Und wo wir bei Medizin sind, entsprechende Neurotransmitter sind kein Ersatz für echten Spaß...
[re:3] Paradise am 10.03. 03:54
+ -1
@Smedi: Ich hab die Erfahrung gemacht das bei Formularen eine einzige Frage wie "Ist Eis heiß oder kalt" und ein honeypot schützen.
Captchas sind was accessibility betrifft das letzte.
Auf der einen Seite hat das Web behinderten Menschen ganz neue Möglichkeiten eröffnet aber es wird z.B. in den meisten Shops nicht mal an Farbblindheit gedacht.
[re:1] Smedi am 10.03. 10:09
+ -
@Paradise: Solch eine Frage ist zwar schon angenehmer als ein Captcha, dass so entstellt ist, dass man es erst im dritten Analuf lösen kann, aber die Conversion-Rate leidet trotzdem.

Hier mal ein paar Gedanken für dich mit denen du verifizieren kannst ob es sich um einen Spam-Bot handelt:
- Wurde das Formular überhaupt aufgerufen, bevor es abgesendet wurde?
- Wie lange hat der Nutzer zum Ausfüllen des Formulars gebraucht? (Eine Zeitspanne von 500ms ist bei Menschen z.B. unrealistisch. Arbeitet man mit einer Mindestzeit, sollte diese aber an die Formularlänge angepasst werden und auf keinen Fall zu lang sein)
- Ist das Formular nicht direkt erreichbar muss geprüft werden ob der Nutzer dem Pfad/Trichter überhaupt gefolgt ist. (und in welchem Tempo)
- Hat sich der User-Agent während der Session geändert?
...

Es gibt noch endlos mehr Faktoren die man einbeziehen kann. Ich habe z.B. noch ein erheblich größeres Regelwerk und generiere mir einen Score der zur Risikoeinschätzung genutzt werden kann. So kann ich Kriterien nutzen die auf einen Bot hinweisen, aber theoretisch auch bei normalen Nutzern greifen. Wird eine solche Regel erfüllt, wird der prozess nur geblockt, wenn auch weitere Indikatoren für einen Bot sprechen. Andererseits gibt es harte Regeln, die den prozess umgehend blockieren, weil es sich eindeutig um einen Bot handelt.
[re:4] TiKu am 10.03. 09:00
+1 -
@Smedi: So etwas selbst entwickeltes funktioniert gut, wenn die Seite vergleichsweise klein ist und sonst kaum eine Seite den selben Schutz verwendet. Sobald das halbe Web dein Regelwerk verwenden würde, würde es wirkungslos werden, weil es für die Spammer dann interessant genug wird, den Schutz zu überwinden.
[re:1] Smedi am 10.03. 09:53
+1 -
@TiKu: Wie du vielleicht oben gelesen hast, verwende ich solche Techniken nicht gerade auf kleinen Seiten.

Du sagst, dass die Technik nicht mehr funktioniert, wenn sie das halbe Web verwendet: Das ist teilweise korrekt. Einen 100%igen Schutz wird es nie geben. Wie auch schon oben gesagt, lässt sich auch Googles unsichtbares Captcha leicht austricksen. Es ist also trotzdem nicht effektiver als ein sinnvoll eingesetztes Regelwerk - der Unterschied ist aber, dass das Regelwerk performanter ist und auch funktioniert, wenn Javascript deaktiviert ist, Google Server geblockt werden oder Cookies deaktiviert/abgelehnt werden. Beide Mechanismen sorgen mindestens dafür, dass Spam-Bots weniger effektiv sind, aber im Zeitalter des Internet of the Things spielt auch das bald keine Rolle mehr. Bis 2020 sollen ja laut Schätzungen 20-50 Milliarden IoT-Geräte im Umlauf sein - wenn die so abgesichert sind, wie bisher, dann haben wir 2020 ohnehin mit ganz anderen Probleme zu kämpfen als uns "nur" um Spam zu kümmern.

Ich sehe ein Regelwerk immer noch als die beste Lösung. Zum einen aus den oben genannten Gründen aber auch, weil sich ein Regelwerk sehr gut an die Bedürfnisse und der Art des hauptsächlich erwarteten Spams anpassen lässt.

Je nachdem was man vor Spammern schützen möchte ist ein Captcha/Regelwerk auch nur der erste Schritt, aber das geht dann über das Thema Captchas hinaus.
[re:1] TiKu am 10.03. 10:07
+1 -
@Smedi: Eine halbe Mio. Besucher im Monat ist nicht wenig, aber auch noch nicht wirklich groß. Wenn diese Seite dann auch noch die einzige ist, die diesen Schutz verwendet, ist sie wahrscheinlich wirklich einfach noch nicht interessant genug für die Spammer.
[re:1] Smedi am 10.03. 10:18
+1 -
@TiKu: Ich betreue natürlich nicht nur eine Seite in der Größenordnung. Letztlich spielt es aber keine so große Rolle, denn wenn bei einer halben Million Besuchern kein Spam durchkommt ist es bei 5 Millionen nicht anders.

Anders - und das siehst du vollkommen richtig - sieht es aus, wenn die Seite so bedeutend ist, dass es sich wirklich lohnt Aufwand zu investieren um dort Spam oder sonstige Beiträge zu veröffentlichen. Wenn man ernsthaft Energien darauf konzentriert Spam in eine Seite einzuschleusen, dann schafft man das auch. (bezogen auf Captcha/Regelwerk)

Bei einer solchen Größenordnung ist ein Captcha oder Regelwerk dann aber eben nicht mehr einziges Kriterium, denn das was an Daten nicht geblockt wird, wird bei solchen Seiten auf anderem Wege geprüft. Hier können neuronale Netze dann tatsächlich nützlich sein. Es kommt dann aber eben noch sehr auf die Art der Seite an, welche Mechanismen greifen. Bei einem klassischen Forum z.B. als letzte Instanz der gute alte Moderator.
Einen Kommentar schreiben
Hoch © 2000 - 2017 WinFuture Impressum