SPAM Abwehr - Ist markocupic/contao-altcha-antispam noch eine aktuelle Waffe?

[Kronos]

Mit der Erweiterung https://packagist.org/packages/con2n...am-form-bundle konnte ich den Spam in Contao 5.3 erfolgreich blockieren. Danke an den Entwickler!

Erforderliche Schritte:

• Erweiterung installieren
• ALTCHA HMAC-Key erzeugen und in .env.local im Rootverzeichnis eintragen
• im Formular den Spamschutz aktivieren
• im Formular ein ALTCHA-Feld Widget einfügen

Die Erweiterung ist gut dokumentiert. Es stehen weitere Optionen zur Verfügung, um den Spamschutz zu verbessern.

Konnte mit dieser Erweiterung aktuell auch die Massen-Spams eindampfen, aktuell auf 0 Stück...
Meine Konfiguration wäre:

Code:

contao_anti_spam_form:
  altcha:
    # Challenge difficulty (höher = schwerer für Bots, langsamer für User)
    # Easy: 10000, Normal: 50000, Medium: 100000, Hard: 250000, Very Hard: 500000
    max_number: 150000
    
    # Salt length (8-32)
    # 16 = 128 Bit Entropie (empfohlen für CAPTCHA)
    salt_length: 16
    
    # Hash algorithm: SHA-256 (fast), SHA-384 (medium), SHA-512 (secure)
    algorithm: 'SHA-256'

Aktuell hab ich "nur" das ALTCHA-Widget aktiviert und die IP-Blacklist. Nur mit dem ALTCHA kamen trotzdem noch Spams durch.
So sieht das ganze nun bei mir im Log aus. Seltsam erscheint allerdings der Hinweis, dass ein Formular abgeschickt wurde - was aber nicht passierte weil geblockt wurde.

Screenshot at Dec 17 05-39-37.png

Viele Grüße,
Tobi

[Druckfrosch]

Mit der Erweiterung https://packagist.org/packages/con2n...am-form-bundle konnte ich den Spam in Contao 5.3 erfolgreich blockieren. Danke an den Entwickler!

Erforderliche Schritte:

• Erweiterung installieren
• ALTCHA HMAC-Key erzeugen und in .env.local im Rootverzeichnis eintragen
• im Formular den Spamschutz aktivieren
• im Formular ein ALTCHA-Feld Widget einfügen

Die Erweiterung ist gut dokumentiert. Es stehen weitere Optionen zur Verfügung, um den Spamschutz zu verbessern.

Hallo Kommunalo,
Danke, aber ich stehe wohl auf dem Schlauch.
Nach Altcha HMAC-Key erzeugen (Shell auf Webserver) und in neuem .env.local im Root neben composer.json/lock eintragen und Anwendungs-Cache leeren kommt bei mir bei der Formular-Konfig die Fehlermeldung
Environment variable not found: "ALTCHA_HMAC_KEY". (internal server error).

[Druckfrosch]

Hallo Kommunalo,
Danke, aber ich stehe wohl auf dem Schlauch.
Nach Altcha HMAC-Key erzeugen (Shell auf Webserver) und in neuem .env.local im Root neben composer.json/lock eintragen und Anwendungs-Cache leeren kommt bei mir bei der Formular-Konfig die Fehlermeldung
Environment variable not found: "ALTCHA_HMAC_KEY". (internal server error).

Ok gelöst, ich musste noch eine leere .env anlegen.

[zoglo]

Ok gelöst, ich musste noch eine leere .env anlegen.

"Die .env muss neben der .env.local vorhanden sein, sonst wird die .env.local ignoriert. Auch wenn in der .env nichts enthalten ist. Die DotEnv-Komponente von Symfony überschreibt niemals echte System-Umgebungsvariablen."

Keine Werbung aber dieser Blogbeitrag ist für Anwender doch sehr interessant (Zudem ist trakked auch top)
https://www.trakked.io/de/blog/conta...d-env-erklaert

[Brubbel]

Hallo zusammen,

ich habe bei einem Kunden auch das con2net/contao-anti-spam-form-bundle installiert und es scheint gut zu funktionieren.

Ein normaler Logeintrag bei Mail-Versand mit Notification Center lautet jetzt


Häufig ist im Log nur die Meldung "ALTCHA validated successfully".
Das ist vermutlich abgefangener Spam.

Ein paar Mal habe ich aber auch ALTCHA FAILED: No payload received for field "altcha".

Kann jemand erklären, was hinter dieser Nachricht steckt?

Moin conter,
freut mich wenn die Erweiterung bei Dir gut funktioniert. Die Meldungen überarbeite ich noch mal etwas. Die erste ist eigentlich eine Info die nur kommen soll, wenn man die Erweiterung mit DEBUG fährt. Ich passe das noch an. Aber sie besagt grundsätzlich erstmal nur, dass die ALTCHA Challenge erfolgreich gelöst wurde. Das ist eine der Voraussetzungen, dass die Nachricht überhaupt gesendet werden kann.

Die zweite Info bedeutet, dass das Formular ohne gelöste ALTCHA-Challenge abgeschickt wurde.
- Vielleicht durch Bots, die sich nicht an den normalen Ablauf halten wollen,
- JavaScript-Fehler oder JavScript deaktiviert
- User hat zu schnell auf "Absenden" geklickt (bevor ALTCHA fertig war)
- User hat die Seite verlassen/neu geladen
- irgendwelche technischen Probleme, die verhindern, dass die Challenge gelöst wird.

Wenn Du öfter solche Meldungen bei legitimen Usern siehst, könnte es vielleicht helfen, den Schwierigkeitsgrad von ALTCHA zu reduzieren (schnellere Challenge)?

Ich versuche das im nächsten Update etwas deutlicher zu machen. Danke für Deine Rückmeldung!