Captcha Fragen: Protokollierung welcher User die Frage richtig oder falsch gelöst hat

1st Official Post

    Ich denke, immer mehr Admins hier stellen aus datenschutzgründen auf Captcha Fragen um. Ich finde es aber sehr unglücklich, dass man nicht erkennen kann, welche Frage von wem gelöst wurden und beim wie vielten Versuch.

    Um erkennen zu können, ob die Fragen gut oder schlecht sind, fände ich das sehr hilfreich, denn einerseits möchte man keine Fragen stellen, die die User überfordern, denn das verhindert Registrierungen und andererseits sollen Bots die Fragen aber nicht lösen können. Wenn sich gar nicht weiß, bei welcher Frage ein Bot durchgekommen ist, dann weiß ich auch gar nicht, welche Frage ich entfernen sollte.

    Liebe Grüße
    Susi

    Ich finde es jedenfalls ziemlich unschön Fragen zu stellen und nicht zu wissen, ob sie zu schwer für echte User sind oder ob ein Bot sie geknackt hat. Vielleicht gibt es da einen eleganteren Weg, ohne direkt auf den User rückschließen zu können, aber da würde mir jetzt nichts einfallen, denn man müsste ja erst einmal wissen (markieren?), wer ein echter User ist und wer ein Spammer. Aber das heißt ja nicht, dass anderen auch nichts einfällt.

    Liebe Grüße
    Susi

    Ich stimme zu, dass es eine wertvolle Information sein kann, dass die Erfolgsrate von Frage X bei n Prozent liegt. Wobei man das konzeptionell vermutlich noch etwas weiter denken muss, weil es nicht ganz so einfach ist, wie es auf dem ersten Blick scheint. Denn einerseits sollen Fragen bei berechtigten Interessen idealerweise sofort gelöst werden, von Spammern nach Möglichkeit nie.

    Aber was geht es mich als Administrator an, wer welche Frage richtig oder falsch gelöst hat? Für den von dir beschriebenen Anwendungsfall, daraus zu lernen, welche Fragen möglicherweise zu schwer sind, ist das jedenfalls nicht notwendig.

    Quote from Susi

    Vielleicht gibt es da einen eleganteren Weg, ohne direkt auf den User rückschließen zu können, aber da würde mir jetzt nichts einfallen,

    Das "wer" ist nur interessant in Bezug darauf, ob es ein Spammer war oder ein normaler User. Wenn du eine Idee hast, wie das möglich ist, dann nur raus damit. Denn mich als Admin würde in erster Linie interessieren,

    • welche Frage wurde von einem Bot gelöst und
    • welche Frage wurde von tatsächlichen Usern nicht gelöst

    Die Person ist dafür für mich unerheblich und ihr habt recht, dass es blöd, wäre darauf rückschließen zu können, aber wenn ich es auswerten will, müsste ja ein Programm wissen, wer ein Spammer ist. Wüsste es das vor der Registrierung, würde es ihn sinnvollerweise gar nicht erst rein lassen. Weiß ich es nicht, brauche ich wieder einen Mensch der da sagt, welcher User, sich als Spammer geoutet hat. Vom Zeitpunkt her, weiß ich das aber erst nach der Registrierung, was wiederum bedeutet, dass ich ja erst einmal alle Fehlversuche loggen müsste oder nicht? So war zumindest mein Gedankengang.

    Wenn das nicht notwendig ist, ist es um so besser. Dann wäre ich aber für direktes aussperren.

    Wobei man vielleicht die Fragen von denen über Stopforumspam rein gekommenen Spammer loggen könnte. Dann würde man wenigstens dort sehen, welche Frage sie korrekt beantwortet haben. Denn wenn die es geschafft haben, weiß man ja, dass sie das Captcha gelöst haben, aber nicht welche Frage es war. Und bei denen hätte man doch sicherlich ein berechtigtes Interesse fürs loggen. Sollte man solch einen User freischalten, könnte der Log ja auch direkt wieder gelöscht werden. Ich habe solche User aber noch noch freigeschaltet, sondern immer gesperrt. Und es hat sich danach auch noch nie jemand gemeldet.

    Liebe Grüße
    Susi

    Wenn es keine Fragen gäbe, die für die Bots nicht lösbar wären, dann könnte man sich die Captcha-Fragen (und alle anderen Captchas) auch ganz sparen. Das wird aber auch niemand wollen, zumal das Dinge sind, wo es wohl immer ein Katz und Maus Spiel ist und bleiben wird ;) . Hier gab es ja durchaus Arten von Fragen, die Erfolg haben sollen. Und gerade wegen dieser Hypothese denke ich, dass es wichtig ist zu wissen, mit welchen Fragen Bots durch kommen 🤷🏻‍♀️. Denn sonst können wir hier ewig diskutieren und keiner kann belegen, ob er recht hat oder nicht. Das ist einfach ein Stochern im Nebel und man ärgert sich über den nächsten Spammer, der durch kommt :( .

    Liebe Grüße
    Susi

    Quote from mipu

    Ich glaube in der heutigen Zeit mit Google gibt es keine so schweren Fragen mehr.
    Frage kopieren, in Goggle einfügen, lesen, fertig. :)

    Das ist kein sehr barrierefreier Zugang zu diesem Thema. Bei diesem Thema sollte man nicht nur von sich selbst ausgehen. Es gibt eine ziemlich große Anzahl an Menschen, wo wir hier tatsächlich von einer potentiellen Barriere sprechen müssen.

    Es geht dabei auch nicht immer nur darum, ob man eine Frage vom Intellekt her beantworten kann. Eine Frage kann auch auf Grund einer unerwarteten Schreibweise wie eine ausgeschriebene Zahl statt eines Nummern-Symbols, eines Fehlers auf Grund einer Rechtschreibschwäche oder wegen der Herkunft falsch beantwortet werden, weil man etwas in der Region eines bestimmten Nutzers vielleicht üblicherweise anders bezeichnet. Das sind alles keine Szenarien, bei denen man eine Suchmaschine bemüht. Und es gibt mit Sicherheit noch ganz andere Hürden. Das waren jetzt nur die ersten Beispiele, die mir direkt in den Sinn kamen.

    Insofern ist das schon eine legitime Anforderung, dass man als Betreiber gerne Einblicke hätte, welche Fragen vielleicht nicht gut funktionieren.

    Quote from SoftCreatR

    Das lässt sich mit einfachen Mitteln sicherlich umsetzen.

    Will man übrigens eine Frage haben, die sich weder mit Google, noch mit ChatGPT beantworten lässt, stellt man Fragen mit Seitenbezug. Ein simples Beispiel hier.

    Wieso sollte ChatGPT die nicht lösen können?

    Dein Beispiel:

    Quote

    In welcher Stadt befindet sich der Unternehmenssitz der Fahrzeuglackiererei & Karosseriebetrieb Sadiki?

    • Official Post

    Hallo,

    ich bin mir nicht sicher, welches Label hier angemessen ist, habe mich aber schlussendlich für „Umgesetzt“ (mit Fußnote) entschieden. Umgesetzt in dem Sinne, dass ab WoltLab Suite 6.0 grundlegende Statistiken über die CAPTCHA-Fragen erfasst werden. Konkret diese drei Zähler:

    • Angezeigt: Wie oft wurde ein Eingabefeld angezeigt, in das eine Antwort für eine CAPTCHA-Frage gehört.
    • Richtige Antworten: Wie oft wurde eine korrekte Antwort in das Eingabefeld eingetragen.
    • Falsche Antworten: Wie oft wurde eine inkorrekte Antwort in das Eingabefeld eingetragen (leer lassen wird nicht gezählt).

    Wenn ein Benutzer das Registrierungsformular aufruft und wieder schließt, dann geht nur „Angezeigt“ um 1 hoch. Wenn ein anderer Benutzer das Formular aufruft, eine falsche Antwort absendet, dann das Formular schließt, dann geht „Angezeigt“ um 2 hoch und „falsche Antworten“ um 1. Wenn ein dritter Benutzer das Formular aufruft, zwei falsche Antworten absendet, dann eine richtige Antwort absendet, dann geht „Angezeigt“ um 3 hoch, die falschen Antworten um 2 und die richtigen Antworten um 1.

    Track basic captcha question statistics by TimWolla · Pull Request #5305 · WoltLab/WCF
    See https://www.woltlab.com/community/thread/298982-captcha-fragen-protokollierung-welcher-user-die-frage-richtig-oder-falsch-gel%C3%B6st/
    github.com

  • Tim Düsterhus February 16, 2023 at 1:09 PM

    Added the Label Implemented

    Ah, ok, na das ist ja schonmal um einiges besser als bisher :thumbup: . Danke!

    Gut fände ich es halt, wenn man bei durchgekommenen Spammern sehen könnte, welche der Fragen sie geknackt haben. Aber durch oben schon beschriebenes Problem ist das sicher nicht so einfach machbar, außer bei denen, die StopForumSpam markiert hat. Vielleicht könnte man für die noch loggen welche Frage sie hatten :/ .

    Liebe Grüße
    Susi

    • Official Post

    Hallo,

    Quote from Susi

    Gut fände ich es halt, wenn man bei durchgekommenen Spammern sehen könnte, welche der Fragen sie geknackt haben.

    die Information steht generell nicht zur Verfügung: Das CAPTCHA kann an ganz unterschiedlichen Stellen zum Einsatz kommen, auch in Plugins. Sobald ein CAPTCHA erfolgreich gelöst ist, darf damit ein (1) Formular erfolgreich abgesendet werden. Dies dient dazu, dass ein Nutzer nach einer Falscheingabe (bspw. im Kontaktformular vergessen ein Feld auszufüllen) nicht beim nächsten Versuch erneut mit einem CAPTCHA belästigt wird. Die erfolgreiche Lösung ist aber nicht an das Formular gebunden (da die CAPTCHAs formularübergreifend die selben sind, hat das auch keinen Einfluss auf die Sicherheit), ein erfolgreich gelöstes CAPTCHA beispielsweise im Kontaktformular kann anschließend in der Registrierung eingelöst werden, wenn das Kontaktformular aufgrund eines anderes Fehlers nicht erfolgreich abgesendet und damit das CAPTCHA nicht eingelöst wurde.

    • Official Post

    Ergänzend zum Beitrag von Tim möchte ich noch anmerken, dass die ab 6.0 verfügbaren Metriken bereits einen guten Einblick bieten sollten. Bei mehreren Fragen werden diese statistisch gesehen ähnlich oft angezeigt.

    Wenn dann eine einzelne Frage eine überdurchschnittlich hohe Lösungsquote aufweist, kann dies ein Indiz dafür sein, dass diese zu einfach ist. Umgekehrt kann eine Frage mit überproportional vielen fehlerhaften Lösungen auch darauf hindeuten, dass die Frage zu schwer ist.

    Spam-Bekämpfung ist und wird immer eine Balance zwischen der Abwehr von unerwünschten Nachrichten und der Vermeidung von Ablehnungen legitimer Nutzer sein. Die vorgestellten Metriken sind so gewählt, dass diese Seitenbetreibern auch dabei unterstützen, die Abbrüche durch legitime Nutzer zu reduzieren.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login