Captcha (Sicherheitsfrage) bei Newsletter-Bestellung

[Andreas]

Hallo zusammen,

sollte ins Formular zum Newsletter-Abonnement nicht auch ein Captcha? Was meint ihr? Wenn ja, wie kriege ich das da rein?

Andreas

[Nina]

Der Sinn vom Captcha ist, dass darüber möglichst kein Spam versendet werden kann. Bei der Newsletter-Bestellung ist dieses Problem nicht gegeben, da man dort nur die Mailadresse eingeben und keinen Inhalt senden kann. Zudem wird wohl kaum ein Spamprogramm den Aktivierungslink in der Mail klicken, damit die Spammer deinen Newsletter empfangen dürfen

Daher macht das Captcha dort aus meiner Sicht gar keinen Sinn.

[Nils Riel]

Aber die Datenbank können Sie mit Müll zuspamen....also wäre ein Captcha doch nützlich

[Andreas]

Ich dachte, dass da vielleicht so böse Spambots kommen und einfach fremde Adressen da reinpacken, wollte ja niemanden ärgern. Aber ich werde das jetzt auch einfach aus meinem Hirn streichen, dann lebt's sich leichter

Andreas

[mccrossen]

Kleiner Nachtrag an Nina:
Es gibt mittlerweile Spambots die in der Lage sind einen bestätigungslink in einer Mail zu drücken, also so abwägig ist das gar nicht.
Ein Captcha an dieser Stelle würde ich auch für sehr sinnvoll halten, man könnte es ja über eine Checkbox aktivieren.
Tschüss

Marcel

[Pepino]

Ich bin auch der Meinung, daß ein Captche (gerne die Rechenaufgabe) gut wäre.

[walkabout77]

Hy zusammen,

also ich wäre auch froh um einen Spamschutz... ist nicht so toll wenn man zwei Tage nach der Installation schon 10 inaktive Adressen drin hat. Es gibt ja nicht mal die Möglichkeit die zu Filtern um Sie anschliessend bequem löschen zu können.

Mfg

[walkabout77]

nach dem zweiten Tag wo das Newslettermodul aktiv ist habe ich 80 Spameinträge drin!?

Gibt es da wirklich keine Lösung für dieses Problem?

Würde hier ev. das Avisota Newslettersystem Abhilfe schaffen?

Wäre froh um Hilfe :-(

[ToNoma]

Ich hatte / habe auch schon massive Probleme mit Bots. Bin also auch sehr dafür bei Abonnieren und Kündigen eine Sicherheitsfrage einzubauen.
Beim Kündigen deshalb, dass nicht automatisiert etliche Adressen gelöscht werden können. Das soll ja nur über das Backend gehen. Im Frontend sollte diese Möglichkeit blockiert werden.
Mein Problem im Moment: https://www.contao-community.de/show...994#post227994

Gibt es denn eine Möglichkeit bzw. einen Hook, die Sicherheitsfrage in die Templates für den Newsletter einzubauen?

[ToNoma]

Wie ich gerade gesehen habe würde es zwei Möglichkeiten geben die Sicherheitsfrage in die Newsletter- registrierung/kündigung einzufügen:

Möglichkeit 1:
In das Template nl_default folgenden Snippet (aus Template form_captcha.xhtml) einfügen:

PHP-Code:

<?php if (!$this->tableless): ?>
  <tr class="<?php echo $this->rowClass; ?>">
    <td class="col_0 col_first"><?php echo $this->generateLabel(); ?></td>
    <td class="col_1 col_last"><?php echo $this->generateWithError(); ?> <?php echo $this->generateQuestion(); ?></td>
  </tr>
<?php else: ?>
  <?php echo $this->generateLabel(); ?> 
  <?php echo $this->generateWithError(); ?> <?php echo $this->generateQuestion(); ?><br />
<?php endif; ?>

Edit: Funktioniert leider nicht, weiß auch noch nicht warum.

oder Möglichkeit 2:
Das Newsletterformular selbst gestalten mit einem Modul - Modultyp: Registrierung
Dort kann man die Sicherheitsfrage aktivieren bzw. deaktivieren

Edit: Das geht wohl nur mit dem Anmeldeformular.

[ToNoma]

Bis auf die oben beschriebene Methode eine Sicherheitsabfrage über das Registrierungsmodul in die Newlsetteranmeldung einzubinden gibt es wohl im Moment keine andere Lösung. Und für die Newsletterabmeldung gibt es im Moment keinen Weg die Sicherheitsabfrage einzubauen.

[pixelABC]

Gibt es dafür mittlerweile eine Lösung?

[Andreas]

Ich habe mal ein Feature-Request diesbezüglich erstellt
https://github.com/contao/core/issues/7402

[Andreas]

Wenn Ihr es für nötig haltet, dann beteiligt euch an dem Ticket https://github.com/contao/core/issues/7402

[Knobibrot]

gibt es hier schon was neues?
Denn ich halte ein Captcha ebenfalls für notwendig.
Durch den double Opt-In Prozess werden ja auch Mails versendet. Und ich befürchte, dass man durch das massenhafte aussenden von Opt-In Mails durchaus auf einer Black-List als Spammer landen kann.
Mein Newsletter Formular war gerade mal 1h online, da hatte ich bereits 20 Spam Einträge in der Datenbank und bekam laufend "Undelivered Mail Returned to Sender" E-Mails von nicht zustellbaren Opt-In Mails.

[Knobibrot]

Hi,
ich bin's noch mal.

Ich hab jetzt ein recht "billiges" Mathe-Captcha in mein Newsletter Formular eingebaut.
Das ganze sieht so aus: http://www.pixelbash.de

Es ist eigentlich "nur" eine Quick and Dirty Lösung, die jedoch für den Moment zu funktionieren scheint, denn bisher habe ich keine Spam-Einträge in der Datenbank.

Im Template nl_default.html5 ab Zeile 19, habe ich diese beiden Zeilen drin:

HTML-Code:

<input type="hidden" name="newsletterSub" value="1">
<label for="captcha" class="invisible">Bitte rechnen Sie 4 plus 2.</label>
<input type="text" id="captcha" placeholder="Bitte rechnen Sie 4 plus 2." name="captcha" />

und jetzt kommt der "dreckige Teil". In die allgemeine index.php habe ich ab Zeile 11 folgendes reingeschrieben:

PHP-Code:

 if (isset($_POST['newsletterSub'])){
     if(!isset($_POST['captcha']) OR $_POST['captcha'] != 6){die("Spam!");}
 } 


Es wird gepürft ob jemand versucht hat, sich zum Newsletter anzumelden. Wenn das Captcha nicht richtig ausgefüllt wurde, bricht die Seite an der Stelle sofort ab und gibt die Fehlermeldung "Spam!" aus.
Dreckig ist das Ganze, da es sich hier um eine Änderung der allgemeinen index.php handelt und diese besser unangetastet bleiben sollte. Denn nach einem Update, muss diese Zeile von Hand nach gepflegt werden.

Aber um fürs erste Abhilfe zu schaffen, reicht es mir zumindest.
Ich bin außerdem erstaunt, dass man keine wechselnden Mathe-Aufgaben zu brauchen scheint. 4+2 = 6 scheint schon so gut zu sein, dass die Spam-Bots nicht durch kommen.

[JB-Support]

Wer es ähnlich wie Knobibrot lösen, aber auf eine Änderung der index.php verzichten möchte, kann auch in der Datei /system/modules/newsletter/modules/ModuleSubscribe.php eine Änderung vornehmen.
Einfach in die Funktion addRecipient die Überprüfung einfügen:

PHP-Code:

if(\Input::post('captcha', true) != 6){
            $_SESSION['SUBSCRIBE_ERROR'] = "Falsches Rechenergebnis";
            $this->reload();
        } 


Habe es unterhalb der Überprüfung der Emailadresse (Zeile 228) eingefügt. Sollte aber auch schon direkt am Anfang der Funktion seinen Zweck erfüllen.

Weiterhin der Nachteil, dass es nicht Update save ist.

[Sahel]

Hallo,
nach zahllosen Spam-Adressen seit 4 Wochen habe das Captcha auch gerade eingebaut (Änderungen wie oben in nl_default.html5 und ModuleSubscribe.php ; Contao 3.5.8). Funktioniert so weit.

Wäre schön, wenn ein Spam-Schutz des Newsletter-Abos in den Core einfließen würde. Wie geht das mit Tickets erstellen?

[Spooky]

Das Ticket gibt es schon und wurde weiter oben gepostet. Diese Funktionalität ist auch bereits in Contao 4.1 implementiert.

[chtypo]

Ist das eine grosse Sache von Contao Version 3.5.15 auf 4.1 zu wechseln?

Ich vermisse in der Version 3.5.15 das Captcha sehr. Ich musste unter der Zeit sogar die Datei SimpleMailInvoker.php umbenennen um diese elenden nicht zustellbaren Bestätigungslinks los zu werden. Von der zugemüllten DB mal nicht zu sprechen.

[lucina]

Ist das eine grosse Sache von Contao Version 3.5.15 auf 4.1 zu wechseln?

It depends. Unter anderem von eingesetzten Extensions, der Webserver-Konfiguration und schliesslich auch von Deinen persönlichen Skills.

[chtypo]

It depends. Unter anderem von eingesetzten Extensions, der Webserver-Konfiguration und schliesslich auch von Deinen persönlichen Skills.

Gestorben... RockSolid Themes sind nicht 4.1 kompatibel.

Könnte man auch die Benutzerregistrierung für die Newsletteranmeldung nehmen. Da könnte man das Captcha einschalten und einfach nur die Email-Adresse aktiv schalten. Habe es mal versucht, aber es trägt keine Email-Adresse in der DB ein...

Was müsst ich da noch anpassen oder machen?

[walkabout77]

Könnte man auch die Benutzerregistrierung für die Newsletteranmeldung nehmen.

Das geht sicher schon, aber du kannst die Mitglieder dann nicht einem Newsletter zuordnen.

Ich habe ein einfaches Formular genommen, dann müssen aber die Empfänger manuell eingetragen werden.

Ich finde Contao ja genial, aber ich kann wirklich nicht verstehen, wieso das immer noch nicht implementiert wurde!?

[chtypo]

Das geht sicher schon, aber du kannst die Mitglieder dann nicht einem Newsletter zuordnen.

Ja, das habe ich gemerkt, dass die Emailadressen nicht in die Newsletter-DB eingefügt werden.

Ich habe ein einfaches Formular genommen, dann müssen aber die Empfänger manuell eingetragen werden.

Dann gibt es aber auch keine Double-Opt.-Funktion und das Austragen muss auch wieder manuell gemacht werden.

Ich finde Contao ja genial, aber ich kann wirklich nicht verstehen, wieso das immer noch nicht implementiert wurde!?

Ja, das verstehe ich nun wirklich auch nicht. Aber eben, manchmal fehlt einem der weitere Horizont :-) und all die Zusammenhänge.

[lucina]

Das hat sicher nichts mit dem Horizont zu tun sondern damit, dass es die Newsletterfunktionalität a) seit Zeiten gibt, in denen von Double-Opt-In noch keine Rede war und b) sich niemand erbarmt hat, das mal neu zu schreiben.

Abhängig von der Begründung (ist es eine Fehlfunktion? Dann vielleicht etwas a la "Newsletter doesn't respect legal aspects of registration", damit es als 'defect' durchgeht) könntest Du ja mal Code dafür beisteuern und einen Pullrequest machen.

[chtypo]

Das hat sicher nichts mit dem Horizont zu tun sondern damit, dass es die Newsletterfunktionalität a) seit Zeiten gibt, in denen von Double-Opt-In noch keine Rede war und b) sich niemand erbarmt hat, das mal neu zu schreiben.

Abhängig von der Begründung (ist es eine Fehlfunktion? Dann vielleicht etwas a la "Newsletter doesn't respect legal aspects of registration", damit es als 'defect' durchgeht) könntest Du ja mal Code dafür beisteuern und einen Pullrequest machen.

Du hast mich falsch verstanden, mir (chtypo) fehlt der Horizont und mir fehlen all die Zusammenhänge. Ich bin nur ein einfacher Anwender.

[RockSolid Themes]

Gestorben... RockSolid Themes sind nicht 4.1 kompatibel.

Das stimmt so nicht ganz
Alle RockSolid Themes und Erweiterungen sind mit Contao 4 kompatibel. Informationen dazu gibt es in unserem Blog: https://rocksolidthemes.com/de/conta...e-installieren

Könnte man auch die Benutzerregistrierung für die Newsletteranmeldung nehmen. Da könnte man das Captcha einschalten und einfach nur die Email-Adresse aktiv schalten. Habe es mal versucht, aber es trägt keine Email-Adresse in der DB ein...

Das geht, allerdings muss man das Newsletter-Feld für die Registrierung aktivieren, damit der User selbst wählen kann welche Newsletter er abonnieren möchte.

Alternativ könnte man sich aus dem Newsletter-Bundle die beiden Hooks createNewUser und activateAccount ansehen und nachbauen.

[walkabout77]

Das hat sicher nichts mit dem Horizont zu tun

Mir gehts genau gleich... Ich denke er wollte damit sagen dass wir hier die Zusammenhänge vom ganzen System nicht kennen und deshalb nicht sehen wo das Problem liegt.

Mir kommt das so vor, als würde man ein Auto herstellen und bei einer Tür kein Schloss einbaut.

Die CAPTCHA Funktion sollte sich doch durch das ganze System durchziehen und bei jedem Formular aktivierbar sein?

Vielleicht kann uns das ein Programmierer erklären...

[Andreas]

Wie man oben in meinem Link zum Ticket https://github.com/contao/core/issues/7402 sehen kann ist diese Option angefragt worden, diskutiert und als Feature in den Core gekommen (Dank mal wieder an alle Core-Entwickler).

3.5 war da aber leider schon feature-closed. Dass dies jetzt als Bug eingestuft wird und dadurch doch noch in die 3.5 kommt, wage ich zu bezweifeln. Kein Captcha in der Newsletterbestellung ist soviel ich weiß nicht rechtswidrig. Vielleicht kann da ein Entwickler, der das gerade auch benötigen könnte, dies als Erweiterung umsetzen, da ja die meisten noch ein paar Jahre auf 3.5 bleiben werden.

Im Allgemeinen gibt es da bestimmt noch mehr "Türen ohne Schlösser", es liegt an uns, was umgesetzt wird. Wir profitieren im Moment davon, dass seit 10 Jahren Schlösser in Türen eingebaut wurden, also kommt mal wieder runter. Kein Programm ist perfekt.

[walkabout77]

Kein Captcha in der Newsletterbestellung ist soviel ich weiß nicht rechtswidrig.

Darum gehts doch gar nicht..?! Wo ist der Zusammenhang zum Thread bei dieser Aussage?

Im Allgemeinen gibt es da bestimmt noch mehr "Türen ohne Schlösser", es liegt an uns, was umgesetzt wird.

Ja schon, aber diese Türe ist so offensichtlich... Wieso wurde es denn bei den anderen Türen gemacht? Die Funktion wird ja unbrauchbar durch das fehlende Schloss. Wer will schon täglich dutzende Adressen rauslöschen?

Wir profitieren im Moment davon, dass seit 10 Jahren Schlösser in Türen eingebaut wurden

Klar dafür bin ich auch sehr dankbar... aber das heisst doch nicht, dass man keine sachliche Kritik mehr anbringen darf oder?

also kommt mal wieder runter

Ich denke du schätzt meine Gemütslage völlig falsch ein...

Ich kann einfach nicht verstehen, dass man ein "Schloss" welches bereits entwickelt wurde, nicht einfach einbaut... das ist alles. Das Probem ist ja bei jedem Formular da... seit 7 Jahren... Der Aufwand kann doch nicht so hoch sein oder sehe ich das falsch?

[Andreas]

Darum gehts doch gar nicht..?! Wo ist der Zusammenhang zum Thread bei dieser Aussage?

Den Zusammenhang findest du in meinem Post, wenn es rechtswidrig wäre, dann wäre es ein Bug und käme doch noch in die 3.5. Ist es nur ein Feature, dann nicht.

Wieso wurde es denn bei den anderen Türen gemacht?

Die Frage ist unnötig, da es nicht gemacht wurde. Fakt ist, dass es in Contao 4 drin ist. Und Fakt ist, dass 3.5 feature-closed ist. Wenn du fragen würdest warum es dort nicht gemacht wurde, wäre die Antwort: weil es keiner gemacht hat.

...dass man keine sachliche Kritik mehr anbringen darf oder?

Klar, immer her damit. Aber fragen warum es nicht gemacht wurde ist keine konstruktive Kritik, zumal es jetzt ja gemacht wurde, nachdem viele in dem Ticket dafür plädiert hatten es bitte in den Core zu nehmen.

Ich kann einfach nicht verstehen, dass man ..., nicht einfach einbaut... das ist alles.

Tja, da unterscheiden wir uns, ich kann es verstehen. Es stand einfach bei keinem auf dem Plan das dort einzubauen, und die "nachdrückliche Bitte" über das Ticket kam ca ein halbes Jahr zu spät für 3.5.

Du brauchst jetzt nicht mehr dafür zu plädieren, dass es in den Core kommt, weil wir uns da schon einig sind, dass es rein soll und auch bereits schon drin ist.

[chtypo]

Mir gehts genau gleich... Ich denke er wollte damit sagen dass wir hier die Zusammenhänge vom ganzen System nicht kennen und deshalb nicht sehen wo das Problem liegt.

Danke walkabout77, das war mein Gedanken hinter dieser Aussage.

[chtypo]

Das stimmt so nicht ganz
Alle RockSolid Themes und Erweiterungen sind mit Contao 4 kompatibel. Informationen dazu gibt es in unserem Blog: https://rocksolidthemes.com/de/conta...e-installieren

Danke für den Hinweis, aber ich fürchte rein aus meinem Kenntnisstand heraus, ist es wohl zu früh für mich auf 4.x zu wechseln

Das geht, allerdings muss man das Newsletter-Feld für die Registrierung aktivieren, damit der User selbst wählen kann welche Newsletter er abonnieren möchte.

Das ist ein interessanter Hinweis, werde ich mal anschauen. Vielen Dank

[chtypo]

Das geht, allerdings muss man das Newsletter-Feld für die Registrierung aktivieren, damit der User selbst wählen kann welche Newsletter er abonnieren möchte.

Habe dies nun mal durchgespielt und realisiere, dass er den Eintrag macht unter Mitglieder. Wie kann ich das nun umhängen, dass er die Emailadresse im Newsletterverteiler einträgt...

Selber php Programmieren kann ich leider nicht. :-(

[RockSolid Themes]

Habe dies nun mal durchgespielt und realisiere, dass er den Eintrag macht unter Mitglieder. Wie kann ich das nun umhängen, dass er die Emailadresse im Newsletterverteiler einträgt...

Die E-Mail-Adresse wird automatisch in den Newsletter-Verteilern eingetragen die der Benutzer bei der Registrierung ausgewählt hat.

[walkabout77]

Die Frage ist unnötig, da es nicht gemacht wurde.

Das sehe ich nicht so... eine Frage ist nicht unnötig weil etwas nicht gemacht wurde...

Wenn du fragen würdest warum es dort nicht gemacht wurde, wäre die Antwort: weil es keiner gemacht hat.

Das ist keine Antwort sondern eine Feststellung...

Aber fragen warum es nicht gemacht wurde ist keine konstruktive Kritik

Auch das sehe ich anders.... Eine Frage kann auf ein Problem hinweisen, wo man dran arbeiten kann... Es ist wohl eher die Frage ob man es als konstruktive Kritik sehen will

Du brauchst jetzt nicht mehr dafür zu plädieren, dass es in den Core kommt

Genau das ist so... Mir ging es aber weniger darum dafür zu plädieren, sondern darum zu verstehen, wieso dies nicht schon früher seinen Weg dahin gefunden hat.

Aber lassen wir das, ist ja jetzt erledigt

[chtypo]

Die E-Mail-Adresse wird automatisch in den Newsletter-Verteilern eingetragen die der Benutzer bei der Registrierung ausgewählt hat.

Habe ich gemacht und nun funktioniert es bestens! Der einzige Nachteil ist, dass man die "überflüssigen" Mitgliedereinträge manuell von Zeit zu Zeit rauslöschen muss. Aber das ist ja eine "schöne" Arbeit, wenn man dafür keinen SPAM mehr erhält und noch vielmehr keinen SPAM mehr versendet.

Vielen Dank für die Unterstützung und Hilfe!

[Tim G]

Hi Leute,
ich hab ebenfalls Captchas benötigt für die Newsletter-Formulare und habe eine kleine 3er Erweiterung draus gemacht: https://github.com/timgatzky/newsletter_captcha

Man wähle das nl_captcha Template, damit das Feld dabei ist.

Viele Grüße,
Tim

[Gassi]

Hey Tim,
kann es sein das dein kleines Modul unter 3.5.28 nicht mehr richtig funktioniert? Bei mir kommt immer das die Sicherheitsfrage beantwortet werden muss - obwohl das Feld ausgefüllt wurde?!
Gruss Gassi

[Knallbunt & Edel]

Hallo Contao Community,

wir haben eine Contao 3.x - Erweiterung entwickelt, welche ein einfaches Captcha Feld bei der Newsletteranmeldung hinzufügt. Template und Logik sind beide in der Extension, sollte von daher updatesicher sein, ohne dass in irgendwelchen Core-Dateien gepatcht werden muss.

Hier könnt ihr die Dateien herunterladen:

http://downloads.knallbuntundedel.we...er_captcha.zip