SPAM Abwehr - Ist markocupic/contao-altcha-antispam noch eine aktuelle Waffe?

Zitat:

---

Zitat von Druckfrosch

5.3.43

Wenn ich ^0.6 require läuft im Testlauf alles durch, bei dem Upgrade dann gibt es eine Fehlermeldung.

Muss ich vor dem Upgrade die config.yml ändern?
in

markocupic_contao_altcha_antispam:
range_min: 290000
range_max: 300000
# hmac_key: xyz // Nicht mehr nötig

Danke

---

Ohne genaue "Fehlermeldung" kann ich nur mutmaßen. Bitte einmal posten

Siehe #63, der hmac_key muss aus der Config raus.

Zitat:

---

Zitat von Druckfrosch

Code:

---

> @php vendor/bin/contao-setup

In ArrayNode.php line 327:
                                                                             
  Unrecognized option "hmac_key" under "markocupic_contao_altcha_antispam". A 
  vailable options are "algorithm", "challenge_expiry", "delay", "honeypot_fi 
  eldname_pool", "range_max", "range_min".

---

---

@Druckfrosch du hast laut Fehlermeldung immer noch den hmac_key gesetzt. Das musst du vorher entfernen.

Zitat:

---

Zitat von lbableck

Siehe #63, der hmac_key muss aus der Config raus.

---

Danke jetzt ist hat es funktioniert.

Ich hatte es ja schon gelesen mit dem hmac_key , mir war es aber nicht klar zu welchem Zeitpunkt ich das # setzten muss.

Contao 5.3.43 / Altcha Version 0.6.6

Ich habe in config.yml

markocupic_contao_altcha_antispam:
algorithm: 'SHA-256' # optional, default is SHA-256
range_min: 10000 # Lower limit for the complexity (optional), default is 10000
range_max: 100000 # Upper limit for the complexity (optional), default is 100000
challenge_expiry: 3600 # optional, default is 3600

Dann Composer-Cache erneuert.

In den Grundeinstellungen habe ich nichts geändert.

Allerdings dauert die Prüfung sehr lange (PC ca. 20sec, Mobile ca. 45sec)
Außerdem erscheint nach der Prüfung manchmal ein neues Feld, oberhalb der Robot/Mensch Abfrage.

Zu sehen im Footer auf besser-zum-druck.de

Was kann ich machen bzgl. Prüfungszeit und wie kann ich das Feld verhindern.

Zitat:

---

Zitat von Druckfrosch

Allerdings dauert die Prüfung sehr lange (PC ca. 20sec, Mobile ca. 45sec)
Außerdem erscheint nach der Prüfung manchmal ein neues Feld, oberhalb der Robot/Mensch Abfrage.

---

Einen anderen Browser nutzen.
Vom Entwickler von Altcha ist nicht geplant dies zu "beheben", da dies die Schuld der Browser sei:
https://github.com/altcha-org/altcha/issues/146

Du solltest es also nicht zu hoch einstellen, dann brauchst du das Formular gar nicht einbinden.

Zitat:

---

Zitat von zoglo

Einen anderen Browser nutzen.
Vom Entwickler von Altcha ist nicht geplant dies zu "beheben", da dies die Schuld der Browser sei:
https://github.com/altcha-org/altcha/issues/146

Du solltest es also nicht zu hoch einstellen, dann brauchst du das Formular gar nicht einbinden.

---

Hmm, auf die Wahl des Browsers des Websitebesuchers hat man wohl keinen Einfluss.
Ich habe die Minimumwerte in der Config genommen.

Dann ist es wohl besser wieder auf die 0.4 Version zurückzugehen?

Zitat:

---

Zitat von Druckfrosch

Hmm, auf die Wahl des Browsers des Websitebesuchers hat man wohl keinen Einfluss.
Ich habe die Minimumwerte in der Config genommen.

Dann ist es wohl besser wieder auf die 0.4 Version zurückzugehen?

---

Die verwendete und eingebettete Bibliothek "Altcha" ist hierfür verantwortlich, nicht die Wrapper-Extension die dies in Contao integriert.
Stand heute wäre: "Du solltest deine Konfigurationswerte überdenken"

Zitat:

---

Zitat von zoglo

Die verwendete und eingebettete Bibliothek "Altcha" ist hierfür verantwortlich, nicht die Wrapper-Extension die dies in Contao integriert.
Stand heute wäre: "Du solltest deine Konfigurationswerte überdenken"

---

https://altcha.org/docs/v2/complexity/#complexity
Wenn ich hier mit meinem PC (Chrome) teste komme ich bei 100.000 und 1 Worker mit SHA 256 auf 0,4 Sec
Also warum habe ich dann mit diesen Werten 20-45 sec auf meiner Website?

Welche Konfigurationswerte würdest Du vorschlagen, bzw. hast Du eingestellt?

Zitat:

---

Zitat von Druckfrosch

https://altcha.org/docs/v2/complexity/#complexity
Wenn ich hier mit meinem PC (Chrome) teste komme ich bei 100.000 und 1 Worker mit SHA 256 auf 0,4 Sec

---

Weil Chrome schneller ist als Firefox, siehe https://community.contao.org/de/show...l=1#post600521 / https://github.com/altcha-org/altcha/issues/146

Zitat:

---

Zitat von Druckfrosch

Also warum habe ich dann mit diesen Werten 20-45 sec auf meiner Website?

---

siehe https://community.contao.org/de/show...l=1#post600521 / https://github.com/altcha-org/altcha/issues/146

Zitat:

---

Zitat von Druckfrosch

Welche Konfigurationswerte würdest Du vorschlagen, bzw. hast Du eingestellt?

---

Das musst du selber für dich herausfinden, ich bin auf einer Website beim Default, bei einer anderen war ich bei 20.000. Bei einer dritten habe ich Kontaktformulare deaktiviert.
Ist ein Arms'race, die Spammer sind auch Chromium-based und Stand heute scheint es so zu sein, dass die Spammer die Aufgaben lösen.
Du wirst sie also wahrscheinlich nicht abhalten, deine potenziellen Kunden aber schon.

Zitat:

---

Zitat von Kommunalo

Mit der Erweiterung https://packagist.org/packages/con2n...am-form-bundle konnte ich den Spam in Contao 5.3 erfolgreich blockieren. Danke an den Entwickler!

Erforderliche Schritte:

• Erweiterung installieren
• ALTCHA HMAC-Key erzeugen und in .env.local im Rootverzeichnis eintragen
• im Formular den Spamschutz aktivieren
• im Formular ein ALTCHA-Feld Widget einfügen

Die Erweiterung ist gut dokumentiert. Es stehen weitere Optionen zur Verfügung, um den Spamschutz zu verbessern.

---

Konnte mit dieser Erweiterung aktuell auch die Massen-Spams eindampfen, aktuell auf 0 Stück...
Meine Konfiguration wäre:

Code:

---

contao_anti_spam_form:
  altcha:
    # Challenge difficulty (höher = schwerer für Bots, langsamer für User)
    # Easy: 10000, Normal: 50000, Medium: 100000, Hard: 250000, Very Hard: 500000
    max_number: 150000
   
    # Salt length (8-32)
    # 16 = 128 Bit Entropie (empfohlen für CAPTCHA)
    salt_length: 16
   
    # Hash algorithm: SHA-256 (fast), SHA-384 (medium), SHA-512 (secure)
    algorithm: 'SHA-256'

---

Aktuell hab ich "nur" das ALTCHA-Widget aktiviert und die IP-Blacklist. Nur mit dem ALTCHA kamen trotzdem noch Spams durch.
So sieht das ganze nun bei mir im Log aus. Seltsam erscheint allerdings der Hinweis, dass ein Formular abgeschickt wurde - was aber nicht passierte weil geblockt wurde.

Anhang 28196

Viele Grüße,
Tobi

Zitat:

---

Zitat von Kommunalo

Mit der Erweiterung https://packagist.org/packages/con2n...am-form-bundle konnte ich den Spam in Contao 5.3 erfolgreich blockieren. Danke an den Entwickler!

Erforderliche Schritte:

• Erweiterung installieren
• ALTCHA HMAC-Key erzeugen und in .env.local im Rootverzeichnis eintragen
• im Formular den Spamschutz aktivieren
• im Formular ein ALTCHA-Feld Widget einfügen

Die Erweiterung ist gut dokumentiert. Es stehen weitere Optionen zur Verfügung, um den Spamschutz zu verbessern.

---

Hallo Kommunalo,
Danke, aber ich stehe wohl auf dem Schlauch.
Nach Altcha HMAC-Key erzeugen (Shell auf Webserver) und in neuem .env.local im Root neben composer.json/lock eintragen und Anwendungs-Cache leeren kommt bei mir bei der Formular-Konfig die Fehlermeldung
Environment variable not found: "ALTCHA_HMAC_KEY". (internal server error).

Zitat:

---

Zitat von Druckfrosch

Hallo Kommunalo,
Danke, aber ich stehe wohl auf dem Schlauch.
Nach Altcha HMAC-Key erzeugen (Shell auf Webserver) und in neuem .env.local im Root neben composer.json/lock eintragen und Anwendungs-Cache leeren kommt bei mir bei der Formular-Konfig die Fehlermeldung
Environment variable not found: "ALTCHA_HMAC_KEY". (internal server error).

---

Ok gelöst, ich musste noch eine leere .env anlegen.

Zitat:

---

Zitat von Druckfrosch

Ok gelöst, ich musste noch eine leere .env anlegen.

---

"Die .env muss neben der .env.local vorhanden sein, sonst wird die .env.local ignoriert. Auch wenn in der .env nichts enthalten ist. Die DotEnv-Komponente von Symfony überschreibt niemals echte System-Umgebungsvariablen."

Keine Werbung aber dieser Blogbeitrag ist für Anwender doch sehr interessant :) (Zudem ist trakked auch top)
https://www.trakked.io/de/blog/conta...d-env-erklaert

Zitat:

---

Zitat von conter

Hallo zusammen,

ich habe bei einem Kunden auch das con2net/contao-anti-spam-form-bundle installiert und es scheint gut zu funktionieren.

Ein normaler Logeintrag bei Mail-Versand mit Notification Center lautet jetzt


Häufig ist im Log nur die Meldung "ALTCHA validated successfully".
Das ist vermutlich abgefangener Spam.

Ein paar Mal habe ich aber auch ALTCHA FAILED: No payload received for field "altcha".

Kann jemand erklären, was hinter dieser Nachricht steckt?

---

Moin conter,
freut mich wenn die Erweiterung bei Dir gut funktioniert. Die Meldungen überarbeite ich noch mal etwas. Die erste ist eigentlich eine Info die nur kommen soll, wenn man die Erweiterung mit DEBUG fährt. Ich passe das noch an. Aber sie besagt grundsätzlich erstmal nur, dass die ALTCHA Challenge erfolgreich gelöst wurde. Das ist eine der Voraussetzungen, dass die Nachricht überhaupt gesendet werden kann.

Die zweite Info bedeutet, dass das Formular ohne gelöste ALTCHA-Challenge abgeschickt wurde.
- Vielleicht durch Bots, die sich nicht an den normalen Ablauf halten wollen,
- JavaScript-Fehler oder JavScript deaktiviert
- User hat zu schnell auf "Absenden" geklickt (bevor ALTCHA fertig war)
- User hat die Seite verlassen/neu geladen
- irgendwelche technischen Probleme, die verhindern, dass die Challenge gelöst wird.

Wenn Du öfter solche Meldungen bei legitimen Usern siehst, könnte es vielleicht helfen, den Schwierigkeitsgrad von ALTCHA zu reduzieren (schnellere Challenge)?

Ich versuche das im nächsten Update etwas deutlicher zu machen. Danke für Deine Rückmeldung!

Hallo,

Ich habe heute versucht die markocupic/contao-altcha-antispam 0.6.6 zu entfernen,
das schlägt fehl.

Was kann ich machen?

$ /usr/bin/php8.3 -q -dmax_execution_time=0 -dmemory_limit=-1 -ddisplay_errors=0 -ddisplay_startup_errors=0 -derror_reporting=0 -dallow_url_fopen=1 -ddisable_functions= -ddate.timezone=Europe/Berlin /home/www/besser-zum-druck.de/public/contao-manager.phar.php composer install --no-dev --no-progress --no-ansi --no-interaction --optimize-autoloader

Installing dependencies from lock file
Verifying lock file contents can be installed on current platform.
Nothing to install, update or remove
Package doctrine/annotations is abandoned, you should avoid using it. No replacement was suggested.
Package doctrine/cache is abandoned, you should avoid using it. No replacement was suggested.
Package php-http/message-factory is abandoned, you should avoid using it. Use psr/http-factory instead.
Generating optimized autoload files
contao/manager-plugin: Dumping generated plugins file...
contao/manager-plugin: ...done dumping generated plugins file
125 packages you are using are looking for funding.
Use the `composer fund` command to find out more!
> @php vendor/bin/contao-setup

In YamlFileLoader.php line 809:

There is no extension able to load the configuration for "markocupic_contao
_altcha_antispam" (in "/home/www/besser-zum-druck.de/config/config.yml"). L
ooked for namespace "markocupic_contao_altcha_antispam", found ""doctrine",
"framework", "monolog", "fos_http_cache", "nelmio_cors", "nelmio_security"
, "scheb_two_factor", "twig_extra", "knp_menu", "knp_time", "cmf_routing",
"twig", "security", "contao", "flysystem", "contao_manager", "terminal42_co
nditionalformfields", "rocksolid_custom_elements", "multicolumnwizard-bundl
e", "contao_faq", "codefog_haste", "contao_etracker", "plenta_contao_tiny_c
ompress_images", "terminal42_dcawizard", "contao_news", "terminal42_multipa
ge_forms", "terminal42_leads", "rocksolid_frontend_helper", "rocksolid_mega
_menu", "terminal42_notification_center", "contao_calendar", "contao_newsle
tter", "contao_anti_spam_form", "softleister_backup_db", "contao_comments",
"rock_solid_slider"".

Du musst die Konfiguration der Erweiterung aus der config.yaml entfernen

Zitat:

---

Zitat von lbableck

Du musst die Konfiguration der Erweiterung aus der config.yaml entfernen

---

Danke für die schnelle Hilfe.
Es hat funktioniert.