Sicherheitsabfrage Formulare Contao 4.4

**claudiacarolina** · 15.02.2019, 12:06

Hallo zusammen

Ich möchte in meine Formulare eine Sicherheitsabfrage einbauen. Anscheinend ist da was in Contao vorgesehen. Und da ich ein Theme gekauft habe, war/ist das im Kontatformular bereits eingefügt - wird jedoch im Frontend nicht angezeigt.

Was ich verwende:
- Contao 4.4
- Theme2Go #1 - Health Navigator

Wie gesagt im Formulargenerator wird es angezeigt:
Captcha-1.JPG

Dann habe ich auch mit den CSS-Klassen rumgespielt
Captcha-2.JPG

Doch es hat alles nichts gebracht. Im Frontend wird nix angeigt: http://web.den-berg-erleben.ch/konta...rgerleben.html

Die Anleitung im Handbuch hat mir auch nicht weitergeholfen: https://docs.contao.org/books/manual...formulare.html

Gibt es irgendwo eine genaue Anleitung, damit die Sicherheitsabfrage angezeigt wird und funktioniert?

Danke sehr für eure Hilfe!
Claudia

**Seefahrer** · 15.02.2019, 12:12

Hallo,

dass im FE nichts angezeigt wird, ist korrekt. Es handelt sich um einen sog. "honeypot", d.h. das Captcha wird nur angezeigt, falls ein Bot dieses "hidden field auszufüllen versucht ...
Ich hoffe, die Contao-Gurus sehen mir die etwas laienhafte Erklärung nach.

**claudiacarolina** · 15.02.2019, 12:18

Zitat von Seefahrer

Hallo,

dass im FE nichts angezeigt wird, ist korrekt. Es handelt sich um einen sog. "honeypot", d.h. das Captcha wird nur angezeigt, falls ein Bot dieses "hidden field ausfüllt.

AHA, das ist ja eigentlich super.... doch wie kann ich überprüfen, ob es funktioniert? und ob ich alles richtig eingestellt habe?

In dem oben genannten Theme, das ich verwende, wird weder bei der CSS Klasse noch bei den Template-Einstellungen was eingefügt, siehe Bild:
Captcha-3.JPG

Danke sehr und Grüsse
Claudia

***lucina*** · 15.02.2019, 12:27

Schau doch einfach mal in den Quelltext:

Code:

<div class="widget widget-captcha mandatory" style="display: none;">
        <label for="ctrl_11">
      <span class="invisible">Pflichtfeld </span>Captcha<span class="mandatory">*</span>
    </label>
  
    
  <input type="text" name="cfe77028e9b652444bb8308889f92598c" id="ctrl_11" class="captcha mandatory" value="" aria-describedby="captcha_text_11" maxlength="2" required="">
  <span id="captcha_text_11" class="captcha_text">Bitte rechnen Sie 1 plus 8.</span>

      <div style="display:none">
      <label for="ctrl_11_hp">Do not fill in this field</label>
      <input type="text" name="cfe77028e9b652444bb8308889f92598c_name" id="ctrl_11_hp" value="">
    </div>
    <script>
      document.getElementById('ctrl_11').parentNode.style.display = 'none';
      document.getElementById('ctrl_11').value = '9';
    </script>
  
</div>

**claudiacarolina** · 15.02.2019, 12:39

Zitat von lucina

Schau doch einfach mal in den Quelltext:

Code:

<div class="widget widget-captcha mandatory" style="display: none;">
        <label for="ctrl_11">
      <span class="invisible">Pflichtfeld </span>Captcha<span class="mandatory">*</span>
    </label>
  
    
  <input type="text" name="cfe77028e9b652444bb8308889f92598c" id="ctrl_11" class="captcha mandatory" value="" aria-describedby="captcha_text_11" maxlength="2" required="">
  <span id="captcha_text_11" class="captcha_text">Bitte rechnen Sie 1 plus 8.</span>

      <div style="display:none">
      <label for="ctrl_11_hp">Do not fill in this field</label>
      <input type="text" name="cfe77028e9b652444bb8308889f92598c_name" id="ctrl_11_hp" value="">
    </div>
    <script>
      document.getElementById('ctrl_11').parentNode.style.display = 'none';
      document.getElementById('ctrl_11').value = '9';
    </script>
  
</div>

ohhh jeeee..... ;-) bei mir sieht es so aus:

Code:

<div class="widget widget-captcha mandatory">
        <label for="ctrl_11">
      <span class="invisible">Pflichtfeld </span>Captcha<span class="mandatory">*</span>
    </label>
  
    
  <input type="text" name="c3bc9c487320af7af4a97c88da36b42b9" id="ctrl_11" class="captcha mandatory" value="" aria-describedby="captcha_text_11" maxlength="2" required>
  <span id="captcha_text_11" class="captcha_text">Was ist die Summe aus 3 und 3?</span>

      <div style="display:none">
      <label for="ctrl_11_hp">Do not fill in this field</label>
      <input type="text" name="c3bc9c487320af7af4a97c88da36b42b9_name" id="ctrl_11_hp" value="">
    </div>
    <script>
      document.getElementById('ctrl_11').parentNode.style.display = 'none';
      document.getElementById('ctrl_11').value = '6';
    </script>
  
</div>

Und jetzt? Gut so? Das Einzige, was mir auffällt ist, dass bei mir in der ersten Zeile

Code:

style="display: none;"

fehlt.

Danke.... und liebe Grüsse
Claudia

**mlweb** · 15.02.2019, 12:42

Also heißt es eigene (auch durch das Theme erstellte) Templates mit den Originalen vergleichen und wo erforderlich anpassen.

**claudiacarolina** · 15.02.2019, 12:55

Kann ich denn nicht irgendwie testen, ob es funktioniert oder nicht?

Bevor ich in irgendwelchen Originalen was rumbastle...

**mlweb** · 15.02.2019, 13:37

Zitat von claudiacarolina

Kann ich denn nicht irgendwie testen, ob es funktioniert oder nicht?

Was genau willst Du denn jetzt testen? Ob ein Bot das Feld tatsächlich ausfüllt und dann im Honeypod landet?

Zitat von claudiacarolina

Bevor ich in irgendwelchen Originalen was rumbastle...

Du sollst ja nicht an den Originalen aus dem Core rumbasteln, sondern Deine eigenen Templates bzw. die Templates des Themes mit den Originalen vergleichen.

**mlweb** · 15.02.2019, 13:41

Zitat von claudiacarolina

Das Einzige, was mir auffällt ist, dass bei mir in der ersten Zeile

Code:

style="display: none;"

fehlt.

[Ironie an]Der Code ist bei mir und wahrscheinlich auch bei allen anderen dafür verantwortlich, dass das chaptcha auf der Website nicht angezeigt wird.[/Ironie aus]

**claudiacarolina** · 15.02.2019, 13:56

Zitat von mlweb

Was genau willst Du denn jetzt testen? Ob ein Bot das Feld tatsächlich ausfüllt und dann im Honeypod landet?

Ja, in etwa so dachte ich es mir... Testen, ob der Schutz funktioniert :-)

Aber sonst gehe ich jetzt einfach mal davon aus, dass dem so ist... Der Rest jedenfalls funktioniert.

Danke sehr und Sonnengrüsse
Claudia

**mlweb** · 15.02.2019, 14:47

Es gab Leute die festgestellt haben, dass einige Bots es wohl auch schon geschafft haben könnten, den Honeypod zu umgehen. Bis jetzt konnte das aber noch nicht eindeutig nachgewiesen werden bzw. festgestellt werden wie der Honeypod umgangen wird.
Sicherheitsabfragen gleich welcher Art werden Dir nie 100% Sicherheit geben können. Die Rechenaufgabe als sichbare Sicherheitsabfrage die vorher vorhanden war, wurde doch nahezu von allen Bots überwunden, wenn ich mich nicht irre.

**PaddySD** · 15.02.2019, 15:28

Zitat von Seefahrer

Hallo,

dass im FE nichts angezeigt wird, ist korrekt. Es handelt sich um einen sog. "honeypot", d.h. das Captcha wird nur angezeigt, falls ein Bot dieses "hidden field auszufüllen versucht ...
Ich hoffe, die Contao-Gurus sehen mir die etwas laienhafte Erklärung nach.

Ich zähle mich nicht zu den Gurus, aber das ist doch eine tip-top Erklärung. Kurz, prägnant, alle wichtigen Punkte richtig beschrieben. Du hättest nur noch einen Amazon-Gutschein drauf legen können, aber das so kurz vor dem Wochenende - ist ja auch übertrieben, oder?

@claudiacarolina
Du kannst über die Entwickler-Tools im Browser den Honeypot ausfüllen, dann siehst Du, was passiert. Ich würde das einfach mal abwarten, wenn Spam abgesendet wird, wird Dir das Dein Kunde garantiert schnell erzählen. Ich sage das immer dazu und beobachte das dann in den ersten zwei Monaten.

**merlincom** · 12.05.2020, 11:56

Zitat von claudiacarolina

ohhh jeeee..... ;-) bei mir sieht es so aus:

Code:

<div class="widget widget-captcha mandatory">
        <label for="ctrl_11">
      <span class="invisible">Pflichtfeld </span>Captcha<span class="mandatory">*</span>
    </label>
  
    
  <input type="text" name="c3bc9c487320af7af4a97c88da36b42b9" id="ctrl_11" class="captcha mandatory" value="" aria-describedby="captcha_text_11" maxlength="2" required>
  <span id="captcha_text_11" class="captcha_text">Was ist die Summe aus 3 und 3?</span>

      <div style="display:none">
      <label for="ctrl_11_hp">Do not fill in this field</label>
      <input type="text" name="c3bc9c487320af7af4a97c88da36b42b9_name" id="ctrl_11_hp" value="">
    </div>
    <script>
      document.getElementById('ctrl_11').parentNode.style.display = 'none';
      document.getElementById('ctrl_11').value = '6';
    </script>
  
</div>

Bei mir in Contao 4.9.2 so:

HTML-Code:

<div class="widget widget-captcha mandatory" data-frontend-helper="{&quot;toolbar&quot;:true,&quot;links&quot;:{&quot;edit&quot;:{&quot;url&quot;:&quot;\/contao?do=form&amp;table=tl_form_field&amp;act=edit&amp;id=58&amp;rt=3Fso69nz9uZmCTLxDyYG8H1XnbRaY7jgVUMSgyZWtdc&amp;rsfhr=1&quot;,&quot;label&quot;:&quot;Formularfeld ID 58 bearbeiten&quot;},&quot;delete&quot;:{&quot;url&quot;:&quot;\/contao?do=form&amp;table=tl_form_field&amp;act=delete&amp;id=58&amp;rt=3Fso69nz9uZmCTLxDyYG8H1XnbRaY7jgVUMSgyZWtdc&amp;rsfhr=1&quot;,&quot;label&quot;:&quot;Formularfeld ID 58 l\u00f6schen&quot;,&quot;confirm&quot;:&quot;Soll das Element ID 58 wirklich gel\u00f6scht werden?&quot;},&quot;pastenew&quot;:{&quot;url&quot;:&quot;\/contao?do=form&amp;table=tl_form_field&amp;act=create&amp;id=7&amp;mode=1&amp;pid=58&amp;rt=3Fso69nz9uZmCTLxDyYG8H1XnbRaY7jgVUMSgyZWtdc&amp;rsfhr=1&quot;,&quot;label&quot;:&quot;Neues Formularfeld nach dem Formularfeld ID 58 erstellen&quot;}},&quot;template&quot;:&quot;form_captcha&quot;,&quot;templatePath&quot;:&quot;vendor\/contao\/core-bundle\/src\/Resources\/contao\/templates\/forms\/form_captcha.html5&quot;,&quot;templateURL&quot;:&quot;\/contao?do=tpl_editor&amp;key=new_tpl&amp;original=vendor%2Fcontao%2Fcore-bundle%2Fsrc%2FResources%2Fcontao%2Ftemplates%2Fforms%2Fform_captcha.html5&amp;target=templates%2Fopensauce&amp;rt=3Fso69nz9uZmCTLxDyYG8H1XnbRaY7jgVUMSgyZWtdc&amp;rsfhr=1&quot;,&quot;templateLabel&quot;:&quot;Ein neues Template erstellen&quot;}">
    
    
  <input type="text" name="captcha_58" id="ctrl_58" class="captcha mandatory" value="" aria-describedby="captcha_text_58" maxlength="2" required>
  <span id="captcha_text_58" class="captcha_text">Was ist die Summe aus 3 und 1?</span>
  <input type="hidden" name="captcha_58_hash" value="2ed4fb1062ba6e3ad3544f306d18704a8f83d1f293be925ad46485abe1630636">

      <div style="display:none">
      <label for="ctrl_58_hp">Do not fill in this field</label>
      <input type="text" name="captcha_58_name" id="ctrl_58_hp" value="">
    </div>
    <script>
      (function() {
        var e = document.getElementById('ctrl_58'),
            p = e.parentNode, f = p.parentNode;

        if ('fieldset' === f.nodeName.toLowerCase() && 1 === f.children.length) {
          p = f;
        }

        e.required = false;
        p.style.display = 'none';

        setTimeout(function() { e.value = '4'; }, 5000);
      })();
    </script>
  
</div>

Trotzdem scheint es einer geschafft zu haben, den Honeypot zu umgehen:

Code:

Message-ID: <13c0e7aca6770572e6273fc1a9e4bcda@[xxxxxxxxxxxx].ch>
Date: Tue, 12 May 2020 06:34:11 +0200
Subject: Kontaktformular [xxxxxxxxxxxx]
From: [xxxxxxxxxxxx]@[xxxxxx].ch
Reply-To: ruslan.sparta@mail.ru
To: [xxxxxxxxxxxx]@[xxxxxx].ch
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
X-Mailer: Contao Open Source CMS
X-Submitted-by: [xxxxxxxxxxxx]@[xxxxxx].hostpoint.ch
X-Abuse-To: This message was sent by a web-server. Please report abuse to abuse@hostpoint.ch.
X-rcpt-cnt: 1
X-Vs-State: LEGIT
X-Forwarded-Original-Recipient: [xxxxxxxxxxxx]t@[xxxxxx].ch
X-Original-To: [xxxxxxxxxxxx]@vbbrb.ch
X-Forwarded-Original-Recipient: [xxxxxxxxxxxx]@[xxxxxx].ch
X-Original-To:[xxxxxxxxxxxx]@[xxxxxx].ch
X-Hostpoint-Spambox: YES

Ihr Name: 72 ???co?o? ??pa?o??? ? ???e??e?e o? 9800 rubley ? ?e??: http://lan.razorcon.com/6646
Ihre E-Mail: ruslan.sparta@mail.ru
Ihre Nachricht: ?o?y??? 9367 rub. ? ?y?k?: http://smzuhln.thegweavners.com/23e37

[xxxxxxxxxxxx] = habe ich unkenntlich gemacht, da in Zusammenhang mit meinen Maildaten
Gruss von Marcel aus Basel