Google reCAPTCHA v2 werkt niet meer tegen form spammers

dinsdag 16 oktober 2018 16:48

Acties:

0Henk 'm!

Ik weet niet zeker of dit het juiste topic is om mijn vraag te stellen, maar vond dit het meeste raakvlak hebben met mijn vraag. Excuses als ik het verkeerde topic heb gepakt.

Mijn vraag
Ik merk op onze websites steeds vaker dat via onze formulieren spam mailtjes binnen komen. Wij gebruiken de Google reCAPTCHA v2. Klopt het dat de bots de reCAPTCHA doorbroken hebben?

Relevante software en hardware die ik gebruik
Google reCAPTCHA v2

woensdag 17 oktober 2018 17:04

_NooT_

RobIII schreef op woensdag 17 oktober 2018 @ 15:06:
[...]

Beschermen; prima. Maar (water)dicht maken: forget it.

[...]

Dat is al helemaal geen bescherming. Hooguit een 'afleiding'. Maar ik ben wel eens benieuwd naar de andere "diverse methoden" die je hebt die geen "vervelende extra handelingen" vereisen of "niet ten koste gaan van de gebruikerservaring". Want klaarblijkelijk weet je meer dan een heleboel knappe koppen

Ik claim geen beveiligingsspecialist te zijn, maar met een combinatie van onderstaande methoden heb ik het nog niet meegemaakt dat een door een spambot ingevuld formulier succesvol verzonden is. Iets wat ik van menig plugin met reCaptcha beveiliging niet kan zeggen.

Aantal voorbeelden:

verborgen veld dat leeg moet blijven
verborgen veld invullen ahv onfocus of onblur event met vaste waarde of speficieke waarde, bijv integer
check of formulier niet binnen een onwaarschijnlijke tijdsspanne is ingevuld
check of formulier vanaf de juiste server is verstuurd
check ip-adres blacklist
verander veldnamen / checks met een interval

100% secure, nee dat niet. Dat is een illusie.
Maar een combinatie van bovenstaande factoren helpt zeker wel.
Het is ook een beetje afhankelijk hoe interessant je formulier/website is om gehackt te worden.
Onderschat niet dat een niet (helemaal) standaard beveiliging al een groot verschil kan maken.

Het is voor kwaadwilligen een stuk interessanter om een stukje software te schrijven dat misbruik kan maken van miljoenen websites dan om iets te programmeren dat maar op 1 website toepasbaar is.

dinsdag 16 oktober 2018 16:58

Acties:

0Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Ik vind de titel en je vraagstelling eigenlijk al aangeven dat je voor jezelf besloten hebt dat reCAPTCHA 'doorbroken' is dus ik snap de vraag eigenlijk niet zo heel goed? Wat denk je te bereiken met dit topic? En wat als het zo is? En wat als het niet zo is?

Verder: wat heb je zélf al onderzocht. gezocht en gevonden? Ik mis eigenlijk nogal wat punten uit onze quickstart die we hier wel graag in een topicstart terugzien. Je topic is nu, alle fluf daargelaten, eigenlijk 3 zinnen lang...

Er zijn talloze 'bedrijven' die de 'mankracht' van onderbetaalde mensen 'beschikbaar stellen' om dergelijke maatregelen te omzeilen; wie zegt dat dat niet aan de orde is hier?

Tanne1 schreef op dinsdag 16 oktober 2018 @ 16:48:
Ik weet niet zeker of dit het juiste topic is om mijn vraag te stellen, maar vond dit het meeste raakvlak hebben met mijn vraag.

Mja, Waar hoort mijn topic? staat niet voor niets bovenaan dit forum te prijken; ik ben daardoor dus, nogmaals, benieuwd wat het doel van je topic is? Ben je van plan een andere anti-spam maatregel te imlementeren? Waar is je (concrete!) programmeervraag?

[Voor 40% gewijzigd door RobIII op 16-10-2018 17:04]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij

woensdag 17 oktober 2018 09:16

Acties:

0Henk 'm!

Tanne1

Topicstarter

Sorry, dit had ik misschien duidelijker kunnen verwoorden.

Mijn vraag is eigenlijk meer of mensen hier ook ervaringen mee hebben dat er steeds meer spammers door de reCAPTCHA van Google heen komen? Of zij tips hebben om het aantal spammers te reduceren?

Ik zag dat v3 al in de beta versie zit, ik kon alleen geen lanceerdatum vinden, weet iemand wanneer deze versie live gaat?

woensdag 17 oktober 2018 14:28

Acties:

+1Henk 'm!

BranderoS

Dit is nog steeds geen expliciete programmeer vraag..

Ik vraag mij af hoe je de reCAPTCHA hebt geïmplementeerd. Ik heb dit twee maanden terug nog voor een website gedaan, waar eerst geen beveiliging op zat. Sindsdien is er geen spam meer verstuurd.

Los van welke implementatie je gebruikt, er zullen altijd geavanceerde bots zijn die de recaptcha kunnen doorbreken. Ook kunnen zoals benoemd bedrijven mensen in dienst nemen die bijvoorbeeld reclame versturen via het formulier.

Terugkomend op mijn vraag, heb je alleen even het script toegevoegd en een blokje html erbij ingezet? Er moet namelijk ook aan de achterkant nog een verificatie plaatsvinden, door een request naar de reCAPTCHA api van Google te sturen.

[Voor 8% gewijzigd door BranderoS op 17-10-2018 14:30]

woensdag 17 oktober 2018 14:55

Acties:

0Henk 'm!

_NooT_

Volgens mij is reCaptcha v2 van Google inderdaad niet 100% fail safe meer. v3 is nu overigens in beta en zal vast weer verbeterd zijn.

Ik heb zelf altijd al een hekel aan reCaptcha's gehad.
Het veiliger maken van een formulier hoeft niet ten koste te gaan van de gebruikerservaring.
Het is dus niet nodig om de gebruiker extra (vervelende) handelingen uit te laten voeren.
Er zijn diverse methodes om een formulier te beschermen zonder dat de gebruiker daar ook maar iets van merkt.

Denk bijvoorbeeld aan een honey-pot methode.
Het is ook belangrijk is dat de validatie altijd client en server side plaatsvindt.

woensdag 17 oktober 2018 15:06

Acties:

0Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

_NooT_ schreef op woensdag 17 oktober 2018 @ 14:55:
Er zijn diverse methodes om een formulier te beschermen zonder dat de gebruiker daar ook maar iets van merkt.

Beschermen; prima. Maar (water)dicht maken: forget it.

_NooT_ schreef op woensdag 17 oktober 2018 @ 14:55:
Denk bijvoorbeeld aan een honey-pot methode.

Dat is al helemaal geen bescherming. Hooguit een 'afleiding'. Maar ik ben wel eens benieuwd naar de andere "diverse methoden" die je hebt die geen "vervelende extra handelingen" vereisen of "niet ten koste gaan van de gebruikerservaring". Want klaarblijkelijk weet je meer dan een heleboel knappe koppen

[Voor 4% gewijzigd door RobIII op 17-10-2018 15:06]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij

woensdag 17 oktober 2018 15:27

Acties:

0Henk 'm!

Tanne1

Topicstarter

BranderoS schreef op woensdag 17 oktober 2018 @ 14:28:
Terugkomend op mijn vraag, heb je alleen even het script toegevoegd en een blokje html erbij ingezet? Er moet namelijk ook aan de achterkant nog een verificatie plaatsvinden, door een request naar de reCAPTCHA api van Google te sturen.

Ik heb de volledige API op alle formulieren toegepast. Vanaf begin dit jaar tot ergens begin september heeft het ook perfect gewerkt.

_NooT_ schreef op woensdag 17 oktober 2018 @14:55:
Het is dus niet nodig om de gebruiker extra (vervelende) handelingen uit te laten voeren.
Er zijn diverse methodes om een formulier te beschermen zonder dat de gebruiker daar ook maar iets van merkt.

Wat voor methodes doel je dan op?

woensdag 17 oktober 2018 15:30

Acties:

0Henk 'm!

Saven

Administrator

Er bestaan ook gewoon van die goedkope Indiërs die handmatig spam submitten hè. Daar werkt de catpcha natuurlijk niet tegen

woensdag 17 oktober 2018 15:35

Acties:

0Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Saven schreef op woensdag 17 oktober 2018 @ 15:30:
Er bestaan ook gewoon van die goedkope Indiërs die handmatig spam submitten hè. Daar werkt de catpcha natuurlijk niet tegen

Maar ja kan zelf bij ReCaptcha toch bepalen hoe streng je die wilt instellen?
Ik denk dat het voor die Indiërs te tijdrovend is als je vakken met verkeersborden en auto's moeten aanklikken, die Google heeft samengesteld uit hun neurale netwerk. En maak anders een beveiliging met een set moeilijke vragen voor mensen die niks op je site te zoeken hebben. Die kan je natuurlijk triggeren op landcode via Geo2IP. Voor Nederlanders en Belgen maak je het makkelijk, maar voor anderen maak je de drempel lastiger. Ik zeg niet dat ze spammen via Nederland of België, maar die kans lijkt mij zeer gering tot nihil.

[Voor 6% gewijzigd door AW_Bos op 17-10-2018 15:36]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

woensdag 17 oktober 2018 16:22

Acties:

0Henk 'm!

cracking cloud

Werkt de manier met de hidden input die leeg moet blijven ook niet meer? Is niet 100% waterdicht natuurlijk. Recaptcha is zeker niet 100% waterdicht. Zoek maar eens op "recaptcha solver"

woensdag 17 oktober 2018 17:04

Acties:

Beste antwoord ✓
0Henk 'm!

_NooT_

RobIII schreef op woensdag 17 oktober 2018 @ 15:06:
[...]

Beschermen; prima. Maar (water)dicht maken: forget it.

[...]

Dat is al helemaal geen bescherming. Hooguit een 'afleiding'. Maar ik ben wel eens benieuwd naar de andere "diverse methoden" die je hebt die geen "vervelende extra handelingen" vereisen of "niet ten koste gaan van de gebruikerservaring". Want klaarblijkelijk weet je meer dan een heleboel knappe koppen

Ik claim geen beveiligingsspecialist te zijn, maar met een combinatie van onderstaande methoden heb ik het nog niet meegemaakt dat een door een spambot ingevuld formulier succesvol verzonden is. Iets wat ik van menig plugin met reCaptcha beveiliging niet kan zeggen.

Aantal voorbeelden:

verborgen veld dat leeg moet blijven
verborgen veld invullen ahv onfocus of onblur event met vaste waarde of speficieke waarde, bijv integer
check of formulier niet binnen een onwaarschijnlijke tijdsspanne is ingevuld
check of formulier vanaf de juiste server is verstuurd
check ip-adres blacklist
verander veldnamen / checks met een interval

100% secure, nee dat niet. Dat is een illusie.
Maar een combinatie van bovenstaande factoren helpt zeker wel.
Het is ook een beetje afhankelijk hoe interessant je formulier/website is om gehackt te worden.
Onderschat niet dat een niet (helemaal) standaard beveiliging al een groot verschil kan maken.

Het is voor kwaadwilligen een stuk interessanter om een stukje software te schrijven dat misbruik kan maken van miljoenen websites dan om iets te programmeren dat maar op 1 website toepasbaar is.

donderdag 18 oktober 2018 09:09

Acties:

0Henk 'm!

Tanne1

Topicstarter

Dank, ik ga eens kijken naar de mogelijkheid om een aantal van je voorbeelden te implementeren.

donderdag 25 oktober 2018 15:13

Acties:

0Henk 'm!

Jivebunny

Fail to plan. Plan to fail.

BranderoS schreef op woensdag 17 oktober 2018 @ 14:28:Terugkomend op mijn vraag, heb je alleen even het script toegevoegd en een blokje html erbij ingezet? Er moet namelijk ook aan de achterkant nog een verificatie plaatsvinden, door een request naar de reCAPTCHA api van Google te sturen.

Dit. Als je daar niet op controleert, of op 1 van die halfgare manieren die alleen frontend checked, loop je gewoon het risico dat een spam-bot er op die manier door komt. Vaak is dit de manier waarop v2 even wordt geïmplementeerd, zonder goede backend check, en alleen een frontend check (die te manipuleren is).

Mi 11T Pro | NAS: HP Gen8 e3-1265L v2 16GB 12TB unRAID 6.9.2 | D: Ryzen 5600x 16GB 3000mhz RX 6800 XT MB Acer 27" IPS 144hz | Nissan Leaf 40 Tekna

Vraag

Beste antwoord (via Tanne1 op 18-10-2018 09:09)

Alle reacties

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden