ReCaptcha Warnung trotz "Unsichtbarer ReCaptcha V3"-Integration

  • Affected App
    WoltLab Suite Core

    Hi,

    trotz eingefügten und funktionierendem "Geheimen Schlüssel" der unsichtbaren ReCaptcha Version 3 wird weiterhin die rote ACP-Startseiten-Warnung angezeigt, siehe Screen.

    Könnte es sein, daß sich die Warnung "nur" auf die Version 2 des ReCaptchas bezieht?

    In meinen produktiven Coms habe ich schon lange beide Versionen integriert, deshalb fiel es mir erst auf als ich die Beta-Test-Neuinstallation für den Viecode Marktplatz machte.


  • Dukemaster

    Changed the title of the thread from “ReCaptcha Warnung im ACP trotz "Geheimen Schlüssel"” to “ReCaptcha Warnung trotz "Unsichtbarer ReCaptcha V3"-Integration”.
    • Official Post

    Hallo,

    Dann habt ihr wohl eine ungewollte Funktion, die seit Monaten funktioniert.

    Es mag sein, dass reCAPTCHA v3-Keys mit reCAPTCHA v2 funktionsfähig sind. Das bedeutet aber dann natürlich nicht, dass die genutzte Version reCAPTCHA v3 ist.

    ACP: Die beiden Keys werden wie die beiden anderen Versionen unten eingetragen.

    Das ist nicht hilfreich. Wie sehen die Einstellungen genau aus?

  • Einstellungen


    Es gibt diesbzgl. nur zwei Eingabefelder. Im oberen von den unteren beiden (den letzten beiden) kommt wie bei V2 der lange Client-Schlüssel, in das untere (das allerletzte) der geheime Schlüssel. Ganz im Reigen der üblichen Vorgehensweise.


  • Und unter Websiteschlüssel (Unsichtbares reCAPTCHA) steht, dass du es zusätzlich angeben sollst. Also zusätzlich zu den beiden Schlüsseln für reCAPTCHA, Version 2.

  • Ich muß hier nochmal nachhaken:


    Aber was ist denn dann die untere Option "unsichtbares reCaptcha"?


    Ich dachte, das unsichtbare reCaptcha ist = reCaptcha v3?


    reCaptcha v2 ist ja nicht unsichtbar und hat (soweit ich weiß) auch keine unsichtbare Option?


    Ich bin etwas verwirrt..


    Und wann genau wird die Option reCaptcha v3 kommen, sollte sie hier wirklich noch nicht drin sein?


    Danke & Gruß

  • Ahh danke! Das ist neu und gab es früher auch gar nicht!


    Dummerweise sieht man diese Möglichkeit auch gar nicht, wenn man seine vorhandenen Webpages dort bearbeitet! Die Option wird einem nur angezeigt, wenn man eine komplett neuen Antrag dort anlegt..


    DANKE!!

  • So neu auch wieder nicht. Die Option wurde von Google Ende 2016 als Beta und Anfang 2017 final eingeführt. ;)

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

  • Mal ganz anders gefragt: Was habt ihr eigentlich gegen die Sicherheits- (CAPTCHA) Fragen?

    Die werden doch auch hier im System angeboten und sind seit Jahren deutlich wirkungsvoller als die "grafischen Bildchen" (die meist eh nur total nerven).


    Wenn man die Fragen clever ausformuliert, sind sie schon mal von Bots nicht (per Google Translate etc.) zu knacken und auch menschliche "Nicht-Muttersprachlicher" tun sich damit meistens schwer.

    "Klicke 3 Ampeln-Bildchen" hingegen sind selbst von Bots schon lange lösbar, der ganze Rest sowieso. Darüber schmunzeln die seit Jahren nur noch. ;)


    Packt Fragen rein, die entweder spezifisch mit Eurem Foren-Thema zu tun haben und dadurch längst nicht von jedermann lösbar sind, oder gerade im Deutschen auch Fragen, die eine "Umlaut-Antwort" erfordern (die abseits von ASCII nicht mit ausländischen Keyboards gelöst werden kann) oder ähnliches.


    Und bloß keine "Wieviel sind 32-13" Aufgaben, das beantwortet Google in Millisekunden. :D

    Wenn schon Mathe, dann wenigstens als Text, niemals mit Ziffern

    Gruß

    Jörg

    (Jaydee)

  • "Klicke 3 Ampeln-Bildchen" hingegen sind selbst von Bots schon lange lösbar, der ganze Rest sowieso. Darüber schmunzeln die seit Jahren nur noch. ;)


    Das halte ich für ein Gerücht. Nicht umsonst gibt es Captcha-Solver-Services, die allesamt auf Nutzer angewiesen sind, die derartige Aufgaben händisch lösen und dafür in irgendeiner Weise entlohnt werden. Mal ein Beispiel: https://2captcha.com


    Die Fragen machen nur Sinn, wenn man eine breit gefächerte Auswahl an Fragen ausspielt und in der Art und Weise, wie diese zu beantworten sind, variiert.


    Es gibt leider nicht DIE Lösung, aber wenn man die Wahl zwischen Sicherheitsfragen und einem vernünftigen Captcha-System hat, sollte man (sofern man nicht beides parallel nutzen kann) letzteres bevorzugen. Nicht zuletzt, weil da weitaus mehr Technik und Logik hinter steckt, als stumpfes anzeigen von Bildern, die es anzuklicken gilt.

  • Die Fragen machen nur Sinn, wenn man eine breit gefächerte Auswahl an Fragen ausspielt und in der Art und Weise, wie diese zu beantworten sind, variiert.

    Das kann ich so nicht ganz bestätigen. Ich habe bei mir genau drei Fragen und sehe maximal alle drei Monate einen Spam-Benutzer, der da durchkommt. Das ist, zumindest bei mir, effizienter als jedes Captcha, das ich davor hatte.

  • Das kann ich so nicht ganz bestätigen. Ich habe bei mir genau drei Fragen und sehe maximal alle drei Monate einen Spam-Benutzer, der da durchkommt. Das ist, zumindest bei mir, effizienter als jedes Captcha, das ich davor hatte.


    Letztlich ist es einfach so, dass sich Sicherheitsfragen eher automatisiert beantworten- als sich z.B. reCAPTCHA-Aufgaben lösen lassen. Wer Glück hat, bleibt nahezu vollständig von Spammern verschont und wer Pech hat, hat dauernd damit zu kämpfen.


    Ich persönlich nutze Captchas eigentlich nur zur Bruteforce- und DDOS-Prävention und nicht zum Schutz vor Bots. Denn wie gesagt, bin ich der Meinung, dass reCAPTCHA und ähnliche Dienste nicht "geknackt" sind und somit auch nicht von "Bots" gelöst werden, sondern von echten Menschen. Das einzige, was man da automatisieren kann, ist die Anfrage beim jeweiligen Solver-Service und dem Absenden des Ergebnis'. Also ja, man kann das Lösen von reCAPTCHA und co. durchaus automatisieren, aber es ist unwahrscheinlich, dass Bots (zumindest gegenwärtig) selbst in der Lage sind, reCAPTCHA und co. zu lösen.


    Was mir wohl die meisten Bots fern hält, sind TLSv1.2+ und der Webserver, der so konfiguriert ist, dass er dir den Großteil schon vom Hals hält, bevor er die Seite überhaupt erreicht. Ich habe da ganz gute Erfahrungen mit der Kombination aus Bad Bot Blocker und täglichen IP-Listen von StopForumSpam gemacht. Die eingesetzte Captcha-Lösung (die ausnahmsweise nicht reCAPTCHA ist) tut ihr übriges.


    Ich bin übrigens nicht grundsätzlich gegen den Einsatz von Sicherheitsfragen. Aber diese allein (d.h. nicht in Kombination mit einem richtigen Captcha) sind imho nur Augenwischerei. Zumindest in vielen Fällen, da sie von vielen Betreibern "falsch" genutzt werden, was entweder dazu führt, dass Bots vor keine besonders große Hürde gestellt werden, oder selbst echte Menschen nur schwer in der Lage sind, sie richtig zu beantworten.

  • Ich habe auch die umgekehrte Erfahrung in diversen Foren gemacht, über viele Jahre.

    Auch im damaligen Support hatten wir immer mal Anfragen von Betreibern, die immer nur CAPTCHA eingesetzt (und laufend viele Spammer) hatten.

    Wir haben meistens empfohlen, auf ein (cleveres) Frage-Antwort System umzustellen und siehe da, nach kurzer Zeit meldeten sie, dass nun Ruhe sei bzw. die Bots mehr als überschaubar.


    Das Problem ist aber tatsächlich, dass immer mehr menschliche Niedriglohn-Kräfte dazu eingesetzt werden (auch in Deutschland), derartige Bilchen und auch Fragen zu knacken. Und genau darin sehe ich das Problem. Was ein "seriöser" User beantworten kann, das können dann in aller Regel ebenso auch diese Menschen.

    Den "100% Riegel" gibt es natürlich nicht, man kann es immer nur erschweren.

    Und ggf. die Fragen oder Grafiken häufiger mal wechseln.


    Wenn man auf manuelle Freischaltung setzt (wie ich es in der Regel auch tue), muss man allerdings damit leben können, bei er "Flutwelle" auch mal sehr viel einzeln prüfen zu müssen, was auf Dauer natürlich auch keinen Spaß macht.


    Ich habe in diesem einen Forum die Reg. erst gestern wieder freigegeben, da wir ja erst kürzlich auf WoltLab umgestellt haben und ich vorher gerne noch Erfahrungen mit den "Bestandsusern" sammeln wollte.

    Seit gestern Mittag hat nur 1 Bot versucht, sich zu registrieren, aber 4 "menschliche" User.

    Mit der Relation kann ich leben, so sie denn halbwegs so bleibt.

    Gruß

    Jörg

    (Jaydee)

  • Ich denke, bei Fragen erzielt man den größten Effekt, wenn es nicht um Wissensfragen geht (z.B. Rechenaufgaben) sondern mehr um Interpretationsfragen. Wir hatten früher™ in unserem Forum eine einzige Frage als Captcha die einfach zu beantworten war, aber eben nur, wenn man sich mal kurz inhaltlich mit dem Forum befasst hat. Bots machen (können?) sowas idR nicht.

  • Stellt sich halt die Frage wie groß der erwartete "Ertrag" ist, damit sich ein Mensch damit beschäftigt. In unserem Fall offenbar extrem gering. Wir hatten über Jahre gar keine Probleme mit Spam Bots.

  • Genau, das ist auch meine Erfahrung.

    Sicher hängt es auch zusätzlich noch von Größe & Thema eines Forums ab, wie "interessant" es für Spammer ist und welcher Aufwand im Einzelfall betrieben wird.


    Ich habe häufiger empfohlen, auch mal themenspezifische Fragen zu verwenden, also bei medizinischen Foren halt "einfache Fachfragen", in Foren zu Motortechnik oder Elektronik halt dann passend zu den Bereichen.

    Nicht "zu fachlich", um keine zur große Hürde zu bauen, aber trotzdem schwierig genug, damit sie möglichst nicht jedermann beantworten (oder auf die Schnelle googeln) kann. Und so, dass sie ein potentieller Neuuser mit fachlichem Interesse auch beantworten kann.

    In einem Musikerforum muss man sicher nicht danach fragen, was man in der Medizin unter einem "Apoplex" versteht. :D

    Da den richtigen Mittelweg zu finden, ist sicher nicht immer einfach, zugegeben.

    Aber von allgemeinen Rechenaufgaben, oder wer in Deutschland aktuell Bundeskanzler ist etc., würde ich eher abraten.

    Gruß

    Jörg

    (Jaydee)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!