:fragt Max: Eigenes Capture zur DSGVO ( Wie am besten über Domaingrenzen hinweg umsetzten)?

Hallo,

da wir kein Google Capture mehr nach der DSGVO aktivierung einsezten dürfen, bin ich gezwungen eine eigene Lösung zu erschaffen. Also habe ich ein kleines Capture Script geschrieben (Mit der Ausgabe als Bild und Audiodatei).

Soweit so gut, das Formular befindet sich auf der Rootdomain, und das empfangende Script auf einer zur Rootdomain gehörenden Subdomain. Wie kann ich also der Subdomain das richtige Ergebnis des Captures mitgeben (cookies werden ja mit der nächsten Epriv. umsetzung deutlich schwieriger.

Ich dachte einfach das Ergebnis als hiddenfield (und via mcrypt verschlüsselt) zu übertragen. Das problem ist, wer einmal ein Capture gelöst hat kann mit den Daten "immer wieder" das Formular absenden.

Die weitere Idee war einen Zeitstempel mit zu schicken z.B. mit der Gültigkeit von 15 Min.. Das ist aber noch nicht "das gelbe vom Ei".

Wie setzt Ihr das um? Kennt ihr vielleicht Publicscripte für derartige Sonderfälle?

  1. Hallo :fragt Max,

    da wir kein Google Capture mehr nach der DSGVO aktivierung einsezten dürfen,

    Du meinst captcha?

    Wie setzt Ihr das um?

    Durch Verzicht.

    Bis demnächst
    Matthias

    --
    Rosen sind rot.
  2. hi,

    Ich dachte einfach das Ergebnis als hiddenfield (und via mcrypt verschlüsselt) zu übertragen. Das problem ist, wer einmal ein Capture gelöst hat kann mit den Daten "immer wieder" das Formular absenden.

    So isses. Das Krypt wird sozusagen zum Identifier für das Captcha und der Client kann sich merken, welche Lösung zu welchen Krypt gehört.

    Und genau hier können weitere Maßnahmen ansetzen. Z.B. eine zeitliche Klause. Im einfachsten Fall ist das Captcha nur für einmalige Verwendung. Oder es wird nach jeder erfolgreichen Verwendung für eine bestimmte Zeit ausgeschlossen... es gibt sicher noch weitere Möglichkeiten.

    MfG

  3. Hej :fragt,

    da wir kein Google Capture mehr nach der DSGVO aktivierung einsezten dürfen,

    Ist das so? Das würde mich freuen! CAPTCHAS sind eine extrem unfreundliche Art das eigene Problem auf seine Besucher abzuwälzen.

    bin ich gezwungen eine eigene Lösung zu erschaffen.

    Bitte nicht!

    Marc

  4. Wie ging es weiter?

  5. Lieber Max,

    ich hasse Captchas. Daher gehe ich einen anderen Weg. Dieser besteht aus diesen drei Elementen:

    1. Zwangsvorschau, ohne die Benutzerdaten nicht akzeptiert werden
    2. Zufällig generiertes, an eine Session gekoppeltes Key-Value-Paar, das in den Daten enthalten sein muss
    3. Zeitfenster, das für menschliche Anwender bequem ist

    Das filtert nicht 100%ig, aber gut genug, um den meisten SPAM auszusortieren und Menschen nicht unnötig zu drangsalieren. Ich setze das bei einem Gästebuch und bei einem Kontaktformular ein.

    Liebe Grüße,

    Felix Riesterer.

    1. Tach!

      1. Zwangsvorschau, ohne die Benutzerdaten nicht akzeptiert werden

      Es ist schon Wieder längere Zeit her, aber damals hatte ich lediglich eine Zwangsvorschau, und die hatte bereits ausgereicht. Nur ganz selten kam es zu einem Spam-Eintrag.

      Man kann das ja vielleicht abkürzen, indem man mit Javascript einen Direkt-Absende-Button einbaut und ohne Javascript die Zwangsvorschau hat. Allerdings habe ich damit keine Erfahrung, beziehungsweise inwieweit heutzutage noch die Bots zu einfach für eine Zwangsvorschau ohne weitere Maßnahmen aufgebaut sind.

      dedlfix.

      1. Hej dedlfix,

        Man kann das ja vielleicht abkürzen, indem man mit Javascript einen Direkt-Absende-Button einbaut und ohne Javascript die Zwangsvorschau hat.

        Falls der nicht gedrückt werden darfst; wie willst du das vor Software verstecken? Zum Beispiel vor screenreadern, so dass andere Software (z.B. Bots) trotzdem darauf anspringt? Oder Browser-Plugins, die formulare automatisch ausfüllen?

        Das ist eine echte Herausforderung.

        Die hier vorgestellten Möglichkeiten scheinen ziemlich gut zu funktionieren. Vor allem in Kombination.

        Marc

        1. Tach!

          Man kann das ja vielleicht abkürzen, indem man mit Javascript einen Direkt-Absende-Button einbaut und ohne Javascript die Zwangsvorschau hat.

          Falls der nicht gedrückt werden darfst; wie willst du das vor Software verstecken? Zum Beispiel vor screenreadern, so dass andere Software (z.B. Bots) trotzdem darauf anspringt? Oder Browser-Plugins, die formulare automatisch ausfüllen?

          Der Zwangsvorschau-Button soll ohne Javascript-Ausführung gedrückt werden und zur Zwangsvorschau führen. Der Direkt-Button ersetzt im Falle von Javascript die Zwangsvorschau (und deren Button) und geht davon aus, dass die meisten Bots kein Javascript ausführen und deshalb (hoffentlich) an der Zwangsvorschau scheitern.

          Für das Vorausfüllen sehe ich keine Probleme, oder meinst du bösartige Plugins?

          dedlfix.

          1. Hej dedlfix,

            Der Zwangsvorschau-Button soll ohne Javascript-Ausführung gedrückt werden und zur Zwangsvorschau führen. Der Direkt-Button ersetzt im Falle von Javascript die Zwangsvorschau (und deren Button) und geht davon aus, dass die meisten Bots kein Javascript ausführen und deshalb (hoffentlich) an der Zwangsvorschau scheitern.

            Pfiffig. Aber wie ist es mit NoScript-Nutzern? - Die könnten dann in der Bot-Falle landen? – Ich frage aus Interesse, nicht um Deine Idee madig zu machen!

            Für das Vorausfüllen sehe ich keine Probleme, oder meinst du bösartige Plugins?

            Nein. Aber man kann (konnte? - nutze das nicht) bei 1Password beispielsweise Formulare (Logins) automatisch ausfüllen lassen und auch gleich abschicken lassen.

            Wird auch zum Problem, wenn man überprüft, wei viel Zeit zwischen Aufrufen der Seite und dem Abschicken vergeht. Wobei man immer noch rechte Maustaste drücken muss, 1Password aus dem Kontext-Menü auswählen und dann auf den Namen der Website klicken muss. 1-2 Sekunden dauert das mindestens, eher länger.

            Marc

            1. Tach!

              Pfiffig. Aber wie ist es mit NoScript-Nutzern? - Die könnten dann in der Bot-Falle landen? – Ich frage aus Interesse, nicht um Deine Idee madig zu machen!

              Ja, aber das ist keine Falle in der man hängenbleibt, nur eine Hürde, an der man mit Absenden der Zwangsvorschau vorbeikommt.

              Für das Vorausfüllen sehe ich keine Probleme, oder meinst du bösartige Plugins?

              Nein. Aber man kann (konnte? - nutze das nicht) bei 1Password beispielsweise Formulare (Logins) automatisch ausfüllen lassen und auch gleich abschicken lassen.

              Wenns der Nutzer willentlich macht, unterscheidet sich das ja nicht von einer direkten Handlung des Nutzers. Aber ein Login ist ja nicht der Vorgang, den man zwangsvorschauen möchte, dabei wird ja üblicherweise kein Spam ins System gebracht.

              dedlfix.

              1. Hej dedlfix,

                Pfiffig. Aber wie ist es mit NoScript-Nutzern? - Die könnten dann in der Bot-Falle landen? – Ich frage aus Interesse, nicht um Deine Idee madig zu machen!

                Ja, aber das ist keine Falle in der man hängenbleibt, nur eine Hürde, an der man mit Absenden der Zwangsvorschau vorbeikommt.

                So langsam verstehe ich. Danke für die Erklärung!

                Marc

                1. Tach!

                  Ja, aber das ist keine Falle in der man hängenbleibt, nur eine Hürde, an der man mit Absenden der Zwangsvorschau vorbeikommt.

                  So langsam verstehe ich. Danke für die Erklärung!

                  Man muss halt zweimal absenden, was die Bots so nicht auf dem Schirm haben - damals zumindest nicht. Ob auch einige Nutzer daran hängengeblieben sind, weiß ich für meinen Fall nicht. Es ging dabei auch nicht um Wichtiges, so dass es egal war, wenn der Text nicht im System ankam.

                  dedlfix.

            2. hallo

              Pfiffig. Aber wie ist es mit NoScript-Nutzern? - Die könnten dann in der Bot-Falle landen? – Ich frage aus Interesse, nicht um Deine Idee madig zu machen!

              Ist mir doch egal, ob ich in einer Botfalle lande. Wenn ich bei aktiviertem NoScript kein <noscript> Element vorfinde, weiss ich, womit ich zu rechnen habe.

              --
              Neu im Forum! Signaturen kann man ausblenden!
              1. Hej beatovich,

                Ist mir doch egal, ob ich in einer Botfalle lande. Wenn ich bei aktiviertem NoScript kein <noscript> Element vorfinde, weiss ich, womit ich zu rechnen habe.

                Und du bist das Maß aller Dinge…? 😉

                Marc

              2. Wenn ich bei aktiviertem NoScript kein <noscript> Element vorfinde, weiss ich, womit ich zu rechnen habe.

                Möglicherweise damit, dass "Javascript" die Eigenschaften von Elementen so verändert wie das gewünscht ist und dass ohne "Javascript" die Elemente so funktionieren wie es beim Fehlen oder Ausfiltern von "Javascript" gewünscht ist?

                <noscript> ist nämlich eher eine Krücke, kein Heilmittel.

      2. hallo

        Man kann das ja vielleicht abkürzen, indem man mit Javascript einen Direkt-Absende-Button einbaut und ohne Javascript die Zwangsvorschau hat. Allerdings habe ich damit keine Erfahrung, beziehungsweise inwieweit heutzutage noch die Bots zu einfach für eine Zwangsvorschau ohne weitere Maßnahmen aufgebaut sind.

        Man kann es ja abkürzen und ohne JS einfach nur einen Email-Link anbieten.

        --
        Neu im Forum! Signaturen kann man ausblenden!
        1. Tach!

          Man kann das ja vielleicht abkürzen, indem man mit Javascript einen Direkt-Absende-Button einbaut und ohne Javascript die Zwangsvorschau hat. Allerdings habe ich damit keine Erfahrung, beziehungsweise inwieweit heutzutage noch die Bots zu einfach für eine Zwangsvorschau ohne weitere Maßnahmen aufgebaut sind.

          Man kann es ja abkürzen und ohne JS einfach nur einen Email-Link anbieten.

          Bedingt. Nicht alle Besucher kann man in allen Anwendungsfällen auf diese Art wegschicken, dass sie trotzdem noch ihr Anliegen zu Ende bringen. Außerdem hat man durch eine formlose Email auch noch selbst Arbeit, die darüber gesendeten Daten ins System zu bekommen.

          dedlfix.

          1. hallo

            Man kann es ja abkürzen und ohne JS einfach nur einen Email-Link anbieten.

            Bedingt. Nicht alle Besucher kann man in allen Anwendungsfällen auf diese Art wegschicken, dass sie trotzdem noch ihr Anliegen zu Ende bringen. Außerdem hat man durch eine formlose Email auch noch selbst Arbeit, die darüber gesendeten Daten ins System zu bekommen.

            Gut, ich kann mir da fehlerbehaftetes Javascript im Fall eines Bugtrackers vorstellen. Aber führen wir hier wirklich diese Diskussion?

            --
            Neu im Forum! Signaturen kann man ausblenden!
            1. Tach!

              Man kann es ja abkürzen und ohne JS einfach nur einen Email-Link anbieten.

              Bedingt. Nicht alle Besucher kann man in allen Anwendungsfällen auf diese Art wegschicken, dass sie trotzdem noch ihr Anliegen zu Ende bringen. Außerdem hat man durch eine formlose Email auch noch selbst Arbeit, die darüber gesendeten Daten ins System zu bekommen.

              Gut, ich kann mir da fehlerbehaftetes Javascript im Fall eines Bugtrackers vorstellen. Aber führen wir hier wirklich diese Diskussion?

              Keine Ahnung. Deine Antworten sind mir oftmals zu kurz, als dass ich überhaupt daraus entnehmen kann, was du eigentlich für eine Diskussion führen möchtest. So auch in diesem Fall.

              dedlfix.

              1. hallo

                Bedingt. Nicht alle Besucher kann man in allen Anwendungsfällen auf diese Art wegschicken, dass sie trotzdem noch ihr Anliegen zu Ende bringen. Außerdem hat man durch eine formlose Email auch noch selbst Arbeit, die darüber gesendeten Daten ins System zu bekommen.

                Gut, ich kann mir da fehlerbehaftetes Javascript im Fall eines Bugtrackers vorstellen. Aber führen wir hier wirklich diese Diskussion?

                Keine Ahnung. Deine Antworten sind mir oftmals zu kurz, als dass ich überhaupt daraus entnehmen kann, was du eigentlich für eine Diskussion führen möchtest. So auch in diesem Fall.

                Ich weiss nicht, welches Prinzip du verfolgst aber meines ist:

                Wenn ich einem User erlaube, ein verpflichtende Aktion ohne JS (oder Technologie X) zu beginnen, dann muss ich auch gewährleisten, dass er sie ohne diese zu Ende führen kann.

                Wer nun sagt: meine Formulare brauchen kein Javascript, der gibt mir damit das Versprechen, dass sein gesamtes Userinterface ohne Javascript benutzbar ist.

                Soll ein Captcha etwa Accounterstellung durch Bots vorbeugen, so ist es ein grosses Versprechen, dabei kein Javascript vorauszusetzen. Du musst dann den gesamten Account ohne JS supporten.

                Auf der anderen Seite des Extrems soll man aber auch möglichst technologie-agnostische Verfahren anbieten wie etwa bei der Mailadresse.

                Dass solcher Inhalt dann nicht einfach maschinell bearbeitet werden kann, ist der Preis, den man zu zahlen hat.

                --
                Neu im Forum! Signaturen kann man ausblenden!
                1. Tach!

                  Ich weiss nicht, welches Prinzip du verfolgst aber meines ist:

                  Wenn ich einem User erlaube, ein verpflichtende Aktion ohne JS (oder Technologie X) zu beginnen, dann muss ich auch gewährleisten, dass er sie ohne diese zu Ende führen kann.

                  Genau das ist gewährleistet. Ohne Javascript füllt der Anwender das Formular aus, drückt auf den Button und bekommt die Zwangsvorschau. Dort drückt er nochmal den Absende-Button und damit ist der Fall erledigt. Mit Javascript wird lediglich die Zwangsvorschau übersprungen, sozusagen gleich der zweite Absende-Button präsentiert.

                  dedlfix.

      3. Lieber dedlfix,

        Man kann das ja vielleicht abkürzen, indem man mit Javascript einen Direkt-Absende-Button einbaut

        das ist ja gerade der Punkt! Ich will nichts abkürzen! Diese für den Menschen erträgliche Hürde einer Zwangsvorschau ist zusammen mit dem Timing, das ein Mensch im Gegensatz zu einem möglichen JavaScript benötigt, der Messpunkt, an dem Mensch von Maschine unterschieden werden will. Dass das prinzipiell nicht 100% genau sein kann, ist bekannt und wird für die beabsichtigten Zwecke (GB-Eintrag, Kontaktformular) akzeptiert.

        Und sind wir doch einmal ehrlich und schauen wir uns die Qualität der im Internet in Formularen eingegebenen Textinhalte an: Fehler, Unvollständigkeiten und missverständliche Formulierungen wohin man schaut! Da ist eine Zwangsvorschau sicherlich nicht nur ein Übel, sondern vielleicht für den ein oder anderen User eine Möglichkeit, seinen Unsinn etwas zu verbessern... (die Hoffnung stirbt bekanntlich zuletzt).

        Liebe Grüße,

        Felix Riesterer.

        1. Hallo Felix Riesterer,

          (die Hoffnung stirbt bekanntlich zuletzt).

          Aber sie stirbt.

          Bis demnächst
          Matthias

          --
          Rosen sind rot.