brain_protect
Protezione contro i moduli SPAM per TYPO3
brain_protect blocca i moduli SPAM in modo immediato ed efficace
brain_protect entra in vigore subito dopo l'installazione: tutti i moduli online sono immediatamente* sono immediatamente ed efficacemente protetti.
- Non è necessaria alcuna configurazione, né la personalizzazione dei moduli esistenti.
- ✅ Nessun captchas o altri ostacoli per i visitatori dei vostri moduli online.
- ✅ Nessun compito aggiuntivo per gli editor web.
- ✅Efficacia testata del 99,2%.
- ✅ 100% conforme al GDPR.
- ✅ 100% senza barriere.
- ✅ Indipendente da strumenti esterni come Google reCAPTCHA o Friendly Captcha.
Perché proteggere?
Il web è diventato difficile. I siti web sono costantemente attaccati da attacchi (D)DoS automatizzati e da un'infinità di form spam.
Ciò che sembra innocuo può trasformarsi rapidamente in una catastrofe.
- I server collassano sotto il carico, i visitatori vedono solo messaggi di errore.
- I database traboccano, le caselle di posta esplodono di spam inutile.
- I domini finiscono nelle blacklist, le comunicazioni via e-mail vengono bloccate, a volte per giorni e giorni.
Le solite contromisure sono a malapena efficaci
- I CAPTCHA frustrano gli utenti reali, ma non fermano più i bot.
- Strumenti come "Buster: Captcha Solver for Humans", servizi di captcha solver e, sempre più spesso, sistemi basati sull'intelligenza artificiale li superano senza sforzo.
- Gli honeypot vengono riconosciuti e ignorati.
- L'offuscamento di JavaScript viene rapidamente annullato.
- Anche semplici modelli di intelligenza artificiale analizzano il codice sorgente e trovano il modo di aggirare questi meccanismi di protezione in pochi secondi.
Gli aggressori si stanno armando di algoritmi sempre più intelligenti, reti di bot automatizzati e IA adattiva. Anche chi vuole proteggere il proprio sito web deve seguirne l'esempio. Solo chi modernizza costantemente le proprie misure sarà un passo avanti all'onda.
Due livelli di protezione, una sola estensione: brain_protect per TYPO3
Con l'estensione TYPO3 brain_protect potete proteggere il vostro sito web due volte: contro gli attacchi (D)DoS e contro lo spam dei moduli.
Protezione SPAM affidabile per i moduli online
brain_protect è un'alternativa efficace e pienamente conforme al GDPR ai classici (ri)captchas.
Per ogni inserimento di un modulo, l'estensione genera una firma crittografica di breve durata sul lato server, basata sull'algoritmo Time-based One-Time Password (TOTP). Questa firma viene inviata automaticamente quando il modulo viene inviato e controllata dal server. Vengono accettate solo le richieste validamente firmate. Tutti i moduli Extbase sono già protetti nella configurazione standard.
In questo modo si tiene lontano lo spam in modo affidabile, senza captchas, senza sessioni e senza connessioni a servizi esterni. La protezione è ancora efficace anche se i metodi convenzionali come honeypots, reCaptchas o JavaScript obfuscation sono stati aggirati da tempo.
Protezione contro i (D)DoS attraverso una limitazione intelligente della velocità di trasmissione
Se i meccanismi di protezione convenzionali a livello di server o di data center non sono sufficienti, interviene brain_protect:
L'estensione limita in modo mirato il numero di richieste per unità di tempo prima ancora che queste raggiungano il front-end o il database di TYPO3, che richiede molte risorse. In questo modo, gli attacchi (D)DoS vengono intercettati in una fase iniziale e il carico dei server viene ridotto efficacemente.
Il rate limiting funziona senza sessioni, reagisce dinamicamente alla situazione attuale e può essere personalizzato con numerose opzioni: Per una protezione ottimale a livello di applicazione.
Efficacia testata: 99,2% di tasso di rilevamento di form SPAM
Il 18 settembre 2024, in occasione delle Giornate universitarie TYPO3 di Lipsia (t3ud24), abbiamo presentato per la prima volta a un pubblico di esperti la nuova alternativa captcha senza barriere per la protezione contro il form SPAM per TYPO3.
La valutazione del successivo beta test di un anno con un tasso di rilevamento del 99,2% dei form SPAM conferma che brain_protect è la soluzione universale contro i form SPAM per i sistemi TYPO3.
Link a Youtube: https: //www.youtube.com/watch?v=wry0AaLfUR8
- 03:01 Motivi tipici per fare qualcosa contro il form SPAM
- 04:41 Approcci contro il form SPAM
- 07:56 Problemi con le soluzioni precedenti
- 13:08 Le nostre motivazioni per brain_protect
- 17:40 Approccio universale: come funziona brain_protect
- 22:59 Casi limite e caratteristiche
- 26:32 Beta privata da novembre 2024 a ottobre 2025
Panoramica dei prezzi
| Tempo di esecuzione | Prezzo normale |
|---|---|
| 1 anno | 300 € |
| 2 anni | 600 € |
| 3 anni | 900 € |
Dopo la scadenza del periodo selezionato, si applica il prezzo annuale regolare di 300 € (357,50 € IVA inclusa) o secondo il listino prezzi attuale.
Se non diversamente indicato, tutti i prezzi si intendono netti più IVA al 19%.
Trasferimento del software
La licenza d'uso del software brain_protect è non esclusiva, non trasferibile e illimitata nel tempo. È valida per una (1) installazione TYPO3 (di solito un sistema produttivo) e per una (1) installazione TYPO3 associata (di solito un sistema di test o di staging), per qualsiasi numero di siti web all'interno dell'installazione TYPO3 e per qualsiasi numero di moduli su un sito web TYPO3.
Condizioni
Il contratto (termine) inizia il giorno in cui viene fornito l'Auth-Token. Se non diversamente concordato, l'installazione viene effettuata dal cliente. L'estensione e le informazioni sulla funzionalità esatta non possono essere trasmesse a terzi o pubblicate. Non è consentito sviluppare concetti o strumenti che possano aggirare o compromettere brain_protect. Il canone di licenza viene addebitato in anticipo per la durata scelta (1, 2 o 3 anni). Dopo la scadenza del termine concordato, la licenza viene prorogata di un (1) ulteriore anno in ogni caso, a meno che non venga disdetta per iscritto con un (1) mese di preavviso rispetto alla scadenza.
Richiesta di preventivo / ordine di licenze
FAQ
L'estensione TYPO3 brain_protect è compatibile con TYPO3 v10, v11, v12 e v13.
Con brain_protect, la protezione contro lo SPAM dei moduli non è responsabilità dell'editore web.
Quindi non cambia nulla per i redattori e non c'è nulla da considerare.
Dopo l'installazione, tutti i moduli basati su Extbase sono immediatamente protetti.
La protezione di altri moduli online può essere configurata in pochi semplici passaggi.
Non è necessario personalizzare i moduli esistenti.
Tutte le configurazioni opzionali vengono effettuate a livello centrale tramite la configurazione dell'estensione.
Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) è un test generato e valutato dai computer per determinare se l'utente è un umano o un programma automatico (bot). Uno dei principali svantaggi è la ridotta accessibilità: chiunque non riesca a vedere ciò che viene visualizzato come CAPTCHA sullo schermo è praticamente escluso.
reCAPTCHA è ampiamente utilizzato e offre opzioni visibili e invisibili. È stato sviluppato da Google. Quando si utilizza il servizio, i dati personali dei visitatori del sito (ad esempio l'indirizzo IP) vengono trasmessi a server negli Stati Uniti. Google dichiara di utilizzare queste informazioni solo per analizzare i rischi. Tuttavia, è problematico trasmettere i dati a fornitori terzi al di fuori dell'UE.
Il visitatore del sito web deve selezionare tutte le immagini che hanno una determinata caratteristica. Ad esempio, "Clicca su tutte le immagini che mostrano un semaforo". Questa procedura è spesso migliore di un semplice captcha, ma chi è costretto a compilare continuamente questi captcha si infastidisce rapidamente! Inoltre, ci sono problemi di protezione dei dati, perché il servizio è spesso offerto da fornitori terzi con server situati al di fuori dell'UE.
Con questa versione del captcha, al posto dell'immagine viene riprodotta una versione audio del test. Il visitatore del sito deve inserire le parole o i numeri che gli vengono riprodotti da un file audio. Questo metodo viene spesso utilizzato come complemento agli indovinelli con immagini o come alternativa per gli ipovedenti per garantire l'accessibilità. La barriera in questo caso può essere la lingua in cui viene riprodotto l'audio.
L'offuscamento di JavaScript modifica il codice JavaScript del sito web in modo che sia difficile da leggere e comprendere per gli esseri umani, ma rimanga eseguibile per i computer. Ciò avviene spesso per motivi di sicurezza o per proteggere la proprietà intellettuale, per evitare che il codice sorgente possa essere facilmente copiato o analizzato.
Le tipiche tecniche di offuscamento di JavaScript includono la modifica dei nomi delle variabili e delle funzioni, la rimozione degli spazi e dei commenti, la crittografia delle stringhe e la confusione delle strutture del flusso di controllo.
Vantaggi dell'offuscamento
- Rende più difficile la comprensione del codice per prevenire l'imitazione e l'uso non autorizzato, fornendo così una protezione contro il reverse engineering.
- Nasconde le sezioni critiche del codice ai potenziali aggressori, migliorando in qualche modo la sicurezza (percepita).
- La rimozione di parti non necessarie (come spazi e commenti) può ridurre le dimensioni del file e quindi migliorare il tempo di caricamento del sito web.
Svantaggi dell'offuscamento
- Il codice modificato è più difficile da debuggare e mantenere
- In alcuni casi, l'offuscamento può aumentare il tempo di esecuzione del codice
- L'offuscamento non fornisce una protezione assoluta, poiché gli sviluppatori esperti possono essere in grado di analizzare e comprendere il codice.
L'offuscamento di JavaScript può essere utile, ma non è di per sé una protezione completa e richiede ulteriori garanzie!
TOTP ("time based one time password") è un metodo diffuso ed efficace che utilizza password valide solo per un periodo di tempo limitato. Viene spesso utilizzato per l'autenticazione a due fattori (2FA). TOTP si basa sull'algoritmo HMAC-SHA-1, in cui l'ora corrente è utilizzata come parte dell'input.
Le password generate sono valide solo per un breve periodo di tempo, in genere 30-60 secondi. Ogni password generata può essere utilizzata una sola volta.
Quando si imposta TOTP, una chiave crittografica viene condivisa tra l'utente e il server. Sia il server che l'utente utilizzano l'ora corrente per generare la password unica. Poiché le password sono valide solo per un breve periodo e sono uniche, il rischio di abuso è notevolmente ridotto. La complessità è ancora relativamente bassa.
La potenziale vulnerabilità di un attacco man-in-the-middle (MitM) non presenta problemi con un certificato SSL valido.
Un honeypot è un campo di input aggiuntivo, invisibile e vuoto in un modulo. Questo campo non è visibile agli utenti umani e non dovrebbe quindi essere compilato. Tuttavia, i bot, che spesso sono programmati per compilare tutti i campi di un modulo, lo compilano comunque. Un campo honeypot compilato è quindi un segno di modulo SPAM. In questo caso, l'invio del modulo viene bloccato o il record di dati viene etichettato come spam.
È possibile adottare ulteriori misure per garantire che il campo honeypot non venga compilato inavvertitamente da utenti umani. Ad esempio, si può assegnare al campo un nome che sia fuorviante per l'uomo o nasconderlo in modo da renderlo invisibile agli screen reader. Questo metodo non dovrebbe influire sul normale flusso di utenti, poiché gli utenti reali non vedranno il campo honeypot. Spesso non funziona in modo affidabile; in particolare, l'approccio honeypot presenta problemi di accessibilità e genera falsi positivi a causa del completamento automatico dei moduli da parte del browser.
Un modulo protetto da un honeypot può essere violato con relativa facilità, quindi il livello di protezione è piuttosto basso. I bot più avanzati sono in grado di riconoscere e ignorare gli honeypot. Un honeypot è inefficace contro attacchi semplici ma mirati.
I falsi positivi sono casi in cui utenti umani legittimi vengono erroneamente riconosciuti come bot. Ciò provoca frustrazione, interazioni perse e talvolta danneggia la reputazione di un sito web. Le cause possono essere: compiti CAPTCHA difficili, problemi tecnici, mancanza di accessibilità e comportamenti atipici degli utenti. A volte ciò è dovuto anche alla compilazione di campi honeypot invisibili da parte di una funzione di riempimento automatico del browser.