Seite 2 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 41 bis 80 von 132

Thema: Spam trotz Sicherheitsfrage

  1. #41
    Contao-Fan
    Registriert seit
    28.11.2009.
    Ort
    Remscheid
    Beiträge
    934

    Standard

    Aber unabhängig davon auf welcher Grundlage das Issue jetzt eröffnet wurde. Wir sollten dennoch herausfinden ob, und wenn ja wie, es möglich ist das Formular automatisiert auszufüllen und auch die Captcha-Frage zu beantworten oder zu umgehen.

  2. #42
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von neelix Beitrag anzeigen
    Wir sollten dennoch herausfinden ob, und wenn ja wie, es möglich ist das Formular automatisiert auszufüllen und auch die Captcha-Frage zu beantworten oder zu umgehen.
    Wie meinst du "ob es möglich ist"? Klar ist das möglich.
    » sponsor me via GitHub or PayPal or Revolut

  3. #43
    Contao-Fan
    Registriert seit
    28.11.2009.
    Ort
    Remscheid
    Beiträge
    934

    Standard

    Wenn das so klar ist, dann wäre die Bezeichnung "Sicherheitsabfrage" und deren Funktion überflüssig und man müsste andere/ externe Methoden nutzen, die auch funktionieren.

    Und dann wäre die Frage, wie kann man es (zusätzlich) erschweren die Formulare automatisiert zu befüllen? (und am liebsten ohne dafür Google's ReCaptcha nutzen zu müssen.)

  4. #44
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.198
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Prinzipiell ist es IMMER möglich, jedes beliebige Captcha automatisiert zu lösen oder sonstige Sicherheitsmaßnahmen automatisiert so zu behandeln, dass man nicht als Bot erkannt wird. Die Frage ist nur, wie kompliziert oder aufwändig das ist und ob es dafür schon vorgefertigte Lösungen für Spammer gibt, die sie nur noch in ihren Code einfügen müssen. Wenn man das halbwegs sicher vermeiden will, dann helfen nur noch Sicherheitsfragen, auf die kaum ein User eine richtige Antwort wird geben können. Die Google Captchas mit den Bildern sind ja heute schon so, dass ich oft 3 oder 4 Versuche brauche, bis ich eins von den Dingern richtig habe. Was weiss ich, wann für Google eine Ampel im Bildausschnitt ist oder ein Bus. Reicht dafür ein Teil des rechte Hinterrads oder muss ich am Ausschnitt erkennen können, dass das ein Teil eines Busses ist, ohne die anderen Ausschnitte zu kennen? Falls ja, woher will Google wissen, wann ich das erkennen kann (und ChatGPT nicht?!?)?

    Klar, wenn die derzeitige Spamschutz-Methode mittlerweile relativ problemlos überwunden wird von den Spambots, dann sollte man sich etwas besseres überlegen. Aber frag mich nicht wie das gehen soll ohne die menschlichen Besucher zu nerven. Die derzeitige Methode hat (oder hatte?) eben den Charme, dass die dummen Bots etwas ausgefüllt haben, was ein Mensch nicht ausfüllt (nicht weil er schlauer ist, sondern weil er es gar nicht sieht). Eventuell könnte man die Methode ändern, mit der es unsichtbar gemacht wird (CSS?). Aber wenn das ein Profi analysiert, dann wird er es schnell finden und seinen Code, den er den Spammern verkauft, entsprechend anpassen können. Aber möglicherweise bringt es wieder ein paar Monate Ruhe, da Contao jetzt nicht gerade den Marktanteil hat, dass das für die Spammer erste Priorität hätte.

  5. #45
    Contao-Fan
    Registriert seit
    05.11.2009.
    Ort
    Liebschützberg (Sachsen)
    Beiträge
    527

    Standard

    Ich bin eher Anwender als Programmierer, ich frage mich trotzdem ob das so Okay ist, das man die Rechenaufgabe in der Symfony Konsole aufrufen kann!
    Angehängte Grafiken Angehängte Grafiken

  6. #46
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Die Rechenaufgabe ist dabei egal.
    Der Trick ist, das ein normaler User in der Regel dieses Feld nicht sieht und das Feld leer bleibt.
    Ein Boot füllt das Feld in sekundenschnelle aus (schneller als ein Mensch das Formular beantworten könnte) und wird damit als Bot erkannt - ganz grob vereinfacht.
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  7. #47
    Contao-Fan
    Registriert seit
    28.11.2009.
    Ort
    Remscheid
    Beiträge
    934

    Standard

    Na nicht ganz.
    Wenn ich das Formular zu schnell absende, dann bekomme ich als Mensch die Rechenaufgabe vorgesetzt. Und dann muss sie auch richtig gelöst werden.

    Der WDR z.B. hat in seinen Formularen Fragen wie "Wo liegt Köln am Rhein" oder "Welche Farbe hat der WDR Elefant" gestellt. Inzwischen scheinen die aber ein ähnliches System wie Contao zu nutzen. Wie gut oder schlecht das bei denen funktioniert... keine Ahnung.

    Das Thema kam 2020 schon mal auf (https://github.com/contao/contao/issues/1262) damals wurde der Timeout auf 5 Sek. gesetzt. Die muss ein Anwender mindestens mit Ausfüllen des Formulars beschäftigt sein.
    Je nach Umfang des Formulars hilft es vllt. das Timeout zu verlängern oder zufällig in einem Rahmen zu wählen, den ein Bot nicht aus dem Quelltext extrahieren kann.

  8. #48
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Der Bot wartet momentan 5 Sekunden (weil Contao erst ab 5 Sekunden die Rechenaufgabe nicht mehr anzeigt).
    » sponsor me via GitHub or PayPal or Revolut

  9. #49
    Contao-Fan Avatar von intradesign
    Registriert seit
    28.07.2015.
    Beiträge
    339

    Standard

    Zitat Zitat von neelix Beitrag anzeigen
    Aber unabhängig davon auf welcher Grundlage das Issue jetzt eröffnet wurde. Wir sollten dennoch herausfinden ob, und wenn ja wie, es möglich ist das Formular automatisiert auszufüllen und auch die Captcha-Frage zu beantworten oder zu umgehen.
    Sehe ich auch so. Aus meiner Sicht ist es ein Sicherheitsproblem (auch ohne, dass ChatGPT es mir vorgesagt hat), eben weil nicht nur EINE meiner Installationen sondern quasi ALLE, die Formulare versenden können, betroffen sind – und das über meherere Contao-Versionen hinweg – und sowohl an den Website-Betreiber als auch ggf. an eine in das Formular eingetragene Mailadresse eine Mail mit potenziell gefährlichen Inhalten gesendet werden kann.

    Die Captcha-Funktion ist eine von Contao mitgelieferte Sicherheitsfunktion, die das Versenden von Formularen schützt und auf die man sich bisher immer ziemlich gut verlassen konnte. Wenn das (ab jetzt) nicht (mehr) der Fall ist, muss eben eine Alternative her. Eine Mail an den "Ausfüller" eines Formulars zu senden ist auch nicht unüblich und eben auch oft Kundenwunsch.

    Mehr habe ich ja nicht gesagt.

    Wenn das falsch war, tuts mir Leid.

  10. #50
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Es ist kein Sicherheitsproblem - durch Spam wird die Contao Installation ja nicht kompromittiert.

    Zu diskutieren wäre höchstens, ob man die cc Funktion in Contao komplett entfernt - aber auch hier liegt die Verantwortlichkeit bei den zuständigen Administrator*innen. Ein Formular mit cc muss entsprechend gegen Spam abgesichert sein.
    » sponsor me via GitHub or PayPal or Revolut

  11. #51
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.198
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich weiss, dass CC oft ein Kundenwunsch ist. Mittlerweile verwende ich Kontaktformulare überhaupt nur noch auf ausdrücklichen Kundenwunsch und deutlichem Hinweis auf eventuelle Gefahren. Diese sind auch m.E. schwer bis gar nicht vermeidbar. Da bräuchte es schon mehr als eine KI, die über die Formulardaten drüberschaut. Immerhin schickt man damit (CC) eine Mail an eine oft völlig unbekannte E-Mail-Adresse. Ohne Authorisierung, ohne Opt-In, vom Double Opt-In reden wir hier noch gar nicht. DSGVO lässt grüßen. Direkte E-Mails sind aus meiner Sicht viel besser und zumindest etwas sicherer. Es gibt Mechanismen wie SPF/DKIM/DMARC usw, die man prüfen kann. Aber beim Formular ist die Absenderadresse ja schon per Definition vertrauenswürdig, ist ja eine eigene. Damit fällt schon ein großer Tei der Spam-Überprüfung weg. Die übermittelte E-Mail-Adresse ist ebenfalls nicht überprüft, ich weiss nicht wem sie gehört, dem Formularabsender oder einem x-beliebigen Dritten, der nichts davon weiss, dass hier seine Adresse angegeben wurde. Eigentlich sollte vor dem Absenden des Formulars besser noch ein Double Opt-In stehen.

    Im Moment habe ich auch wieder ziemliche Bauschschmerzen mit einem gewünschten Formular mit Dateiupload von PDF oder Bilddateien bis zu mindestens 10 MB Größe. CC habe ich wenigstens noch abbügeln können, jetzt muss ich schauen, wie ich mit dem Formular und den Uploads umgehe im Hinblick auf Spambots und böswillige Mitmenschen, damit nicht auch noch der Server abschmiert oder gar kompromittiert wird. Da kann ja jeder Alles schicken ... und das so oft er will und von so vielen IP-Adressen aus wie er will. Und außer einer IP-Adresse habe ich rein gar nichts von ihm, womit man ihn im Schadensfall haftbar machen könnte. Wenn er ein VPN oder TOR nutzt, dann nicht mal das. Auch hier wäre mir ein Double Opt-In der übermittelten Mailadresse wesentlich lieber, da muss ich aber noch Überzeugungsarbeit leisten. Und Wegwerf-Adressen findet man heute an jeder Ecke.

  12. #52
    Contao-Fan
    Registriert seit
    28.11.2009.
    Ort
    Remscheid
    Beiträge
    934

    Standard

    Womit wir wieder bei der Ausgangsfrage wären: Wie lassen sich Formulare in Contao besser gegen Spammer und Spambots bzw. Missbrauch schützen?

    Der integrierte Schutz kommt anscheinend an seine Grenzen.

    Was vom Konzept her ähnlich wie Googles ReCaptcha v3 bzw. dem Ansatz von Cloudflare zu sein scheint: https://friendlycaptcha.com/de/insig...am-protection/

    Allerdings lässt sich das nicht "mal eben" einbauen, da müsste jemand eine Erweiterung für schreiben.
    Und der zweite Pferdefuß: Will man den Datenverkehr auf den EU Raum beschränken braucht man auf jeden Fall das 200€ Paket. Die freie NGO Version und alle kleineren kennen nur einen "Globalen Endpunkt".

    Ich könnte mir denken, dass dieser Ansatz effektiv ist, da hier nicht nur einfach ein Feld nicht beschrieben werden darf, sondern der Client in der Lage sein muss ein paar komplexere Rechenoperationen auszuführen.

  13. #53
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Es gibt dafür eine Erweiterung: https://github.com/plenta/contao-fri...captcha-bundle


    Gesendet von iPhone mit Tapatalk

  14. #54
    Contao-Fan
    Registriert seit
    28.11.2009.
    Ort
    Remscheid
    Beiträge
    934

    Standard

    Bleibt noch für manches Projekt der Kostenpunkt.

  15. #55
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von neelix Beitrag anzeigen
    Bleibt noch für manches Projekt der Kostenpunkt.
    Wenn es für den einen oder anderen wichtig ist, dann muss man halt löhnen.
    Und wer das Geld nicht ausgeben mag/kann - es geht auch ohne Kontaktformular.

    Komplizierte Chaptcha können auch dazu führen, dass man das Formulare nicht ausfüllen mag.
    Die ideale Lösung
    • kostenfrei
    • garantiert sicher
    • 100% barrierefrei und nutzerfreundlich
    • ...

    gibt es halt nicht.

    Man kann nur aus den Anforderungen und dem zur Verfügung stehenden Budget versuchen das Beste herauszuholen.
    Da im Moment die Erweiterung RS Antispam zu funktionieren scheint (zumindestens bis die Angreifer ihre Methode/ihr Script verbessern/ändern) sehe ich die Erweiterung als gute und einfache Möglichkeit an und natürlich die Empfehlung die CC-Funktion besser nicht zu nutzen.

    Es ist ja auch nicht so, dass die Entwickler das Problem nicht wahrgenommen haben. Ich denke da macht man sich schon Gedanken, um es den Spamern etwas schwerer zu machen.
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  16. #56
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107
    » sponsor me via GitHub or PayPal or Revolut

  17. #57
    Contao-Urgestein Avatar von tblumrich
    Registriert seit
    25.06.2009.
    Ort
    Feldberger Seenlandschaft
    Beiträge
    2.225
    Partner-ID
    7979
    User beschenken
    Wunschliste

    Standard

    Ich hab mich mal kurz nach Alternetiven umgeschaut. Als Contao-Extension gibts kaum was... (das o.g. natürlich)

    Hat schonmal jemand was eingebaut? Kennt jemand das hier https://extensions.contao.org/?p=pbd...captcha-bundle

    Ist problemlos installierbar und auch aktiviert, aber das Captcha wird nicht gerendert.

    Zusatzfrage: da es nicht eindeutig geklärt scheint... RS Antispam ist doch Bestandteil im Core seit 4.9? Da es hier scheinbar zusätzlich installiert wurde... macht das überhaupt Sinn?
    Geändert von tblumrich (09.02.2024 um 10:43 Uhr)
    blucomp | Webdesign & Onlinelösungen

  18. #58
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von tblumrich Beitrag anzeigen
    Zusatzfrage: da es nicht eindeutig geklärt scheint... RS Antispam ist doch Bestandteil im Core seit 4.9? Da es hier scheinbar zusätzlich installiert wurde... macht das überhaupt Sinn?
    Es macht Sinn weil die RS Implementierung leicht anders ist und das Spammer-Script nur genau den Schutz von Contao zielgerichtet umgeht. Nach dem Release der nächsten Contao Version kannst du wieder zurück gehen. Bis dass das Spammer-Script aktualisiert wird - dann geht das Katz & Maus Spiel wieder von vorne los
    Geändert von Spooky (09.02.2024 um 11:43 Uhr)
    » sponsor me via GitHub or PayPal or Revolut

  19. #59
    Contao-Urgestein Avatar von tblumrich
    Registriert seit
    25.06.2009.
    Ort
    Feldberger Seenlandschaft
    Beiträge
    2.225
    Partner-ID
    7979
    User beschenken
    Wunschliste

    Standard

    Ah, okay, danke.
    Hier wurde irgendwo beschrieben, das es zusätzlich eingebaut wurde... also dann beide Mechansimen ins Formular? Oder nur das von der Erweiterung anstatt das aus dem Core?
    blucomp | Webdesign & Onlinelösungen

  20. #60
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Beides zu haben macht imho keinen Sinn. Entweder das eine oder das andere.
    » sponsor me via GitHub or PayPal or Revolut

  21. #61
    Contao-Fan Avatar von intradesign
    Registriert seit
    28.07.2015.
    Beiträge
    339

    Standard

    Ich habe mir gerade Altcha angeschaut und finde es recht vielversprechend. Ich bekomme es auch integriert und es funktioniert so weit. Allerdings bisher nur, wenn ich das Formular mit einem eigenen Script verarbeite, also Method des Formulars auf die Altcha-Überprüfung setze. Wenn erfolgreich -> mach irgendwas mit den Formulardaten. Hier müsste ich dann aber Mailversand und/oder Datenspeicherung selbst implementieren und kann nicht auf Notification Center / Leads zurückgreifen.

    Die Frage ist also: Wie kann ich die Überprüfung in die Formular-Logik von Contao integrieren?

    Ich habe dabei an den Hook prepareFormData gedacht. Hier müsste also irgendwie eingebaut werden:
    Wenn Altcha=erfolgreich => mache ganz normal mit der Contao-Formular-Verarbeitung weiter
    sonst => unterbrich die Contao-Formular-Verarbeitung

    Wäre das ein Ansatz?
    Wenn ja: Wie erreiche ich das?

    Hier noch der Link: https://altcha.org

  22. #62
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von intradesign Beitrag anzeigen
    Die Frage ist also: Wie kann ich die Überprüfung in die Formular-Logik von Contao integrieren?
    Am besten als eigenes Widget umsetzen.
    » sponsor me via GitHub or PayPal or Revolut

  23. #63
    Contao-Fan
    Registriert seit
    05.11.2009.
    Ort
    Liebschützberg (Sachsen)
    Beiträge
    527

    Standard

    Hallo, die Security Phase für 4.9 endet ja am 14.02.24.

    Wird es noch einen Fix für 4.9 geben oder wäre das ein schlagendes Argument für ein Wechsel auf 4.13?

    Mir ist bewusst das man das sowie so machen sollte.

    VG Steffen Winde

  24. #64
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Da das kein Sicherheitsproblem ist, wird es kein Update für Contao 4.9 geben.
    » sponsor me via GitHub or PayPal or Revolut

  25. #65
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Bei uns sind auch immer mehr Seiten betroffen. Wir haben jetzt auch mehreren Seiten diese Erweiterung installiert und das Captcha Feld von Contao ist zusätzlich parallel weiter im Einsatz:
    https://packagist.org/packages/pbd-k...captcha-bundle

    Funktioniert ziemlich gut. Bei der einen Seite nur 2 Zeichen im Einsatz, reicht scheinbar bis jetzt.

    Aber grundsätzlich mag ich diese Captcha Bilder nicht. So wie tab schon gesagt hat, ist es total nervig mit den Bussen, Ampeln und Zebrastreifen. Niemand hat Bock 4 mal ne Frage zu beantworten und Bildchen zu klicken. Da springen dann genug Leute ab, die einfach die Nase voll haben.

    Bevor ich die Erweiterung installiert habe, hatte ich überlegt, ob es nicht am besten wäre, wenn man in Contao einfach nen normales Textfeld erstellen könnte, was zwingend ausgefüllt werden muss und z.B. so lautet... "Nachname einer Deutschen Bundeskanzlerin" und dann muss zwingend "Merkel" eingetragen werden aber das weiß dann wieder nicht jeder.
    Oder würde es nicht auch einfach ausreichen, wenn man schreibt: "Schreibe folgendes Wort ohne Bindestriche: c-o-n-t-a-o

    Also ich meine das immer als Zusatz zur Contao Sicherheitsfrage...

    Weiß einer wie man das am einfachsten hinkriegt ein Feld so zu prüfen, dass der Wert exakt so lauten muss wie man es vorher bestimmt? Also ohne jetzt ne Erweiterung zu programmieren...
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  26. #66
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich glaube nicht, dass so etwas Bots auf Dauer abhält.
    Wenn man weiss wie eine Sicherheitsabfrage - welcher Art auch immer - funktioniert, wird man sie mit gewissem Aufwand umgehen können.
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  27. #67
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Das stimmt. Dann müsste man die Frage / Antwort regelmäßig ändern, was wieder Wartungszeit mit sich bringt.

    Also werde ich erst mal mit der tossn Erweiterung arbeiten... ich denke mal die Usability-Verschlechterung mit einem Captcha-Bild mit 2 Zahlen hält sich in Grenzen. Ist natürlich nicht mehr barrierefrei bzw. -arm, aber irgendwas muss man ja machen.

    Leider geht die Erweiterung nicht beim Registrierungsformular.

    Bei den Registrierten "Personen" ist mir aufgefallen, dass die Bot User dann oft irgendwelche exotischen Länder wie Dschibuti, Vanuatu usw. angeben. Man könnte natürlich auch auf so etwas prüfen. Nur wenn DACH-Länder gewählt werden, kommt man durch. Bei allen anderen Ländern könnte man die IP direkt sperren für ne gewisse Zeit und ne weiße Seite ausliefern. Aber wenn dann doch mal nen Franzose sich auf einer (Deutschen) Seite registriert, ist der auch Weg vom Fenster
    Aber gut, dann erlaubt man halt alle europäischen Länder, der Rest ist normalerweise eher realitätsfern.

    Edit 22:18 Uhr: Unglaublich... parallel hat direkt nen Bot das tossn Captcha auch geknackt (mit 2 Zeichen)
    Hab jetzt mal auf 4 Zeichen erhöht...
    Geändert von Stranger (11.02.2024 um 22:18 Uhr)
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  28. #68
    Contao-Fan Avatar von markocupic
    Registriert seit
    06.12.2010.
    Ort
    Oberkirch (Schweiz)
    Beiträge
    661

    Standard

    Zitat Zitat von intradesign Beitrag anzeigen
    Ich habe mir gerade Altcha angeschaut und finde es recht vielversprechend. Ich bekomme es auch integriert und es funktioniert so weit. Allerdings bisher nur, wenn ich das Formular mit einem eigenen Script verarbeite, also Method des Formulars auf die Altcha-Überprüfung setze. Wenn erfolgreich -> mach irgendwas mit den Formulardaten. Hier müsste ich dann aber Mailversand und/oder Datenspeicherung selbst implementieren und kann nicht auf Notification Center / Leads zurückgreifen.

    Die Frage ist also: Wie kann ich die Überprüfung in die Formular-Logik von Contao integrieren?

    Ich habe dabei an den Hook prepareFormData gedacht. Hier müsste also irgendwie eingebaut werden:
    Wenn Altcha=erfolgreich => mache ganz normal mit der Contao-Formular-Verarbeitung weiter
    sonst => unterbrich die Contao-Formular-Verarbeitung

    Wäre das ein Ansatz?
    Wenn ja: Wie erreiche ich das?

    Hier noch der Link: https://altcha.org
    Ein erstes build: https://packagist.org/packages/marko...ltcha-antispam Tester gesucht?
    Anfragen für bezahlten Support oder Extension-Programmierung via PN.

  29. #69
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    Ich habe mal das "alte" RST Antispam eingebaut - seit dem (48h) sind keine Spam-Mails mehr eingegangen...

  30. #70
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von markocupic Beitrag anzeigen
    Ich weiß nicht, ob ich da jetzt etwas falsch verstehe, aber diese Erweiterung lädt einfach ein externes JavaScript in die Seite rein?
    https://cdn.jsdelivr.net/npm/altcha/dist/altcha.js

    Es kann ja nicht Sinn der Sache sein, dass man ein Problem beheben will und sich das nächste rein holt, indem man gegen die DSGVO verstößt. Aber wenn ich das jetzt falsch verstanden habe, tut es mir leid.
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  31. #71
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    @Stranger stelle einen PR der die altcha.js stattdessen lokal verfügbar macht.
    » sponsor me via GitHub or PayPal or Revolut

  32. #72
    Contao-Fan Avatar von Ainschy
    Registriert seit
    24.06.2009.
    Ort
    Wenden
    Beiträge
    803
    Partner-ID
    5666
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard GeoIP

    Eine Möglichkeit die sich noch bietet ist das Formular mittels Geo IP abzusichern:

    Terminal 42 hat hier eine Erweiterung: https://github.com/terminal42/contao-geoip2-country

  33. #73
    AG Pressearbeit
    Community-Moderator
    Buchautor 'Contao für Webdesigner'
    Avatar von planepix
    Registriert seit
    05.06.2009.
    Ort
    Stuttgart
    Beiträge
    6.529
    Partner-ID
    107
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Die eben veröffentlichte Version 4.13.37 nimmt sich dem Thema an:

    https://www.trakked.io/de/blog/conta...eroeffentlicht
    ---------------------------------
    Beste Grüße planepix
    Contao für Webdesigner (Website), Twitter: @contaowebdesign
    weitzeldesign
    Contao-Sprechstunde
    Contao Schulungen: https://www.weitzeldesign.com/cms-co...chulungen.html
    Contao Jahrbuch: www.contao-jahrbuch.de
    Contao Agenturtag: www.contao-agenturtag.de
    Contao Stammtisch Stuttgart: www.contao-stammtisch-stuttgart.de
    Contao 4 Erfahrungen als Gitbook: https://app.gitbook.com/@planepix/s/...-mit-contao-4/
    Contao 4 & Manager Hosterhinweise: https://github.com/contao/contao-manager/wiki

    Schon wieder ein Update?
    Glücklich sind die, die den Wert erkennen – und wertschätzen.
    „Muss man machen wie beim Zahnarzt. Der bestraft einen auch mit hohen Rechnungen wenn man die Pflege vernachlässigt.”

  34. #74
    Contao-Fan Avatar von Stranger
    Registriert seit
    20.06.2009.
    Ort
    Blankenburg
    Beiträge
    746
    Partner-ID
    5635
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von planepix Beitrag anzeigen
    Die eben veröffentlichte Version 4.13.37 nimmt sich dem Thema an:

    https://www.trakked.io/de/blog/conta...eroeffentlicht
    Vielen Dank für den Hinweis. Das klingt sehr gut!
    Gute Version btw. Total leet (1337)
    Du willst dich bei mir bedanken?
    Ich freue mich über Geschenke von meiner Amazon-Wunschliste.

    Contao-Anwender seit 2008
    Contao-Entwickler seit 2013, mehr als 50 Contao Erweiterungen programmiert

    Mein Unternehmen aus Blankenburg (Harz): Fast & Media

  35. #75
    Contao-Fan Avatar von intradesign
    Registriert seit
    28.07.2015.
    Beiträge
    339

    Standard

    Zitat Zitat von Stranger Beitrag anzeigen
    Ich weiß nicht, ob ich da jetzt etwas falsch verstehe, aber diese Erweiterung lädt einfach ein externes JavaScript in die Seite rein?
    https://cdn.jsdelivr.net/npm/altcha/dist/altcha.js

    Es kann ja nicht Sinn der Sache sein, dass man ein Problem beheben will und sich das nächste rein holt, indem man gegen die DSGVO verstößt. Aber wenn ich das jetzt falsch verstanden habe, tut es mir leid.
    Das Script kann man auch lokal hosten, auch einfach innerhalb der Website, sodass keine Daten mit Drittanbietern ausgetauscht werden müssen.
    Das sollte man dann in der finalen Version auch machen.

  36. #76
    Contao-Fan Avatar von intradesign
    Registriert seit
    28.07.2015.
    Beiträge
    339

    Multimedia

    Zitat Zitat von markocupic Beitrag anzeigen
    Wie kann ich testen?

    Hat sich erledigt... Ich habe mich bei der Suche im Contao-Manager vertippt...

  37. #77
    Contao-Fan Avatar von intradesign
    Registriert seit
    28.07.2015.
    Beiträge
    339

    Standard

    Zitat Zitat von markocupic Beitrag anzeigen
    Ich habe das mal installiert, erhalte aber die rote Meldung, dass der ALTCHA hmac-Key noch leer ist.
    Habe ich aber natürlich eingetragen. Woran mag das liegen?

  38. #78
    Contao-Fan Avatar von markocupic
    Registriert seit
    06.12.2010.
    Ort
    Oberkirch (Schweiz)
    Beiträge
    661

    Standard

    Zitat Zitat von intradesign Beitrag anzeigen
    Ich habe das mal installiert, erhalte aber die rote Meldung, dass der ALTCHA hmac-Key noch leer ist.
    Habe ich aber natürlich eingetragen. Woran mag das liegen?
    Cache neu aufgebaut?
    Code:
    composer install
    Anfragen für bezahlten Support oder Extension-Programmierung via PN.

  39. #79
    Contao-Fan Avatar von intradesign
    Registriert seit
    28.07.2015.
    Beiträge
    339

    Standard

    Zitat Zitat von markocupic Beitrag anzeigen
    Cache neu aufgebaut?
    Code:
    composer install
    Ja, klar. Die komplette config.yml wurde nicht übernommen, erst nachdem ich alle Caches geleert habe.
    Nun kommt die Meldung nicht mehr. Haber jetzt aber einen weiteren Fehler:

    Unknown "addHtmlToHead" function.

    Ich schreib mal PN, OK?

  40. #80
    Contao-Urgestein Avatar von Samson1964
    Registriert seit
    05.11.2012.
    Ort
    Berlin
    Beiträge
    2.809

    Standard

    Bei mir wird seit etwa 1-2 Wochen auch gespammt, sowohl über Kontakt- als auch Registrierungsformular. Etwa alle 2-3 Stunden kommt eine Spammail darüber je Installation rein. Auf verschiedenen Installationen mit Contao 4.9 und 4.13.
    Viele Grüße
    Frank

    Seit Mai 2013 Fan von Contao
    Webmaster vom Deutschen Schachbund und Berliner Schachverband
    Mein Blog: Schachbulle
    Meine Erweiterungen bei GitHub
    Meine Videos auf YouTube: Playlist zur Contao-Programmierung/Einrichtung

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 2 (Registrierte Benutzer: 0, Gäste: 2)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •