Vorschlag für eine Produktinnovation
Version 1.2/2.1, 10.04.2005
Hauke Laging, Grazer Platz 22, 12157 Berlin, Tel.: 030/32603660, mobil: 0172/7630883, E-Mail: hauke@laging.deAusgangslage - das Problem des Kunden
Problembewusstsein
Nebenziele, positive Nebeneffekte, weitere Betroffene
Anforderungen
Realisierung
mögliche Probleme
Entwicklungskosten und -dauer, Unsicherheit des Entwicklungserfolgs
Investitionsbedarf und variable Kosten
vorhandene ähnliche Produkte
Vorteile der Innovation und ihr Gewicht, Aufwand-Nutzen-Verhältnis
Nachteile der Innovation
Zielgruppen
Vermarktung
Marktforschungsbedarf
Preisspanne, Umsatz, Deckungsbeitrag
rechtliche Probleme
Imitationsrisiko, Barrieren gegenüber (potentiellen) Wettbewerbern
Alternativen
Chancen & Risiken - zusammengefasst
Die bereits vorhandenen Verfahren, "Suchmaschinen" von Webseiten auszuschließen, sollen der breiten Masse zugänglich gemacht werden, um E-Mail-Adressen im Web vor Adresssammlern verstecken zu können. Derselbe technische Mechanismus soll Dienste vor automatisiert angelegten Accounts schützen.
Man kann heute nicht mehr reinen Gewissens E-Mail-Adressen auf Webseiten hinterlassen, weil sie dadurch früher oder später in die Hände asozialer Elemente geraten. Nun ist es einerseits kaum praktikabel, auf E-Mail-Adressen zu verzichten, andererseits auch gar nicht uneingeschränkt zulässig (Impressumspflicht).
Die gängigen Maßnahmen - E-Mail-Adressen für Menschen leicht verständlich umzuschreiben: aus hauke@laging.de wird hauke _ laging de, E-Mail-Adressen werden als Bild angeboten - mögen wirksam sein, nerven aber die Nutzer der Webseiten. Die Adressen können natürlich nicht mehr verlinkt werden, man muss sie sich zusammenkopieren oder sogar abschreiben.
Firmen, Privatleute und vor allem Forenbetreiber haben ein großes Interesse daran, E-Mail-Adressen ohne (großes) Spamrisiko auf ihren Webseiten veröffentlichen zu können.
Ein anderes großes Problem ist das automatisierte Anlegen von Accounts. Dies ist einerseits eine Sicherheitsbedrohung, andererseits eine in bezug auf (Foren-)Spam und DoS. Siehe http://www.heise.de/security/news/meldung/71030
Das Problembewusstsein ist bei Webmastern und den Entwicklern von Forensoftware sicher recht hoch.
Es müsste lediglich verhindert werden, dass die Seiten, die die E-Mail-Adressen enthalten, maschinell zugänglich sind. Es gibt geeignete Möglichkeiten, so etwas zu verhindern. Diese werden heute vor allem von den Betreibern von Webangeboten mit der Möglichkeit, sich einen Account zuzulegen, und vielen Nutzern eingesetzt (z.B. Hotmail), um die automatische Erzeugung von Accounts zu verhindern.
Eine oder mehrere dieser Möglichkeiten sollen der breiten Masse zugänglich gemacht werden. Der Kunde bekommt die Möglichkeit, eine URL (ggf. mit Parametern) auf eine Ziel-URL (auf seiner Seite) zu konfigurieren. Anschließend ersetzt er alle (verstümmelten) E-Mails durch Links auf die "Schutzseite", die nach bestandener Prüfung den Besucher auf die Ziel-URL weiterleitet. Diese Seite wird einfach nicht verlinkt und ist dadurch faktisch nicht erreichbar.
Diesen Dienst kann man nicht nur zur Freude der eigene Kunden einrichten oder gar ihnen verkaufen, sondern man ihn auch kostenlos für die geringfügige Nutzung Dritten zur Verfügung stellen, um als Pionier dieser Dienstleistung so richtig bekannt zu werden und Kontakte zu potentiellen zukünftigen Kunden zu knüpfen.
Wenn man diesen Dienst für viele Webseiten anbietet, hätte man auch über die Statistik der Zugriffe Möglichkeiten, Adresssammler zu bekämpfen.
Die Nutzer dieser Maßnahme bekämen (kalkulatorisch) weniger Spam, wodurch der Provider - in überschaubarem Umfang - Kosten spart.
Sicherheit
Anforderung konfigurierbar
Das gängigste Verfahren ist die Generierung von Bildern mit alphanumerischen Zeichen, die durch Striche verunstaltet sind, um so eine automatische Erkennung stark zu erschweren.
Allerdings reicht ein trivialer Schutz, solange der Angreifer sich nicht auf das Schutzsystem einstellt:
Geben Sie bitte das Wort "Marmelade" in das untenstehende Feld ein!
Man kann auch "Link-Fallen" nutzen, also Aufrufer blocken, die Links aufrufen, die niemand anklicken würde. Es gibt eine Reihe von Möglichkeiten unterhalb der "Zufallsbild-Luxusversion", die alle den Vorteil haben, mit deutlich weniger Rechenleistung auszukommen.
Vorstellbar ist auch die Nutzung von Client-Zertifikaten für Leute, die eben viel solche Seiten aufrufen.
Da die einzelnen Verfahren unterschiedlich sowohl gut als auch aufwändig sind, muss konfigurierbar sein, welche der Kunde nutzen darf, und der Kunde muss pro Link das oder die (nicht alles ist mit allen Browsern möglich - Javascript kann deaktiviert sein) gewünschten Verfahren festlegen können. Prinzipiell könnte man natürlich auch mehrere Verfahren kombinieren, um eine Überwindung zu erschweren.
Man sollte dem Kunden die Möglichkeit geben, aus mehreren Informationstexten einen auszuwählen, der dann auf der Seite angezeigt wird, damit seine Seitenbesucher verstehen, was der ganze Zirkus soll.
Wenn jemand mehrere geschütze Seiten innerhalb desselben Webangebots aufrufen will, dann wäre es aus dessen Sicht wohl eine Zumutung, wenn er jedesmal wieder irgendeine Hürde überwinden müsste. Es gibt eine Reihe von Möglichkeiten, diesem Problem zu begegnen:
kundenseitig
Nach Bestehen des Tests könnte ein Sitzungs-Cookie angelegt werden, bei dessen Vorhandensein die Webseiten des Kunden gleich die E-Mail-Adresse oder den Link auf die geschützte Seite einblenden.
Wenn der Kunde mit Session-IDs arbeitet, kann er sich bei Erreichen der E-Mail-Seite das Bestehen des Tests für diese Sitzung merken und sich analog zu Cookies verhalten
Nach Besuch der E-Mailseite könnte der Kunde auch Steuervariablen durchreichen, die dasselbe bewirken (auch ohne die Verwendung von Sessions)
anbieterseitig
Der Anbieter könnte sich die IP-Adresse und die besuchte Domain für einige Minuten merken und bei bekannter Kombination auf den Test verzichten und automatisch (HTTP redirect) weiterleiten.
Bei einfachen Tests (Formular ausfüllen) könnte der einzutragende Begriff für eine gewisse Zeit konstant gehalten werden, so dass die neueren Browser ihn automatisch eintragen (bei der Änderung des Begriffs würde man auch den Namen des Eingabefelds ändern, um das zu verhindern) und man nur noch klicken müsste.
Der Aufrufer könnte sich über ein SSL-Clientzertifikat identifizieren.
Wenn man Clientzertifikate vergibt oder akzeptiert, muss man natürlich darauf achten, dass man sich auf dem Weg keine schwarzen Schafe einschleust. Man könnte die Zahl der auf diese Weise (also mittels desselben Zertifikats pro Zeitraum) aufgerufenen Seiten begrenzen, um diese Variante für Adresssammler uninteressant zu machen. Niemand ruft im Monat 100 E-Mailadressen auf. Und wenn doch, dann soll er sich entweder gesondert qualifizieren oder eben Formulare ausfüllen, sobald sein Kontingent voll ist.
Anzuerkennende Zertifikate sollten auch vom Kunden (automatisch) vorgegeben werden können.
Da die Tests der Aufrufe ganz verschiedener Domains beim selben Filtersystem landen, hat man die Möglichkeit, Adressen, von denen aus in großer Menge Abfragen auf "gesperrte" Seiten kommen, zu blocken, da es dafür keinen legitimen Grund gibt.
Dies wäre eine Maßnahme um die Überwindung einfacher Schutzmechanismen zu kontern. Die Kunden sollten konfigurieren können, ob sie so etwas für ihre Seite nutzen wollen.
Um größtmögliche Flexibilität zu bieten, sollte die Testseite alle übergebenen Variablen an die E-Mail-Seite durchreichen.
Aufwändig in der Entwicklung wären nur die "große Version", also die Zufallsgrafiken, und die Verwaltung der Zertifikate, die aber organisatorisch die größere Herausforderung darstellt als technisch. Vermutlich kann man entsprechende Software auch schon einkaufen.
Da es nur um den Aufruf von E-Mail-Adressen geht, machte der Traffic nur einen kleinen Bruchteil dessen der jeweiligen Seite aus. Hier ist also kein großer Hardwareaufwand einzukalkulieren. Echte Anforderungen an so ein System stellen nur die Zufallsgrafiken und die SSL-Verbindungen.
Es gibt die vorgeschlagene Technik schon, jedenfalls die sicherste Variante. Die Innovation besteht nicht in der eigentlichen Maßnahme, sondern darin, sie dem breiten WWW zur Verfügung zu stellen.
Der Vorteil für diejenigen, die sich so etwas nicht selber basteln können oder wollen ist erheblich - endlich können sie reinen Gewissens E-Mail-Adressen auf ihrer Webseite hinterlegen. Die technisch versierten Nutzer hätten eine bequemere Möglichkeit, als es selber zu machen. Außerdem stehen ihnen die anspruchsvollen Varianten wahrscheinlich dennoch nicht zur Verfügung.
Ein großer Vorteil ergibt sich beim "Wettrüsten" zwischen den Blockern und den Umgehungsmechanismen. Wenn man als Webmaster einen Dienstleister dafür hat, muss man sich keine Gedanken darüber machen, ob man auf dem Stand der Technik ist - man bleibt es automatisch. Durch einen darauf spezialisierten Dienstleister schafft man außerdem einen Know-How-Pool, der an sich schon höhere Qualität erwarten lässt.
Der Nachteil gegenüber einer Selbstbaulösung ist, dass ein Adressammler sich nie auf eine Selbstbaulösung einstellen wird, sehr wohl aber auf einen hinreichend großen Anbieter. Damit wäre man wieder beim Stichwort Wettrüsten.
Eigentlich alle, denn speziell für E-Mail nutzt so etwas bisher wohl niemand. Insbesondere natürlich die Betreiber von Diensten mit Registrierungsmöglichkeit.
Zur Vermarktung sollte man auch Nicht-Kunden die beschränkte Nutzung dieses Dienstes anbieten (z.B. kostenlos, aber auf 50 Aufrufe pro Monat und Domain limitiert).
Ein erheblicher Vorteil bei der Verbreitung wäre zu erwarten, wenn man dafür sorgt, dass populäre (Open-Source-)Forensoftware um die Möglichkeit ergänzt wird, eine solche externe Seite leicht in den Anmeldeprozess einzubinden. Dies könnte etwa über die Übergabe von Parametern und ein shared secret erfolgen.
Einerseits ist der Schutz ihrer Adressen wohl auch den meisten Privatleuten einen EUR im Monat wert, allerdings kann man es auch selber machen, viele sind bisher einfach nur nicht darauf gekommen, und es werden sich schnell andere Anbieter finden. Das begrenzt die Durchsetzbarkeit der Preise.
Das technische Wettrüsten gegen die Netzkriminellen ist dagegen eine teure Angelegenheit, die man gerne abgibt. Entsprechend höher ist die Zahlungsbereitschaft, zumal Selbstbaulösungen bei Forensoftware enge Grenzen gesetzt sind.
Es besteht daher die Chance, diesen Dienst nicht nur den eigenen Kunden anzubieten, sondern auch anderen (was das Problem der Abrechnung von Kleinbeträgen mit sich bringt). Der erste Anbieter bekommt vermutlich noch die nötige Presse, die späteren nur eingeschränkt, weil es dann nicht mehr spannend ist.
Möglicherweise ist das Verfahren mit den Zufallsbildern durch Patente geschützt - wenn das denn (hier) überhapt möglich ist.
Das kann jeder sofort nachbauen. Die Pioniergewinne beschränken sich also auf die Aufmerksamkeit, die man mit einem neuen Dienst erregen kann.
Die für viele realistische Alternative lautet Selbermachen, allerdings primär bei E-Mail, weil der technische Druck der Angreifer da nicht so hoch ist.
Die große Chance liegt in der riesigen Größe der Zielgruppe. Das Risiko darin, dass viele die Anregung aufnehmen und selber machen (zumal dies objektiv Vorteile hat), anstatt diesen Dienst zu nutzen. Aber auch bei dieser Gruppe hätte man einen positiven Imageeffekt zu verzeichnen. Andererseits ist das Kostenrisiko beschränkt.
Naheliegende oder bereits vorgebrachte Einwände:
Es gibt sicher noch andere Dinge als E-Mail-Adressen, die manch ein Webmaster vor den Augen der Suchmaschinen verstecken will
Erweiterung auf den Schutz vor automatisiert angelegten Accounts
ergänzt: Absatz Marktchancen / Vermarktung