reCaptcha-Problem bei Registrierung behoben
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
reCaptcha-Problem bei Registrierung behoben
Wir hatten wohl seit ein paar Tagen (irgendwas um den 22.04. herum) unbemerkt von mir ein Problem mit der Registrierung. Google hat wohl bei den für reCaptcha benutzten Domains etwas geändert, so das reCaptcha nicht geladen werden konnte. Ich nutze hier Content-Security-Policy-Header, um die jeweils als lad- und nutzbar zulässigen Domains zu begrenzen. Das klappt auch ganz gut, nur wenn sich Domains ändern oder hinzukommen ist das blöd.
Anyway, der Fehler ist behoben und ich hoffe das lesen hier alle diejenigen, die sich in den letzten Tagen erfolglos versucht haben zu registrieren. Sorry.
Anyway, der Fehler ist behoben und ich hoffe das lesen hier alle diejenigen, die sich in den letzten Tagen erfolglos versucht haben zu registrieren. Sorry.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: reCaptcha-Problem bei Registrierung behoben
Hat jemand eine Idee, wie man das automatisiert testen koennte?
Ist ja irgendwie doof, wenn fuer die registrierten User alles in Ordnung ist aber neue User sich nicht registrieren koenne, und wir bekommen es nur dann mit wenn irgendjemand von den zukuenftigen Usern sich die Muehe macht die Kontakt-Email-Adresse rauszusuchen und feltel darauf hinzuweisen.
Die Schwierigkeit ist aber natuerlich, dass das Captcha ja gerade automatisierte Anmeldungen verhindern soll, also wird es schwer sein, die Funktion automatisiert zu testen.
Wie loest ihr sowas in euren sonstigen Projekten? Das wuerde mich interessieren.
Ist ja irgendwie doof, wenn fuer die registrierten User alles in Ordnung ist aber neue User sich nicht registrieren koenne, und wir bekommen es nur dann mit wenn irgendjemand von den zukuenftigen Usern sich die Muehe macht die Kontakt-Email-Adresse rauszusuchen und feltel darauf hinzuweisen.
Die Schwierigkeit ist aber natuerlich, dass das Captcha ja gerade automatisierte Anmeldungen verhindern soll, also wird es schwer sein, die Funktion automatisiert zu testen.
Wie loest ihr sowas in euren sonstigen Projekten? Das wuerde mich interessieren.
Use ed once in a while!
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: reCaptcha-Problem bei Registrierung behoben
Nuja, eigentlich (tm) ändern sich die URLs ja nicht wirklich oft. Ist mir die letzten Jahre noch nicht untergekommen. Warum Google jetzt statt https://www.google.com https://google.com nutzt wissen nur die. Und je enger man die CSP-Header fasst, um so anfälliger ist halt sowas. Auf der anderen Seite sind eng gefasste (sprich nur die für den Betrieb notwendigsten URLs/Ressourcentypen) CSP-Header natürlich sicherer, da sie weniger Angriffsszenarien offen lassen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: reCaptcha-Problem bei Registrierung behoben
@Meillo: Wir könnten auf der Anmeldeseite ne Mailaddy angeben, an die man sich wenden kann, falls was kaputt ist, mit dem Hinweis, dass man das aktuelle Zauberwort und das Datum von morgen in die Betreffzeile malen soll - dann haben die Spammer was zu tun, und wir übersehn die validen Anfragen trotzdem noch, weil die eine Hälfte die Handlungsanweisung missdeutet und der Rest keine Ahnung hat, welches Datum grade aktuell ist, geschweige denn bis morgen vordenken mag. Klassisches Loose-Loose
Sorry, aber mehr als langweiliges Monitoring (ob die entsprechenden Server erreichbar sind und den erwarteten Content ausliefern), fällt mir auch nicht ein.
Das ganze Captchazeug ist generell eh nen großer Graus. Und damit wären wir auch wieder bei dem alten Problem: wie sorgt man dafür, dass Neulinge schreiben können, ohne dass Spammer Blödsinn anstellen können. Ich setz drei Keks zur Belohnung aus.
Sorry, aber mehr als langweiliges Monitoring (ob die entsprechenden Server erreichbar sind und den erwarteten Content ausliefern), fällt mir auch nicht ein.
Das ganze Captchazeug ist generell eh nen großer Graus. Und damit wären wir auch wieder bei dem alten Problem: wie sorgt man dafür, dass Neulinge schreiben können, ohne dass Spammer Blödsinn anstellen können. Ich setz drei Keks zur Belohnung aus.
Re: reCaptcha-Problem bei Registrierung behoben
Ich habe die Situation allgemeiner gesehen. Die URL aendert sich vielleicht nicht so schnell wieder, aber morgen ist es dann halt ein anderes Problem. Mir geht es allgemein darum, dass wir als User dieses Forums nicht mitbekommen, wenn sich Neuuser nicht registrieren koennen. Wenn sonst etwas nicht laeuft, dann merken wir es durch unsere Nutzung automatisch. Auch fuer die exotischeren Services rund um das DFDE gibt es irgendwelche User unter uns, die Probleme melden werden. Aber wenn die Neuregistrierung nicht laeuft, dann ist das ein anderer Fall. Kombiniert mit der gerade nicht moeglichen maschinellen Testbarkeit eines Captchas.feltel hat geschrieben:29.04.2021 14:03:09Nuja, eigentlich (tm) ändern sich die URLs ja nicht wirklich oft. Ist mir die letzten Jahre noch nicht untergekommen. Warum Google jetzt statt https://www.google.com https://google.com nutzt wissen nur die. Und je enger man die CSP-Header fasst, um so anfälliger ist halt sowas. Auf der anderen Seite sind eng gefasste (sprich nur die für den Betrieb notwendigsten URLs/Ressourcentypen) CSP-Header natürlich sicherer, da sie weniger Angriffsszenarien offen lassen.
Mir geht es also mehr um das generell anders gelagerte Problem, das in anderen Projekten so auch auftreten wird. Und ich frage mich, was es dafuer fuer Loesungsstrategien gibt ... die wir hier dann ggf. auch nutzen koennten.
Wie beispielsweise stellen grosse Internetseiten sicher, dass die Neuanmeldung von Usern noch funktioniert? Wenn die Anmelderate hoch genug ist, dann kann man wohl einfach die Anzahl neuer User pro Zeiteinheit monitoren und sieht darueber falls die Registrierung kaputt ist. Wenn es nur wenige Neuuser pro Tag sind, dann muss halt das Intervall vergroessert werden. Dass sich aber ganze Woche lang niemand neu registriert, waere dann auch aussagekraeftig.
Ich denke halt, dass man fuer jedes Problem, das aufgetreten und gefixt worden ist, dieses damit nicht abhaken sollte, sondern an dem Punkt darueber nachdenken sollte, wie man verhindern kann, dass beim naechsten Mal etwas derartiges wieder passiert.
Use ed once in a while!
Re: reCaptcha-Problem bei Registrierung behoben
Fänd ich auch interessant, dann müsste man aber für das ganzheitliche Monitoring irgendwie ne Ausnahme hinzimmern, damit das recaptcha nicht ausgefüllt werden muss - was dann wiederum nicht mehr mitbekommt, wenn es da nen Fehler gibt.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: reCaptcha-Problem bei Registrierung behoben
Geht es bei reCaptcha nicht um Tracking etc., und könnte es dann schon grundsätzlich auch mal eher unerwünscht sein?
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: reCaptcha-Problem bei Registrierung behoben
Nein, reCaptcha ist ein Spambot-Schutz, was hilft Webformulare vor maschinellem Ausfüllen zu schützen. Auch schützt es vor händischem Ausfüllen, wenn sowas immer und immer wieder von der gleichen IP, dem gleichen Browser, ... kommt. Klar, es ist von Google und die machen das nicht aus reiner Menschenfreundlichkeit. Aber man muss neidlos zugestehen, das das in der aktuellen Version 3 ziemlich effektiv ist. Seit dem Upgrade auf phpBB 3.3 läuft hier auch reCaptcha v3 und das Aufkommen an Spam-Registrierungen ist massivst herunter gegangen. Letzes Jahr waren es ca. zehn Registrierungen pro Tag, heute ist es vielleicht eine alle ein zwei Wochen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: reCaptcha-Problem bei Registrierung behoben
Spameinträge hatte ich früher mal bei einem Blog, das ist allerdings sehr lästig.
Es gibt z.B. (von mir aber jetzt noch nicht gründlich angeschaut) so etwas, um auch Tracking zu reduzieren: https://github.com/pstimpel/phpcaptcha
Es ist schlimm, wenn man wie ich es z.B. vor einiger Zeit bei DHL erlebt habe, mehrfach diese Google-KI bemühen (trainieren?) muss, um einfach nur einen Sendungsstatus zu erfahren. Da ist der Nervfaktor hier natürlich harmloser.feltel hat geschrieben:30.04.2021 16:09:24Klar, es ist von Google und die machen das nicht aus reiner Menschenfreundlichkeit.
Es gibt z.B. (von mir aber jetzt noch nicht gründlich angeschaut) so etwas, um auch Tracking zu reduzieren: https://github.com/pstimpel/phpcaptcha
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: reCaptcha-Problem bei Registrierung behoben
phpBB hat auch ein eigenes Captcha-Modul, was auch auf GD-generierte Grafiken mit Text und Störmustern setzt. Das kann man sich aber auch sparen, weil das relativ schnell per OCR knackbar ist.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- KBDCALLS
- Moderator
- Beiträge: 22446
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: reCaptcha-Problem bei Registrierung behoben
Und wie siehts bei Google reCaptcha aus ? Ist das sicherer?
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: reCaptcha-Problem bei Registrierung behoben
Meine Beobachtungen hatte ich ja hier viewtopic.php?p=1270964#p1270964 kurz beschrieben. Ich würd sagen für den Moment ist das ziemlich effektiv.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM