Registrierungsformular besser schützen

1. offizieller Beitrag

    Moin,

    ich hab das mal ein Anliegen, ich habe auch wieder so einen aggressiven Typen der alle paar Sekunden Accounts anlegt. Ich habe noch b1gmail 7.2 da bekomme ich das recaptcha nicht richtig implementiert alles wird eben nur clientseitig über JS geprüft.

    Aber was ich absolut nicht verstehe, wie kann es sein das jemanden die input required einfach ignorieren kann. Das würde für mich heißen, das der Typ der die Registrierungen nicht über mein Formular macht sondern extern eine seite gebastelt hat und die Daten direkt auf mein auf meine Seite zur Registrierung übergibt. Gab es da nicht irgendwelche security header die sowas verhindern können, ich verstehe das nicht wie das gehen soll, jemand ne Idee?

    Mittlerweile ist auch reCaptcha (zumindest V2) kein Garant mehr für Sicherheit. Das übernehmen auch schon Bots. Genauso wie sie unsichere Server kapern und deren IP-Adressen verwenden. Ich hatte das ja auch hier angesprochen: RE: reCaptcha V3

    Aktuell habe ich wieder auf das b1g-eigene Captcha gewechselt und das noch etwas angepasst. Andere Hintergrundgrafiken, andere Fonts, zusätzlich Sonderzeichen integriert (serverlib/safecode.class.php). Wenn es sein muss baue ich da auch noch Umlaute ein, denn die gehen nur mit deutscher Tastatur ^^ . Ob der Bot dann so lange klickt oder rechnet bis er die richtigen Zeichen findet, wage ich zu bezweifeln.

    Umstellen auf Verifizierung per SMS- oder Mailverifizierung möchte ich nicht, denn das widerspricht dem Gedanken der Datensparsamkeit und ist zudem umständlich. Wenn ich ein E-Mailkonto benötige, warum soll ich mir vorher ein anderes anlegen um mich irgendwo zu verifizieren?!

    Es muss halt auch eine datenschutzkonforme Lösung sein. Denn alles was mit Google oder Anbietern zu tun hat, deren Infrastruktur in unsicheren Drittstaaten beheimatet ist, muss vermieden werden.

    Zitat von SLM

    Mittlerweile ist auch reCaptcha (zumindest V2) kein Garant mehr für Sicherheit. Das übernehmen auch schon Bots. Genauso wie sie unsichere Server kapern und deren IP-Adressen verwenden. Ich hatte das ja auch hier angesprochen: RE: reCaptcha V3

    Aktuell habe ich wieder auf das b1g-eigene Captcha gewechselt und das noch etwas angepasst. Andere Hintergrundgrafiken, andere Fonts, zusätzlich Sonderzeichen integriert (serverlib/safecode.class.php). Wenn es sein muss baue ich da auch noch Umlaute ein, denn die gehen nur mit deutscher Tastatur ^^ . Ob der Bot dann so lange klickt oder rechnet bis er die richtigen Zeichen findet, wage ich zu bezweifeln.

    Umstellen auf Verifizierung per SMS- oder Mailverifizierung möchte ich nicht, denn das widerspricht dem Gedanken der Datensparsamkeit und ist zudem umständlich. Wenn ich ein E-Mailkonto benötige, warum soll ich mir vorher ein anderes anlegen um mich irgendwo zu verifizieren?!

    Es muss halt auch eine datenschutzkonforme Lösung sein. Denn alles was mit Google oder Anbietern zu tun hat, deren Infrastruktur in unsicheren Drittstaaten beheimatet ist, muss vermieden werden.

    Das hört sich gut an mit den Sonderzeichen auch Umlaute wären denke ich da bestens geeignet. Das mit google hast du leider recht aber dann müssten wir auch Adsense abschalten :(

    Was die Datensparsamkeit angeht habe ich ein riesiges Problem, ich kann Kunden die Ihr Passwort oder Auth Code für 2FA vergessen haben nicht verifizieren. Ich musste in den letzten Monaten sehr viele Anfragen zurückweisen weil die alternativen E-Mail Adressen nicht stimmten oder nicht mehr verfügbar waren. Und Adressabgleich mit Ausweis bringt auch nichts wenn der Kunde keine Daten hinterlegt.

    • Offizieller Beitrag
    Zitat von Denny

    Gab es da nicht irgendwelche security header die sowas verhindern können, ich verstehe das nicht wie das gehen soll, jemand ne Idee?

    Du meinst CORS-Header? Das bringt nur browserseitig etwas. Wenn etwas serverseitig passiert, dann kann das ignoriert werden.

    Nutzt du außer recaptcha noch weitere Sicherungsmaßnahmen wie z.B. Registrierungs-DNSBL-Filter?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden