Alle Internetseiten, die eine Eingabe ermöglichen, leiden unter unerwünschten Eintragungen. Solche Seiten sind Identifikationsmasken, Antwortformulare, Gästebücher, Foren, Kommentare, Bestellseiten usw. Diese Internetseiten werden meist nicht durch Menschen missbraucht, sondern durch Programme, die Eintragungen automatisiert vornehmen. Diese Eintragungen bewirken dann unerwünschte Datensätze in den Datenbanken und eine Flut unerwünschter Mails. Daher wurden die Formulare für Benutzereingaben durch so genannte CAPTCHAs erweitert. Diese sollen dem Web behilflich sein, zwischen Menschen und Maschinen/Programmen zu unterscheiden.

CAPTCHA

CAPTCHA ist ein Akronym:

CAPTCHA = “Completely Automated Public Turing test to tell Computers and Humans Apart” 
„vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“

Ein CAPTCHA ist ein Programm in einer Webseite, das auf Seiten mit Benutzerinteraktion vom Benutzer eine Eingabe fordert, die der Webseite hilft, die Entscheidung über “Freund oder Feind”, “Mensch oder Maschine” zu treffen.

Es begann mit Rechen- und Textaufgaben, dann kamen Bilder, die von klassischer OCR-Software nur schwer zu deuten waren, Bilderrätsel, in denen man in vielen Bildern denselben Inhalt wiederfinden sollte.

Beispiele für CAPTCHAs

Die Angreifer reagierten aber gekonnt auf diese Hürden und die meisten der gestellten Aufgaben konnten im Laufe der Zeit von den Angreifern gelöst werden.

Ein wichtiger Aspekt bei diesen Aufgaben ist die Barrierefreiheit, daher findet man im Zusammenhang mit Bilderrätseln immer auch Audio-CAPTCHAs.

Alle diese CAPTCHA-Programme laufen am eigenen Webserver ab und unterliegen – wie alle anderen Programme auch – der Notwendigkeit der regelmäßigen Wartung.

Google reCAPTCHA

Google reCAPTCHA (2009)

Google erwarb 2009 die Firma reCAPTCHA, bei der diese CAPTCHA-Aufgaben eine Doppelfunktion hatten. Dem Benutzer wurden zwei schwer lesbare Texte übermittelt.

Das erste Wort ist das eigentliche CAPTCHA und dient dem Systemzugang. Das zweite dargestellte Word stammt aus einem eingescannten Druckwerk und wurde von der OCR nicht erkannt. Es wird zeitgleich einer größeren Zahl von Benutzern im Zuge eines Systemzugangs zur Erkennung vorgelegt. Das System trifft bei verschiedenen Antworten eine Mehrheitsentscheidung. Damit wird einerseits der Zugang zu Webseiten ermöglicht, anderseits tragen die Benutzer durch das Lösen der Aufgabe auch zu einer besseren Qualität der digitalisierten Druckwerke bei.

Google reCAPTCHA v2 (2012)

Für Benutzer ist es aber am bequemsten, wenn sie gar nichts eingeben müssen, oder – wie im Beispiel von Google reCAPTCHA v2 – nur eine Checkbox anklicken müssen. Das ist dann auch gleichzeitig barrierefrei. Das Captcha-Programm erkennt allein aufgrund der Rechner- und Verbindungsdaten sowie des Benutzerverhaltens, ob es sich um einen realen Benutzer handelt, und man muss nur eine Checkbox “I’m not a robot” anklicken.

Google reCAPTCHA v3 (2018) No CAPTCHA reCAPTCHA

Eigentlich ist das beste CAPTCHA kein CAPTCHA. Und tatsächlich erfand man bei Google eine Möglichkeit, die ganz ohne eine Benutzerinteraktion auskommt. Lediglich ein reCAPTCHA-Logo am unteren Rand einer Seite mit Eingabe erinnert an den Schutz der Seite durch ein Google-Programm.

Das Google-Programm übermittelt der Seite eine Wahrscheinlichkeit dafür, dass der Benutzer ein Mensch ist. 0…Maschine, 1…Mensch. Die Seite kann nun selbst entscheiden, ab welchem Schwellwert sie den Benutzer als Mensch akzeptiert und wann sie annimmt, er sei eine Maschine. Wenn in diesem ersten Durchgang auf Maschine entscheiden wird, kann die Seite ein Worträtsel der ersten reCAPTCHA-Version stellen und erste dann auf “Mensch” oder “Maschine” entscheiden.

Verwaltung bei Google

Um reCAPTCHA nutzen zu können, benötigt man so genannte API-Keys von Google. Man besucht die Startseite https://www.google.com/recaptcha/ und wählt “v3 Admin Console” und fügt über das Plus-Symbol die Webseite hinzu. (Man muss dabei bei Google angemeldet sein; ist man es nicht, wird man zuerst zur Anmeldung aufgefordert.)

Wählt man auf der Startseite von Google reCAPTCHA den auffälligen Button “GetStarted/Loslegen” landet man bei der höherwertigen reCAPTCHA Enterprise API, und diese Version ist nur bis zu einer Million Zugriffe im Monat kostenlos. Übersteigt die eigene Seite diese Grenze, kostet ein Zugriff 0,001 $/count. Man geht daher stattdessen direkt zur v3-Admin-Konsole und legt dort eine Webseite an und erhält dafür im nächsten Bild das Schlüsselpaar, das man in der eigenen Seite einträgt.

CAPTCHAs in WordPress

Wie geht nun ein Webmaster in WordPress mit diesen Dingen um? Um reCAPTCHA von Google zu implementieren, gibt es drei Möglichkeiten:

  1. ein eigenes reCAPTCHA-Plugin,
  2. ein Plugin mit integrierter reCAPTCHA-Kommunikation oder
  3. ein Thema mit integrierter reCAPTCHA-Kommunikation

1. Plugin “Advanced noCaptcha & invisible Captcha”

Dieses Plugin kann zwar zwischen den Version 2 und 3 von reCAPTCHA umschalten, wenn aber in Version 3 auf “Maschine” entschieden wurde, kommt keine weitere Frage aus dem Bilderrepertoire von reCAPTCHA.

2. reCAPTCHA in Formular-PlugIn “Contact Form 7” integriert

3. reCAPTCHA im Thema “Enfold” integriert

Die Implementierung im Thema “Enfold” erlaubt eine zweistufige Erkennung. Der Wahrscheinlichkeits-Schwellwert zur Entscheidung zwischen Mensch und Maschine ist auf 0,5 eingestellt. Meldet Google einen geringeren Wert und tendiert damit eher zu “Maschine”, kann das Thema eine Checkbox aus Version 2 vorlegen. Im obigen Bild-Beispiel sind aber für die Version 2 keine Keys eingetragen, daher bleibt es bei der ersten Einschätzung.

Ob man dieses Angebot von Google nutzt, ist eine Vertrauensfrage, denn natürlich wandern Daten von der eigenen Seite Richtung Google, anderseits bekommt man dafür eine barrierefreie und sichere Lösung für alle Arten von Formularen inklusive Zugriffsstatistiken. Über Aktualisierungen muss man sich nicht weiter kümmern, denn die erfolgen alle bei Google.

Links