Hi,

»» Na um automatisierten Login mit gephishten Logindaten zu erschweren.

Interessanter Punkt. Maschinelle Login-Versuche können aber auch über ein Verschlüsseln der Feldnamen - in Kombination mit 'Dummy'-Feldern und einer zufälligen Anordnung selbiger im Dokument - ausgeschlossen werden.

nein.

Problematisch bei einer solchen Lösung ist allerdings, dass ein hartnäckiger Phisher immernoch das CSS parsen könnte, um so die Dummy-Felder von den 'echten' zu unterscheiden :(

nicht notwendig.

»» Sie sind sicher nicht der Weisheit letzter Schluss, aber was die Alternativen in diesen Fällen sein sollen, hat mir hier auch noch niemand sagen können.

Es gibt keine Alternative. Das ist der gleiche Gedankenfehler den die Musik/Film-Industrie so viele jahre hatte. Alles was man sehen/hören kann, kann man auch kopieren. Einen User kann man perfekt maschinell simulieren, womit alle Random Inputs schon mal wegfallen. Was aber nicht simulieren kann, ist etwas, was eine nicht vorhersehbare Zwangs-Aktion vom User verlangt...

Man braucht eine Möglichkeit, Mensch von Maschine unterscheiden zu können. Das kann über Bild-Captchas erfolgen, aber ebenso über Quizfragen wie "Was ist die Summe von drei und fünf?", "Die Flagge der BRD zeigt die Farben Schwarz, Rot und ...?".

... was zwar in der Form gehen würde, aber ist ja auch im Prinzip ein Captcha nur halt ein Barrierefreies. Entscheident dabei ist aber eine riesige Datenbank mit tonnen an solchen Fragen. Denn ansonsten lasse ich meine Spider drüberlaufen und speichere alle Fragen in meine DB, die werden dann per Human beantwortet und stehen somit wieder für die Usersimulation zur Verfügung.

Viel wichtiger als Machinen vom Login auszuschließen, ist es aber onehin, dies *nach* dem Login zu erkennen, so dass der Account gesperrt und der entsprechende Nutzer informiert werden kann!

Das ist auch schwierig. Die Guten, nicht der kleine Hobbyspammer, nutzen einen riesigen Pool aus Content, der in jewiligen Gästebuch, Forum entsprechend harmlos erscheinende Texte passend zum Umfeld hinterlässt und nur vereinzelnd seine Werbung dezent reinstreut.

Sogar ganze Blogs werde auf diese Weise erzeugt, ohne das es den meissten Leser auffällt, dass es sich dort nur um Instantcontent handelt. Alles was das Netz an Foren, Blogs, Kleinanzeigen, Gästebüchern hergibt ist ein nicht unwensentlicher Teil gefakt. So clever, das es kaum einem auffällt. Man erkennt es allerdings an auffällig(wenn auch nicht übertrieben) vielen Links zu Versicherungen, Finanzdienstleistern oder auf einen anderer gefakte Seite des Netzwerkes, wo es dann wieder zu den besagten links kommt, die scheinbar spontan eingestreut werden. Ich kenne speziell eine Firma die sich darauf spezialisiert hat und die gehen sehr sorgsam mit ihrer mühsam aufgebauten Struktur vor. Die unterhalten auf deren Serverfarm sozusagen tausende Schläfer, die hin und wieder ein paar Linka einstruen, bis dann ein grosser Werbekunde kommt und dann zeigt dieses Netzwerk innerhalb ein paar Sekunden sein Potential indem von Schlafmodus in Wachmodus geschaltet wird, was zur Folge hat, das abertausende Seiten auf das Produkt hinweisen.

Janus