SPAM Abwehr - Ist markocupic/contao-altcha-antispam noch eine aktuelle Waffe?

Zitat:

---

Zitat von Kommunalo

Mit der Erweiterung https://packagist.org/packages/con2n...am-form-bundle konnte ich den Spam in Contao 5.3 erfolgreich blockieren. Danke an den Entwickler!

Erforderliche Schritte:

• Erweiterung installieren
• ALTCHA HMAC-Key erzeugen und in .env.local im Rootverzeichnis eintragen
• im Formular den Spamschutz aktivieren
• im Formular ein ALTCHA-Feld Widget einfügen

Die Erweiterung ist gut dokumentiert. Es stehen weitere Optionen zur Verfügung, um den Spamschutz zu verbessern.

---

Konnte mit dieser Erweiterung aktuell auch die Massen-Spams eindampfen, aktuell auf 0 Stück...
Meine Konfiguration wäre:

Code:

---

contao_anti_spam_form:
  altcha:
    # Challenge difficulty (höher = schwerer für Bots, langsamer für User)
    # Easy: 10000, Normal: 50000, Medium: 100000, Hard: 250000, Very Hard: 500000
    max_number: 150000
   
    # Salt length (8-32)
    # 16 = 128 Bit Entropie (empfohlen für CAPTCHA)
    salt_length: 16
   
    # Hash algorithm: SHA-256 (fast), SHA-384 (medium), SHA-512 (secure)
    algorithm: 'SHA-256'

---

Aktuell hab ich "nur" das ALTCHA-Widget aktiviert und die IP-Blacklist. Nur mit dem ALTCHA kamen trotzdem noch Spams durch.
So sieht das ganze nun bei mir im Log aus. Seltsam erscheint allerdings der Hinweis, dass ein Formular abgeschickt wurde - was aber nicht passierte weil geblockt wurde.

Anhang 28196

Viele Grüße,
Tobi

Zitat:

---

Zitat von Kommunalo

Mit der Erweiterung https://packagist.org/packages/con2n...am-form-bundle konnte ich den Spam in Contao 5.3 erfolgreich blockieren. Danke an den Entwickler!

Erforderliche Schritte:

• Erweiterung installieren
• ALTCHA HMAC-Key erzeugen und in .env.local im Rootverzeichnis eintragen
• im Formular den Spamschutz aktivieren
• im Formular ein ALTCHA-Feld Widget einfügen

Die Erweiterung ist gut dokumentiert. Es stehen weitere Optionen zur Verfügung, um den Spamschutz zu verbessern.

---

Hallo Kommunalo,
Danke, aber ich stehe wohl auf dem Schlauch.
Nach Altcha HMAC-Key erzeugen (Shell auf Webserver) und in neuem .env.local im Root neben composer.json/lock eintragen und Anwendungs-Cache leeren kommt bei mir bei der Formular-Konfig die Fehlermeldung
Environment variable not found: "ALTCHA_HMAC_KEY". (internal server error).

Zitat:

---

Zitat von Druckfrosch

Hallo Kommunalo,
Danke, aber ich stehe wohl auf dem Schlauch.
Nach Altcha HMAC-Key erzeugen (Shell auf Webserver) und in neuem .env.local im Root neben composer.json/lock eintragen und Anwendungs-Cache leeren kommt bei mir bei der Formular-Konfig die Fehlermeldung
Environment variable not found: "ALTCHA_HMAC_KEY". (internal server error).

---

Ok gelöst, ich musste noch eine leere .env anlegen.

Zitat:

---

Zitat von Druckfrosch

Ok gelöst, ich musste noch eine leere .env anlegen.

---

"Die .env muss neben der .env.local vorhanden sein, sonst wird die .env.local ignoriert. Auch wenn in der .env nichts enthalten ist. Die DotEnv-Komponente von Symfony überschreibt niemals echte System-Umgebungsvariablen."

Keine Werbung aber dieser Blogbeitrag ist für Anwender doch sehr interessant :) (Zudem ist trakked auch top)
https://www.trakked.io/de/blog/conta...d-env-erklaert

Zitat:

---

Zitat von conter

Hallo zusammen,

ich habe bei einem Kunden auch das con2net/contao-anti-spam-form-bundle installiert und es scheint gut zu funktionieren.

Ein normaler Logeintrag bei Mail-Versand mit Notification Center lautet jetzt


Häufig ist im Log nur die Meldung "ALTCHA validated successfully".
Das ist vermutlich abgefangener Spam.

Ein paar Mal habe ich aber auch ALTCHA FAILED: No payload received for field "altcha".

Kann jemand erklären, was hinter dieser Nachricht steckt?

---

Moin conter,
freut mich wenn die Erweiterung bei Dir gut funktioniert. Die Meldungen überarbeite ich noch mal etwas. Die erste ist eigentlich eine Info die nur kommen soll, wenn man die Erweiterung mit DEBUG fährt. Ich passe das noch an. Aber sie besagt grundsätzlich erstmal nur, dass die ALTCHA Challenge erfolgreich gelöst wurde. Das ist eine der Voraussetzungen, dass die Nachricht überhaupt gesendet werden kann.

Die zweite Info bedeutet, dass das Formular ohne gelöste ALTCHA-Challenge abgeschickt wurde.
- Vielleicht durch Bots, die sich nicht an den normalen Ablauf halten wollen,
- JavaScript-Fehler oder JavScript deaktiviert
- User hat zu schnell auf "Absenden" geklickt (bevor ALTCHA fertig war)
- User hat die Seite verlassen/neu geladen
- irgendwelche technischen Probleme, die verhindern, dass die Challenge gelöst wird.

Wenn Du öfter solche Meldungen bei legitimen Usern siehst, könnte es vielleicht helfen, den Schwierigkeitsgrad von ALTCHA zu reduzieren (schnellere Challenge)?

Ich versuche das im nächsten Update etwas deutlicher zu machen. Danke für Deine Rückmeldung!

Hallo,

Ich habe heute versucht die markocupic/contao-altcha-antispam 0.6.6 zu entfernen,
das schlägt fehl.

Was kann ich machen?

$ /usr/bin/php8.3 -q -dmax_execution_time=0 -dmemory_limit=-1 -ddisplay_errors=0 -ddisplay_startup_errors=0 -derror_reporting=0 -dallow_url_fopen=1 -ddisable_functions= -ddate.timezone=Europe/Berlin /home/www/besser-zum-druck.de/public/contao-manager.phar.php composer install --no-dev --no-progress --no-ansi --no-interaction --optimize-autoloader

Installing dependencies from lock file
Verifying lock file contents can be installed on current platform.
Nothing to install, update or remove
Package doctrine/annotations is abandoned, you should avoid using it. No replacement was suggested.
Package doctrine/cache is abandoned, you should avoid using it. No replacement was suggested.
Package php-http/message-factory is abandoned, you should avoid using it. Use psr/http-factory instead.
Generating optimized autoload files
contao/manager-plugin: Dumping generated plugins file...
contao/manager-plugin: ...done dumping generated plugins file
125 packages you are using are looking for funding.
Use the `composer fund` command to find out more!
> @php vendor/bin/contao-setup

In YamlFileLoader.php line 809:

There is no extension able to load the configuration for "markocupic_contao
_altcha_antispam" (in "/home/www/besser-zum-druck.de/config/config.yml"). L
ooked for namespace "markocupic_contao_altcha_antispam", found ""doctrine",
"framework", "monolog", "fos_http_cache", "nelmio_cors", "nelmio_security"
, "scheb_two_factor", "twig_extra", "knp_menu", "knp_time", "cmf_routing",
"twig", "security", "contao", "flysystem", "contao_manager", "terminal42_co
nditionalformfields", "rocksolid_custom_elements", "multicolumnwizard-bundl
e", "contao_faq", "codefog_haste", "contao_etracker", "plenta_contao_tiny_c
ompress_images", "terminal42_dcawizard", "contao_news", "terminal42_multipa
ge_forms", "terminal42_leads", "rocksolid_frontend_helper", "rocksolid_mega
_menu", "terminal42_notification_center", "contao_calendar", "contao_newsle
tter", "contao_anti_spam_form", "softleister_backup_db", "contao_comments",
"rock_solid_slider"".

Du musst die Konfiguration der Erweiterung aus der config.yaml entfernen

Zitat:

---

Zitat von lbableck

Du musst die Konfiguration der Erweiterung aus der config.yaml entfernen

---

Danke für die schnelle Hilfe.
Es hat funktioniert.

Zitat:

---

Zitat von Spooky

Aus Datenschutzgründen sollte Google reCAPTCHA auf keinen Fall eingesetzt werden.

---

Ab April kann es dann wieder eingesetzt werden:
https://www.heise.de/news/Schluss-mi...-11169139.html

Zitat:

---

Zitat von neelix

Ab April kann es dann wieder eingesetzt werden:
https://www.heise.de/news/Schluss-mi...-11169139.html

---

Würde ich mir von deinem Anwalt bestätigen lassen.

Es gibt einen Anbieter aus Österreich: https://captcha.eu - sind zwar etwas teuer aber wir haben bei unseren Seiten damit den Spam unter Kontrolle bis auf vereinzelt mal eines.

Zitat:

---

Zitat von godfragger

Es gibt einen Anbieter aus Österreich: https://captcha.eu - sind zwar etwas teuer aber wir haben bei unseren Seiten damit den Spam unter Kontrolle bis auf vereinzelt mal eines.

---

... und auch eine Erweiterung dazu ;)
duncrow-gmbh/captcha-eu

Hallo,

ich habe die SPAM Erweiterung auch aktiv, bedeutet das, dass das Formular auslöst oder sind das Bots? Kann man das beim Log ausnehmen, so wirkt es immer wie ein Fehler.

Code:

---

        max_number: 150000
        salt_length: 16
        algorithm: SHA-256

---

Danke schön :)

DVC

Anhang 28364

Hi DVC,

magst Du die Erweiterung bitte mal aktualisieren? Der Fehler sollte in der aktuellen Version behoben sein.

Danke Dir!