brain_protect
Schutz vor Formular-SPAM für TYPO3
brain_protect stoppt Formular-SPAM sofort und wirksam
brain_protect wirkt sofort nach der Installation: Alle Online-Formulare * sind umgehend und effektiv geschützt.
- ✅ Keine Konfiguration notwendig, keine Anpassung bestehender Formulare.
- ✅ Keine Captchas oder sonstige Hindernisse für die Besucher Ihrer Online-Formulare.
- ✅ Keine zusätzlichen Aufgaben für die Webredaktion.
- ✅ 99,2% getestete Wirksamkeit.
- ✅ 100% DSGVO-konform.
- ✅ 100% barrierefrei.
- ✅ Unabhängig von externen Tools wie Google reCAPTCHA oder Friendly Captcha.
Warum schützen?
Das Netz ist rau geworden. Websites stehen unter Dauerbeschuss, durch automatisierte (D)DoS-Angriffe und endlosen Formular-Spam.
Was harmlos klingt, kann schnell zur Katastrophe werden
- Server brechen unter der Last zusammen, Besucher sehen nur noch Fehlermeldungen.
- Datenbanken quellen über, Postfächer explodieren mit sinnlosem Spam.
- Domains landen auf Blacklists, E-Mail-Kommunikation wird blockiert, manchmal tagelang.
Die üblichen Gegenmaßnahmen greifen kaum
- CAPTCHAs frustrieren echte Nutzer, halten aber Bots längst nicht mehr auf.
- Tools wie „Buster: Captcha Solver for Humans“, Captcha-Solver-Dienste und zunehmend auch KI-basierte Systeme überwinden sie mühelos.
- Honeypots werden erkannt und ignoriert.
- JavaScript-Obfuscation wird schnell ausgehebelt.
- Selbst einfache KI-Modelle analysieren Quelltexte und finden innerhalb von Sekunden Wege vorbei an diesen Schutzmechanismen.
Die Angreifer rüsten mit immer intelligenteren Algorithmen, automatisierten Bot-Netzwerken und lernfähiger KI auf. Wer seine Website schützen will, muss ebenfalls nachziehen. Nur wer seine Maßnahmen stetig modernisiert, bleibt der Welle einen Schritt voraus.
Zwei Schutzebenen, eine Erweiterung: brain_protect für TYPO3
Mit der TYPO3-Erweiterung brain_protect sichern Sie Ihre Website gleich doppelt ab: gegen (D)DoS-Angriffe und gegen Formular-Spam.
Zuverlässiger SPAM-Schutz für Online-Formulare
brain_protect ist eine effektive, vollständig DSGVO-konforme Alternative zu klassischen (re)Captchas.
Für jeden Formulareintrag erzeugt die Erweiterung serverseitig eine kurzlebige, kryptografische Signatur auf Basis des Time-based One-Time Password (TOTP)-Algorithmus. Diese Signatur wird beim Absenden automatisch mitgesendet und vom Server geprüft. Nur gültig signierte Anfragen werden akzeptiert. In der Standardkonfiguration sind bereits alle Extbase-Formulare geschützt.
So bleibt Spam zuverlässig draußen, ohne Captchas, ohne Sitzungen und ohne Verbindungen zu externen Diensten. Der Schutz greift selbst dann noch, wenn herkömmliche Methoden wie Honeypots, reCaptchas oder JavaScript-Obfuscation längst umgangen wurden.
Schutz vor (D)DoS durch intelligentes Rate Limiting
Wenn herkömmliche Schutzmechanismen auf Server- oder Rechenzentrumsebene nicht ausreichen, greift brain_protect ein:
Die Erweiterung begrenzt gezielt die Anzahl der Anfragen pro Zeiteinheit, noch bevor sie das ressourcenintensive TYPO3-Frontend oder die Datenbank erreichen. So werden (D)DoS-Angriffe frühzeitig abgefangen und Serverlasten wirksam reduziert.
Das Rate Limiting funktioniert ohne Sitzungen, reagiert dynamisch auf die aktuelle Situation und lässt sich über zahlreiche Optionen individuell konfigurieren: Für optimalen Schutz auf Applikationsebene.
Getestete Wirksamkeit: 99,2% Erkennungsrate von Formular-SPAM
Die neuartige, barrierefreie Captcha-Alternative zum Schutz gegen Formular-SPAM für TYPO3 haben wir erstmals am 18.09.2024 bei den TYPO3 University Days in Leipzig (t3ud24) einer fachkundigen Öffentlichkeit vorgestellt.
Die Auswertung des nachfolgenden einjährigen Beta-Tests mit einer Erkennungsrate von 99,2% des Formular-SPAMS bestätigt: brain_protect ist die universelle Lösung gegen Formular-SPAM für TYPO3-Systeme.
Link zu Youtube: https://www.youtube.com/watch?v=wry0AaLfUR8
- 03:01 Typische Anlässe etwas gegen Formular-SPAM zu tun
- 04:41 Ansätze gegen Formular-SPAM
- 07:56 Probleme bisheriger Lösungen
- 13:08 Unsere Motivation für brain_protect
- 17:40 Universeller Ansatz: So funktioniert brain_protect
- 22:59 Edge-Cases + Features
- 26:32 Private Beta von November 2024 - Oktober 2025
Preisübersicht
| Laufzeit | Regulärer Preis |
|---|---|
| 1 Jahr | 300 € |
| 2 Jahre | 600 € |
| 3 Jahre | 900 € |
Nach Ablauf der gewählten Laufzeit gilt der reguläre Jahrespreis von 300 € (357,50 € inkl. MwSt) oder gemäß aktueller Preisliste.
Sofern nicht angegeben sind alle Preise netto zzgl. 19% MwSt.
Softwareüberlassung
Die Nutzungslizenz der Software brain_protect ist nicht ausschließlich, nicht übertragbar und zeitlich unbegrenzt. Sie gilt für eine (1) TYPO3 Installation (i. d. R. Produktivsystem) sowie für eine (1) zugehörige TYPO3 Installation (i. d. R. Test- oder Staging-System), für beliebig viele Websites innerhalb der TYPO3 Installation und für beliebig viele Formulare einer TYPO3 Website.
Konditionen
Der Vertrag (Laufzeit) startet am Tag der Bereitstellung des Auth-Tokens. Sofern nicht anders vereinbart, erfolgt die Installation durch den Kunden. Die Extension sowie Informationen zur genauen Funktionsweisen dürfen nicht an Dritte weitergegeben oder veröffentlicht werden. Es dürfen keine Konzepte oder Tools entwickelt werden, die brain_protect umgehen oder aushebeln könnten. Die Lizenzgebühr wird für die gewählte Laufzeit (1, 2 oder 3 Jahre) im Voraus berechnet. Nach Ablauf der vereinbarten Laufzeit verlängert sich die Lizenz jeweils um ein (1) weiteres Jahr, sofern sie nicht mit einer Frist von einem (1) Monat zum Laufzeitende schriftlich gekündigt wird.
Angebot anfragen / Lizenz(en) bestellen
FAQ
Die TYPO3‑Extension brain_protect ist kompatibel mit TYPO3 v10, v11, v12 und v13.
Schutz vor Formular-SPAM ist mit brain_protect nicht Aufgabe der Webredaktion.
Für Redakteure ändert sich also nichts und es gibt für sie nichts zu beachten.
Nach der Installation sind alle Extbase-basierten Formulare sofort geschützt.
Der Schutz für andere Online-Formulare kann mit wenigen Handgriffen konfiguriert werden.
Bestehende Formulare müssen nicht angepasst werden.
Alle optionalen Konfiguration erfolgen zentral über die Extension-Konfiguration.
Ein CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ist ein Test, der von Computern generiert und bewertet wird, um festzustellen, ob der Benutzer ein Mensch oder ein automatisiertes Programm (Bot) ist. Ein großer Nachteil besteht in der verringerten Accessibility, sprich Barrierefreiheit: wer schlecht oder gar nicht sehen kann, was als CAPTCHA auf dem Bildschirm angezeigt wird, der wird praktisch ausgesperrt.
reCAPTCHA ist weit verbreitet und bietet sowohl sichtbare als auch unsichtbare Optionen. Es wurde von Google entwickelt. Bei er Nutzung des Dienstes werden persönliche Daten der Seitenbesucher (z.B. die IP Adresse) an Server in den USA übertragen. Google gibt an, die Informationen nur zur Risikoanalyse zu verwendet. Dennoch ist es problematisch, die Daten an Drittanbieter außerhalb der EU weiterzugeben.
Der Besucher der Websweite muss alle Bilder auswählen, die eine bestimmte Eigenschaft aufweisen. Beispielsweise "Klicken Sie alle Bilder an, auf einen eine Ampel zu sehen ist". Dieses Verfahren ist oft besser als ein einfaches Captcha, doch wer ständig diese diese Captchas ausfüllen muss, ist schnell genervt! Und auch hier gibt es Datenschutzbedenken, weil der Dienst häufig von Drittanbieter mit Serverstandort außerhalb der EU angeboten wird.
Bei dieser Variante des Captchas wird anstatt einem Bild, eine Audio-Version des Tests abgespielt. Der Seitenbesucher muss die Wörter oder Zahlen eingeben, die ihm aus einer Audiodatei vorgespielt werden. Dieses Verfahren wird häufig als ergänzung zu Bilderrätzeln bzw. als Alternative für Sehbehinderte eingesetzt um die Barrierefreiheit zu gewährleisten. Die Barriere kann hier die Sprache sein, in der das Audio abgespielt wird.
Mit JavaScript-Obfuscation wird der JavaScript-Code der Webseite so verändert, dass er für Menschen schwer lesbar und verständlich wird, aber für Computer ausführbar bleibt. Dies wird oft aus Sicherheitsgründen oder zum Schutz geistigen Eigentums durchgeführt, um zu verhindern, dass der Quellcode leicht kopiert oder analysiert werden kann.
Typische Techniken der JavaScript-Obfuscation sind das Ändern von Variablen und Funktionsnamen, die Entfernung von Leerzeichen und Kommentaren, das Verschlüsseln von Zeichenfolgen und verwirrende Kontrollflussstrukturen.
Vorteile der Obfuscation
- Erschwert das Verständnis des Codes, um Nachahmung und unerlaubte Nutzung zu verhindern und bietet hierdurch Schutz vor Reverse Engineering
- Versteckt kritische Code-Abschnitte vor potenziellen Angreifern, was die (gefühlte) Sicherheit etwas verbessert
- Entfernen von unnötigen Teilen (wie Leerzeichen und Kommentaren) kann die Dateigröße verringern und damit die Ladezeit der Webseite verbessern
Nachteile der Obfuscation
- Der veränderte Code ist schwerer zu debuggen und zu warten
- In einigen Fällen kann die Obfuscation die Ausführungszeit des Codes verlängern
- Obfuscation bietet keinen absoluten Schutz, da erfahrene Entwickler immer noch in der Lage sein können, den Code zu analysieren und zu verstehen
JavaScript-Obfuscation kann nützlich sein, stellt aber für sich keine komplette Absicherung dar und benötigt zusätzliche Sicherungsmaßnahmen!
TOTP ("time based one time password") ist ein verbreitetes und effektives Verfahren, bei dem Passwörter verwendet werden, die nur für eine begrenzte Zeit gültig sind. Es wird häufig für die Zwei-Faktor-Authentifizierung (2FA) verwendet. TOTP basiert auf dem HMAC-SHA-1-Algorithmus, wobei die aktuelle Uhrzeit als Teil der Eingabe verwendet wird.
Die generierten Passwörter sind nur für einen kurzen Zeitraum, typischerweise 30 - 60 Sekunden, gültig. Jedes generierte Passwort kann nur einmal verwendet werden.
Beim Einrichten des TOTP wird ein kryptografischer Schlüssel zwischen Benutzer und Server geteilt. Sowohl der Server als auch der Benutzer verwenden die aktuelle Uhrzeit, um das einmalige Passwort zu generieren. Da die Passwörter nur kurze Zeit gültig und einmalig sind, wird die Gefahr eines Missbrauchs stark reduziert. Die Komplexität ist dennoch relativ gering.
Die potentielle Schwachstelle eines Man-in-the-Middle-Angriffs (MitM) ist mit einem gültigen SSL-Zertifikat unproblematisch.
Ein Honeypot ist ein zusätzliches, unsichtbares und leeres Eingabefeld in einem Formular. Dieses Feld ist für menschliche Benutzer nicht sichtbar und soll daher nicht ausgefüllt werden. Bots hingegen, die oft darauf programmiert sind, alle Felder eines Formulars auszufüllen, füllen dieses Feld häufig trotzdem aus. Damit ist ein ausgefülltes Honeypot-Feld ein Zeichen für Formular-SPAM. In diesem Fall wird das Absenden des Formulars blockiert bzw. wird der Datensatz als Spam kennzeichnet.
Man kann zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass das Honeypot-Feld nicht versehentlich von menschlichen Benutzern ausgefüllt wird. Dazu gehört, das Feld mit einem für Menschen irreführenden Namen zu versehen oder es auf eine Weise zu verstecken, die sicherstellt, dass es für Screenreader unsichtbar bleibt. Durch diese Methode soll der normale Nutzerfluss nicht beeinträchtigt werden, da echte Benutzer das Honeypot-Feld nicht sehen. Häufig gelingt dies nicht zuverlässig; insbesondere hat der Honeypot-Ansatz Probleme bzgl. der Barrierefreiheit und erzeugt False Positives durch die Auto-Vervollständigung von Formularen durch den Browser.
Ein Formular, das durch einen Honeypot geschützt ist, kann relativ einfach gehackt werden, der Schutzgrad ist also eher gering. Fortschrittlichere Bots können Honeypots erkennen und ignorieren. Gegen einfache aber gezielte Attacken ist ein Honeypot unwirksam.
False Positives sind Fälle, in denen legitime menschliche Benutzer fälschlicherweise als Bots erkannt werden. Dies führt zu Frustration, verlorenen Interaktionen und ist für den Ruf einer Website mitunter schädlich. Ursachen können schwierige CAPTCHA-Aufgaben, technische Probleme, fehlende Barrierefreiheit und atypisches Benutzerverhalten sein. Mitunter liegt es auch daran, dass unsichtbare Honeypot-Felder durch eine Autofill-Funktion des Browsers ausgefüllt werden.