compufreak

Querwebein.de

compufreak — Mon, 30 Jan 2012 16:02:41 +0000

Jetzt geht’s los!
Viele haben mich nun schon gefragt, was mein nächstes Projekt wird… nun: Viel möchte ich noch nicht verraten, aber ich gebe euch einen Tipp: www.querwebein.de

Weitere Infos gibts per Newsletter

Spamschutzmechanismen für die eigene Homepage

compufreak — Tue, 06 Sep 2011 19:54:16 +0000

Titelbild: Die SPAM-Flut

Vorwort

Im Netz findet man unglaubliche Zahlen sobald es um das Thema Spam-Aufkommen geht. Einige sprechen da von ca. 80 Billionen Spam-Emails – jährlich. Tendenz: Steigend. Und diese Zahlen beziehen sich lediglich auf Email-Spam. Das Spam-Aufkommen auf der eigenen Website ist ebenfalls eine Plage für all jene, die an sich selbst den Anspruch stellen ihren Online-Auftritt Spam-frei zu halten.

In diesem Artikel erfahren Sie:

Wie eine Maschine einen Menschen von einem böswilligen Artgenossen unterscheiden lernt.
Welche einfachen Tricks große Teile des täglichen Spams abfangen.
Mit welchen Methoden sich die eigene Email-Adresse im Web vor Crawlern schützen lässt.
Warum es gar nicht so schwer ist ein Captcha zu basteln.
Welche Instant-Lösungen bereits zur Verfügung stehen.
Mit welchen Erweiterungen man Content-Management-Systeme erfolgreich gegen Spam verteidigt.

Was Sie vorher besitzen sollten:

Fortgeschrittene Kenntnisse in PHP (Session, Grafiken „on-the-fly“, etc.).
Gegebenenfalls grundlegende Kenntnisse bezüglich des jeweiligen CMS.

Einleitung

Website-Spam: Er ist nicht ungefährlich, denn er enthält oft Links zu böswilligen „Angeboten“. Auch wirft er kein gutes Licht auf die eigene Website. Ja oft ist er sogar ein Merkmal ungepflegter oder verwaister Projekte. Schön anzusehen ist er auch nicht. Leider kann man ihn nicht einfach irgendwo abstellen: Er muss bekämpft werden. Da man als gewöhnlicher Web-Entwickler weder Zeit noch Lust hat den Ursprung dieses Übels zu bekämpfen, muss man notgedrungen Spam-Schutzmechanismen implementieren um diesem Problem habhaft zu werden.
Machen wir uns nichts vor: Wir können der Spam-Flut weder entkommen noch eine Sandburg bauen die stark genug wäre ihr für immer stand zu halten. Jedoch gibt es Mittel und Wege Spam zu „behindern“.
Da die wenigsten diese eigentlich stupide Aufgabe einem Menschen auftragen würden (welcher zudem unglücklicherweise auf Bezahlung besteht), muss der pfiffige Web-Entwickler diesen Vorgang automatisieren. Folglich ist es ein Kampf der Maschinen untereinander: Ein Turing-Test¹. Doch wie unterscheidet eine Maschine einen Menschen von einem Artgenossen?

Allgemeine Vorgehensweise

Im Folgenden werden einige simple Methoden beschrieben, mittels PHP zu bestimmen, ob es sich bei einer Nachricht (z.B. in einem Gästebuch) um Spam handelt oder nicht. Normalerweise sollten mehrere dieser Methoden nebeneinander eingesetzt werden. Idealerweise baut man diese Mechanismen so, dass für einen Aspekt, der auf Spam hindeutet ein oder ggf. auch mehrere Punkte vergeben werden. Nachdem alle Funktionen die Nachricht analysiert haben, wird diese je nach Punktzahl entweder als Spam eingeordnet oder nicht. Das hat den Vorteil, dass man die „Strenge“, nach der Spam identifiziert wird leicht justieren kann. Um ganz sicher zu gehen, dass man niemanden zu unrecht als Spam abtut, kann man vermeintliche Spam-Nachrichten auch in der Datenbank belassen und nur vorerst sperren. Später geht man diese Nachrichten dann von Hand durch und gibt diese ggf. frei (siehe Abb. 2).

1. Schutz durch eine Blacklist

Eine naheliegende Lösung ist die sog. Blacklist, also die „schwarze Liste“. Auf ihr werden Schimpfwörter oder gar ganze Website-Adressen gepflegt. Enthält ein Eintrag (zum Beispiel in ein Gästebuch) eines oder mehrere dieser Wörter, kann davon ausgegangen werden, dass es sich dabei um Spam handelt. Oftmals wird von einer Blacklist mit der Begründung sie sei zu aufwändig und nicht ausreichend abgesehen. Dabei kann man bereits mit einer Handvoll Begriffen gut 60% allen Spams aussortieren. Man braucht sich dazu lediglich ein paar Spam-Einträge anzusehen. In den meisten Fällen geht es um Viagra oder andere medizinische Produkte. An zweiter Stelle folgen dann häufig „Werbe-Anzeigen“ für Websites mit pornographischem Inhalt. Bringt man nun nur ein paar gängige Begriffe aus diesen Bereichen der Blacklist bei, schiebt man damit einem Großteil des Spams einen Riegel vor. Ebenfalls nützlich sind Begriffe wie „kaufen“, „günstig“ oder „free“. Lediglich eine Sache sollte man dann noch beachten: Spam ist in den meisten Fällen englisch. Eine mehrsprachige Blacklist ist also ratsam.

Glücklicherweise ist die Umsetzung einer solchen Blacklist mittels PHP nicht sonderlich schwer:
Als erstes muss man natürlich ein Formular in HTML erstellt haben. Die Daten daraus müssen von einem entsprechenden PHP-Script abgefangen werden. Dann werden die einzelnen Begriffe der Blacklist zur einfacheren Handhabung in einen Array abgespeichert. Dazu gibt es zwei Möglichkeiten: Entweder werden die Begriffe und der Array direkt im Quellcode abgelegt, das kann allerdings bei einer langen Blacklist umständlich werden. Oder die Begriffe werden in einer anderen Datei (zum Beispiel einer TXT-Datei) abgelegt. Wobei die Begriffe jeweils durch einen Zeilenumbruch getrennt sein müssten. Handlicher ist letztere Methode. Ein Beispiel für eine sehr kurze Blacklist:

günstig
cheap
free
viagra

Durch folgenden Befehl wird die Datei (in diesem Fall „blacklist.txt“) aufgerufen und der Inhalt in einen Array ($blacklist_array) gespeichert:

1	$blacklist_array = file( 'blacklist.txt' );

Um herauszufinden, wie oft eine Zeichenkette in einer anderen Zeichenkette vorkommt, benötigt man den Befehl substr_count(). Dieser wird für jedes Element des Arrays, sprich für jedes „verbannte“ Wort neu ausgeführt. Jedes Vorkommen eines solchen Wortes wird ein Zähler um eins erhöht.

Sind diese beiden Grundlagen bekannt, wird der Rest nicht schwer:

Listing 1.1. Simple Blacklist-Funktion

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

// Inhalt der Nachricht abrufen
$nachricht = $_POST['nachricht'];

// blacklist.txt öffnen und in Array $blacklist_array speichern (Eine Zeile = Ein
// Element)
$blacklist_array = file( 'blacklist.txt' );

// Zähler für die gefundenen Wörter aus der Blacklist
$anzahl = 0;

// Jeweils ein Wort der Blacklist nehmen, in $blackword speichern und mitzählen,
// wie oft das Wort in der Nachricht auftaucht
foreach ( $blacklist_array as $blackword ) {
$anzahl += substr_count( strtolower( $nachricht ), strtolower( trim( $blackword ) ) );
}

// Bestimmen, ob die Anzahl der "Spam-Wörter" niedrig genug ist
if( $anzahl < 2 ) {
echo 'Nachricht wurde nicht als Spam eingestuft!';
} else {
echo 'Nachricht wurde als Spam eingestuft!';
}
?>

Natürlich lässt sich dieses Script noch verbessern. So ist es momentan noch machtlos gegen Dinge wie „Leet-Speak²“ (Buchstaben durch ähnlich aussehende Zahlen ersetzen) oder sonstige Abstraktionen.

2. Schnell-Tippen: Zeit ist Geld?

Eine andere Möglichkeit Spam zu erkennen besteht darin die Schreibgeschwindigkeit zu ermitteln. Denn welcher Spam-Bot nutzt denn nicht „Copy-&-Paste“? Ein Spam-Eintrag benötigt meist nur sehr kurze Zeit. Misst man nun die Zeit seit dem Laden der Formular-Seite bis zum Empfang der Formular-Daten, kann man daraus und aus der Anzahl aller Zeichen im Formular die Tastenanschläge errechnen. Das Ergebnis ist zwar leicht verfälscht, wenn ein echter Benutzer die Seite besucht, da dieser nicht sofort anfängt zu tippen, doch das setzt seine errechneten Tastaturanschläge ja nur herunter.

Die Zeit berechnen wir mit einem Timestamp (also sekundengenau). Es liegt zwar nahe, diesen Timestamp zusammen mit den anderen Formular-Daten in einem versteckten Feld zu verschicken, dies ist aber zu unsicher, da der Spam-Bot diese Werte manipulieren kann. Aus diesem Grund hinterlegen wir den Timestamp in einer Session. Bei der Auswertung rufen wir ihn dann wieder ab, errechnen die Differenz, ermitteln die Anzahl aller Zeichen im Formular und errechnen daraus die Tastenanschläge. Ein verdächtiger Wert liegt bei ungefähr 8 Anschläge pro Sekunde aufwärts.

Auf der Seite des Formulars:

Listing 2.1. Speichern des Timestamps in die Session-Variable

1
2
3
4
5
6

// Session-Start
session_start();
// Speichern des Timestamps in die Session-Variable
$_SESSION['spam_check_start'] = time();
?>

Bei der Auswertung:

Listing 2.2. Auswertung der Daten und Errechnen des Tastenanschlags

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

// Session-Start
session_start();
?>
[… HTML-Grundgerüst, etc. ...]

// Name abrufen
$name = $_POST['name'];

// Inhalt der Nachricht abrufen
$nachricht = $_POST['nachricht'];

// Timestamp abrufen
$spam_check_start = $_SESSION['spam_check_start'];

// Aktuellen Timestamp ermitteln
$spam_check_ende = time();

// Differenz ermitteln
$spam_check_dauer = $spam_check_ende - $spam_check_start;

// Anzahl aller Buchstaben errrechnen
$anzahl_aller_buchstaben = strlen( $name.$nachricht );

// Anschlage pro Sekunde errrechnen
$anschlaege_pro_sekunde = ( $anzahl_aller_buchstaben / $spam_check_dauer );

if ( $anschlaege_pro_sekunde < 9 ) {
// ggf. Meldung ausgeben
echo 'Nachricht wurde nicht als Spam eingestuft!';
} else {
// Fehlermeldung ausgeben, ggf. Punkt-Zähler entsprechend verändern
echo 'Nachricht wurde als Spam eingestuft!';
}
?>

3. Leere Eingabe-Felder

Da Spam-Bots oft die Angewohnheit haben alle Felder auszufüllen, kann es schnell passieren, dass auch unsichtbare Formular-Elemente mit Inhalten gefüllt werden. Dies tun normale Besucher nicht: Ein weiteres Unterscheidungsmerkmal.
Dazu muss im Formular lediglich ein unsichtbares, leeres Element hinzugefügt werden. Inzwischen haben Spam-Bots meistens schon gelernt, dass „versteckte Eingabefelder“ () besser ignoriert werden sollten. Deshalb ist es ratsamer ein ganz normales Eingabefeld () anzulegen, welches auch keinen auffälligen Namen trägt. Dieses wird dann einfach mit der CSS-Eigenschaft display unsichtbar gemacht (). Ist das Feld bei der Auswertung mit Inhalt gefüllt, steigt erneut die Spam-Wahrscheinlichkeit.

4. Kannst du rechnen?

Eine weitere beliebte Möglichkeit Spam abzufangen besteht darin, dem Besucher eine einfache Rechenaufgabe zu stellen. Das Ergebnis muss (korrekt) in ein Formularfeld eingetragen werden. Es wird bei der Auswertung überprüft. Da viele Spam-Bots immer noch nicht „rechnen“ können, ist es ein geeignetes Kriterium. Leider ist es jedoch für den Besucher mit Mehraufwand verbunden. Die Entscheidung, ob dies zumutbar ist, liegt beim Entwickler.

Auf der Formular-Seite müssen zuerst die beiden Zufalls-Zahlen und die Rechenart (Addition oder Subtraktion) ermittelt werden. Das Ergebnis wird in die Session-Variable gespeichert, die Rechnung im Formular ausgegeben.

Listing 4.1. Vorbereiten einer Rechenaufgabe

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

// Session-Start
session_start();

// Ermitteln der ersten Zufallszahl
$zahl1 = rand ( 0, 20 );

// Ermitteln der zweiten Zufallszahl
$zahl2 = rand( 0, 20 );

// Bestimmen einer Rechenart (+ o. -)
// und dem entsprechenden Ergebnis
if ( $zahl1 < $zahl2 ) {
$rechenart = ' + ';
$ergebnis = $zahl1 + $zahl2;
} else {
$rechenart = ' - ';
$ergebnis = $zahl1 - $zahl2;
}

// Speichern des Timestamps in die Session-Variable
$_SESSION['spam_check_rechnung'] = $ergebnis;
?>

Listing 4.2. Ausgeben der Rechenaufgabe im Formular

1 2	<label>Bitte ausrechnen: </label><br /> <input type="text" name="spam_check_rechnung_besucher" /><br />

Die Auswertung ist nun ziemlich simpel. Auch hier könnten Spam-Punkte vergeben werden:

Listing 4.3. Auswertung der Rechnung

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

// Session-Start
session_start();
?>
[... HTML-Grundgerüst, etc. ...]

// Korrektes Ergebnis abrufen
$spam_check_rechnung = $_SESSION['spam_check_rechnung'];

// Erhaltenes Ergebnis abrufen
$spam_check_rechnung_besucher = $_POST['spam_check_rechnung_besucher'];

// Auswertung
if ( $spam_check_rechnung == $spam_check_rechnung_besucher ) {
// ggf. Meldung ausgeben
echo 'Nachricht wurde nicht als Spam eingestuft!';
} else {
// Fehlermeldung ausgeben, ggf. Punkt-Zähler entsprechend verändern
echo 'Nachricht wurde als Spam eingestuft!';
}
?>

Diese Methode funktioniert leider nicht mehr bei alle Spam-Bots, dennoch ist sie häufig noch effektiv, denn die Schwierigkeit für die Maschine besteht dabei nicht darin die Rechnung zu lösen, sondern zu begreifen, dass sie eine Rechnung lösen muss.

5. Wie heißt Max mit Vornamen?

Ähnlich der Rechenmethode (s.o.) funktioniert auch folgende (verbesserte) Methode sehr gut: Erneut muss der Besucher die richtige Eingabe machen um sich als Nicht-Spammer zu identifizieren. Nur handelt es sich nicht um eine Rechenaufgabe, sondern um eine Frage. Die Fragen sollten folgende Kriterien erfüllen:

Sie sollten…

… zahlreich sein.
… sich selbst beantworten.
… in einem Wort beantwortet werden können.
… nur eine mögliche Antwort zulassen.

Beispiele für solche Fragen:

Wie heißt Max mit Vornamen?
Welche Farbe hat ein rotes Auto?
Der Erfinder des Zeppelin erfand den Z…?
Wie viele Seiten hat ein 200-seitiges Buch?
Eine CD ist rund. Was ist eine DVD?
Weihnachten kommt der W…?
etc.

Die Schwierigkeit für die Maschine besteht hier darin, dass sie semantisch erfassen muss. Das heißt: Sie muss erst einmal die Frage verstehen. Das ist aber gar nicht so einfach.

Wie funktioniert dies nun im Detail?
Zuerst brauchen wir eine Liste mit Fragen und Antworten. Dazu verwenden wir erneut einen Array. Die Daten werden diesmal nicht in eine TXT-Datei gelegt, sondern direkt in den Array. Diesen kann man ja bei Bedarf in eine andere PHP-Datei auslagern. Auf der Formular-Seite ermitteln wir dann per Zufall eine Frage und lassen sie ausgeben. Die Antwort speichern wir in die Session-Variable. Die Frage samt Eingabefeld wird im Formular ausgegeben:

Listing 5.1. Generierung und Ausgabe einer Frage.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

// Session-Start
session_start();

// Erstellen des Arrays ( => , )

$fragen_array=array(
0 => array('Wie heißt Max mit Vornamen?', 'Max'),
1 => array('Welche Farbe hat ein rotes Auto?', 'rot'),
2 => array('Wieviele Ecken hat ein Dreieck?', 'drei'),
3 => array('Wie viele Seiten hat ein 200-seitiges Buch', '200'),
4 => array('Fridas Mofa ist gelb. Welche Farbe hat es?', 'gelb'),
);

// Ermitteln der Frage
$frage_nummer = rand( 0, count( $fragen_array ) - 1 );

// Speichern des Timestamps in die Session-Variable
$_SESSION['spam_check_frage'] = $fragen_array[$frage_nummer][1];
?>

[... HTML-Grundgerüst, etc. ...]

1 2	<label>Beantworte: [$frage_nummer][0]; ?></label><br /> <input type="text" name="spam_check_frage_besucher" /><br />

Bei der Auswertung des Formulars wird es auf Spam überprüft, indem einfach die Antwort des Besuchers mit der richtigen Antwort aus der Session-Variable verglichen wird. Vor dem Vergleich jedoch werden beide Antworten mit der Funktion strtolower() in Kleinbuchstaben umgewandelt, damit Abweichungen in Groß- und Kleinschreibung irrelevant werden:

Listing 5.2. Auswertung der Antwort des Besuchers.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

// Session-Start
session_start();
?>
[... HTML-Grundgerüst, etc. ...]

// Korrektes Ergebnis abrufen
$spam_check_frage = $_SESSION['spam_check_frage'];

// Erhaltenes Ergebnis abrufen
$spam_check_frage_besucher = $_POST['spam_check_frage_besucher'];

// Auswertung
if ( strtolower( $spam_check_frage ) == strtolower( $spam_check_frage_besucher ) ) {
// ggf. Meldung ausgeben
echo 'Nachricht wurde nicht als Spam eingestuft!';
} else {
// Fehlermeldung ausgeben, ggf. Punkt-Zähler entsprechend verändern
echo 'Nachricht wurde als Spam eingestuft!';
}
?>

Natürlich lässt sich auch dieses Beispiel noch stark ausbauen. So ist ein größerer Fragen-Katalog ebenso von Vorteil, wie mehrere Antwortmöglichkeiten (um verschiedenen Schreibweisen, etc. vorzubeugen).

6. Wo hast du eigentlich deine Augen?

Eine Abwandlung der semantischen Frage (s.o.) ist sogar noch effektiver und sicherer als selbige: Anstatt eine Frage zu stellen, muss der Inhalt eines Bilds mit nur einem Wort beschrieben werden. Auf dem Bild sollten einfache Dinge mit kurzen Bezeichnungen abgebildet sein. Außerdem sollte nur genau ein Gegenstand zu sehen sein, damit keine Verwirrung aufkommt. So könnte der Besucher zum Beispiel gebeten werden eine Birne, einen Apfel, einen Hund, ein Haus oder Millionen andere Dinge zu identifizieren.
Die technische Umsetzung funktioniert vom Prinzip her genauso, wie die der semantischen Frage (s.o.). Nur wird hier keine Frage ausgegeben, sondern ein kleiner HTML-Code um das entsprechende Bild einzubinden.

7. Doppelt hält besser?

Da Spam-Bots oft die Angewohnheit haben Felder, von denen sie nicht wissen, was das Script an Inhalten erwartet, einfach mit irgendwelchen Links zu füllen, kommt es auch oft vor, dass solche Felder mit den gleichen Inhalten gefüllt werden. Es lohnt sich also, alle Eingabefelder auf doppelten Inhalt zu prüfen. Wurden mehrere Eingabefelder identisch ausgefüllt, handelt es sich wohl um einen Spam-Bot. Auch hierfür könnten bei Bedarf wieder Spam-Punkte vergeben werden.

8. Captcha im Eigenbau

Leider werden die Spam-Bots immer besser. Um dieser Entwicklung entgegen zu treten, muss man sich schon tolle Dinge einfallen lassen. Die oben beschriebenen Methoden sollten in Kombination in den meisten Fällen hinreichend sein. Um die Sicherheit noch weiter zu steigern, bieten sich sog. Captchas³ an. Das sind kleine Grafiken, welche eine Zeichenkombination abbilden, welche der Besucher abtippen muss. Das ist im Prinzip auch eine gute Idee. Leider hat sie bei den meisten Umsetzungen einige Nachteile:

Da Spam-Bots die Fähigkeit entwickeln die Codes solcher Grafiken auszulesen, werden dies immer abstrakter und unlesbarer.
Damit der Code nicht mit einem Wörterbuch abgeglichen werden kann, werden nur noch zufällig generierte Buchstaben- und Zahlenkombinationen verwendet.
Daher empfinden die Besucher empfinden sie schnell als lästig.

Diese Nachteile kann man aber auch recht einfach beseitigen oder zumindest abschwächen:

So sollte ein Bild nicht verunstaltet werden, nur damit man die Schrift nicht mehr lesen kann. Dann sollte man lieber eine ausgefallenere Schriftart nehmen. Bunte Sterne, Hintergründe und Linien sind ebenfalls hinderlich. Sie erhöhen zwar die Sicherheit, schrecken dafür aber Besucher ab, wenn sie nicht zum Design passen oder zu viel Zeit beanspruchen.
Zufällig generierte Codes müssen nicht wie Kauderwelsch klingen: Zahlen kann man eigentlich weglassen, denn ob 26 oder 36 Zeichen zur Auswahl stehen macht auch keinen besonders großen Unterschied mehr. Werden nur Buchstaben verwendet, kann man schön-klingende Phantasie-Wörter generieren indem man Konsonanten und Vokale abwechselt. Das vermindert die Sicherheit zwar ein wenig, aber auch das nur unter der Voraussetzung, dass der Spam-Bot auf so etwas programmiert wurde.
Wie oben bereits angesprochen können auch Bilder von Gegenständen, die es zu benennen gilt, als Captchas verwendet werden, denn solch eine Aufgabe setzt eine hohe Rechenleistung des Spam-Bots voraus. Vergessen wir nicht, dass das menschliche Gehirn ein Meister das abstrakten Denkens ist.
Auch könnte man die langweiligen Codes durch die oben beschriebenen Fragen ersetzen. Dann steht der Spam-Bot nämlich nicht nur vor dem Problem die Frage „Wie heißt Max mit Vornamen?“ zu beantworten, sondern diese auch erst mal zu lesen.

Nun wollen wir ein ganz simples Captcha basteln und es mit unseren Fragen (s.o.) kombinieren. Dazu verwenden wir die Bordmittel PHPs und ein angepasstes Formular. Die Grafiken werden „on-the-fly⁴“ generiert. Dazu benötigen wir ein zusätzliches PHP-Script, welches als Grafik (mit Image-Tag) in das HTML-Formular eingebunden wird und die richtige Lösung in die Session-Variable schreibt:

Listing 8.1. Generierung eines Captchas

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

// Session-Start
session_start();

// Senden des Headers
header( "Content-type: image/png" );

// Erstellen des Arrays ( => , )
$fragen_array = array(
0 => array('Wie heißt Max mit Vornamen?', 'Max'),
1 => array('Welche Farbe hat ein rotes Auto?', 'rot'),
2 => array('Wieviele Ecken hat ein Dreieck?', 'drei'),
3 => array('Wie viele Seiten hat ein 200-seitiges Buch', '200'),
4 => array('Fridas Mofa ist gelb. Welche Farbe hat es?', 'gelb'),
);

// Ermitteln der Frage
$frage_nummer = rand( 0, count( $fragen_array ) - 1 );

// Abspeichern der Frage
$frage = $fragen_array[$frage_nummer][0];

// Speichern der Antwort in die Session-Variable
$_SESSION['spam_check_frage'] = $fragen_array[$frage_nummer][1];

// Generieren der Grafik (400x30)
$grafik = imagecreate( 400, 30 );

// Hintergrund der Grafik weiß machen
imagecolorallocate( $grafik, 255, 255, 255 );

// Text-Farbe generieren (Schwarz)
$text_farbe = imagecolorallocate( $grafik, 0, 0, 0 );

// Text ausgeben. Parameter:
// Variable der Grafik
// Schriftgröße
// Abstand zum linken Rand
// Abstand zum oberen Rand (Ausrichtung wird so berechnet, dass die Schrift
// mittig steht)
// Text
// Farbe des Schriftzugs
ImageString ($grafik, 4, 20, ceil( 15 - ( imagefontheight( 4 ) / 2 ) ), $frage,
$text_farbe);

// Grafik ausgeben (im PNG-Format)
imagepng( $grafik );
?>

Das Formular ist im Prinzip das gleiche wie in Listing 5.1. Nur wird die Frage nicht dort, sondern in der Datei captcha.png.php generiert. Diese wiederum wird eingebunden:

1
2
3
4

Die Auswertung bleibt unverändert (siehe Listing 4.2).

Mithilfe solcher Captchas ist man nun einen ganzen Schritt weiter. Natürlich lässt sich diese Methode aber noch stark ausbauen.

Instant-Lösungen

Im Bereich Spam-Abwehr gibt es viele Angebote. Besonders wenn es um Captchas geht. Die interessantesten Lösungen sind folgende:

1. Die wohl bekannteste Lösung lautet reCaptcha (Website: www.google.com/recaptcha). Es handelt sich dabei um ein System, welches von Google übernommen und fortgeführt wurde. Google scannt alte Bücher und Zeitschriften ein. Die einzelnen Wörter landen in einer riesigen Datenbank. Wird ein reCaptcha aufgerufen, bekommt der Besucher zwei Wörter zu sehen und muss sie abtippen. Das Besondere: Die Antworten werden gespeichert. Die einzelnen Wörter werden mehrmals von verschiedenen Besuchern abgetippt. Die Antwort, die am häufigsten gegeben wird, akzeptiert Google dann als „richtig“. Auf diese Weise werden wahnsinnig viele Captchas generiert und alte Zeitschriften digitalisiert. Diese Methode gilt als sehr effektiv und sicher. Allerdings ist die Integration in die eigene Website nicht unbedingt für „blutige Anfänger“ geeignet. Erfahrenere Programmierer sollten damit aber keine Probleme haben. Außerdem besitzt das reCaptcha ein recht auffälliges und platz-einnehmendes Aussehen. Das kann man zwar anpassen, aber das wiederum ist mit nicht wenig Arbeit verbunden. Alles in Allem eine der besseren Lösungen.
2. Eine weitere sehr schöne Captcha-Lösung ist SecureImage von www.phpcaptcha.org. Die Grafiken sind simpler und die Integration in die eigene Website ein wenig einfacher als bei anderen „Instant“-Lösungen.
3. Einen sehr interessanten Ausblick bietet www.animierte-captcha.de. Vor den Captchas „tanzen“ Symbole und Grafiken herum, sodass der Schriftzug nie vollständig zu sehen ist: Eine zusätzliche Herausforderung für einen Spam-Bot.

Diese „Instant“-Lösungen sind meistens schneller eingebaut als die eigenen Methoden. Außerdem sind sie in der Regeln doch deutlich sicherer und durchdachter. Dafür lassen sie sich nicht so leicht anpassen oder in das Design eingliedern. Auch handelt es sich (wie bei den Beispiele auch) fast immer um Captchas. Betrachtet man die oben beschriebenen Methoden, muss man sich allerdings fragen, ob man seine Besucher wirklich mit so etwas belästigen muss.

Erweiterungen für Content-Management-Systeme

Besonders komfortabel lebt man, wenn man ein CMS⁵ für seine Website verwendet, denn für diese gibt es eigentlich immer Erweiterungen, Plugins oder Addons. Mit diesen lassen sich die Spammer schon deutlich einfacher ausschalten.

Eine kurze Übersicht hier:

WordPress:

Akismet (Standard)
Block Spam By Math Reloaded (Schützt das Backend)
Peter’s Custom Anti-Spam (Sehr umfangreich)

Joomla

EasyCalcCheck PLUS
Core Design Captcha plugin
Akismet
XIJC

Contao (ehemals TypoLight):

honeypotForm (sehr schlicht)

Typo3:

TIMTAB Bad Behavior
SFP Anti SPAM
Simple Captcha

Schutz einer Email-Adresse vor Crawlern

Da in dem Impressum jeder Website eine gültige Email-Adresse stehe muss, ist dies ein beliebter Angriffspunkt für Email-Crawler⁶. Diese lesen die Adresse aus und speichern sie in ihre Datenbank. Wie von Zauberhand landet dann Spam im Posteingang. Um dies zu verhindern gibt es wahnsinnig viele Methoden. Einige besser, andere schlechter:

Kodierung der einzelnen Zeichen: Jedes Zeichen wird in den entsprechenden HTML-Sonderzeichencode umgewandelt. Das ist die beliebteste Lösung. Leider auch die mit am wenigsten effektive, denn die Crawler sind schon lange in der Lage diesen Trick zu durchschauen.
Einbinden als Grafik: Effektiver, jedoch leider auch nicht besonders ansehnlich und total „Copy-&-Paste“-unfreundlich. Die Adresse wird als Grafik gespeichert und eingebunden. Nicht optimal.
Maskieren der Adresse: Das @ wird durch Zeichenfolgen wie „ät“, „at“, „[at]“, etc. ersetzt. Doch auch das können die Crawler mittlerweile ganz gut durchschauen.
Aus zwei mach’ eins: Dabei handelt es sich um einen kleinen HTML-Trick. Es werden zwei Email-Adressen hintereinander gesetzt. Jede für sich ist nicht existent (bzw. totaler Quatsch). Streicht man jedoch den letzten Teil der ersten Adresse und den ersten Teil der letzten Adresse, entsteht aus dem Rest eine dritte: Die richtige. Alles was man tun muss, ist also mittels CSS die Teile dazwischen auszublenden. Beispiel:

1
2
3
4

heinz

@nichtvorhanden.de gibtesnicht
@mueller.info

In diesem Beispiel sind die Adressen heinz@nichtvorhanden.de und gibtesnicht@mueller.info falsch. Lediglich die Kombination von beiden ist richtig: heinz@mueller.info.

Anregungen

Der Kreativität sind fast keine Grenzen gesetzt, geht es um die Spam-Bekämpfung. Lediglich die technischen Mittel binden den Programmierer an einen Rahmen. Dennoch sind weder alle Möglichkeiten Mensch und Maschine zu unterscheiden hier erklärt worden, noch sind sie ausgeschöpft. Alle Mechanismen lassen sich verbessern. Alle sind absolut ungesichert gegen Attacken (XSS und Co.). Alle Methoden einzubauen ist momentan auch noch viel Arbeit. Eine Klasse dafür zu schreiben wäre also von Vorteil und würde auf längere Sicht viel Aufwand ersparen. Kurzum: Auf geht’s!

Nachwort

Den Spam werden wir wohl nie ganz besiegen, doch mit geschickten Überlegungen lässt sich viel erreichen. Ich hoffe, ich konnte mit diesem Artikel einen Einstieg in das Thema bieten und zum Weitermachen anregen. Denn ausgereift sind die Scripte noch lange nicht.

Im Internet
http://www.google.com/recaptcha/ – reCaptcha-Website
http://www.phpcaptcha.org/ – Website des SecureImage-Projekts
http://www.animierte-captcha.de/ – Website der animierten Captchas
http://www.drweb.de/magazin/sichere-formulare-teil-4-spam-bots-masregeln/ – Ein Artikel zum Thema vom Dr. Web-Magazin
http://de.wikipedia.org/wiki/CAPTCHA – Wikipedia-Artikel zum Thema Captcha
http://www.bizeps.or.at/news.php?nr=8627 – Sehr unterhaltsamer Beitrag zum Thema Captcha und Benutzerfreundlichkeit von Peter Purgathofer

Was ist eigentlich der Turing-Test?
Der Turing-Test wurde 1950 von Alan Turing entwickelt, um festzustellen, ob eine Maschine ein Denkvermögen haben kann, dass dem des Menschen ähnelt. Oft wird dieser Begriff auch mit dem Stichwort „Künstliche Intelligenz“ in einem Atemzug genannt. ↩
Was ist Leet-Speak?
Leet-Speak leitet sich ab von dem englischen Begriff „elite“ (Elite) und „speak“ (Sprache). Es bezeichnet das Ersetzen von Buchstaben durch ähnlich aussehende Zahlen oder auch Sonderzeichen. So wird auch oft nur von „1337“ gesprochen, was „leet“ in „Leet-Speak“ bedeutet. Die 1 steht dabei für das L, die 3 für das große E und die 7 für das T. Ursprünglich wurde diese Substitutions-„Chiffre“ verwendet um heikle Emails vor dem automatisierten Abhören zu schützen. Heute findet es oft im Gamer-Bereich Anwendung. ↩
Was sind eigentlich Captchas?
Der Begriff „Captcha“ kommt aus dem Englischen und ist ein Akronym für „Completely Automated Public Turing test to tell Computers and Humans Apart“ („Vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“). Ein Captcha ist meist eine Grafik, die ein verzerrtes Wort oder einen Code abbildet, der vom Besucher abgetippt werden muss, um zu beweisen, dass er selbst kein Spam-Bot ist. ↩
Was bedeutet noch gleich „on-the-fly“?
Der Begriff „on-the-fly“ heißt im Bezug auf durch PHP generierte Grafiken, dass diese bei einem Aufruf durch einen Benutzer jedes mal neu erstellt werden müssen. Das heißt, sie können immer wieder anders aussehen. „On-the-fly“ bezeichnet also sozusagen den Moment zwischen Verlassen des Servers und der Ankunft beim Browser (auch wenn dies nicht ganz richtig ist). ↩
Wofür steht nochmal „CMS“?
Ein CMS ist ein Content-Management-System (Inhalt-Verwaltungs-System). Es wird auf dem Webserver installiert und verwaltet Inhalte, Design und Struktur der Website sehr komfortabel. Die großen verfügen über eine Benutzerverwaltung, hunderte Erweiterungen und viele zusätzliche Funktionen. Große Websites kommen um ein CMS kaum noch herum. ↩
Worin besteht eigentlich der Unterschied zwischen Spam-Bot und Email-Crawler?
Ein Spam-Bot durchsucht Websites nach Formularen, füllt sie aus und versucht so Backlinks für eine Website zu generieren oder Schadsoftware zu verteilen. Ein Email-Crawler such im Internet nach Email-Adressen und sammelt sie um später Spam zu verschicken. ↩

Rabottie 1.0 beta

compufreak — Wed, 20 Apr 2011 17:08:00 +0000

Voller Stolz kann ich nun mein neues Projekt freigeben: Rabottie.de!

Direkt vorweg: Es befindet sich nach 2 Monaten Entwicklungszeit noch in der Beta-Phase. Aktuell heißt das, dass einige Funktionen noch nicht wirklich gegen Fehler bzw. Fehleingaben abgesichert sind. Man sollte also “ordentlich” mit dem System umgehen. Leider hat sich in letzter Sekunde noch ein Fehler in den Widgets offenbart, sodass diese leider noch nicht einsatzbereit sind. Das werde ich aber in den nächsten Tagen beheben und die Widgets dann stark ausbauen Des Weiteren ist die Hilfe noch nicht angefangen, aber das sollte ja nicht soo sehr stören.

Heute am 20.04.2011 geht Rabottie in die Beta-Phase. Ich habe mit dem Projekt vor gut zwei Monaten begonnen, nachdem ich eine Vorlage für eine persönliche Startseite ein wenig überarbeitet hatte. Der Blogger RaphaelG veröffentlichte damals einen seiner leider nur wenigen Artikel. Er beschrieb, wie man sich für seinen Browser eine personalisierte Startseite in Form einer HTML-Datei und ein paar Grafiken basteln konnte und bot diese auch zum Download an. Das ganze sah sehr ansprechend aus, sodass ich mir die Datei herunterlud.
Ich bastelte selbst noch ein wenig daran. Das Ganze hat mich dann so gepackt, dass ich im Internet nach einem Dienst suchte, der eine eigene Startseite generierte. Zu meinem Erstaunen fand ich nur unkomplizierten Schrott oder ineffiziente Systeme. Beides gefiel mir nicht. Das Internet muss gerade in so einem Bereich sehr einfach und intuitiv sein. Deshalb begann ich einen eigene Dienst zu entwickeln. Eine Entscheidung, die eigentlich so gar nicht in meinen Zeitplan passte. Ich war mir damals sicher, dass ich das Projekt sowieso wieder drangeben würde, doch zu meinem Erstaunen hielt ich durch. Und was dabei heraus kam ist so ziemlich mein erstes vollständig abgeschlossenes Projekt. Da habe ich mich selbst sehr überrascht.
Nun geht mein Baby in die Beta-Phase. Ich habe auch bereits viel für die Zukunft geplant. Vor allem im Bereich der Widgets und Icons wird sich hoffentlich einiges tun.

Was ist Rabottie?

Rabottie bietet dir die Möglichkeit mehrere individuelle Startseiten mit deinen Lieblings-Websites online zu erstellen und zu verwalten. Die Links werden dabei angeordnet wie auf einem Desktop: Einfach und effektiv. Für noch mehr Komfort kannst du zusätzlich auf jede deiner Startseiten auch noch Widgets einbinden um direkt mit verschiedenen anderen Websites zu interagieren (Google, Facebook, Twitter, etc.). Das alles gibt es kostenlos, werbefrei und absolut schick! Einfach anmelden und loslegen.

Direkt-Links

Direkt-Links sind Links, die dich ohne Umweg zu der entsprechenden Startseite oder der Übersichtsseite führen. Das besondere ist, dass du dich dafür nicht erst einloggen musst. Du könntest einen dieser Direkt-Links also als deine Startseite im Browser festlegen. Das würde immer funktionieren, auch wenn du nicht eingeloggt bist. Es funktioniert sogar von anderen Computern aus. Damit niemand Schaden anrichten kann, sollte der Link mal in die falschen Hände gelangen, kann man, wenn man die Seite über einen Direkt-Link erreicht hat keine Änderungen vornehmen. Dein Benutzerkonto ist also weiterhin sicher!

Zeitgesteuerte Seite

Um noch mehr Zeit bzw. unnötige Klicks zu sparen, gibt es eine Zeitsteuerung. Auch diese ist über einen Direkt-Link erreichbar. Nach der Konfiguration dient sie als Weiterleitung. So kann der Benutzer angeben, an welchem Tag er zu welcher Uhrzeit an welche Startseite weitergeleitet werden will. Ich könnte also festlegen, dass ich Montags bis Freitags jeweils so bis 14 Uhr an meine Startseite mit meinen Schul-Sachen weitergeleitet werden will. Rufe ich nun zu dieser Zeit den Direkt-Link der Zeitsteuerung auf, gelange ich zu meiner Schul-Startseite

Wie kann ich Rabottie unterstützen?

Rabottie ist ein werbefreies, kostenloses Projekt. Das heißt im Klartext: Es kostet mich Geld, Zeit und Nerven. Viele Leute können nicht verstehen, warum ich diese drei grundlegenden Dinge in diesem Ausmaß in etwas investiere ohne etwas dafür zu bekommen. Allerdings übersehen diese Leute auch etwas: Durch meine gemeinnützige Arbeit im Internet revanchiere ich mich bei anderen, von deren kostenlosen Diensten und Hilfen ich profitiere. Denn ich bin der festen Überzeugung, dass das Internet ohne den ganzen Kommerz viel besser funktionieren würde. Wenn einfach alle Menschen kostenlos anderen Helfen, könnte das Internet viel effektiver sein. Ich bin sozusagen ein Internet-Kommunist Wie können Sie mich jetzt unterstützen? Ganz einfach: Das geringste, was Sie tun können, ist meinen Dienst zu verwenden. Wenn Sie etwas mehr tun möchten, können Sie ihn Freunden, Verwandten, befreundeten Verwandten, Kollegen oder den Leuten auf der Straße von meinem Dienst berichten (Allerdings besser erst, wenn ich mit der Beta-Phase durch bin ). Wenn Sie dann immer noch nichts besseres mit Ihrer Zeit anzufangen wissen, können Sie sich einfach mal persönlich bei mir bedanken. Das freut mich immer riesig! Sollten Sie zu viel Geld haben, könnten Sie natürlich auch gerne etwas spenden

Zum Abschluss einen kleinen Film. Mangels Zeit leider nicht besonders gut…

www.youtube.com/watch?v=ttmg9Pq3Xt4

Wenn ihr immer Up-2-Date sein wollt, folgt Rabottie doch auf Facebook!

Update 23. April ’11

Ich habe in den letzten Tagen erstaunlich viele eMails erhalten. Für dieses rege Feedback möchte ich ich hier recht herzlich bedanken. Die Tatsache, dass bereits wenige Stunden nach der Veröffentlichung der Beta-Version meines Projekts so viele Verbesserungsvorschläge eintrudeln, zeigt mir nicht nur, dass es in der Tat viel zu verbessern gibt, sondern auch, dass das Projekt Potenzial hat. Deshalb habe ich beschlossen meine Arbeiten an Rabottie schneller fortzusetzen als geplant. Damit ihr immer auf dem aktuellen Stand meiner Überlegungen seid, habe ich eine Roadmap und ein Changelog veröffentlicht. Beides erreichbar über die Rabottie-Startseite. Für weitere Vorschläge bin ich immer zu haben … Obwohl ich jetzt erstmal ein paar Monate beschäftigt sein sollte XD

Update: Geplantes Release meines nächsten Projekts

compufreak — Wed, 06 Apr 2011 17:29:13 +0000

In einem vorherigen Post hatte ich ja bereits angekündigt, dass ich in diesem Monat mein neues Projekt veröffentlichen will. Dieses ist zwar noch lange nicht vollkommen, nimmt aber immer konkretere Züge an. In der Tat kann ich bald anfangen mir über die Formulierungen verschiedener Meldungen Gedanken zu machen.

Geplant ist das Release für den 20. April 2011.

Ein oder zwei Tage vorher werde ich viele weitere Details, Screenshots und den offiziellen Namen meines Projekts preisgeben. Weitere Informationen gibt es hier: http://www.compufreak.info/2011/03/03/die-eigene-startseite/

Linux in der Wolke – Joli OS

Mauricio — Mon, 28 Mar 2011 20:10:36 +0000

Der folgende Artikel wird bereitgestellt von Bildagentur.

Nicht nur auf der CeBIT 2011 war Cloud-Computing das vorherrschende Thema. Auch die ersten Betriebssysteme setzen langsam auf die Datenwolke und fordern einen schnellen Internetzugang für die Bedienung. Die oft zitierte Cloud besteht dabei aus unzähligen Servern die über das Internet erreichbar sind. Auf diesen vernetzten Rechnern lassen sich Daten speichern und Programme starten – die Festplatte im Internet ersetzt in diesem Falle also den Speicher im eigenen Computer.

Anstatt nur einzelne Dateien auf den Cloudserver zu verschieben gehen Cloud-Betriebssysteme noch einen Schritt weiter: Das Betriebssystem wird extrem klein gehalten und enthält nur die wichtigsten Komponenten und Treiber, Anwendungsprogramme und Nutzerdaten werden indes über das Internet geladen und gespeichert. Ein bekannter Vertreter der Gattung Cloud-OS ist Googles Chrome OS, das allerdings noch nicht marktreif ist und bislang nur auf wenigen ausgewählten Net- und Notebooks funktioniert. Deutlich weiter in der Entwicklung ist Joli-OS, dieses System ist voll nutzbar und bietet einen umfangreichen Hardwaresupport.

Zu Beginn der Entwicklung war Joli OS noch unter den Namen Jolicloud bekannt. Seit kurzem haben sich die Entwickler allerdings entschieden, dem Betriebssystem einen neuen Namen zu geben um sich von der eigens entwickelten Benutzeroberfläche namentlich abzusetzen – die behält den Namen Joli-OS. Bei Joli OS handelt es sich um eine auf Ubuntu basierende Linux-Distribution, aktuell wird der Kernel 2.6.35 eingesetzt. Soll Joli OS nur zum Testen installiert werden existiert ein Windows-Installer, der das System in einer virtuellen Umgebung aufsetzt und im Zweifel auch schnell wieder entfernen lässt. Soll komplett auf Joli OS umgestiegen werden, existiert auch die Möglichkeit, ein bootfähiges Installationsmedium herunterzuladen und zu installieren.

Selbst die Anmeldeoberfläche von Joli OS ist in HTML5 geschrieben, Anwendungen werden direkt vom Cloud-Webspace gestartet. Im Betriebssystem enthalten ist der Webbroser Chrome 10, auch Flash 10.2 ist bereits vorinstalliert. Die Benutzeroberfläche Joli-OS läuft dabei als eigenständige Anwendung. Vorteil der Cloudlösung: Das System benötigt extrem wenig Speicherplatz und abgespeicherte Daten lassen sich von jedem Rechner mit Joli OS erneut laden. Statt das gerade bearbeitete Bild also auf einem USB-Stick abzuspeichern wird die Datei in der Cloud gesichert. Meldet sich der Nutzer von einem beliebigen Rechner mit Joli OS an seinem Benutzerkonto an, besteht wieder der volle Zugriff auf diese Dateien. Allerdings erfordert der Einsatz eines Cloud-Betriebssystems auch eine stetige Internetverbindung mit ausreichender Bandbreite. Da Jolicloud mittlerweile als eigenständige Anwendung realisiert wurde, ist es auch möglich, auf die eigenen Dateien ohne installiertes Joli OS zurückzugreifen – es muss nur ein HTML5-tauglicher Webbrowser vorhanden sein.

Besonders Netbooks mit nur geringer Speicherkapazität und Rechenleistung eignen sich sehr gut für den Einsatz eines Cloud-OS. Joli OS 1.2 verspricht beispielsweise den ruckelfreien Genuss von HD-Videos selbst mit Intels betagter CPU-Grafik der Atom-Prozessoren. Wer über eine schnelle und zuverlässige Internetverbindung verfügt freut sich also über ein flexibles System. Vor allem wenn häufig der Rechner zum Arbeiten gewechselt wird ist ein Cloud-Betriebssystem praktisch, da die gerade bearbeiteten Dateien nicht immer auf externen Datenträgern herumgetragen werden müssen sondern in der Cloud liegen.

Die eigene Startseite

compufreak — Thu, 03 Mar 2011 20:33:34 +0000

Nach einem Monat Schweigen auf meinem Blog, möchte ich Euch nun darüber informieren, dass ich meine Arbeit keineswegs eingestellt habe. Vielmehr habe ich an einem kleinen Projekt gearbeitet, welches Ende diesen Monats online gehen soll.
Dieser kleine Artikel soll nur kurz zeigen, was ich mache, damit niemand denkt, ich wäre faul

Vor ein paar Wochen bin ich auf raphaelg.cwsurf.de auf einen Blog-Artikel gestoßen, den ich sehr interessant fand. Dabei ging es darum, wie man sich seine eigene Startseite basteln könnte. Das Ergebnis sah sehr schick aus. Damals habe ich die Dateien, die er anbot ein wenig weiter ausgebaut. Nix dolles. Dann aber bin ich auf die Idee gekommen, dass es doch Sinn machen würde, dafür ein Online-Tool anzubieten. Schließlich haben die wenigsten Lust für eine personalisierte Startseite HTML und CSS zu lernen.
Also habe ich mich hingesetzt und mal wieder angefangen von Hand zu programmieren. Von Grund auf. So entstand ein Online-Dienst, der es einem Laien möglichst einfach machen soll, sich online eine oder mehrere persönliche Startseiten zu erstellen. Dabei soll die Oberfläche werbefrei und sehr sehr simpel, aber effektiv gehalten werden. Jeder Benutzer soll sich kostenlos beliebig viele Startseiten anlegen dürfen. Auf jeder Startseite können Links und Widgets abgelegt werden.
Dazu kommen noch einige coole Funktionen.
Mehr verrate ich aber noch nicht. Ich gebe lediglich drei Screenshots raus. (Hinweis: Am Design wird sich vermutlich noch einiges ändern)

Hacker-Browsergames (Mini-Review)

compufreak — Sun, 06 Feb 2011 09:17:54 +0000

Wer wollte nicht schon mal das aufregende Leben eines Hackers führen? Den Geruch von Abenteuer, verschmorrten Kabeln und 5 Liter Kaffee in der Nase haben? Viel Geld verdienen und den staatlichen Ermittlern immer einen Schritt voraus sein? Den “Kollegen” zeigen, dass man einfach besser ist als sie?

Wieviel Stuss habe ich in den letzten Sätzen untergebracht?
Mit solch ähnlichen Sprüchen jedenfalls werben die verschiedenen Hacker-Browsergames. Ich habe 6 von ihnen ausprobiert. Weitere 4 konnte ich leider nicht testen, da sie entweder keine neu-Anmeldungen akzeptierten oder ihre Datenbank abgestürzt war. Von diesen 6 konnte ich 4 eigentlich direkt in “die Tonne kloppen”. Mal ganz abgesehen vom unübersichtlichen Design, fehlte es diesen Spielen eigentlich immer an ein wenig… Planung. Sie wurden nicht so sehr durchdacht. Der Einstieg ist sehr schwer zu finden und wenn man ihn gefunden hat, dann macht das Spiel dennoch nicht so viel Spaß wie erhofft. Lediglich zwei dieser (getesteten) Browsergames konnten mir gefallen. Zum einen ist da das Spiel HackTheNet (HTN), das andere heißt blacknet.me.

Blacknet.me

Dieses Spiel sieht graphisch nicht soooo ansprechend aus, ist inhaltlich aber cool gemacht. Es ist nichts für Einsteiger, da es schon ein wenig komplizierter ist als andere Spiele. So gibt es die Möglichkeit zu Scripten. Man kann sich über eine Console in die Accounts von anderen Spieler einhacken und denen dann ein eigenes Script hochladen. Um gehackte PCs und sich selbst zu schützen, muss man solche Scripts anpassen können. Das lässt sich aber alles über das Online-Handbuch lernen. Das Spiel ist etwas ungewöhnlich für dieses Genre, macht aber durchaus Spaß.

HackTheNet

Das wohl älteste, ausgereifteste und beste Hacker-Browsergames. Es ist auch für Leute mit nur wenig speziellem Hintergrundwissen spielbar. Ein paar Begriffe muss man sich zwar aneignen, aber da gibt es eigentlich ganz gute Hilfen.
Wie bei eigentlich allen von diesen Hacker-Browsergames geht es darum, sich als Hacker ein möglichst “cooles” System aufzubauen. Dazu muss man andere Leute hacken und ihnen die Credits klauen oder sich selbst welche Verdienen. Mit diesen Credits kann man dann ( in-game! ) Hardware kaufen und die eigenen PCs aufrüsten kann. Natürlich muss man sich auch weiterbilden um besser zu werden. Es gibt viele Ausbaumöglichkeiten. Das Spiel ist abwechslungsreich und unterhaltsam. Ein besonderer Vorteil dieses Spiels ist es, dass es die Besucher nicht gleich durch blinkende Werbung oder ein total hässliches Design vertreibt. Es wird gut gewartet und von vielen Leute aktiv gespielt. Die Bedienung ist übersichtlich und wenn man die Zeit investiert und sich ein bisschen damit beschäftigt, dann macht es auch richtig Spaß.

Fazit

Beide Spiele sind cool, HackTheNet ist meiner Meinung nach aber noch besser. Nicht zuletzt wegen der Grafik. Wer also mal so ein Spiel ausprobieren möchte, der sollte sich einen Account bei HackTheNet erstellen.
Ich wünsche viel Vergnügen!

Zu HackTheNet (HTN)
Zu blacknet.me

Parasit Bing

compufreak — Tue, 01 Feb 2011 18:26:51 +0000

Das der Suchdienst Bing von Microsoft mal wieder ein größerer Flop war, lässt sich wohl nicht bestreiten. Es ist ein weiterer armseliger Versuch, einige Fehler, die man früher machte wieder auszubügeln. Beim Thema Suchanbieter hat Microsoft mal wieder den Trend verpasst. Ähnlich damals, als man meinte, dass sich JavaScript gegen das eigene Produkt JScript nicht durchsetzen könne. Solche Fehler sind Microsoft oft unterlaufen. Das schönste Beispiel ist wohl der Internet-Explorer. Dieser hat noch einiges nach zu holen.

Wie verschiedene andere Dienste ist auch aus Bing nicht so wirklich was geworden. Das hat man wohl auch in Redmond bemerkt. Dass die Entwickler daraufhin aber so tief sinken würden, hätte ich nicht gedacht. Verschiedenen Berichten zufolge, hat Bing sozusagen die Suchergebnisse bei Google abgeschrieben. Google hegte diesen Verdacht wohl schon länger. Bewiesen wurde es allerdings durch eine Art Honeypot.
Honeypots sind absichtlich verursachte, vermeintliche Sicherheitslücken, die verwendet werden, um Hackern und Crackern eine Falle zu stellen.
In diesem speziellen Fall, habe Google den eigene Suchindex manipuliert und eine sinnlose Zeichenkette (“mbzrxpgjys”)auf die Seite von RIM verweisen lassen. Einige Tage später tauchte dieser Suchbegriff samt Link dann bei Bing auf. Ein ziemlich eindeutiger Beweis, oder?

Bing ist also tatsächlich so dreist und kopiert fremde Suchindexe. Nunja, ich habe mich schon immer über die Suchergebnisse Bings gewundert…

Mal wieder typisch Microsoft. Anstatt dass sie sich auf andere Sachen konzentrieren, die vielleicht wichtiger wären, machen die sowas

Wordle.net – Extravaganter Tag-Cloud Generator

compufreak — Mon, 31 Jan 2011 17:50:16 +0000

Gelegentlich kommt es zu einer Situation in der man als Blogger eine Tag-Cloud benötigt. WordPress und viele andere Systeme bieten hierfür eine eigene Funktion. Diese funktionieren ja soweit auch ganz gut, sind aber noch nicht so wirklich… graphisch… nun ja: ansprechend. In der Vergangenheit gab es ja viele Versuche solche Tag-Clouds in 3D und mit Bewegungen zu gestalten. Ich persönlich konnte diese Dinger nie wirklich leiden. 3D passt einfach nicht zum Web! Meine Meinung

Jedenfalls ist es gar nicht so einfach, eine richtig coole Tag-Cloud zu generieren. An dieser Stelle kommt ein kostenloser Dienst namens Wordle ins Spiel.
Wordle.net bietet umfangreiche Funktionen und Gestaltungsmöglichkeiten auf sehr aufgeräumter Oberfläche.
Der Dienst bietet mehrere Funktionen. Zum einen kann ein beliebiger Text als Vorlage dienen. In diesem Fall werden erst normale Wörter der jeweiligen Sprache (wie zum Beispiel “und”, “er” oder “wie”) gefiltert. Dann wird eine Tag-Cloud aus den verbleibenden Wörtern erstellt, wobei sich die Häufigkeit natürlich auf die Schriftgröße auswirkt. Danach lässt sich die Tag-Cloud graphisch genauer gestalten. Es stehen verschiedene Schriften, Farb-Paletten und Anordnungsprinzipien (Hotizontal, Vertikal, Gemischt, etc.) bereit. Die fertige Grafik kann in eine öffentliche Gallerie gespeichert und auf anderen Websites eingebunden werden.

Das ganze System ist leicht zu bedienen und gleichzeitig sehr flexibel. So ist es auch möglich, anstelle eines Textes einfach direkt eine Liste mit Wörtern, deren Häufigkeiten und wahlweise sogar bestimmten Farben zu hinterlegen.

Wofür kann man Wordle.net denn am besten verwenden?

Natürlich kann es auf einem Blog Anwendung finden. Ich könnte jeden meiner Artikel dadurch jagen und dann die Tag-Cloud auf meiner Seite einbinden. Dummerweise ist das alles recht aufwändig. Praktischer ist es wohl daher eher für gelegentliche Anwendungsgebiete. So könnte man es in einem Referat oder Vortrag verwenden, oder ganz verschiedene Sachen daraus generieren, wie zum Beispiel die Reiseziele nach persönlicher “Dringlichkeit” ordnen, oder die Doktorarbeit mal als Tag-Cloud anzeigen lassen. Der Kreativität sind wie immer wenn es um den Sinn des Lebens oder um das jonglieren mit Wörtern geht, keine Grenzen gesetzt!

Hier ein paar meiner Beispiele (Klicken zum Vergrößern):

Das sind alle, mir bekannten Programmiersprachen ( Ich habe nicht gegoogelt, sonst wären es mehr ), nach Relevanz. Die Schriftgröße soll der “Wichtigkeit” entsprechen, aber ich fürchte, ich hatte keine Ahnung, wie wichtig manche Sprachen sind

Dies ist das Ergebnis, jagt man mein 90-seitiges eBook durch Wordle.net:

Und das sind jetzt Programmier- oder Scriptsprachen, mit denen ich mich (wenigstens mal kurz) beschäftigt habe. Diesmal entspricht die Schriftgröße meines Wissenstands (nach Selbsteinschätzung):

Wenn ihr jetzt ein wenig damit rumspielt, dann speichert das Ergebnis doch in der Gallerie und schickt mir den Link als Kommentar. Wenn’s cool ist, dann setze ich es mit in diesen Eintrag!

Krieg im Internet

compufreak — Sat, 29 Jan 2011 17:23:27 +0000

Täglich nutzen weltweit mehr als eine Milliarde Menschen das Internet. Wie wir alle wissen, ist es zu einem großen sozialen Treffpunkt und Informationszentrum herangewachsen. Natürlich gehen davon auch täglich neue Bedrohungen hervor. Die Nutzer müssen sich wappnen und auf der Hut sein. Kann es aber auch das Internet selbst bedroht sein? Stets gehen wir davon aus, dass das Internet eine Gefahr für uns darstellt. Was aber kann das Internet in einen Ausnahmezustand versetzen? Was passiert zum Beispiel im Internet, wenn es zu einem dritten Weltkrieg käme?
Was würden die Regierungen unternehmen? Was würde sich in sozialen Netzwerken abspielen?
Im Internet gibt es hierzu zahlreiche Theorien und achtungs-erheischende Vorträge. Ich möchte diese Fragen jetzt mal ganz ohne spezielles Vorwissen betrachten. Ich habe bisher keine Artikel dazu wirklich gelesen, sondern möchte nur meine eigenen Gedanken dazu darlegen.

Am interessantesten ist hierbei wohl die Frage: Wie würden sich die Regierungen verhalten?
Zwar hat man sich international mehr oder weniger darauf geeinigt für diesen Fall nicht aufzurüsten, ich denke aber schon, dass viele Staaten das insgeheim tun. Letztendlich ließe sich wohl nichts militärisches schneller zusammenstellen als eine Sondereinheit von Sicherheitsexperten. Die Regierungen müssten im Kriegsfall damit rechnen, über das Internet angegriffen zu werden. Daraus folgt, dass sie sich wenigstens auf diese Weise auch zu verteidigen wissen müssen. Wenn eine Regierung nun aber eine Einheit zur Verteidigung gegen Bedrohung über das Internet aufstellt, dann ist der Schritt in den Angriff auf umgekehrten Wege aber nicht mehr weit. Wie sehr würde sich ein Weltkrieg nun auf das Internet auswirken? Würden die Regierungen sich wirklich auf diese Weise bekämpfen? Angriffe auf militärische Systeme sind wahrscheinlich unausweichlich, aber wie sieht es mit privaten Zielen aus? Da es viele Angriffsmethoden gibt, hätten die Regierungen eine große Zielfläche. So könnte man neben staatlichen Systemen auch versuchen private Systeme möglichst großflächig zu kompromittieren. Dementsprechend wird auch die Frage nach dem Verhalten der Menschen aufgeworfen. Würden die Menschen sich gegen einen “Cyberwar” wehren? Oder ließe sich so vielleicht sogar ein ganzer Krieg verhindern? Schließlich wäre es Jedem möglich, über das Internet die ganze Situation aus der Sicht der Einwohner der gegnerischen Parteien zu betrachten.

Daraus ergibt sich die nächste wichtige Frage: Inwiefern würden die Regierungen das private Internet unbeeinträchtigt lassen? Würde jedes Land auf einmal eine Zensur ähnlich des goldenen Schilds Chinas einführen? Es ist durchaus denkbar, dass wir über das Internet keinen Zugriff mehr auf ausländische Seiten bekämen. Technisch ist das möglich. Allerdings ist es ebenso möglich, diese Zensur zu umgehen. Dummerweise wüssten viele Leute nicht wie es geht und diejenigen, die es wüssten, würden der Gefahr eines Verrats angeklagt zu werden wohl nicht entgehen. Zwar müssten die Grundgesetze solche Zensur zumindest in Deutschland unterbinden, ich könnte mir jedoch gut vorstellen, dass die Realität anders aussähe.

Ebenfalls interessant ist das Verhalten in sozialen Netzwerken. Vorausgesetzt, es käme keine Zensur zu Stande. Wie würde man sich Anderen gegenüber verhalten? Würden sich über das Internet nicht leicht Gruppen bilden, die gegen den Krieg sind?
“Krieg führen” – “Like!” – “Möchtest du dies über Twitter verbreiten?”
Oder würden sich gar politische Lager bilden? Ich denke ja, dass sich die Leute weiterhin ganz gut verstehen würden. Unabhängig von der Nationalität. Nur, wenn der Staat es schaffen würde, die Illusion zu erzeugen, dass das eigene Land im Recht ist, wäre es möglich, dass die Nutzer sich auch im Web verabscheuen.

Neben diesen Themen steht auch die Frage, wie sich ein Weltkrieg auf die Kryptologie auswirken würde. Mit TrueCrypt, Blowfish und anderen könnte es dann noch richtig interessant werden. Die Hersteller dieser Systeme müssten sich für eine Partei entscheiden. Parteilos zu sein, könnte eine Gefahr darstellen.

Ist das Ausmaß eines Krieges in einem so komplexen System überhaupt prognostizierbar?
Können wir uns überhaupt vorstellen, was passieren würde?

Haufenweise Fragen, von denen ich keine Einzige wirklich beantworten könnte. Ich hoffe einfach, dass es nie zu so etwas kommt. Allerdings denke ich auch nicht, dass ein Weltkrieg zur Zeit der Globalisierung und des Internets überhaupt möglich ist. Haben die einfachen Menschen nicht vielmehr Möglichkeiten Druck auf ihre Regierungen auszuüben? Wer will schon wirklich Krieg? Ein solches “Bedürfnis” müsste erst geweckt werden. Oder? :S