Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Google reCAPTCHA v2 werkt niet meer tegen form spammers

Pagina: 1
Acties:

Vraag


  • Tanne1
  • Registratie: december 2015
  • Laatst online: 23-06 10:00
Ik weet niet zeker of dit het juiste topic is om mijn vraag te stellen, maar vond dit het meeste raakvlak hebben met mijn vraag. Excuses als ik het verkeerde topic heb gepakt.

Mijn vraag
Ik merk op onze websites steeds vaker dat via onze formulieren spam mailtjes binnen komen. Wij gebruiken de Google reCAPTCHA v2. Klopt het dat de bots de reCAPTCHA doorbroken hebben?

Relevante software en hardware die ik gebruik
Google reCAPTCHA v2

Beste antwoord (via Tanne1 op 18-10-2018 09:09)


  • _NooT_
  • Registratie: juni 2018
  • Laatst online: 23-06 20:04
RobIII schreef op woensdag 17 oktober 2018 @ 15:06:
[...]

Beschermen; prima. Maar (water)dicht maken: forget it.


[...]

Dat is al helemaal geen bescherming. Hooguit een 'afleiding'. Maar ik ben wel eens benieuwd naar de andere "diverse methoden" die je hebt die geen "vervelende extra handelingen" vereisen of "niet ten koste gaan van de gebruikerservaring". Want klaarblijkelijk weet je meer dan een heleboel knappe koppen ;)
Ik claim geen beveiligingsspecialist te zijn, maar met een combinatie van onderstaande methoden heb ik het nog niet meegemaakt dat een door een spambot ingevuld formulier succesvol verzonden is. Iets wat ik van menig plugin met reCaptcha beveiliging niet kan zeggen.


Aantal voorbeelden:
  • verborgen veld dat leeg moet blijven
  • verborgen veld invullen ahv onfocus of onblur event met vaste waarde of speficieke waarde, bijv integer
  • check of formulier niet binnen een onwaarschijnlijke tijdsspanne is ingevuld
  • check of formulier vanaf de juiste server is verstuurd
  • check ip-adres blacklist
  • verander veldnamen / checks met een interval
100% secure, nee dat niet. Dat is een illusie.
Maar een combinatie van bovenstaande factoren helpt zeker wel.
Het is ook een beetje afhankelijk hoe interessant je formulier/website is om gehackt te worden.
Onderschat niet dat een niet (helemaal) standaard beveiliging al een groot verschil kan maken.

Het is voor kwaadwilligen een stuk interessanter om een stukje software te schrijven dat misbruik kan maken van miljoenen websites dan om iets te programmeren dat maar op 1 website toepasbaar is.

Alle reacties


  • RobIII
  • Registratie: december 2001
  • Laatst online: 02:30

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Ik vind de titel en je vraagstelling eigenlijk al aangeven dat je voor jezelf besloten hebt dat reCAPTCHA 'doorbroken' is dus ik snap de vraag eigenlijk niet zo heel goed? Wat denk je te bereiken met dit topic? En wat als het zo is? En wat als het niet zo is?

Verder: wat heb je zélf al onderzocht. gezocht en gevonden? Ik mis eigenlijk nogal wat punten uit onze quickstart die we hier wel graag in een topicstart terugzien. Je topic is nu, alle fluf daargelaten, eigenlijk 3 zinnen lang...

Er zijn talloze 'bedrijven' die de 'mankracht' van onderbetaalde mensen 'beschikbaar stellen' om dergelijke maatregelen te omzeilen; wie zegt dat dat niet aan de orde is hier?
Tanne1 schreef op dinsdag 16 oktober 2018 @ 16:48:
Ik weet niet zeker of dit het juiste topic is om mijn vraag te stellen, maar vond dit het meeste raakvlak hebben met mijn vraag.
Mja, Waar hoort mijn topic? staat niet voor niets bovenaan dit forum te prijken; ik ben daardoor dus, nogmaals, benieuwd wat het doel van je topic is? Ben je van plan een andere anti-spam maatregel te imlementeren? Waar is je (concrete!) programmeervraag?

[Voor 40% gewijzigd door RobIII op 16-10-2018 17:04]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij


  • Tanne1
  • Registratie: december 2015
  • Laatst online: 23-06 10:00
Sorry, dit had ik misschien duidelijker kunnen verwoorden.

Mijn vraag is eigenlijk meer of mensen hier ook ervaringen mee hebben dat er steeds meer spammers door de reCAPTCHA van Google heen komen? Of zij tips hebben om het aantal spammers te reduceren?

Ik zag dat v3 al in de beta versie zit, ik kon alleen geen lanceerdatum vinden, weet iemand wanneer deze versie live gaat?

  • BranderoS
  • Registratie: oktober 2015
  • Laatst online: 18-06 12:01
Dit is nog steeds geen expliciete programmeer vraag..

Ik vraag mij af hoe je de reCAPTCHA hebt geïmplementeerd. Ik heb dit twee maanden terug nog voor een website gedaan, waar eerst geen beveiliging op zat. Sindsdien is er geen spam meer verstuurd.

Los van welke implementatie je gebruikt, er zullen altijd geavanceerde bots zijn die de recaptcha kunnen doorbreken. Ook kunnen zoals benoemd bedrijven mensen in dienst nemen die bijvoorbeeld reclame versturen via het formulier.

Terugkomend op mijn vraag, heb je alleen even het script toegevoegd en een blokje html erbij ingezet? Er moet namelijk ook aan de achterkant nog een verificatie plaatsvinden, door een request naar de reCAPTCHA api van Google te sturen.

[Voor 8% gewijzigd door BranderoS op 17-10-2018 14:30]


  • _NooT_
  • Registratie: juni 2018
  • Laatst online: 23-06 20:04
Volgens mij is reCaptcha v2 van Google inderdaad niet 100% fail safe meer. v3 is nu overigens in beta en zal vast weer verbeterd zijn.

Ik heb zelf altijd al een hekel aan reCaptcha's gehad.
Het veiliger maken van een formulier hoeft niet ten koste te gaan van de gebruikerservaring.
Het is dus niet nodig om de gebruiker extra (vervelende) handelingen uit te laten voeren.
Er zijn diverse methodes om een formulier te beschermen zonder dat de gebruiker daar ook maar iets van merkt.

Denk bijvoorbeeld aan een honey-pot methode.
Het is ook belangrijk is dat de validatie altijd client en server side plaatsvindt.

  • RobIII
  • Registratie: december 2001
  • Laatst online: 02:30

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

_NooT_ schreef op woensdag 17 oktober 2018 @ 14:55:
Er zijn diverse methodes om een formulier te beschermen zonder dat de gebruiker daar ook maar iets van merkt.
Beschermen; prima. Maar (water)dicht maken: forget it.
_NooT_ schreef op woensdag 17 oktober 2018 @ 14:55:
Denk bijvoorbeeld aan een honey-pot methode.
Dat is al helemaal geen bescherming. Hooguit een 'afleiding'. Maar ik ben wel eens benieuwd naar de andere "diverse methoden" die je hebt die geen "vervelende extra handelingen" vereisen of "niet ten koste gaan van de gebruikerservaring". Want klaarblijkelijk weet je meer dan een heleboel knappe koppen ;)

[Voor 4% gewijzigd door RobIII op 17-10-2018 15:06]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij


  • Tanne1
  • Registratie: december 2015
  • Laatst online: 23-06 10:00
BranderoS schreef op woensdag 17 oktober 2018 @ 14:28:
Terugkomend op mijn vraag, heb je alleen even het script toegevoegd en een blokje html erbij ingezet? Er moet namelijk ook aan de achterkant nog een verificatie plaatsvinden, door een request naar de reCAPTCHA api van Google te sturen.
Ik heb de volledige API op alle formulieren toegepast. Vanaf begin dit jaar tot ergens begin september heeft het ook perfect gewerkt.
_NooT_ schreef op woensdag 17 oktober 2018 @14:55:
Het is dus niet nodig om de gebruiker extra (vervelende) handelingen uit te laten voeren.
Er zijn diverse methodes om een formulier te beschermen zonder dat de gebruiker daar ook maar iets van merkt.
Wat voor methodes doel je dan op?

  • Saven
  • Registratie: december 2006
  • Laatst online: 19-06 21:06

Saven

Administrator

Er bestaan ook gewoon van die goedkope Indiërs die handmatig spam submitten hè. Daar werkt de catpcha natuurlijk niet tegen

  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 02:20

AW_Bos

Waar ga je heen? ☀

Saven schreef op woensdag 17 oktober 2018 @ 15:30:
Er bestaan ook gewoon van die goedkope Indiërs die handmatig spam submitten hè. Daar werkt de catpcha natuurlijk niet tegen
Maar ja kan zelf bij ReCaptcha toch bepalen hoe streng je die wilt instellen?
Ik denk dat het voor die Indiërs te tijdrovend is als je vakken met verkeersborden en auto's moeten aanklikken, die Google heeft samengesteld uit hun neurale netwerk. En maak anders een beveiliging met een set moeilijke vragen voor mensen die niks op je site te zoeken hebben. Die kan je natuurlijk triggeren op landcode via Geo2IP. Voor Nederlanders en Belgen maak je het makkelijk, maar voor anderen maak je de drempel lastiger. Ik zeg niet dat ze spammen via Nederland of België, maar die kans lijkt mij zeer gering tot nihil.

[Voor 6% gewijzigd door AW_Bos op 17-10-2018 15:36]

Waar ga je heen?


  • cracking cloud
  • Registratie: mei 2013
  • Laatst online: 22:37
Werkt de manier met de hidden input die leeg moet blijven ook niet meer? Is niet 100% waterdicht natuurlijk. Recaptcha is zeker niet 100% waterdicht. Zoek maar eens op "recaptcha solver"

Acties:
  • Beste antwoord
  • 0Henk 'm!

  • _NooT_
  • Registratie: juni 2018
  • Laatst online: 23-06 20:04
RobIII schreef op woensdag 17 oktober 2018 @ 15:06:
[...]

Beschermen; prima. Maar (water)dicht maken: forget it.


[...]

Dat is al helemaal geen bescherming. Hooguit een 'afleiding'. Maar ik ben wel eens benieuwd naar de andere "diverse methoden" die je hebt die geen "vervelende extra handelingen" vereisen of "niet ten koste gaan van de gebruikerservaring". Want klaarblijkelijk weet je meer dan een heleboel knappe koppen ;)
Ik claim geen beveiligingsspecialist te zijn, maar met een combinatie van onderstaande methoden heb ik het nog niet meegemaakt dat een door een spambot ingevuld formulier succesvol verzonden is. Iets wat ik van menig plugin met reCaptcha beveiliging niet kan zeggen.


Aantal voorbeelden:
  • verborgen veld dat leeg moet blijven
  • verborgen veld invullen ahv onfocus of onblur event met vaste waarde of speficieke waarde, bijv integer
  • check of formulier niet binnen een onwaarschijnlijke tijdsspanne is ingevuld
  • check of formulier vanaf de juiste server is verstuurd
  • check ip-adres blacklist
  • verander veldnamen / checks met een interval
100% secure, nee dat niet. Dat is een illusie.
Maar een combinatie van bovenstaande factoren helpt zeker wel.
Het is ook een beetje afhankelijk hoe interessant je formulier/website is om gehackt te worden.
Onderschat niet dat een niet (helemaal) standaard beveiliging al een groot verschil kan maken.

Het is voor kwaadwilligen een stuk interessanter om een stukje software te schrijven dat misbruik kan maken van miljoenen websites dan om iets te programmeren dat maar op 1 website toepasbaar is.

  • Tanne1
  • Registratie: december 2015
  • Laatst online: 23-06 10:00
Dank, ik ga eens kijken naar de mogelijkheid om een aantal van je voorbeelden te implementeren.

  • Jivebunny
  • Registratie: november 2010
  • Niet online

Jivebunny

Fail to plan. Plan to fail.

BranderoS schreef op woensdag 17 oktober 2018 @ 14:28:Terugkomend op mijn vraag, heb je alleen even het script toegevoegd en een blokje html erbij ingezet? Er moet namelijk ook aan de achterkant nog een verificatie plaatsvinden, door een request naar de reCAPTCHA api van Google te sturen.
Dit. Als je daar niet op controleert, of op 1 van die halfgare manieren die alleen frontend checked, loop je gewoon het risico dat een spam-bot er op die manier door komt. Vaak is dit de manier waarop v2 even wordt geïmplementeerd, zonder goede backend check, en alleen een frontend check (die te manipuleren is).

Mi 10T Pro | NAS: HP Gen8 e3-1265L v2 16GB 12TB unRAID 6.8.3 | D: Ryzen 2600 16GB 3000mhz Vega 56 Nitro+ Acer 27" IPS 144hz | Nissan Leaf 40 Tekna

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True