reCaptcha-Problem bei Registrierung behoben

[feltel]

Wir hatten wohl seit ein paar Tagen (irgendwas um den 22.04. herum) unbemerkt von mir ein Problem mit der Registrierung. Google hat wohl bei den für reCaptcha benutzten Domains etwas geändert, so das reCaptcha nicht geladen werden konnte. Ich nutze hier Content-Security-Policy-Header, um die jeweils als lad- und nutzbar zulässigen Domains zu begrenzen. Das klappt auch ganz gut, nur wenn sich Domains ändern oder hinzukommen ist das blöd.

Anyway, der Fehler ist behoben und ich hoffe das lesen hier alle diejenigen, die sich in den letzten Tagen erfolglos versucht haben zu registrieren. Sorry.

[Meillo]

Hat jemand eine Idee, wie man das automatisiert testen koennte?

Ist ja irgendwie doof, wenn fuer die registrierten User alles in Ordnung ist aber neue User sich nicht registrieren koenne, und wir bekommen es nur dann mit wenn irgendjemand von den zukuenftigen Usern sich die Muehe macht die Kontakt-Email-Adresse rauszusuchen und feltel darauf hinzuweisen.

Die Schwierigkeit ist aber natuerlich, dass das Captcha ja gerade automatisierte Anmeldungen verhindern soll, also wird es schwer sein, die Funktion automatisiert zu testen.

Wie loest ihr sowas in euren sonstigen Projekten? Das wuerde mich interessieren.

[feltel]

Nuja, eigentlich (tm) ändern sich die URLs ja nicht wirklich oft. Ist mir die letzten Jahre noch nicht untergekommen. Warum Google jetzt statt https://www.google.com https://google.com nutzt wissen nur die. Und je enger man die CSP-Header fasst, um so anfälliger ist halt sowas. Auf der anderen Seite sind eng gefasste (sprich nur die für den Betrieb notwendigsten URLs/Ressourcentypen) CSP-Header natürlich sicherer, da sie weniger Angriffsszenarien offen lassen.

[eggy]

@Meillo: Wir könnten auf der Anmeldeseite ne Mailaddy angeben, an die man sich wenden kann, falls was kaputt ist, mit dem Hinweis, dass man das aktuelle Zauberwort und das Datum von morgen in die Betreffzeile malen soll - dann haben die Spammer was zu tun, und wir übersehn die validen Anfragen trotzdem noch, weil die eine Hälfte die Handlungsanweisung missdeutet und der Rest keine Ahnung hat, welches Datum grade aktuell ist, geschweige denn bis morgen vordenken mag. Klassisches Loose-Loose

Sorry, aber mehr als langweiliges Monitoring (ob die entsprechenden Server erreichbar sind und den erwarteten Content ausliefern), fällt mir auch nicht ein.

Das ganze Captchazeug ist generell eh nen großer Graus. Und damit wären wir auch wieder bei dem alten Problem: wie sorgt man dafür, dass Neulinge schreiben können, ohne dass Spammer Blödsinn anstellen können. Ich setz drei Keks zur Belohnung aus.

[Meillo]

Nuja, eigentlich (tm) ändern sich die URLs ja nicht wirklich oft. Ist mir die letzten Jahre noch nicht untergekommen. Warum Google jetzt statt https://www.google.com https://google.com nutzt wissen nur die. Und je enger man die CSP-Header fasst, um so anfälliger ist halt sowas. Auf der anderen Seite sind eng gefasste (sprich nur die für den Betrieb notwendigsten URLs/Ressourcentypen) CSP-Header natürlich sicherer, da sie weniger Angriffsszenarien offen lassen.

Ich habe die Situation allgemeiner gesehen. Die URL aendert sich vielleicht nicht so schnell wieder, aber morgen ist es dann halt ein anderes Problem. Mir geht es allgemein darum, dass wir als User dieses Forums nicht mitbekommen, wenn sich Neuuser nicht registrieren koennen. Wenn sonst etwas nicht laeuft, dann merken wir es durch unsere Nutzung automatisch. Auch fuer die exotischeren Services rund um das DFDE gibt es irgendwelche User unter uns, die Probleme melden werden. Aber wenn die Neuregistrierung nicht laeuft, dann ist das ein anderer Fall. Kombiniert mit der gerade nicht moeglichen maschinellen Testbarkeit eines Captchas.

Mir geht es also mehr um das generell anders gelagerte Problem, das in anderen Projekten so auch auftreten wird. Und ich frage mich, was es dafuer fuer Loesungsstrategien gibt ... die wir hier dann ggf. auch nutzen koennten.

Wie beispielsweise stellen grosse Internetseiten sicher, dass die Neuanmeldung von Usern noch funktioniert? Wenn die Anmelderate hoch genug ist, dann kann man wohl einfach die Anzahl neuer User pro Zeiteinheit monitoren und sieht darueber falls die Registrierung kaputt ist. Wenn es nur wenige Neuuser pro Tag sind, dann muss halt das Intervall vergroessert werden. Dass sich aber ganze Woche lang niemand neu registriert, waere dann auch aussagekraeftig.

Ich denke halt, dass man fuer jedes Problem, das aufgetreten und gefixt worden ist, dieses damit nicht abhaken sollte, sondern an dem Punkt darueber nachdenken sollte, wie man verhindern kann, dass beim naechsten Mal etwas derartiges wieder passiert.

[TRex]

Fänd ich auch interessant, dann müsste man aber für das ganzheitliche Monitoring irgendwie ne Ausnahme hinzimmern, damit das recaptcha nicht ausgefüllt werden muss - was dann wiederum nicht mehr mitbekommt, wenn es da nen Fehler gibt.

[curt123]

Das ganze Captchazeug ist generell eh nen großer Graus.

Geht es bei reCaptcha nicht um Tracking etc., und könnte es dann schon grundsätzlich auch mal eher unerwünscht sein?

[feltel]

Nein, reCaptcha ist ein Spambot-Schutz, was hilft Webformulare vor maschinellem Ausfüllen zu schützen. Auch schützt es vor händischem Ausfüllen, wenn sowas immer und immer wieder von der gleichen IP, dem gleichen Browser, ... kommt. Klar, es ist von Google und die machen das nicht aus reiner Menschenfreundlichkeit. Aber man muss neidlos zugestehen, das das in der aktuellen Version 3 ziemlich effektiv ist. Seit dem Upgrade auf phpBB 3.3 läuft hier auch reCaptcha v3 und das Aufkommen an Spam-Registrierungen ist massivst herunter gegangen. Letzes Jahr waren es ca. zehn Registrierungen pro Tag, heute ist es vielleicht eine alle ein zwei Wochen.

[curt123]

Spameinträge hatte ich früher mal bei einem Blog, das ist allerdings sehr lästig.

Klar, es ist von Google und die machen das nicht aus reiner Menschenfreundlichkeit.

Es ist schlimm, wenn man wie ich es z.B. vor einiger Zeit bei DHL erlebt habe, mehrfach diese Google-KI bemühen (trainieren?) muss, um einfach nur einen Sendungsstatus zu erfahren. Da ist der Nervfaktor hier natürlich harmloser.

Es gibt z.B. (von mir aber jetzt noch nicht gründlich angeschaut) so etwas, um auch Tracking zu reduzieren: https://github.com/pstimpel/phpcaptcha

[feltel]

phpBB hat auch ein eigenes Captcha-Modul, was auch auf GD-generierte Grafiken mit Text und Störmustern setzt. Das kann man sich aber auch sparen, weil das relativ schnell per OCR knackbar ist.

[KBDCALLS]

Und wie siehts bei Google reCaptcha aus ? Ist das sicherer?

[feltel]

Meine Beobachtungen hatte ich ja hier viewtopic.php?p=1270964#p1270964 kurz beschrieben. Ich würd sagen für den Moment ist das ziemlich effektiv.