Das Problem: Automatisierte Bots durchforsten das Internet nach Formularen, um sie mit unsinnigen Informationen auszufüllen. Zudem gehen Formulardaten häufig zunächst an die E-Mail-Adressen der Website-Mitarbeiter, um später sortiert zu werden. Darüber hinaus pflegen viele Unternehmen ihre Marketing-Leads über Formulare direkt in Datenbanken ein, die dann wiederum mit Viagra-Angeboten statt potenziellen Kunden voll gestopft werden.
Die in Dallas ansässige Vier-Mann-Firma Form Armor hat einen gleichnamigen Web-Service entwickelt, der speziell Web-Formular-Spam blocken soll. Nach Angaben von Larissa Reynolds, die das Unternehmen zusammen mit ihrem Mann gegründet hat, ähnelt der Dienst einem Bezahl-Gateway. Sobald eine Web-Seite für die Nutzung des Dienstes konfiguriert ist, werden Formulardaten verschlüsselt und zur Echtzeitanalyse an Form Armor geschickt, wo sie dann als "good" oder - für den Fall, dass die Eingabe eine Form von Malware oder SQL-Injection beinhaltet - als "bad" beziehungsweise als "ugly" eingestuft werden. Gute oder unbedenkliche Formulardaten werden an den Kunden weitergeleitet, während die bösartigen geblockt werden.
Eigenen Angaben zufolge hat Form Armor sieben Jahre daran gearbeitet, bis seine Technik Formular-Spam eindeutig identifizieren konnte. "Wir sind Berge von Daten durchgegangen, um einen Algorithmus zu entwickeln, der zwischen Missbrauch und legitimen Inhalten unterscheiden kann", berichtet Reynolds. Für seinen Service erhebt Form Armor eine monatliche Gebühr von neun Dollar pro Website - unabhängig von der Zahl der Formulare. Für 29 Dollar pro Seite und Monat ist ein ausgefeilteres API (Application Programming Interface) zu haben, das mit PHP, ASP.net, ASP und bald auch DotNetNuke arbeitet. Die Schnittstelle soll Administratoren die Kontrolle über die Art der Formulardatenspeicherung ermöglichen - unabhängig davon, ob diese als gut oder schlecht erachtet werden. Das Gros ihrer Kunden legt allerdings keinen Wert darauf, die bösartigen Daten einzusehen, so Reynolds.
CAPTCHA-Alternative
Form Armor bietet seinen Dienst als Alternative zu dem mittlerweile betagten und zunehmend schwächelnden Website-Schutzmechanismus CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) an. Die verzerrten Zeichenketten sollen verhindern, dass Computer sich automatisch für kostenlose E-Mail-Adressen registrieren oder Kommentare auf Sites posten oder andere Eingaben machen können. Der betagte Authentifizierungsmechanismus wird jedoch immer häufiger ausgehebelt. Darüber hinaus setzen Spammer mitunter auch Menschen ein, um CAPTCHAs aufzulösen. So berichtet die Form-Armor-Chefin von einem Fall, bei dem jemand, der offenbar eigens dazu angeheuert war, frustriert schrieb: "Warum, warum nur musste ich in dieses Land kommen, um das zu tun."
Wie Form Armor genau funktioniert, will Reynolds allerdings nicht preisgeben. Auch über Sites, die sich mit Form Armor schützen, lässt sich über die Funktionsweise der neuartigen Formular-Spam-Abwehr nichts herausfinden - das Processing findet auf Server-Seite statt, auch scheinen sämtliche Formulardaten normal verarbeitet zu werden, selbst wenn sie geblockt werden. Zwar wird die Technik derzeit ausschließlich für Formulardaten genutzt, sie ließe sich jedoch für den Einsatz auf kostenlosen E-Mail-Plattformen wie denen von Google oder Yahoo erweitern, meint Reynolds.
Auch über die Zahl der Unternehmen, deren Websites Form Armor bereits schützt, will die Chefin des Kleinunternehmens keine Auskunft geben. Ein Kunde, Urbanity Studios, Anbieter von personalisiertem Briefpapier, ist jedoch offenbar sehr zufrieden. Mit dem steigenden Traffic auf der eigenen Site habe auch Spam via Formulare drastisch zugenommen, berichtet Micki Ahrens, Marketing-Direktor bei Urbanity Studios. Es sei so schlimm geworden, dass das Unternehmen von dem E-Mail- und Web-Security-Appliance-Hersteller Barracuda Networks zeitweilig auf die Blacklist gesetzt wurde. Ein Problem, das mittlerweile Vergangenheit ist: Seit Urbanity Studios die Neun-Dollar-Variante des Form-Armor-Service nutze, seien nur noch vereinzelt Spam-Messages durchgekommen, so Ahrens. Auch False Positives seien anscheinend rar, da sich Urbanitys Kunden bei Problemen mit der Web-Seite in der Regel schnell über die kostenlose Telefonnummer des Unternehmens beschweren.