11. März 2008
Die Zeit hat (schon vor einigen Tagen) einen sehr schönen und fundiert argumentierten Beitrag von Kai Biermann zum Grundsatzurteil des Bundesverfassungsgerichts betreffend Online-Durchsuchung veröffentlicht. Auf diesem Niveau kann man sonst höchstens noch Heribert Prantl oder Hans Leyendecker, beide bei der Süddeutschen Zeitung lesen.
Im Kern geht es um das neue „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Das bedeutet vermutlich mehr, als uns allen zur Zeit bewusst ist. Natürlich ist das IT-Grundrecht erst einmal ein Abwehrrecht gegen staatliche Begierde in Person eines paranoiden Rollstuhlfahrers.
Doch das neue Recht betrifft nicht nur den Staat. Grundrechte schützen beispielsweise auch vor dem Nachbarn, dem Arbeitgeber oder dem Ehepartner. Möglicherweise ist eine Folge dieses neuen Grundrechts, dass der Arbeitgeber private Daten eines Arbeitnehmers auch dann nicht mehr betrachten dürfen, wenn private Nutzung ausdrücklich verboten ist. Was ist mit Logfiles, z.B. auf Web- und Mailservern? Von all dem konnte ich bisher nur in der Zeit lesen.
Ich denke, das neue IT-Grundrecht wird noch spannend.
Ich schrieb schon ein paar mal über Captchas, unter anderem wie man Mathe-Captchas knackt und warum Captchas auf Dauer nicht funktionieren werden. Das war am 8. Februar. Inzwischen sind wir von der Realität überholt worden.
Anscheinend ist auch die letzte Antispam-Bastion gefallen, die Captchas die Google Mail vor den Spammern schützen. Moderne Spambots können inzwischen 20-30% der Captchas korrekt erkennen. Das reicht leicht, um flächendeckend Google Mail Spamaccounts anzulegen. Der Vorteil eines Spammers bei Google Mail ist insbesondere, dass diese Domains noch kaum blockiert werden, da bisher das Spamaufkommen relativ niedrig war. Ganz im Gegensatz z.B. zu Yahoo Mail oder Hotmail. In meinem direkten Bekanntenkreis findet sich niemand, der noch Yahoo Mail oder Hotmail verwendet. Alles was von dort kommt, ist 100% Spam. Beide Domains werden daher von mir inzwischen komplett blockiert.
Interessanterweise scheint sich das Problem noch nicht rumgesprochen zu haben. Da gibt es die Seite PWNtcha, die diverse Captchas dekodieren kann (aber keinen Source Code veröffentlicht). Dort ist man immer noch der Meinung, dass es gute Captchas geben kann, die auch in Zukunft funktionieren. Ich widerspreche dieser Ansicht ganz entschieden. Moderne Captchas wie sie z.B. Yahoo einsetzt sind so kompliziert, dass die Erkennungsrate echter Menschen teilweise unter der von Captcha-Dekodern liegt. Da lässt man den Schutz besser ganz weg.
Komplett vernachlässigt wird in der ganzen Diskussion die Barrierefreiheit. Was macht denn ein Anwender, der leider nicht sehen kann? Arschkarte gezogen? Das sollte eigentlich nicht sein. Ich frage mich ja, wann in Amerika die ersten Blindendiskriminierungsprozesse stattfinden, weil sich Blinde bei Google Mail nicht anmelden können.
Ein paar Wirrköpfe glauben zwar noch, das Gelbe vom Ei erfunden zu haben, praktisch steckt aber nur heiße Luft dahinter. Ein Beispiel ist dieser Programmierer, der glaubt durch geschickt benannte Eingabefelder das Spam-Problem zu lösen. Wenn man sich den daraus resultierenden HTML-Code anschaut, dann sind zwar die Formularfeldnamen kodiert, irgendwo muss aber noch eine verständliche Beschreibung stehen denn Menschen müssen die ja auch richtig ausfüllen können.
<tr><td>Name:</td><td><input name="7f0f3f86b0bcd308584728af6ab2335d"
style="width: 200px;" type="text"></td></tr>
<tr><td>E-Mail:</td><td><input name="dc7b8fd4bf5bc84ea95ce39b7b625bc5"
style="width: 200px;" type="text"></td></tr>
<tr><td>Betreff:</td><td><input name="2d9f7da47a267ae7d2e69e535ec9315a"
style="width: 200px;" type="text"></td></tr>
Ich schätze, in etwa drei Minuten kann ich einen kleinen Parser schreiben, der die Texte neben den Eingabefeldern richtig den Formularfeldnamen zuordnet.
Der Autor schreibt übrigens ganz stolz, dass noch niemand sein geniales Verfahren überlistet hat und er seither keinerlei Spamprobleme hat. Das hat einen einfachen Grund. Die Seiten auf denen dieses Verfahren eingesetzt wird sind so unwichtig, dass sich kein einziger Spammer bisher die Mühe gemacht hat, drei Minuten in einen Parser zu investieren. Sobald sich das Verfahren jedoch auf mehr Seiten durchsetzen sollte wird es sofort gebrochen und ist auch gleich wieder verschwunden.
Ich persönlich tendiere ja zu mathematischen Rechenaufgaben. „Berechnen Sie den Cosinus des zweiten Logarithmus der vierten Nullstelle der Riemannfunktion!“ oder so wäre z.B. eine Aufgabe die zwei Probleme mit einem Streich löst. Zum einen bleiben die Spammer draußen, zum anderen steigt das Niveau der Kommentare denn die Flachmaten dürften mit dieser Aufgabe leicht überfordert sein.
Aber mal im Ernst … gerade bei Angeboten die sich an die breite Masse richten werden Captchas in Zukunft nicht mehr funktionieren. Für die muss das Captcha so trivial sein, dass es irgendwie noch richtig eingegeben werden kann und das bedeutet, irgendeine Software kann garantiert das gleiche.
Das Problem: Ich sehe keine echte Alternative. Audio-Captchas sind zwar nett aber helfen nicht bei Schwerhörigen, JavaScript-Gelumpe wird mittelfristig auch überlistet, sobald es weiter verbreitet ist (oder die Spammer steuern einfach einen Browser fern). Und dann darf nicht vergessen werden, dass es in China eine Menge Leute gibt die den ganzen Tag vor dem Computer sitzen, World of Warcraft spielen und die gewonnenen Artikel in der realen Welt verkaufen. Die könnten genauso gut auch Captchas eingeben.
Ich fürchte wir haben zumindest technisch den Kampf gegen Spam verloren.