CAPTCHA (Sicherheitsfrage) funktionier in Chrome nicht

**ttcdummy** · 13.11.2017, 12:36

Hallo zusammen,

ich habe heute festgestellt, dass der Honeypot-Spamschutz auf einem Projekt nicht korrekt funktioniert.

Eckdaten:
Contao 4.4.7
PHP 7.1
Chrome 62.0.3202.89 (Offizieller Build) (64-Bit)
Contao Leads und Notification-Center installiert

Problem:
Zunächst wird das CAPTCHA wie gewünscht nicht angezeigt. Beim absenden des Formulars erscheint es allerdings mit dem Hinweis, dass es falsch ausgefüllt sei. Füllt man es dann korrekt aus (also löst die Rechenaufgabe) und sendet das Formular ab, bleibt es bei dem Fehler. Das Problem tritt nur im Chrome auf.

Ich habe es noch im IE11 und im Firefox 56.0.2 (64-Bit) getestet. Hier wird das CAPTCHA wie gewünscht nicht angezeigt (Honeypot) und auch das Absenden des Formulars funktioniert einwandfrei.

Was könnte das sein?

Edit:
Einen Hinweis habe ich noch: Das Projekt wurde von 3.5.30 auf 4.4.7 eigentlich erfolgreich soweit geupdated.

**Spooky** · 13.11.2017, 12:37

Poste einen Link zur Seite.

**ttcdummy** · 13.11.2017, 13:06

Hier einmal ein Screenshot aus den Chrome Developer Tools:
captcha-problem.png

Wie geschrieben. Das Projekt wurde von 3.5.30 auf 4.4.7 hochgezogen und um Leads und dem Notification-Center ergänzt.

**Spooky** · 13.11.2017, 13:08

Ohne Link zur Seite wird man nur schwer beurteilen können, was das Problem ist (bzw. ob es überhaupt eines gibt).

**ttcdummy** · 13.11.2017, 13:11

Was mir auffällt ist, dass nach dem Absenden und Auslösen des Fehlers das <script>...</script> fehlt:
captcha-problem-noscript.png

**Norbert001** · 01.01.2018, 08:11

Hallo,

ein frohes und gesundes neues Jahr 2018.
Contao 4.4.9
Ich habe gestern hier, http://contao4.of-white-avalanche.de/kontakt.html
ein neues Kontaktformular erstellt aber leider wird die Sicherheitsfrage nicht angezeigt,
diese ist aber auf sichtbar gestellt.

**mlweb** · 01.01.2018, 09:42

Das soll es ja auch nicht (Stichwort: Honeypot)

**Norbert001** · 01.01.2018, 09:52

OK. Danke

**designpilot** · 01.01.2018, 17:45

was mlweb damit sagen will, ist das die Sicherheitsabfrage nur dann erscheint wenn innerhalb einer gewissen Zeitspanne vom gleichen Besucher das Formular mehrmals aufgerufen und probiert wird zu versenden (@mlweb: korrigiere mich wenn ich das falsch verstanden habe).

**mlweb** · 01.01.2018, 17:49

Ja, genau. Ich denke Norbert hat das auch so verstanden.

***xchs*** · 01.01.2018, 18:00

Zitat von designpilot

das die Sicherheitsabfrage nur dann erscheint wenn innerhalb einer gewissen Zeitspanne vom gleichen Besucher das Formular mehrmals aufgerufen und probiert wird zu versenden

Die Sicherheitsfrage ("Captcha") wird immer dann angezeigt, wenn ein unsichtbares Honeypot-Formularfeld ausgefüllt wurde. Reguläre Seitenbesucher machen das i. d. R. nicht, daher wird denen normalerweise auch kein Captcha mehr angezeigt. Automatische Bots (u. dgl.) greifen aber gerne mal in den Honigtopf. Als Strafe müssten diese dann leider etwas Kopfrechnen, wenn sie das Formular trotzdem versenden wollen. Daran scheiterts dann aber meistens.

**mlweb** · 01.01.2018, 22:29

Ich hätte wohl doch bis zu Ende lesen sollen. Ist wohl nicht mein Tag heute. Danke für die Korrektur.

**Norbert001** · 02.01.2018, 07:54

Danke Danke für die ausführlichen Erklärungen.
Nach der Antwort von mlweb und Suche über Google war mir das schon klar was gemeint ist.
Danke noch mals.

**RichardR** · 20.02.2018, 21:55

Zitat von xchs

Die Sicherheitsfrage ("Captcha") wird immer dann angezeigt, wenn ein unsichtbares Honeypot-Formularfeld ausgefüllt wurde. Reguläre Seitenbesucher machen das i. d. R. nicht, daher wird denen normalerweise auch kein Captcha mehr angezeigt. Automatische Bots (u. dgl.) greifen aber gerne mal in den Honigtopf. Als Strafe müssten diese dann leider etwas Kopfrechnen, wenn sie das Formular trotzdem versenden wollen. Daran scheiterts dann aber meistens.

Was bedeutet das genau?

Daran scheitert es dann aber meistens.

Bezieht sich das auf die Tatsache, dass der Bot den Honigtopf auch unverändert lassen kann?
Weil er zum Beispiel das Label liest und "Dieses Feld nicht ausfüllen" kennt...

Wie ist denn das? Ein Bot kann ja nicht feststellen, ob das Formular mit Erfolg abgeschickt werden konnte, oder?
Also, wenn er das Formular mit verändertem Honigtopf abschickt, dann 'sieht' der Bot die Rechenaufgabe gar nicht mehr, weil er schon URLs später unterwegs ist?

Die Rechenaufgabe lösen kann nämlich zumindest 1 Bot, der unterwegs ist

Die Webseite, bei der das so ist, müsste eh ein update bekommen.
Warum nicht direkt Contao 4 nehmen, wenn das SPAM Problem (und die lästige Rechenaufgabe) damit wegfällt?
Aber wenn das Problem damit nicht wegfällt, weil der Bot im zweiten Versuch die Rechenaufgabe lösen darf (was er ja kann), dann fände ich es sinnvoller gar kein Captcha zu zeigen, sondern einfach das Formular nicht abschicken, wenn der Honigtopf verändert wurde.