Warum die Zugänglichkeit von Googles neuer RECAPTCHA-Version kompletter Bullshit ist

Vor einigen Tagen hat Google eine neue Version von RECAPTCHA veröffentlicht, die angeblich zugänglich sein soll. Warum dies kompletter Bullshit und lediglich Augenwischerei ist, möchte ich hier gern einmal verdeutlichen.

Was ist nochmal ein CAPTCHA?

CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“, also „vollautomatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander unterscheiden zu können“. Es geht hierbei darum, ein Blog, Forum oder anderes kontogestütztes Webangebot vor Spam-Robotern zu schützen, also Computern, die automatisiert Konten anlegen, um darüber dann massenhaft Werbung zu verbreiten.

Ein CAPTCHA besteht zumeist aus für Computer schwer lesbaren Texten oder Ziffern, die ein Mensch aber in der Regel entziffern können soll und sich somit als „echt“ gegenüber dem Server zu erkennen gibt. Da nicht alle Menschen lesen können, gibt es auch Alternativen wie verzerrte oder durch Hintergrundgeräusche gestörte Audiodateien, die Ziffern oder Wörter enthalten, die man abtippen muss, oder es werden Matheaufgaben gestellt, die man lösen und sich so mit dem richtigen Ergebnis als Mensch zu erkennen geben muss. Dass gerade letztere in aller Regel durch nur wenige Zeilen Perl oder Python gelöst werden können, ist eine Tatsache, die aber nicht Teil dieses Posts ist.

Das Problem mit der Zugänglichkeit

Google behauptet nun, dass die neue Version von RECAPTCHA, die man z. B. auf dieser von Patrick Lauke erstellten Beispielseite (öffnet in neuem Tab) ausprobieren kann, für Menschen mit Behinderungen zugänglicher sei als frühere Versionen. Es gibt jetzt ein Kontrollkästchen, das beschriftet ist mit „Ich bin kein Bot“. Aktiviert man dieses, laufen einige Tests ab, die darüber entscheiden sollen, ob man als Mensch erkannt wird oder nicht. Unter anderem fließen so Dinge wie die Bewegung der Maus in diese Heuristik ein, die man ausführt, um das Kontrollkästchen zu aktivieren. Weiterhin wird natürlich die IP-Adresse geprüft und verschiedene andere Dinge, wie z. B. ob man gerade oder kürzlich bei einem Google-Konto angemeldet war usw. Schlägt diese automatische Überprüfung fehl, wird man auf das herkömmliche System mit Text- oder Audio-CAPTCHA zurückgeworfen.

Das Problem ist nun, dass Screen Reader für Blinde oder Spracherkennungssoftware Kontrollkästchen eben nicht wie ein Mensch aktivieren, sondern einen Skriptbefehl oder ein Äquivalent ausführen, um das tun. Sie tun also im Grunde nichts anderes als Spambots, vor denen sich Webseiten ja gerade schützen wollen.

In den letzten Tagen gab es auf Twitter aber immer wieder Berichte, dass Anwender von Screen Readern vermeldet haben, dass sie das CAPTCHA problemlos lösen konnten, indem sie einfach das Kontrollfeld per Screen Reader aktivieren. Andere hatten jedoch mit exakt der gleichen Screen-Reader-/Browser-Kombination negative Ergebnisse.

Funktioniert, wenn man die obige Aussage über Screen Reader und Spambots zu Grunde legt, das CAPTCHA also nicht? Betrachten wir es doch mal nach einem typischen Ausschlussverfahren, das „funktionieren“ und „zugänglich“ miteinander kombiniert:

  1. Es funktioniert nicht und ist nicht zugänglich.
  2. Es funktioniert, ist aber nicht zugänglich.
  3. Es funktioniert nicht, ist aber zugänglich.
  4. Es funktioniert und ist zugänglich.

Punkt 1 erledigt sich von Selbst. Punkt 2 ebenfalls. Punkt 3 ist ebenso unsinnig, denn wie die Testergebnisse zeigen, ist es zwar i.d.r. zugänglich, funktioniert aber nicht immer, also nicht. Und Punkt 4 ist ein Widerspruch in sich, denn dieses RECAPTCHA-System kann nicht gleichzeitig zugänglich sein und funktionieren. Nochmals: Um ein Kontrollkästchen zu aktivieren, müssen Screen Reader und andere Spezialsoftware für Menschen mit Behinderungen automatisiert auf dieses Kontrollkästchen zugreifen und es aktivieren. Ein zuverlässiges Interagieren mit solchen Elementen ist allein durch eine Emulation von Mausbewegungen nicht möglich.

Während Googles neue Version von RECAPTCHA also rein vom Markup her die Voraussetzungen für Zugänglichkeit erfüllt, da dieses Kontrollfeld sowohl mit der Tastatur angesprungen werden kann als auch die richtigen Informationen an Screen Reader raus gibt, ist seine Zuverlässigkeit alles andere als gegeben, wenn man damit als Person mit einer Behinderung interagieren will. Zur Demonstration seien einige Videos angefügt, die Patrick Lauke kürzlich mit verschiedenen Screen Readern und Browsern auf der o. g. Testseite durchgeführt hat (öffnen alle in neuen Tabs):

All diese Videos zeigen, wie unzuverlässig die Erkennung läuft, obwohl, mal abgesehen von einigen Kinderkrankheiten bei der Tastaturbedienbarkeit, die Zugänglichkeit prinzipiell funktioniert. Warum es bei manchen manchmal doch klappt, weiß keiner. Eventuell hängt es auch davon ab, ob der amerikanische Präsident gerade auf Klo sitzt oder so.

CAPTCHAs gehören aber eh in die Tonne

Das Hauptproblem bei CAPTCHAs ist aber, dass dies für alle, egal ob Behinderung oder nicht, ein absoluter Alptraum der Benutzbarkeit ist. Die Schrift muss heute so verschwurbelt sein, damit Computer sie nicht entziffern können, dass selbst Menschen sie kaum noch lesen können. Mal ganz davon abgesehen, dass die Verantwortung für ein sicheres System hier auf den Endanwender abgewälzt wird, indem er erhebliche Mühen aufwenden muss, um sich als Mensch zu erkennen zu geben. Es gibt diverse Möglichkeiten, die Systeme auf Serverseite zu schützen, die effektiv sind, so dass man diese Bürde einem Endanwender wirklich nicht aufdrücken muss. Als Lektüre empfehle ich z. B. diesen englischsprachigen Artikel von Karl Groves mit Titel „Captchaless security„.

Und ja, jedem Webentwickler, der mich nach einer zugänglichen CAPTCHA-Lösung fragt, werde ich auch weiterhin sagen, dass er sich gefälligst auf seine vier Buchstaben zu setzen und seine Hausaufgaben ordentlich zu machen hat, anstatt sich jede Woche ein neues Framework wie rülps.js oder furz.js von Github herunterzuladen und damit zu spielen! Ihr wollt, dass eure Webseiten von Menschen benutzt werden, die eventuell sogar Geld da lassen sollen. Also implementiert gefälligst eine Lösung, die diesen Menschen nicht aufbürdet, sich als solche erkennen geben zu müssen, sondern behandelt sie mit Respekt!

13 Gedanken zu „Warum die Zugänglichkeit von Googles neuer RECAPTCHA-Version kompletter Bullshit ist“

  1. Bei CAPTCHAs fällt mir sofort die Seite der DENIC ein. Ein nicht ganz unwichtiger Dienst und oft genug nur mit Hindernissen nutzbar.

    Ich verstehe auch nicht, warum CAPTCHAs für Viele die einzige Lösung sein sollen. Abgesehen davon, dass sie entweder auch für Menschen nicht erkennbar oder im Umkehrschluss für BOTs eine leichte Beute sind.

    Um beispielsweise sein Blog vor Bots und unliebsamen Zeitgenossen zu schützen, bedarf es weder CAPTCHAS, Rechenaufgaben oder sonstigem nervigem Zeugs.

    Hier hilft Logik, der BIO-RAM und ein wenig PHP-Kenntnis. Schon ist relative Ruhe. Und von 100% Sicherheit kann man eh nicht ausgehen.

    Seit 2011 sind über die Kommentarfunktion meines Blogs vielleicht 5..7 Spammer „durchgekommen“. Halbwertszeit der Spameinträge etwa 5…6 Std. Dann sind sie gelöscht. Ähnliches gilt bei Projekten wie hilfsmitteltreff.at oder beate-hattinger.at.

    Und ja: Versuche, Spam zu hinterlassen gab es reichlich. Die haben nur dank gut überlegter „Sicherheitsnadeln“ nicht zum Erfolg geführt. Gerade kleinere oder vermeintlich „unbedeutende“ Projekte sind nicht selten Ziel vom Spammern, weil sie meinen, hier leichtes Spiel zu haben.

    Ich sehe das im übrigen wie Du:
    Statt sich mit diversen Frameworks, Präprozessoren und Bibliotheken aller Coleur zu beschäftigen und in diesem Zusammenhang immer wieder neue Säue durchs Web zu treiben, sollten sich die Experten lieber um zugängliche und nutzbare Webseiten kümmern. Ich sehe, dass bei allem Fortschritt in den letzten Jahren viele mühsam erarbeiteten Basics von Accessibility und Usability den Bach herunter gehen.

    Danke für Deine klaren Worte. Schöner Artikel.

    1. So ungefähr *lach*. Der Artikel spricht mir aber aus dem Herzen. Auch ich empfinde es als eine Zumutung, schwer verständliches Genuschel enträtseln zu müssen oder gar ganz zurückgewiesen zu werden, wenn es erst gar kein Audiocaptcha gibt – kommt gerade bei Foren häufig vor. Dass ein Webshop die Entzifferung eines Captcha-Bildchens verlangt, habe ich erst einmal erlebt, aber da hat man immerhin die Befriedigung, dass man denen kein Geld dagelassen hat:-).
      Gruß

  2. Schade das der Artikel diese ganzen Kraftausdrücke etc. verwendet. Im Kern ist das alles sicher richtig. Man darf nicht vergessen, dass die verwendeten Frameworks etc. oft Mittel zum Abheben von der Konkurrenz sind oder aus anderen Gründen ins Projekt eingebunden zu werden. Das Zeitalter der interaktiven Webanwendungen beginnt erst und da wird es noch viele Entwicklungen geben und wohl auch geben müssen. Sicher, vieles ist spielerei und dick aufgetragen, aber ist das nicht in fast allen Bereichen mittlerweile so? Wer braucht z.B. die ganzen Funktionen, die ein Handy mirtbringt? Niemand, aber sie sind trotzdem da.

  3. Hallo,
    also zunächst einmal danke für den Artikel, aber eine Frage wurde nicht beantwortet: ist es jetzt ein Fortschritt oder nicht? Für mich als Nichtbehinderten ist das neue Captcha sicherlich ein großer Fortschritt, da ich es nicht 3x neu laden muss, bis ich auf gut Glück die richtige Eingabe erwische, auch keine Rechenaufgaben lösen muss (was jeder Rechner eh besser kann) oder komische Hausnummer zu suchen habe.
    Was wäre denn eine gültige Alternative? Wie müsste ein Captcha gestaltet sein, dass eben auch die Ansprüche von Sehbehinderten erfüllt, das aber auch Körperbehinderte, Taube usw. nicht beeinträchtigt?
    Ich hätte mir zumindest ein paar Lösungsansätze gewünscht.

    1. Das ist jetzt quasi eine Radio-Eriwan-Frage: Ja, es ist im Prinzip auch für Blinde und Sehbehinderte eine Verbesserung, wenn es denn funktioniert! Und das tut es eben nicht zuverlässig, d. h., es gibt immer noch genügend Momente, in denen die Checkbox nicht funktioniert und man auf die alte Weise das Captcha lösen muss. Auch auf dem gleichen System, mal im einen, mal im anderen Browser.

  4. Danke für diesen tollen Post. Ich habe gerade selbst die Erfahrung machen dürfen, dass ich schier unlösbare Captchas auf goo.gl präsentiert bekam. Ich muss dazu sagen, dass bei mir keine Behinderung vorliegt und ich mir ein gewisses „Know-How“ hinsichtlich Captchas antrainiert habe. Dennoch, sofern man nicht in einem Google-Konto eingeloggt ist, bekommt man viel schwerere (Untertreibung) Captchas als im eingeloggten Zustand. Erst nach Einloggen in meine Google-Konto konnte ich auf Anhieb das erste Captcha lösen was ich bekam. Ich empfinde diese Dinger ebenfalls als Belastung und es ist ziemlich egal auf welche Seite man geht, es ist wie ein Virus … Just in dem Moment als mir fast der Arsch geplatzt ist, kam ich auf die Idee nach „Recaptcha Bullshit“ zu googlen und wurde hier ja durchaus fündig.

    Danke nochmals für die detaillierte Zusammenfassung der Problematik und auf eine hoffentlich … irgendwann (also nie) … captcha-freie Zukunft.

  5. Alleine die Tatsache, dass ich das Recaptcha nicht mit Tastatur alleine bedienen kann, wenn ich beauftragt werde, „alle Blumen auf den Bildern auszuwählen“, macht das System meines Erachtens mangelhaft. Der Tastaturfokus ist allgemein sehr schlecht, und die Bilder sind nicht fokussierbar.

    Ich frage mich manchmal schon, was sich Entwickler denken, wenn sie nicht mal Tastaturbedienbarkeit beachten.

  6. @Bachsau:
    Richtig. Google darf zu Recht davon ausgehen, dass blinde oder sehebehinderte Nutzer, dass körperlich eingeschränkte Nutzer oder Nutzer, denen aus technischen Gründen keine Maus zur Verfügung steht oder bei denen eine Maus technisch gar nicht möglich ist, eine Maus nutzen können, da sie zum Standard gehört.

    Und sicher kannst Du auch eine Maus an Dein Tablet oder Smartphone anschließen. Du bist ja schlau genug.

    Sorry, aber vor solchen Kommentaren besser das hoffentlich vorhandene Gehirn einschalten. Ich denke, Betroffene wissen genau wovon sie reden / schreiben.

    1. Blinde werden ein Bilder-CAPTCHA auch mit der Tastatur nicht lösen. Dafür gibt es ja die Möglichkeit auf eine Variante zum Anhören umzuschalten. Jeder Blinde der mit einem Computer arbeitet, besitzt dafür Hardware und Software um einem Cursor ähnlich einer Maus zu steuern und zu erfahren was darunter ist, ohne auf die klassische Tastaturbedienung angewiesen zu sein. An mein Smartphone schließe ich zwar keine Maus an, kann diese CAPTCHAs aber Problemlos lösen, denn der Touchscreen funktioniert ja fast wie eine Maus.

      Jeder der selbst eine Website betreibt, wird froh über diese dringend erforderlichen Neuerungen sein. Scheinbar ist dir nicht bewusst, zu welchem Problem Spambots geworden sind. Sie überrennen eine Seite derart dass eine Vernünftige Nutzung völlig unmöglich wird. Ohne wirksame Schutzmechanismen könnten wir uns hier gar nicht unterhalten, weil wir unsere Beiträge vor lauter Spam nicht mehr finden würden. Scheinbar bist du dir dessen nicht bewusst. Ich bin dann bei ReCAPTCHA ausgestiegen, weil es keine Sicherheit mehr bot und auf Asirra, ein Cat-CAPTCHA von Microsoft. Das war erst schlimm was Zugänglichkeit angeht. Alles JavaScript und so. Aber sowas nimmt man hin, wenn man sich der Bots kaum noch erwehren kann. Nun lässt sich ReCAPTCHA endlich wieder einsetzen, und das ist gut, denn wir brauchen ein System das funktioniert.

  7. Der größte Mist. Ich werde in 90% der Fälle als Bot erkannt LOL und muß dann Straßenschilder oder Pizzen anklicken, was wiederum in 70-80% der Fälle nicht funktioniert. Einfach nur nervtötend.
    Egal welcher Browser. Ich kriegs nicht hin und werde immer als Bot erkannt 🙁

Was denkst Du darüber?