brain_protect
用于 TYPO3 的防止表单垃圾邮件功能
brain_protect 可立即有效地阻止垃圾邮件表单
brain_protect 安装后立即生效:所有在线表单*立即得到有效保护。
- ✅ 无需配置,无需对现有表单进行定制。
- ✅ 在线表单的访问者不会遇到验证码或其他障碍。
- ✅ 无需为网站编辑人员增加额外工作。
- ✅经测试有效率达 99.2%。
- ✅ 100%符合 GDPR 标准。
- ✅ 100% 无障碍。
- ✅ 独立于外部工具,如 Google reCAPTCHA 或 Friendly Captcha。
为什么要保护?
网络已变得岌岌可危。网站不断受到自动 (D)DoS 攻击和无休止的表单垃圾邮件的攻击。
听起来无伤大雅的攻击很快就会变成一场灾难
- 服务器不堪重负,访问者只能看到错误信息。
- 数据库溢出,邮箱被毫无意义的垃圾邮件塞爆。
- 域名被列入黑名单,电子邮件通信受阻,有时甚至连续数天受阻。
通常的应对措施几乎无效
- 验证码会让真实用户感到沮丧,但不再能阻止机器人。
- 诸如 "Buster: Captcha Solver for Humans "之类的工具、验证码验证服务以及越来越多的基于人工智能的系统都能毫不费力地破解验证码。
- 蜜罐被识别并忽略。
- JavaScript 混淆很快就会被消除。
- 即使是简单的人工智能模型,也能在几秒钟内分析源代码并找到绕过这些保护机制的方法。
攻击者正在用越来越智能的算法、自动化僵尸网络和自适应人工智能武装自己。任何想要保护自己网站的人都必须紧随其后。只有那些不断更新其措施的人,才能在浪潮中保持领先。
两层保护,一个扩展:TYPO3 的brain_protect
使用 TYPO3 扩展brain_protect,您可以对网站进行双重保护:防止 (D)DoS 攻击和防止表单垃圾邮件。
为在线表单提供可靠的垃圾邮件保护
brain_protect是一种有效的、完全符合 GDPR 标准的传统(再)验证码替代品。
对于每个表单条目,该扩展都会根据基于时间的一次性密码(TOTP)算法在服务器端生成一个短暂的加密签名。该签名在表单发送时自动发送,并由服务器进行检查。只有经过有效签名的请求才会被接受。在标准配置中,所有 Extbase 表单都已受到保护。
无需验证码、无需会话、无需连接外部服务,就能可靠地阻止垃圾邮件。即使蜜罐、reCaptchas 或 JavaScript 混淆等传统方法早已被绕过,保护措施依然有效。
通过智能速率限制防止(D)DoS
如果服务器或数据中心层面的传统保护机制不够完善,brain_protect就会介入:
甚至在请求到达资源密集型的 TYPO3 前端或数据库之前,该扩展就会专门限制每个时间单位的请求数量。这样,(D)DoS 攻击就能在早期阶段被拦截,并有效降低服务器负载。
速率限制无需会话即可工作,可对当前情况做出动态反应,并可使用多种选项进行定制:在应用层面提供最佳保护。
测试效果:99.2% 的表单垃圾邮件检测率
2024 年 9 月 18 日,在莱比锡举行的 TYPO3 大学日(t3ud24)上,我们首次向专家听众展示了 TYPO3 防范表单 SPAM 的新型无障碍验证码替代方案。
在随后为期一年的测试中,表单 SPAM 的检测率高达 99.2%,评估结果证实:brain_protect 是 TYPO3 系统防范表单 SPAM的通用解决方案。
价格概览
| 运行时间 | 正常价格 |
|---|---|
| 1 年 | 300 € |
| 2 年 | 600 € |
| 3 年 | 900 € |
在所选期限到期后,将适用每年 300 欧元(含增值税 357.50 欧元)的正常价格或根据当前价格表。
除非另有说明,所有价格均为净价加 19% 增值税。
软件转让
使用 brain_protect 软件的许可是非排他性的、不可转让的和无限期的。它适用于一 (1) 个 TYPO3 安装(通常是生产系统)和一 (1) 个相关的 TYPO3 安装(通常是测试或暂存系统),适用于 TYPO3 安装内的任意数量的网站以及 TYPO3 网站上的任意数量的表单。
条件
合同(期限)从提供 Auth-Token 当日开始。除非另有约定,由客户自行安装。不得将扩展功能和有关具体功能的信息传递给第三方或予以公布。不得开发可能规避或破坏 brain_protect 的概念或工具。 许可费用按所选择的期限(1 年、2 年或 3 年)预收。在约定期限到期后,除非提前一 (1) 个月以书面形式通知终止,否则许可将延长一 (1) 年。
索取报价/订购许可证
常见问题
TYPO3 扩展 brain_protect 与 TYPO3 v10、v11、v12 和 v13 兼容。
有了 brain_protect,防止表单垃圾邮件就不是网站编辑的责任了。
因此,对于编辑来说,没有什么变化,也没有什么需要考虑的。
安装后,所有基于 Extbase 的表单都会立即受到保护。
其他在线表单的保护只需几个简单步骤即可配置。
现有表单无需定制。
所有可选配置均通过扩展配置集中完成。
验证码(区分计算机和人类的完全自动公共图灵测试)是一种由计算机生成和评估的测试,用于确定用户是人类还是自动程序(机器人)。它的一个主要缺点是降低了可访问性:任何人如果看不到屏幕上显示的验证码,实际上就会被拒之门外。
reCAPTCHA 应用广泛,提供可见和不可见两种选项。它由谷歌开发。使用该服务时,网站访问者的个人数据(如 IP 地址)会被传输到位于美国的服务器。谷歌表示,它仅将这些信息用于分析风险。 但是,将数据传递给欧盟以外的第三方供应商是有问题的。
网站访问者必须选择所有具有特定特征的图片。例如,"点击所有显示交通灯的图片"。这种程序通常比简单的验证码要好,但任何人如果要不断填写这些验证码,很快就会感到厌烦!此外,由于服务通常由服务器位于欧盟以外的第三方供应商提供,因此还存在数据保护问题。
有了这个版本的验证码,就可以播放音频版本的测试而不是图像。网站访问者必须输入音频文件中播放的单词或数字。这种方法通常作为图片谜语的补充,或者作为视障人士的替代方法,以确保无障碍访问。这里的障碍可能是音频播放的语言。
JavaScript 混淆法修改网站的 JavaScript 代码,使其难以被人类阅读和理解,但仍可被计算机执行。这样做通常是出于安全原因或保护知识产权,以防止源代码被轻易复制或分析。
典型的 JavaScript 混淆技术包括更改变量和函数名称、删除空格和注释、加密字符串和混淆控制流结构。
混淆的优点
- 增加代码的理解难度,防止模仿和未经授权的使用,从而提供反向工程保护
- 向潜在攻击者隐藏代码的关键部分,从而在一定程度上提高(感知)安全性
- 删除不必要的部分(如空格和注释)可减小文件大小,从而缩短网站的加载时间
混淆的缺点
- 修改后的代码更难调试和维护
- 在某些情况下,混淆会增加代码的执行时间
- 混淆并不能提供绝对的保护,因为有经验的开发人员仍然可以分析和理解代码
JavaScript 混淆可能有用,但其本身并不是完全的保护措施,还需要额外的保护措施!
TOTP("基于时间的一次性密码")是一种广泛而有效的方法,它使用的密码只有在有限的时间内有效。它通常用于双因素身份验证(2FA)。TOTP 以 HMAC-SHA-1 算法为基础,将当前时间作为输入的一部分。
生成的密码有效期很短,一般为 30-60 秒。每个生成的密码只能使用一次。
设置 TOTP 时,用户和服务器之间共享一个加密密钥。服务器和用户都使用当前时间生成唯一密码。由于密码只在短时间内有效,而且是唯一的,因此滥用的风险大大降低。复杂度仍然相对较低。
有了有效的 SSL 证书,中间人攻击(MitM)的潜在漏洞就不成问题了。
蜜罐是表单中一个额外的、不可见的空输入字段。人类用户看不到这个字段,因此不应填写。然而,机器人的程序通常会让它们填写表单的所有字段,它们往往会填写这个字段。因此,已填写的蜜罐字段就是表单垃圾邮件的标志。在这种情况下,表单的提交会被阻止,或者数据记录会被标记为垃圾邮件。
还可以采取其他措施,确保蜜罐字段不会被人类用户无意填写。这包括给该字段起一个会误导人类的名称,或将其隐藏起来,确保屏幕阅读器看不到。这种方法不应影响正常的用户流程,因为真正的用户不会看到蜜罐字段。但这种方法往往并不可靠;特别是,由于浏览器会自动完成表单,蜜罐方法存在可访问性问题,并会产生误报。
受蜜罐保护的表单很容易被黑客攻击,因此保护级别很低。更高级的机器人可以识别并忽略蜜罐。蜜罐对简单但有针对性的攻击无效。
误报是指合法的人类用户被误认为是机器人。这会导致挫败感,失去互动,有时还会损害网站的声誉。原因可能包括难以完成的验证码任务、技术问题、缺乏可访问性和非典型用户行为。有时,这也是由于浏览器自动填充功能填写了不可见的蜜罐字段。