Sie kennen sicher den lästigen Formularspam. Spambots tragen ihre zweifelhaften Werbebotschaften in jedes erreichbare Formular ein, selbst Suchformulare mit nur einem Eingabefeld ohne Chance auf Sichtbarkeit der Werbung bleiben nicht verschont.
Es sieht natürlich nicht gut aus, wenn im Gästebuch einer Website Werbung für Viagra und Suchanzeigen für Cash-Manager erscheinen. Aber auch in Formularen, die keine öffentlich sichtbaren Resultate produzieren oder deren Resultate vor Veröffentlichung von Menschen gesichtet werden, kann Formularspam die Listen ziemlich unübersichtlich machen. Der erste Gedanke eines Spamgeplagten Webmasters ist häufig die Einführung von Captchas, also verzerrten Bildchen mit Zahlen oder Buchstaben darin, die der Benutzer erkennen und in ein Formularfeld eingeben muss. Wenn die aber so gut sind, dass Roboter damit Probleme haben, haben Menschen auch Probleme damit und müssen häufig mehrere Versuche machen, bis das Formular abgeschickt wird.
Es gibt verschiedene bessere Ansätze, die alle mehr oder weniger darauf beruhen, dass es sich bei diesen „Spammern“ um Robots handelt, also Programme, die sich so verhalten, wie sie programmiert sind. Man nutzt zum Beispiel die Messung der Zeit zwischen Laden und Absenden des Formulars, um Roboter zu erkennen, die das in Bruchteilen einer Sekunde machen können. Es gibt aber schon Robots, die diese Zeit per Algorithmus erhöhen. Andere Ansätze prüfen alle Inhalte auf Plausibilität – das ist aber extrem aufwändig.
Eine der effizientesten Methoden ist der Honeypot. Dabei handelt es sich um ein für den menschlichen Benutzer per CSS unsichtbar gemachtes Formularfeld, das von den Spam-Robots ausgefüllt wird. Wenn etwas im Honeypot-Feld eingetragen ist, wird der Eintrag verworfen. Ein Beispiel dazu zeigen wir im nächsten Artikel.