Spam trotz Sicherheitsfrage

[neelix]

Aber unabhängig davon auf welcher Grundlage das Issue jetzt eröffnet wurde. Wir sollten dennoch herausfinden ob, und wenn ja wie, es möglich ist das Formular automatisiert auszufüllen und auch die Captcha-Frage zu beantworten oder zu umgehen.

[Spooky]

Wir sollten dennoch herausfinden ob, und wenn ja wie, es möglich ist das Formular automatisiert auszufüllen und auch die Captcha-Frage zu beantworten oder zu umgehen.

Wie meinst du "ob es möglich ist"? Klar ist das möglich.

[neelix]

Wenn das so klar ist, dann wäre die Bezeichnung "Sicherheitsabfrage" und deren Funktion überflüssig und man müsste andere/ externe Methoden nutzen, die auch funktionieren.

Und dann wäre die Frage, wie kann man es (zusätzlich) erschweren die Formulare automatisiert zu befüllen? (und am liebsten ohne dafür Google's ReCaptcha nutzen zu müssen.)

[tab]

Prinzipiell ist es IMMER möglich, jedes beliebige Captcha automatisiert zu lösen oder sonstige Sicherheitsmaßnahmen automatisiert so zu behandeln, dass man nicht als Bot erkannt wird. Die Frage ist nur, wie kompliziert oder aufwändig das ist und ob es dafür schon vorgefertigte Lösungen für Spammer gibt, die sie nur noch in ihren Code einfügen müssen. Wenn man das halbwegs sicher vermeiden will, dann helfen nur noch Sicherheitsfragen, auf die kaum ein User eine richtige Antwort wird geben können. Die Google Captchas mit den Bildern sind ja heute schon so, dass ich oft 3 oder 4 Versuche brauche, bis ich eins von den Dingern richtig habe. Was weiss ich, wann für Google eine Ampel im Bildausschnitt ist oder ein Bus. Reicht dafür ein Teil des rechte Hinterrads oder muss ich am Ausschnitt erkennen können, dass das ein Teil eines Busses ist, ohne die anderen Ausschnitte zu kennen? Falls ja, woher will Google wissen, wann ich das erkennen kann (und ChatGPT nicht?!?)?

Klar, wenn die derzeitige Spamschutz-Methode mittlerweile relativ problemlos überwunden wird von den Spambots, dann sollte man sich etwas besseres überlegen. Aber frag mich nicht wie das gehen soll ohne die menschlichen Besucher zu nerven. Die derzeitige Methode hat (oder hatte?) eben den Charme, dass die dummen Bots etwas ausgefüllt haben, was ein Mensch nicht ausfüllt (nicht weil er schlauer ist, sondern weil er es gar nicht sieht). Eventuell könnte man die Methode ändern, mit der es unsichtbar gemacht wird (CSS?). Aber wenn das ein Profi analysiert, dann wird er es schnell finden und seinen Code, den er den Spammern verkauft, entsprechend anpassen können. Aber möglicherweise bringt es wieder ein paar Monate Ruhe, da Contao jetzt nicht gerade den Marktanteil hat, dass das für die Spammer erste Priorität hätte.

[swinde]

Ich bin eher Anwender als Programmierer, ich frage mich trotzdem ob das so Okay ist, das man die Rechenaufgabe in der Symfony Konsole aufrufen kann!

[mlweb]

Die Rechenaufgabe ist dabei egal.
Der Trick ist, das ein normaler User in der Regel dieses Feld nicht sieht und das Feld leer bleibt.
Ein Boot füllt das Feld in sekundenschnelle aus (schneller als ein Mensch das Formular beantworten könnte) und wird damit als Bot erkannt - ganz grob vereinfacht.

[neelix]

Na nicht ganz.
Wenn ich das Formular zu schnell absende, dann bekomme ich als Mensch die Rechenaufgabe vorgesetzt. Und dann muss sie auch richtig gelöst werden.

Der WDR z.B. hat in seinen Formularen Fragen wie "Wo liegt Köln am Rhein" oder "Welche Farbe hat der WDR Elefant" gestellt. Inzwischen scheinen die aber ein ähnliches System wie Contao zu nutzen. Wie gut oder schlecht das bei denen funktioniert... keine Ahnung.

Das Thema kam 2020 schon mal auf (https://github.com/contao/contao/issues/1262) damals wurde der Timeout auf 5 Sek. gesetzt. Die muss ein Anwender mindestens mit Ausfüllen des Formulars beschäftigt sein.
Je nach Umfang des Formulars hilft es vllt. das Timeout zu verlängern oder zufällig in einem Rahmen zu wählen, den ein Bot nicht aus dem Quelltext extrahieren kann.

[Spooky]

Der Bot wartet momentan 5 Sekunden (weil Contao erst ab 5 Sekunden die Rechenaufgabe nicht mehr anzeigt).

[intradesign]

Aber unabhängig davon auf welcher Grundlage das Issue jetzt eröffnet wurde. Wir sollten dennoch herausfinden ob, und wenn ja wie, es möglich ist das Formular automatisiert auszufüllen und auch die Captcha-Frage zu beantworten oder zu umgehen.

Sehe ich auch so. Aus meiner Sicht ist es ein Sicherheitsproblem (auch ohne, dass ChatGPT es mir vorgesagt hat), eben weil nicht nur EINE meiner Installationen sondern quasi ALLE, die Formulare versenden können, betroffen sind – und das über meherere Contao-Versionen hinweg – und sowohl an den Website-Betreiber als auch ggf. an eine in das Formular eingetragene Mailadresse eine Mail mit potenziell gefährlichen Inhalten gesendet werden kann.

Die Captcha-Funktion ist eine von Contao mitgelieferte Sicherheitsfunktion, die das Versenden von Formularen schützt und auf die man sich bisher immer ziemlich gut verlassen konnte. Wenn das (ab jetzt) nicht (mehr) der Fall ist, muss eben eine Alternative her. Eine Mail an den "Ausfüller" eines Formulars zu senden ist auch nicht unüblich und eben auch oft Kundenwunsch.

Mehr habe ich ja nicht gesagt.

Wenn das falsch war, tuts mir Leid.

[Spooky]

Es ist kein Sicherheitsproblem - durch Spam wird die Contao Installation ja nicht kompromittiert.

Zu diskutieren wäre höchstens, ob man die cc Funktion in Contao komplett entfernt - aber auch hier liegt die Verantwortlichkeit bei den zuständigen Administrator*innen. Ein Formular mit cc muss entsprechend gegen Spam abgesichert sein.

[tab]

Ich weiss, dass CC oft ein Kundenwunsch ist. Mittlerweile verwende ich Kontaktformulare überhaupt nur noch auf ausdrücklichen Kundenwunsch und deutlichem Hinweis auf eventuelle Gefahren. Diese sind auch m.E. schwer bis gar nicht vermeidbar. Da bräuchte es schon mehr als eine KI, die über die Formulardaten drüberschaut. Immerhin schickt man damit (CC) eine Mail an eine oft völlig unbekannte E-Mail-Adresse. Ohne Authorisierung, ohne Opt-In, vom Double Opt-In reden wir hier noch gar nicht. DSGVO lässt grüßen. Direkte E-Mails sind aus meiner Sicht viel besser und zumindest etwas sicherer. Es gibt Mechanismen wie SPF/DKIM/DMARC usw, die man prüfen kann. Aber beim Formular ist die Absenderadresse ja schon per Definition vertrauenswürdig, ist ja eine eigene. Damit fällt schon ein großer Tei der Spam-Überprüfung weg. Die übermittelte E-Mail-Adresse ist ebenfalls nicht überprüft, ich weiss nicht wem sie gehört, dem Formularabsender oder einem x-beliebigen Dritten, der nichts davon weiss, dass hier seine Adresse angegeben wurde. Eigentlich sollte vor dem Absenden des Formulars besser noch ein Double Opt-In stehen.

Im Moment habe ich auch wieder ziemliche Bauschschmerzen mit einem gewünschten Formular mit Dateiupload von PDF oder Bilddateien bis zu mindestens 10 MB Größe. CC habe ich wenigstens noch abbügeln können, jetzt muss ich schauen, wie ich mit dem Formular und den Uploads umgehe im Hinblick auf Spambots und böswillige Mitmenschen, damit nicht auch noch der Server abschmiert oder gar kompromittiert wird. Da kann ja jeder Alles schicken ... und das so oft er will und von so vielen IP-Adressen aus wie er will. Und außer einer IP-Adresse habe ich rein gar nichts von ihm, womit man ihn im Schadensfall haftbar machen könnte. Wenn er ein VPN oder TOR nutzt, dann nicht mal das. Auch hier wäre mir ein Double Opt-In der übermittelten Mailadresse wesentlich lieber, da muss ich aber noch Überzeugungsarbeit leisten. Und Wegwerf-Adressen findet man heute an jeder Ecke.

[neelix]

Womit wir wieder bei der Ausgangsfrage wären: Wie lassen sich Formulare in Contao besser gegen Spammer und Spambots bzw. Missbrauch schützen?

Der integrierte Schutz kommt anscheinend an seine Grenzen.

Was vom Konzept her ähnlich wie Googles ReCaptcha v3 bzw. dem Ansatz von Cloudflare zu sein scheint: https://friendlycaptcha.com/de/insig...am-protection/

Allerdings lässt sich das nicht "mal eben" einbauen, da müsste jemand eine Erweiterung für schreiben.
Und der zweite Pferdefuß: Will man den Datenverkehr auf den EU Raum beschränken braucht man auf jeden Fall das 200€ Paket. Die freie NGO Version und alle kleineren kennen nur einen "Globalen Endpunkt".

Ich könnte mir denken, dass dieser Ansatz effektiv ist, da hier nicht nur einfach ein Feld nicht beschrieben werden darf, sondern der Client in der Lage sein muss ein paar komplexere Rechenoperationen auszuführen.

[lucina]

Es gibt dafür eine Erweiterung: https://github.com/plenta/contao-fri...captcha-bundle


Gesendet von iPhone mit Tapatalk

[neelix]

Bleibt noch für manches Projekt der Kostenpunkt.

[mlweb]

Bleibt noch für manches Projekt der Kostenpunkt.

Wenn es für den einen oder anderen wichtig ist, dann muss man halt löhnen.
Und wer das Geld nicht ausgeben mag/kann - es geht auch ohne Kontaktformular.

Komplizierte Chaptcha können auch dazu führen, dass man das Formulare nicht ausfüllen mag.
Die ideale Lösung

• kostenfrei
• garantiert sicher
• 100% barrierefrei und nutzerfreundlich
• ...

gibt es halt nicht.

Man kann nur aus den Anforderungen und dem zur Verfügung stehenden Budget versuchen das Beste herauszuholen.
Da im Moment die Erweiterung RS Antispam zu funktionieren scheint (zumindestens bis die Angreifer ihre Methode/ihr Script verbessern/ändern) sehe ich die Erweiterung als gute und einfache Möglichkeit an und natürlich die Empfehlung die CC-Funktion besser nicht zu nutzen.

Es ist ja auch nicht so, dass die Entwickler das Problem nicht wahrgenommen haben. Ich denke da macht man sich schon Gedanken, um es den Spamern etwas schwerer zu machen.

[Spooky]

https://github.com/contao/contao/pull/6870

[tblumrich]

Ich hab mich mal kurz nach Alternetiven umgeschaut. Als Contao-Extension gibts kaum was... (das o.g. natürlich)

Hat schonmal jemand was eingebaut? Kennt jemand das hier https://extensions.contao.org/?p=pbd...captcha-bundle

Ist problemlos installierbar und auch aktiviert, aber das Captcha wird nicht gerendert.

Zusatzfrage: da es nicht eindeutig geklärt scheint... RS Antispam ist doch Bestandteil im Core seit 4.9? Da es hier scheinbar zusätzlich installiert wurde... macht das überhaupt Sinn?

[Spooky]

Zusatzfrage: da es nicht eindeutig geklärt scheint... RS Antispam ist doch Bestandteil im Core seit 4.9? Da es hier scheinbar zusätzlich installiert wurde... macht das überhaupt Sinn?

Es macht Sinn weil die RS Implementierung leicht anders ist und das Spammer-Script nur genau den Schutz von Contao zielgerichtet umgeht. Nach dem Release der nächsten Contao Version kannst du wieder zurück gehen. Bis dass das Spammer-Script aktualisiert wird - dann geht das Katz & Maus Spiel wieder von vorne los

[tblumrich]

Ah, okay, danke.
Hier wurde irgendwo beschrieben, das es zusätzlich eingebaut wurde... also dann beide Mechansimen ins Formular? Oder nur das von der Erweiterung anstatt das aus dem Core?

[Spooky]

Beides zu haben macht imho keinen Sinn. Entweder das eine oder das andere.

[intradesign]

Ich habe mir gerade Altcha angeschaut und finde es recht vielversprechend. Ich bekomme es auch integriert und es funktioniert so weit. Allerdings bisher nur, wenn ich das Formular mit einem eigenen Script verarbeite, also Method des Formulars auf die Altcha-Überprüfung setze. Wenn erfolgreich -> mach irgendwas mit den Formulardaten. Hier müsste ich dann aber Mailversand und/oder Datenspeicherung selbst implementieren und kann nicht auf Notification Center / Leads zurückgreifen.

Die Frage ist also: Wie kann ich die Überprüfung in die Formular-Logik von Contao integrieren?

Ich habe dabei an den Hook prepareFormData gedacht. Hier müsste also irgendwie eingebaut werden:
Wenn Altcha=erfolgreich => mache ganz normal mit der Contao-Formular-Verarbeitung weiter
sonst => unterbrich die Contao-Formular-Verarbeitung

Wäre das ein Ansatz?
Wenn ja: Wie erreiche ich das?

Hier noch der Link: https://altcha.org

[Spooky]

Die Frage ist also: Wie kann ich die Überprüfung in die Formular-Logik von Contao integrieren?

Am besten als eigenes Widget umsetzen.

[swinde]

Hallo, die Security Phase für 4.9 endet ja am 14.02.24.

Wird es noch einen Fix für 4.9 geben oder wäre das ein schlagendes Argument für ein Wechsel auf 4.13?

Mir ist bewusst das man das sowie so machen sollte.

VG Steffen Winde

[Spooky]

Da das kein Sicherheitsproblem ist, wird es kein Update für Contao 4.9 geben.

[Stranger]

Bei uns sind auch immer mehr Seiten betroffen. Wir haben jetzt auch mehreren Seiten diese Erweiterung installiert und das Captcha Feld von Contao ist zusätzlich parallel weiter im Einsatz:
https://packagist.org/packages/pbd-k...captcha-bundle

Funktioniert ziemlich gut. Bei der einen Seite nur 2 Zeichen im Einsatz, reicht scheinbar bis jetzt.

Aber grundsätzlich mag ich diese Captcha Bilder nicht. So wie tab schon gesagt hat, ist es total nervig mit den Bussen, Ampeln und Zebrastreifen. Niemand hat Bock 4 mal ne Frage zu beantworten und Bildchen zu klicken. Da springen dann genug Leute ab, die einfach die Nase voll haben.

Bevor ich die Erweiterung installiert habe, hatte ich überlegt, ob es nicht am besten wäre, wenn man in Contao einfach nen normales Textfeld erstellen könnte, was zwingend ausgefüllt werden muss und z.B. so lautet... "Nachname einer Deutschen Bundeskanzlerin" und dann muss zwingend "Merkel" eingetragen werden aber das weiß dann wieder nicht jeder.
Oder würde es nicht auch einfach ausreichen, wenn man schreibt: "Schreibe folgendes Wort ohne Bindestriche: c-o-n-t-a-o

Also ich meine das immer als Zusatz zur Contao Sicherheitsfrage...

Weiß einer wie man das am einfachsten hinkriegt ein Feld so zu prüfen, dass der Wert exakt so lauten muss wie man es vorher bestimmt? Also ohne jetzt ne Erweiterung zu programmieren...

[mlweb]

Ich glaube nicht, dass so etwas Bots auf Dauer abhält.
Wenn man weiss wie eine Sicherheitsabfrage - welcher Art auch immer - funktioniert, wird man sie mit gewissem Aufwand umgehen können.

[Stranger]

Das stimmt. Dann müsste man die Frage / Antwort regelmäßig ändern, was wieder Wartungszeit mit sich bringt.

Also werde ich erst mal mit der tossn Erweiterung arbeiten... ich denke mal die Usability-Verschlechterung mit einem Captcha-Bild mit 2 Zahlen hält sich in Grenzen. Ist natürlich nicht mehr barrierefrei bzw. -arm, aber irgendwas muss man ja machen.

Leider geht die Erweiterung nicht beim Registrierungsformular.

Bei den Registrierten "Personen" ist mir aufgefallen, dass die Bot User dann oft irgendwelche exotischen Länder wie Dschibuti, Vanuatu usw. angeben. Man könnte natürlich auch auf so etwas prüfen. Nur wenn DACH-Länder gewählt werden, kommt man durch. Bei allen anderen Ländern könnte man die IP direkt sperren für ne gewisse Zeit und ne weiße Seite ausliefern. Aber wenn dann doch mal nen Franzose sich auf einer (Deutschen) Seite registriert, ist der auch Weg vom Fenster
Aber gut, dann erlaubt man halt alle europäischen Länder, der Rest ist normalerweise eher realitätsfern.

Edit 22:18 Uhr: Unglaublich... parallel hat direkt nen Bot das tossn Captcha auch geknackt (mit 2 Zeichen)
Hab jetzt mal auf 4 Zeichen erhöht...

[markocupic]

Ich habe mir gerade Altcha angeschaut und finde es recht vielversprechend. Ich bekomme es auch integriert und es funktioniert so weit. Allerdings bisher nur, wenn ich das Formular mit einem eigenen Script verarbeite, also Method des Formulars auf die Altcha-Überprüfung setze. Wenn erfolgreich -> mach irgendwas mit den Formulardaten. Hier müsste ich dann aber Mailversand und/oder Datenspeicherung selbst implementieren und kann nicht auf Notification Center / Leads zurückgreifen.

Die Frage ist also: Wie kann ich die Überprüfung in die Formular-Logik von Contao integrieren?

Ich habe dabei an den Hook prepareFormData gedacht. Hier müsste also irgendwie eingebaut werden:
Wenn Altcha=erfolgreich => mache ganz normal mit der Contao-Formular-Verarbeitung weiter
sonst => unterbrich die Contao-Formular-Verarbeitung

Wäre das ein Ansatz?
Wenn ja: Wie erreiche ich das?

Hier noch der Link: https://altcha.org

Ein erstes build: https://packagist.org/packages/marko...ltcha-antispam Tester gesucht?

[zonky]

Ich habe mal das "alte" RST Antispam eingebaut - seit dem (48h) sind keine Spam-Mails mehr eingegangen...

[Stranger]

Ein erstes build: https://packagist.org/packages/marko...ltcha-antispam Tester gesucht?

Ich weiß nicht, ob ich da jetzt etwas falsch verstehe, aber diese Erweiterung lädt einfach ein externes JavaScript in die Seite rein?
https://cdn.jsdelivr.net/npm/altcha/dist/altcha.js

Es kann ja nicht Sinn der Sache sein, dass man ein Problem beheben will und sich das nächste rein holt, indem man gegen die DSGVO verstößt. Aber wenn ich das jetzt falsch verstanden habe, tut es mir leid.

[Spooky]

@Stranger stelle einen PR der die altcha.js stattdessen lokal verfügbar macht.

[Ainschy]

Eine Möglichkeit die sich noch bietet ist das Formular mittels Geo IP abzusichern:

Terminal 42 hat hier eine Erweiterung: https://github.com/terminal42/contao-geoip2-country

[planepix]

Die eben veröffentlichte Version 4.13.37 nimmt sich dem Thema an:

https://www.trakked.io/de/blog/conta...eroeffentlicht

[Stranger]

Die eben veröffentlichte Version 4.13.37 nimmt sich dem Thema an:

https://www.trakked.io/de/blog/conta...eroeffentlicht

Vielen Dank für den Hinweis. Das klingt sehr gut!
Gute Version btw. Total leet (1337)

[intradesign]

Ich weiß nicht, ob ich da jetzt etwas falsch verstehe, aber diese Erweiterung lädt einfach ein externes JavaScript in die Seite rein?
https://cdn.jsdelivr.net/npm/altcha/dist/altcha.js

Es kann ja nicht Sinn der Sache sein, dass man ein Problem beheben will und sich das nächste rein holt, indem man gegen die DSGVO verstößt. Aber wenn ich das jetzt falsch verstanden habe, tut es mir leid.

Das Script kann man auch lokal hosten, auch einfach innerhalb der Website, sodass keine Daten mit Drittanbietern ausgetauscht werden müssen.
Das sollte man dann in der finalen Version auch machen.

[intradesign]

Ein erstes build: https://packagist.org/packages/marko...ltcha-antispam Tester gesucht?

Wie kann ich testen?

Hat sich erledigt... Ich habe mich bei der Suche im Contao-Manager vertippt...

[intradesign]

Ein erstes build: https://packagist.org/packages/marko...ltcha-antispam Tester gesucht?

Ich habe das mal installiert, erhalte aber die rote Meldung, dass der ALTCHA hmac-Key noch leer ist.
Habe ich aber natürlich eingetragen. Woran mag das liegen?

[markocupic]

Ich habe das mal installiert, erhalte aber die rote Meldung, dass der ALTCHA hmac-Key noch leer ist.
Habe ich aber natürlich eingetragen. Woran mag das liegen?

Cache neu aufgebaut?

Code:

composer install

[intradesign]

Cache neu aufgebaut?

Code:

composer install

Ja, klar. Die komplette config.yml wurde nicht übernommen, erst nachdem ich alle Caches geleert habe.
Nun kommt die Meldung nicht mehr. Haber jetzt aber einen weiteren Fehler:

Unknown "addHtmlToHead" function.

Ich schreib mal PN, OK?

[Samson1964]

Bei mir wird seit etwa 1-2 Wochen auch gespammt, sowohl über Kontakt- als auch Registrierungsformular. Etwa alle 2-3 Stunden kommt eine Spammail darüber je Installation rein. Auf verschiedenen Installationen mit Contao 4.9 und 4.13.