Eine interessante Idee ist bei mir im Google Reader rein geflattert. Verstehen kann man sie allerdings erst wenn man sich vor Augen hält, was ein Bot (Google Crawler) auf der eigenen Seite so treibt. Es gibt für Bots zwei Gründe ein Formular auf einer Webseite auszulösen:
- Absetzen von Spam (Spam-Bots)
- Schauen was auf der nächsten Seite ist (Search-Bots)
Der Grund für zwei ist der, dass so zum Beispiel das Ergebnis einer Suchseite indiziert werden kann (ob das nun vernünftig indiziert werden kann, ist dabei ein anderes Problem). Aus diesem Grund gehen Bots hin, füllen ALLE Felder eines Formulars aus, und sorgen mittels eines submit für einen Post. Für die Spam-Bots ist der Fall damit erledigt, die Search-Bots haben noch ein geringes Interesse an der daraus resultierenden Seite.
Entsprechend funktioniert ein Hidden Captcha dahingehend, das man ein Formular-Feld hat, dass man dem Benutzer mittels JavaScript nicht anzeigt, ist dieses ausgefüllt ist ein Bot am Werk! Was passiert nun, wenn wir einen Bot entdecken? Gar nichts! In der Regel wird nichts angezeigt, nichts in die Datenbank gespeichert, usw.
Bei jQuery4U ist ein interessanter Post aufgetaucht, der die Idee eines HoneyPots aus der Intrusion Prevention aufgreift. Das Konzept des HoneyPots ist natürlich etwas umfassender, aber vom Prinzip her präsentiert man einem Hacker nicht das originale System, sondern ein Abbild. Der Hacker denkt er wäre im Originalen und man kann nachvollziehen wie er rein gekommen ist, und was er treibt ohne das er Schaden anrichten kann, oder an originale Daten gelangt.
Entsprechend stellt sich die Frage, wieso muss Schluss sein, wenn man mittels CAPTCHA einen Bot entdeckt hat? Ich könnte Google zum Beispiel auf eine Landing Page weiter senden, oder einem Spam-Bot als Antwort auf den Post 5GB zufällig generierten Daten-Müll senden.
Ideen kann man hier viele haben, aber wenn man mal genau darüber nachdenkt ist es eine blöde Lösung, bei georteten Bots jegliche Aktion sofort abzubrechen. Man kann da viel spannendere und lustigere Sachen machen … ;)
Die Idee der hidden Captchas ist eine gute. Jedoch weiß man am ende nur DAS ein Bot drauf ist, nicht was für einer.
Wenn man dem Bot nun zufällig 5 MB Datenmüll sendet, weil man davon ausgeht es ist ein Spambot, dann kann damit auch Schaden anrichten. Auch Google identifiziert sich mittlerweile nicht mehr immer als Googlebot! Im schlimmsten Fall wertet der Googlebot diese Seite als Gefährlich, im ungünstigen Fall nur als überladen und langsam. Beides bringt jedoch böse Strafpunkte und man verliert wertvolle Plätze in den SERPs.
Deshalb sollte man genau überlegen, welche lustigen Dinge man mit dem Bot spielt ;) Weil Google mag es auch grundsätzlich nicht, wenn ein Bot andere Dinge sieht als ein User.