CAPTCHA's schützen ihre Formulare vor Bots

Unter sogenannten CAPTCHAS's versteht man einen Challenge-Response-Test, bei dem der User Aufgaben lösen muss um Formulare abschicken zu können. Diese sollen für den Menschen einfach zu lösen sein, für automatisierte Computer Programme dagegen nicht.

Es gibt verschiedene CAPTCHA Typen

  • ​​​​Text CAPTCHA's: Hierbei werden Texte verzerrt aber immer noch lesbar dargestellt. Ein Computer kann hier nur über umfangreiche Mustererkennung und entsprechende Hardware auf die Lösung kommen.
  • Grafische CAPTCHA's: Dabei müssen z. B. Gegenstände erkannt werden und der Begriff dann im Formular eingetragen werden. Eine andere Möglichkeit ist, das es verschiedene Bilder zu sehen gibt und man dann alle Bilder, auf denen beispielsweise ein Auto zu sehen ist markieren muss.
  • Audio CAPTCHA's: Hier muss ein Ton erkannt und in das Formular eingetragen werden.
  • Video CAPTCHA's: Man bekommt ein Video zu sehen und muss z. B. alle roten Buchstaben erkennen oder das Video kurz erklären.

Dabei muss natürlich auf Barrierefreiheit geachtet werden.

Wozu sind CAPTCHA's eigentlich da

Sie dienen dem Schutz vor Missbrauch durch automatisierte Computer Programme, wie etwa bei Newsletter Anmeldungen. Außerdem helfen sie dabei Manipulationen vorzubeugen z. B. bei Umfragen. Allgemein betrachtet erhöhen sie die Sicherheit eines Systems.

Welche Nachteile haben sie

CAPTCHA's machen die Bedienung schwieriger. Da die Technik und die künstliche Intelligenz immer weiter voranschreitet, müssen auch CAPTCHA's immer komplexer werden. Dies kann zu Irritationen über sinnlose Funktionen führen, die letztendlich Abbrüche des Programms oder der Seite hervor rufen können.


Was kann Ihnen ohne entsprechende Sicherheitsmaßnahmen passieren

Auf einen unserer Shopware Kunden wurde ein Angriff verübt, bei dem das "Double-Opt-In" bewusst ausgenutzt wurde. So wurden Phishing Mails über einen neutralen Provider gesendet, um Spamfilter Faktoren zu umgehen. In diesem Fall wurden Vor- und Nachname Feld dazu missbraucht, um falsche Nachrichten zu verschicken.

Vorname: "Guten Tag! Ihr Name wurde bei einer Verlosung gezogen."
Nachname: "Um den Gewinn auszuzahlen, melden Sie sich unter folgendem Link an, Vielen Dank."

Da die Angreifer am Tag nur etwa 100 dieser Mails erstellt haben, fiel der Angriff erst nach einigen Wochen auf. In dieser Zeit wurden so mehrere tausend Phishing Mails versandt.
 


Einbindung von CAPTCHA's in Shopware

Ich verwende gerne Google's reCAPTCHA, da es einheitlich über verschiedene Systeme ist und es meines Erachtens nach einfach für den Endkunden zu bedienen ist. Außerdem bietet es die Möglichkeit sich über verdächtiges Verhalten informieren zu lassen.

Um reCAPTCHA in Shopware zu integrieren, erstellen Sie sich zuerst auf https://www.google.com/recaptcha/admin einen reCAPTCHA Code. Dieser wird für die Konfiguration des Shopware Plugins benötigt.

Nach der Installation des Shopware Plugins tragen Sie in den Plugin Eigenschaften (sceenshot) die reCAPTCHA Daten ein. 

In Shopware 5.3 steht Ihnen unter "Einstellungen > Grundeinstellung > Storefront > Anmeldung/Registierung" die Auswahl des CAPTCHA-Typs zur Verfügung.

Hier können Sie nun reCaptcha auswählen und müssen anschließend den Shopware Cache einmal vollständig leeren, damit die Registrierung dadurch geschützt ist.
Der neue CAPTCHA-Typ steht Ihnen nun auch für Newsletter Anmeldungen zur Verfügung, sofern Sie die Newsletter Anmeldung ebenfalls mit einem Captcha sichern wollen.

ACHTUNG: Wenn Sie nun die Anmeldung prüfen beachten Sie, dass die CAPTCHA bei Shopware erst während der Formularbefüllung via AJAX geladen werden. Sie sind also nicht sofort sichtbar. Aber keine Angst eine Servervalidierung prüft das CAPTCHA.

Hinweis: Für TYPO3 steht Ihnen das reCAPTCHA ebenfalls zur Verfügung.

Schützen Sie jetzt ihre Formulare vor Bots!