ecommerce-blog.at
März (
1
)
April (
1
)
Mai (
1
)
Juli (
2
)
August (
2
)
März (
2
)
April (
3
)
Mai (
2
)
Juni (
3
)
Juli (
3
)
August (
2
)
März (
3
)
April (
4
)
Mai (
3
)
Juni (
3
)
Juli (
3
)
August (
3
)
März (
3
)
April (
3
)
Mai (
3
)
Juni (
3
)
Juli (
3
)
August (
3
)
März (
4
)
April (
3
)
Mai (
4
)
Juni (
3
)
Juli (
3
)
August (
2
)
März (
3
)
April (
4
)
Mai (
4
)
Juni (
2
)
Juli (
4
)
August (
3
)
März (
5
)
April (
4
)
Mai (
4
)
Juni (
4
)
Juli (
4
)
August (
4
)

04.05.2012 - Captcha-Sicherheitsabfragen in Webformularen wirklich notwendig?

Wer kennt es nicht – Man füllt gerade ein Webformular aus, beispielsweise zum Absenden einer Anfrage an ein Unternehmen oder zum Registrieren in einem Onlineshop, und wird im Zuge dessen dazu aufgefordert, schlecht lesbare Buchstaben und/oder Ziffern abzutippen um das Formular abschicken zu dürfen. Und weil Sie es schon zweimal falsch eingegeben haben, lassen Sie es gut sein und gehen zu einem „ordentlichen Onlineshop“, wo man mit solchen „Albernheiten“ nicht belästigt wird…

Derartige Szenarien geschehen tagtäglich und kosten vielen Onlineshopbetreibern gute Kunden. Doch wie lässt sich das vermeiden?

Was ist Captcha?

CAPTCHA ist ein Akronym und steht für Completely Automated Public Turing test to hold Computers and Humans Apart, also öffentlicher Test zur Unterscheidung zwischen Menschen und Computern.

Captcha wird kurzum dazu eingesetzt um zu gewährleisten, dass ein Onlineformular wie beispielsweise ein Kontaktformular oder ein Registrationsformular, nur von einem Menschen und nicht von einer Maschine abgesendet werden kann.
Warum sollte ein Webformular nicht von einer Maschine ausgeführt werden?

Leider ist es viel zu einfach, ein PHP- oder Perl-Script zu programmieren, das dazu in der Lage ist eine E-Mail zu versenden. Mit einer einzigen Befehlszeile kann eine E-Mail versendet werden, mit nur wenigen Zeilen kann der Inhalt einer E-Mail z.B. aus einem Kontaktformular zusammengebaut werden. Dies hat bereits seit über einem Jahrzehnt zur Folge, dass sich viele Hobby-Programmierer ihre Kontaktformulare selbst bastelten, ohne Berücksichtigung von Schwachstellen zum Missbrauch des entwickelten Scripts. Auch zahlreiche Open-Source-Lösungen, an denen jedermann mit entwickeln kann sind betroffen und selbstverständlich gibt es auch zahlreiche kommerzielle Lösungen, die den Sicherheitsaspekt nicht kennen oder einfach nicht ernst nehmen.

Ein gefundenes Fressen für Hacker und Spammer. Denn mit nicht gesicherten Mailscripts ist es sehr einfach möglich, illegale Spammails zu versenden über einen fremden Server.

Wie kann ein Mailerscript missbraucht werden?

Die einfachste Form dazu ist, das hinter dem Kontaktformular steckende Mailerscript nicht über das Kontakt- oder Registrationsformular aufzurufen, sondern es z.B. in einem anderen Script, das sich auch auf einem ganz anderen Computer im Internet befinden kann, direkt aufzurufen und über sogenanntes Injecting den Mailheader so zu manipulieren, dass das Script nicht mehr nur den eigentlichen Mailversand tätigt, sondern zusätzlich eine andere E-Mail an einen ganz anderen Empfänger versendet, der ebenfalls vom Angreifer übergeben wird. Injecting ist nur dann möglich, wenn das Mailerscript auch die dafür notwendige Sicherheitslücke mit sich bringt. Hat sich der Programmierer darüber keine Gedanken gemacht, liegt diese Sicherheitslücke so gut wie immer vor. Die traurige Tatsache ist, dass ein Großteil der im Internet verwendeten Mailerscripts entsprechende Schwachstellen haben…

Anstatt das Problem aber nun an den Wurzeln zu packen, und die Sicherheitslücken in den Scripts zu beseitigen, wurde Captcha eingeführt. Eine Sicherheitsabfrage, die von einem Menschen abgetippt werden muss, damit ein Formular abgesendet werden kann.
Da die meisten Mailerscripts Schwachstellen aufweisen, haben Hacker sogenannte Bots entwickelt, das sind Programme, die nach das World Wide Web nach Formularen durchsuchen und diese automatisiert absenden um herauszufinden, ob ein Script für einen Mißbrauch verwendet werden kann. Captcha-Abfragen verbreiteten sich damit zunehmend und blockieren automatisierte Aufrufe von Bots, also von Maschinen.

Doch ist Captcha immer die richtige Strategie?

Captcha ist aus technischer Sicht sicherlich dazu geeignet, automatisiertes Ausführen von Bots zu vermeiden.
Was oft jedoch übersehen wird: Um Injections durchzuführen, muss das Mailerscript nicht direkt aufgerufen werden. Das hatte sich nur deshalb eingebürgert, weil es die für Hacker einfachste Methode war. Ist es einem Angreifer einmal gelungen, ein Mailerscript mit Schwachstellen zu finden, braucht er das Script nicht mehr automatisiert direkt aufzurufen um tausenden, zehntausende oder gar hunderttausende E-mails darüber zu versenden. Es reicht ein gewöhnlicher Aufruf über einen beliebigen Internetbrowser, bei welchem über die Formularfelder entsprechende Zusätzheader mit eingeschleust werden (Injecting). Der Spammer wird sehr gerne den Captcha-Code ein einziges Mal abtippen, um mit einem einzigen Formularaufruf beispielsweise 100.000 Spammails darüber zu versenden oder mehr.

Dazu kommt, dass Captcha eine klare Hürde für jeden erwünschten Mailversand ist. Jeder Mensch, evtl. ein potentieller Kunde, der ein Formular absenden möchte, wird dazu angehalten, einen schlecht lesbaren Code abzutippen. Captcha erhöht damit definitiv die Drop-out-Rate und senkt damit die Conversionrate.

Welche Alternativen gibt es?

Zunächst einmal sollte sichergestellt werden, dass das verwendete Mailerscript keinerlei Injection-Schwachstellen aufweist. Ein erfahrener IT-Security-Experte wie etwa Hackalarm24 kann dies meist rasch überprüfen und gg.f beheben.
Eine beliebte und in der Praxis ebenso wirkungsvolle Methode ist die Verwendung von Captcha-Rechenaufgaben. Hier müssen oft nur zwei einstellige Zahlen miteinander addiert werden – eine Aufgabe, die deutlich schneller und mit niedrigerer Fehlerquote gelöst werden kann als das Abtippen schier unleserlicher Zeichen.

Aber auch das stellt natürlich eine Hürde für erwünschte Anfragen dar, auch wenn diese nicht mehr ganz so groß ist. Eine hürdenlose Lösung bieten Key-Compare-Mechanismen. Hier wird serverseitig ein Schlüssel erzeugt, der dem Formular zur Verfügung gestellt wird. Nur über den Schlüssel kann das Formular abgesendet werden, es gibt damit keine Hürde für Menschen. Nachteil bei dieser Methode ist jedoch, dass nur direkte Aufrufe des Mailerscripts abgefangen werden können. Setzt der Angreifer Bots ein, die direkt über das Formular versenden, bietet diese Variante keinen Schutz vor unerwünschten Formularaufrufen.
Ein Badwords-Filter stellt ebenfalls eine gute Alternative dar. Bots verwenden oft ähnliche Muster, die leicht erkannt werden können und so die Scripts abgebrochen werden können, bevor es zum Mailversand kommt.
Aufgrund der entstehenden Hürden sollte man nicht leichtfertig zu Captcha-Methoden greifen und es den potentiellen Kunden nicht unnötig schwer machen, in Kontakt zu treten, sich zu registrieren oder zu bestellen.Captcha-Sicherheitscodes sollte man eigentlich nur dann verwenden, wenn die Anzahl der Aufrufe durch Bots so hoch wird, dass das Löschen der daraus erzeugten E-mails durch den Seitenbetreiber einen nicht mehr zu bewältigenden Aufwand darstellt und wenn andere Methoden nicht zum gewünschten Ergebnis führten.

zurück zur Übersicht


Kommentare - hinzufügen

10 Kommentar(e) gefunden:


Oskar
04.05.2012 10:57
Ich hab seit 7 Jahren kein Captca installiert und werde auch keins installieren. Die 1 bis 2 Spammails die ich alle paar Tage darüber bekomme sind mir lieber als meine Kunden zu blocken.

Philipp
04.05.2012 11:43
Also ich habe bisher immer auf den Sicherheitscode gezählt und bekomme auch keine Spammails über mein Formular. Allerdings wurde mir das damals von der Firma die meinen Onlineshop gemacht hat so empfohlen und hat auch extra gekostet. Wenn ich den Artikel richtig deute, dann heist das aber, dass ich damit auf ein paar Prozent der Anfragen und Registrationen aus meinem Shop verzichte? Wieviele könnten das sein?

Gerhard
06.05.2012 18:03
@Philipp: Wie viele abbrechen kann dir keiner sagen. Aber wenn dir sonst das Verhältnis zwischen Besuchern und Bestellungen passt, würde ich da jetzt nicht unbedingt groß was dran ändern. Die Firma wird schon einen Grund gehabt haben dir das empfehlen. Vielleicht enthält das Script ja eine Sicherheitslücke und durch Captcha wird verhindert, dass sie gefunden wird. Oder die Firma hat es einfach nur aus Vorsichtsmaßnahme empfohlen.

Thomas
07.05.2012 08:13
Oder die Firma wollte einfach nur ein Modul dazuverkaufen ;)

Lukas Müller
10.05.2012 18:25
Interessanter Artikel! Ich habe auf meinem Internet Marketing Blog (Erfahrungen im Online Business, Hilfe zum Thema Geld verdienen im Internet) kein Captchaprüfung installiert, lediglich ein Spam Plugin. Beste Grüße, Lukas Müller

Maria
11.05.2012 08:15
Ich finde man sollte das Problem langfristig ganz an den Wurzeln anpacken. Wer sind denn diese Hacker in unserer sozialen Gesellschaft? Man müsste schon im Kindesalter mehr Aufklärung betreiben, in der Grundschule, dass jedem klar wird, dass es nichts bringt, Hackangriffe zu machen.

Horst
13.05.2012 15:03
Das ist eine gute Idee Maria. Das sollte man auch gleich mit Drogen, Diebstahl, Vergewaltigung und dergleichen machen, wir hätten eine heile Welt. Dass bisher noch nie jemand auf die Idee kam…. ;)

Markus
14.05.2012 08:02
@Thomas: Ich empfehle dir das Script von einem Experten überprüfen zu lassen und dann mal ohne Captcha zu probieren. Obwohl, wenn du von damals eingerichtet sprichst, klingt das doch sehr nach einem älteren Script, wo die Gefahr dass es wirklich unsicher ist recht groß ist. Trotzdem würd ich mal jemanden draufgucken lassen. Auch wenn dir nur 0,5% der Anfragen ausbleiben, vielleicht hast du schon mal eine große, wichtige versäumt.

Robert
16.05.2012 19:06
Also für mich ist Captcha inzwischen schon eine Selbstverständlichkeit geworden, auch wenn es mit zugegeben selbst nervt in einem Shop einen nicht leserlichen Code abzutippen. Das mit dem 2x vertippen und aufgeben ist gar nicht mal so weit hergeholt :)

H.Jürgen
18.05.2012 12:15
Thomas, lass den Captchacode vielleich nicht gleich ganz weg, sondern ersetze ihn durch die Alternative mit der Rechenaufgabe. Bei mir habe ich damit ganz gute Erfahrungen gemacht.

Kommentar hinzufügen

Ihr Name *  
Ihre E-Mail-Adresse *   (wird nicht veröffentlicht!)
Ihre Homepage   http://
Ihr Kommentar *  
Rechenaufgabe: 8 + 4 = (bitte aus Sicherheitsgründen beantworten)
 
ecommerce-blog.at - Onlineshop & Shopsystem Österreich
Wir danken unserem Sponsor www.arweb.at
Webshop by www.trade-system.at

Empfohlene Bücher:

Partnerseiten:
www.trade-system.at
www.support-system.at
www.irmler.at
www.mediaverlag.at
www.lexiwik.com
www.abcfabrik.at
www.it-troubleshooters.com
wissen.liste24.at
www.baseinterface.at
www.nebenjob-von-zuhause.at
nodumping.software-projekte.net
www.bar2buy.com
en.trustlabel.net
www.billing4u.net
www.esuccess.org
www.eportfolio.at
www.idea2profit.at
www.trustlabel.de
kurse.liste24.at
www.arweb.at
www.hackalarm24.com
foren.liste24.at
www.round-apps.at
www.elite-concepts.at
www.webmarketing-services.at
blog.liste24.at
www.trustlabel.net
en.idle-agency.com
www.qmabi.at
www.hunt-royal.com
www.blog-system.at
www.securit.at
www.bulkmarketing.org
www.treeoffice.at
www.fuzzyfind.net
www.idle-agency.com
www.trustlabel.ch
www.spamstop.at
www.miet4you.at
www.regionalo.com
www.trustsigned.ch
www.ideeinvest.at
www.teachnow.at
www.jagd-royal.com
www.cms4u.biz
www.webcrypt.at
en.regionalo.com
www.webrepair.at
www.it4success.biz
www.it-business-consulting.at
www.trustsigned.net
www.performance-hoster.at
www.ecommerce-blog.at
www.procast.at
www.vertriebplus.at
www.ticketsystem.eu
www.shopsult.at
ssl.irmler.at
www.flexhost.at
design.irmler.at
www.trustlabel.at
www.forum4help.at
notes.irmler.at
firmen.liste24.at
www.hackalert24.com
www.trustsigned.at