reCaptcha-Problem bei Registrierung behoben

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

reCaptcha-Problem bei Registrierung behoben

Beitrag von feltel » 29.04.2021 13:06:34

Wir hatten wohl seit ein paar Tagen (irgendwas um den 22.04. herum) unbemerkt von mir ein Problem mit der Registrierung. Google hat wohl bei den für reCaptcha benutzten Domains etwas geändert, so das reCaptcha nicht geladen werden konnte. Ich nutze hier Content-Security-Policy-Header, um die jeweils als lad- und nutzbar zulässigen Domains zu begrenzen. Das klappt auch ganz gut, nur wenn sich Domains ändern oder hinzukommen ist das blöd.

Anyway, der Fehler ist behoben und ich hoffe das lesen hier alle diejenigen, die sich in den letzten Tagen erfolglos versucht haben zu registrieren. Sorry. :|

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von Meillo » 29.04.2021 13:19:26

Hat jemand eine Idee, wie man das automatisiert testen koennte?

Ist ja irgendwie doof, wenn fuer die registrierten User alles in Ordnung ist aber neue User sich nicht registrieren koenne, und wir bekommen es nur dann mit wenn irgendjemand von den zukuenftigen Usern sich die Muehe macht die Kontakt-Email-Adresse rauszusuchen und feltel darauf hinzuweisen.

Die Schwierigkeit ist aber natuerlich, dass das Captcha ja gerade automatisierte Anmeldungen verhindern soll, also wird es schwer sein, die Funktion automatisiert zu testen.

Wie loest ihr sowas in euren sonstigen Projekten? Das wuerde mich interessieren.
Use ed once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von feltel » 29.04.2021 14:03:09

Nuja, eigentlich (tm) ändern sich die URLs ja nicht wirklich oft. Ist mir die letzten Jahre noch nicht untergekommen. Warum Google jetzt statt https://www.google.com https://google.com nutzt wissen nur die. Und je enger man die CSP-Header fasst, um so anfälliger ist halt sowas. Auf der anderen Seite sind eng gefasste (sprich nur die für den Betrieb notwendigsten URLs/Ressourcentypen) CSP-Header natürlich sicherer, da sie weniger Angriffsszenarien offen lassen.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von eggy » 29.04.2021 15:42:38

@Meillo: Wir könnten auf der Anmeldeseite ne Mailaddy angeben, an die man sich wenden kann, falls was kaputt ist, mit dem Hinweis, dass man das aktuelle Zauberwort und das Datum von morgen in die Betreffzeile malen soll - dann haben die Spammer was zu tun, und wir übersehn die validen Anfragen trotzdem noch, weil die eine Hälfte die Handlungsanweisung missdeutet und der Rest keine Ahnung hat, welches Datum grade aktuell ist, geschweige denn bis morgen vordenken mag. Klassisches Loose-Loose :THX:

Sorry, aber mehr als langweiliges Monitoring (ob die entsprechenden Server erreichbar sind und den erwarteten Content ausliefern), fällt mir auch nicht ein.

Das ganze Captchazeug ist generell eh nen großer Graus. Und damit wären wir auch wieder bei dem alten Problem: wie sorgt man dafür, dass Neulinge schreiben können, ohne dass Spammer Blödsinn anstellen können. Ich setz drei Keks zur Belohnung aus.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von Meillo » 30.04.2021 09:06:43

feltel hat geschrieben: ↑ zum Beitrag ↑
29.04.2021 14:03:09
Nuja, eigentlich (tm) ändern sich die URLs ja nicht wirklich oft. Ist mir die letzten Jahre noch nicht untergekommen. Warum Google jetzt statt https://www.google.com https://google.com nutzt wissen nur die. Und je enger man die CSP-Header fasst, um so anfälliger ist halt sowas. Auf der anderen Seite sind eng gefasste (sprich nur die für den Betrieb notwendigsten URLs/Ressourcentypen) CSP-Header natürlich sicherer, da sie weniger Angriffsszenarien offen lassen.
Ich habe die Situation allgemeiner gesehen. Die URL aendert sich vielleicht nicht so schnell wieder, aber morgen ist es dann halt ein anderes Problem. Mir geht es allgemein darum, dass wir als User dieses Forums nicht mitbekommen, wenn sich Neuuser nicht registrieren koennen. Wenn sonst etwas nicht laeuft, dann merken wir es durch unsere Nutzung automatisch. Auch fuer die exotischeren Services rund um das DFDE gibt es irgendwelche User unter uns, die Probleme melden werden. Aber wenn die Neuregistrierung nicht laeuft, dann ist das ein anderer Fall. Kombiniert mit der gerade nicht moeglichen maschinellen Testbarkeit eines Captchas.

Mir geht es also mehr um das generell anders gelagerte Problem, das in anderen Projekten so auch auftreten wird. Und ich frage mich, was es dafuer fuer Loesungsstrategien gibt ... die wir hier dann ggf. auch nutzen koennten.

Wie beispielsweise stellen grosse Internetseiten sicher, dass die Neuanmeldung von Usern noch funktioniert? Wenn die Anmelderate hoch genug ist, dann kann man wohl einfach die Anzahl neuer User pro Zeiteinheit monitoren und sieht darueber falls die Registrierung kaputt ist. Wenn es nur wenige Neuuser pro Tag sind, dann muss halt das Intervall vergroessert werden. Dass sich aber ganze Woche lang niemand neu registriert, waere dann auch aussagekraeftig.

Ich denke halt, dass man fuer jedes Problem, das aufgetreten und gefixt worden ist, dieses damit nicht abhaken sollte, sondern an dem Punkt darueber nachdenken sollte, wie man verhindern kann, dass beim naechsten Mal etwas derartiges wieder passiert.
Use ed once in a while!

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von TRex » 30.04.2021 11:47:25

Fänd ich auch interessant, dann müsste man aber für das ganzheitliche Monitoring irgendwie ne Ausnahme hinzimmern, damit das recaptcha nicht ausgefüllt werden muss - was dann wiederum nicht mehr mitbekommt, wenn es da nen Fehler gibt.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

curt123
Beiträge: 704
Registriert: 19.10.2018 12:49:35
Wohnort: NRW

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von curt123 » 30.04.2021 13:52:08

eggy hat geschrieben: ↑ zum Beitrag ↑
29.04.2021 15:42:38
Das ganze Captchazeug ist generell eh nen großer Graus.
Geht es bei reCaptcha nicht um Tracking etc., und könnte es dann schon grundsätzlich auch mal eher unerwünscht sein?

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von feltel » 30.04.2021 16:09:24

Nein, reCaptcha ist ein Spambot-Schutz, was hilft Webformulare vor maschinellem Ausfüllen zu schützen. Auch schützt es vor händischem Ausfüllen, wenn sowas immer und immer wieder von der gleichen IP, dem gleichen Browser, ... kommt. Klar, es ist von Google und die machen das nicht aus reiner Menschenfreundlichkeit. Aber man muss neidlos zugestehen, das das in der aktuellen Version 3 ziemlich effektiv ist. Seit dem Upgrade auf phpBB 3.3 läuft hier auch reCaptcha v3 und das Aufkommen an Spam-Registrierungen ist massivst herunter gegangen. Letzes Jahr waren es ca. zehn Registrierungen pro Tag, heute ist es vielleicht eine alle ein zwei Wochen.

curt123
Beiträge: 704
Registriert: 19.10.2018 12:49:35
Wohnort: NRW

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von curt123 » 30.04.2021 17:14:58

Spameinträge hatte ich früher mal bei einem Blog, das ist allerdings sehr lästig.
feltel hat geschrieben: ↑ zum Beitrag ↑
30.04.2021 16:09:24
Klar, es ist von Google und die machen das nicht aus reiner Menschenfreundlichkeit.
Es ist schlimm, wenn man wie ich es z.B. vor einiger Zeit bei DHL erlebt habe, mehrfach diese Google-KI bemühen (trainieren?) muss, um einfach nur einen Sendungsstatus zu erfahren. Da ist der Nervfaktor hier natürlich harmloser.

Es gibt z.B. (von mir aber jetzt noch nicht gründlich angeschaut) so etwas, um auch Tracking zu reduzieren: https://github.com/pstimpel/phpcaptcha

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von feltel » 30.04.2021 17:29:59

phpBB hat auch ein eigenes Captcha-Modul, was auch auf GD-generierte Grafiken mit Text und Störmustern setzt. Das kann man sich aber auch sparen, weil das relativ schnell per OCR knackbar ist.

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von KBDCALLS » 13.05.2021 14:59:41

Und wie siehts bei Google reCaptcha aus ? Ist das sicherer?
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: reCaptcha-Problem bei Registrierung behoben

Beitrag von feltel » 13.05.2021 16:32:20

Meine Beobachtungen hatte ich ja hier viewtopic.php?p=1270964#p1270964 kurz beschrieben. Ich würd sagen für den Moment ist das ziemlich effektiv.

Antworten