brain_protect
Захист від спаму за формою для TYPO3
brain_protect негайно та ефективно зупиняє спам
brain_protect починає діяти одразу після встановлення: всі онлайн-форми* миттєво та ефективно захищені.
- ✅ Немає необхідності в конфігурації, немає необхідності в кастомізації існуючих форм.
- Ніяких капч або інших перешкод для відвідувачів ваших онлайн-форм.
- Ніяких додаткових завдань для веб-редакторів.
- 99.2% перевірена ефективність.
- 100% відповідність GDPR.
- 100% безбар'єрність.
- Не залежить від зовнішніх інструментів, таких як Google reCAPTCHA або Friendly Captcha.
Навіщо захищати?
Інтернет став жорстким. Веб-сайти постійно піддаються автоматизованим (D)DoS-атакам та нескінченному формальному спаму.
Те, що здається нешкідливим, може швидко перетворитися на катастрофу
- Сервери падають під навантаженням, відвідувачі бачать лише повідомлення про помилки.
- Бази даних переповнюються, поштові скриньки вибухають від безглуздого спаму.
- Домени потрапляють до чорних списків, спілкування електронною поштою блокується, іноді на кілька днів поспіль.
Звичайні контрзаходи малоефективні
- CAPTCHA розчаровують реальних користувачів, але більше не зупиняють ботів.
- Такі інструменти, як "Buster: Розв'язувач капч для людей", сервіси для розгадування капч і, все частіше, системи на основі штучного інтелекту долають їх без особливих зусиль.
- Боти розпізнаються та ігноруються.
- Заплутаність JavaScript швидко скасовується.
- Навіть прості моделі ШІ аналізують вихідний код і знаходять способи обійти ці механізми захисту за лічені секунди.
Зловмисники озброюються все більш інтелектуальними алгоритмами, автоматизованими мережами ботів і адаптивним ШІ. Той, хто хоче захистити свій сайт, також повинен слідувати цьому прикладу. Тільки ті, хто постійно модернізує свої заходи, залишаться на крок попереду хвилі.
Два рівня захисту, одне розширення: brain_protect для TYPO3
За допомогою розширення TYPO3 brain_protect ви можете захистити свій сайт двічі: від (D)DoS-атак і від спаму в формах.
Надійний захист від спаму для онлайн-форм
brain_protect - це ефективна, повністю сумісна з GDPR альтернатива класичним (ре)капчі.
Для кожного вводу у формі розширення генерує короткочасний криптографічний підпис на стороні сервера на основі алгоритму Time-based One-Time Password (TOTP). Цей підпис автоматично надсилається, коли форма надсилається і перевіряється сервером. Приймаються тільки правильно підписані запити. Всі форми Extbase вже захищені в стандартній конфігурації.
Це надійно захищає від спаму, без капч, без сесій і без з'єднань із зовнішніми сервісами. Захист залишається ефективним, навіть якщо традиційні методи, такі як honeypots, reCaptchas або обфускація JavaScript, вже давно обійдені.
Захист від (D)DoS за допомогою інтелектуального обмеження швидкості
Якщо звичайних механізмів захисту на рівні сервера або дата-центру недостатньо, втручається brain_protect:
Розширення спеціально обмежує кількість запитів в одиницю часу ще до того, як вони досягнуть ресурсоємного інтерфейсу TYPO3 або бази даних. Таким чином, (D)DoS-атаки перехоплюються на ранній стадії і навантаження на сервер ефективно знижується.
Обмеження швидкості працює без сесій, динамічно реагує на поточну ситуацію і може бути налаштоване за допомогою численних опцій: Для оптимального захисту на рівні додатків.
Перевірена ефективність: 99,2% виявлення спаму у формі
Ми вперше представили нову, безбар'єрну альтернативу капчі для захисту від формованого спаму для TYPO3 експертної аудиторії 18 вересня 2024 року на TYPO3 University Days в Лейпцигу (t3ud24).
Оцінка подальшого річного бета-тесту з показником виявлення 99,2% формованого спаму підтверджує: brain_protect є універсальним рішенням проти формованого спаму для систем TYPO3.
Посилання на Youtube: https: //www.youtube.com/watch?v=wry0AaLfUR8
- 03:01 Типові причини для боротьби зі спамом
- 04:41 Підходи до боротьби зі спамом
- 07:56 Проблеми з попередніми рішеннями
- 13:08 Наша мотивація для brain_protect
- 17:40 Універсальний підхід: як працює brain_protect
- 22:59 Крайні випадки + особливості
- 26:32 Закрита бета-версія з листопада 2024 - жовтня 2025
Огляд цін
| Час роботи | Звичайна ціна |
|---|---|
| 1 рік | 300 € |
| 2 роки | 600 € |
| 3 роки | 900 € |
Після закінчення обраного терміну застосовується звичайна річна ціна 300 євро (357,50 євро з ПДВ) або згідно з поточним прейскурантом.
Якщо не вказано інше, всі ціни вказані без ПДВ плюс 19% ПДВ.
Передача програмногозабезпечення
Ліцензія на використання програмного забезпечення brain_protect є невиключною, не підлягає передачі і необмежена в часі. Вона дійсна для однієї (1) установки TYPO3 (зазвичай продуктивної системи) і для однієї (1) пов'язаної установки TYPO3 (зазвичай тестової або тестової системи), для будь-якої кількості веб-сайтів в рамках установки TYPO3 і для будь-якої кількості форм на веб-сайті TYPO3.
Умови
Договір (термін) починається в день надання токена авторизації. Якщо не узгоджено інше, установка виконується клієнтом. Розширення і інформація про точну функціональність не можуть бути передані третім особам або опубліковані. Забороняється розробка концепцій або інструментів, які можуть обійти або підірвати brain_protect. Ліцензійна плата стягується заздалегідь на обраний термін (1, 2 або 3 роки). Після закінчення узгодженого терміну ліцензія продовжується ще на один (1) рік, якщо вона не буде припинена в письмовій формі з повідомленням за один (1) місяць до закінчення терміну.
Запросити пропозицію / замовити ліцензію(ї)
ПОШИРЕНІ ЗАПИТАННЯ
Розширення TYPO3 brain_protect сумісно з TYPO3 v10, v11, v12 і v13.
З brain_protect захист від спаму не є обов'язком веб-редактора.
Отже, для редакторів нічого не змінюється, і їм немає на що звертати увагу.
Після встановлення всі форми на основі Extbase одразу стають захищеними.
Захист інших онлайн-форм можна налаштувати за кілька простих кроків.
Існуючі форми не потрібно налаштовувати.
Всі додаткові налаштування виконуються централізовано через конфігурацію розширення.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) - це тест, який генерується і оцінюється комп'ютером, щоб визначити, чи є користувач людиною або автоматизованою програмою (ботом). Основним недоліком є обмежена доступність: будь-хто, хто не бачить, що відображається на екрані у вигляді CAPTCHA, практично заблокований.
reCAPTCHA широко використовується і пропонує як видимі, так і невидимі варіанти. Він був розроблений компанією Google. При використанні сервісу персональні дані відвідувачів сайту (наприклад, IP-адреса) передаються на сервери в США. Google заявляє, що використовує цю інформацію лише для аналізу ризиків. Однак передача даних стороннім провайдерам за межами ЄС є проблематичною.
Відвідувач сайту повинен вибрати всі зображення, які мають певну характеристику. Наприклад, "Натисніть на всі зображення, на яких зображено світлофор". Ця процедура часто краща за просту капчу, але той, кому доводиться постійно заповнювати ці капчі, швидко починає дратуватися! А ще тут є проблеми із захистом даних, адже послугу часто пропонують сторонні провайдери, сервери яких розташовані за межами ЄС.
У цій версії капчі замість зображення відтворюється аудіоверсія тесту. Відвідувач сайту повинен ввести слова або цифри, які відтворюються з аудіофайлу. Цей метод часто використовується як доповнення до загадок з картинками або як альтернатива для людей з вадами зору для забезпечення доступності. Бар'єром тут може бути мова, якою відтворюється аудіо.
За допомогою обфускації JavaScript код веб-сайту змінюється таким чином, щоб його було складно читати і розуміти людям, але при цьому він залишався виконуваним для комп'ютерів. Це часто робиться з міркувань безпеки або для захисту інтелектуальної власності, щоб запобігти легкому копіюванню або аналізу вихідного коду.
Типові методи обфускації JavaScript включають зміну змінних і назв функцій, видалення пробілів і коментарів, шифрування рядків і заплутування структур потоку управління.
Переваги обфускації
- Ускладнює розуміння коду, щоб запобігти імітації та несанкціонованому використанню, тим самим забезпечуючи захист від зворотного інжинірингу
- Приховує критичні ділянки коду від потенційних зловмисників, що дещо підвищує (уявну) безпеку
- Видалення непотрібних частин (таких як пробіли та коментарі) може зменшити розмір файлу і, таким чином, покращити час завантаження веб-сайту
Недоліки обфускації
- Модифікований код складніше налагоджувати та підтримувати
- У деяких випадках обфускація може збільшити час виконання коду
- Обфускація не забезпечує абсолютного захисту, оскільки досвідчені розробники все одно можуть проаналізувати і зрозуміти код
Обфускація JavaScript може бути корисною, але сама по собі не є повним захистом і потребує додаткових засобів захисту!
TOTP ("часовий одноразовий пароль") - це широко розповсюджений та ефективний метод, який використовує паролі, що діють лише протягом обмеженого часу. Його часто використовують для двофакторної автентифікації (2FA). TOTP базується на алгоритмі HMAC-SHA-1, в якому поточний час використовується як частина вхідних даних.
Згенеровані паролі дійсні лише протягом короткого періоду часу, зазвичай 30-60 секунд. Кожен згенерований пароль може бути використаний лише один раз.
При налаштуванні TOTP криптографічний ключ є спільним для користувача і сервера. І сервер, і користувач використовують поточний час для генерації унікального пароля. Оскільки паролі дійсні лише протягом короткого часу і є унікальними, ризик зловживань значно знижується. Складність залишається відносно низькою.
Потенційна вразливість до атак типу "людина посередині" (MitM) не є проблемою при наявності дійсного SSL-сертифікату.
"Медовий горщик" - це додаткове, невидиме і порожнє поле для введення даних у формі. Це поле невидиме для користувачів і тому не повинно заповнюватися. Однак боти, які часто запрограмовані на заповнення всіх полів форми, часто заповнюють це поле. Тому заповнене поле honeypot є ознакою спаму форми. У цьому випадку відправлення форми блокується або запис даних позначається як спам.
Можна вжити додаткових заходів, щоб гарантувати, що поле honeypot не буде випадково заповнене користувачами. Це включає в себе надання полю назви, яка вводить в оману людей, або приховування його таким чином, щоб воно залишалося невидимим для зчитувачів з екрану. Цей метод не повинен впливати на звичайний потік користувачів, оскільки реальні користувачі не бачитимуть поле для заповнення. Цей метод часто працює ненадійно; зокрема, підхід honeypot має проблеми з доступністю і генерує помилкові спрацьовування через автоматичне заповнення форм браузером.
Форму, захищену за допомогою honeypot, можна відносно легко зламати, тому рівень захисту досить низький. Більш просунуті боти можуть розпізнавати та ігнорувати honeypot. Honeypot неефективний проти простих, але цілеспрямованих атак.
Хибнопозитивні спрацьовування - це випадки, коли легітимні користувачі помилково розпізнаються як боти. Це призводить до розчарування, втрати взаємодії та іноді завдає шкоди репутації веб-сайту. Причинами можуть бути складні завдання CAPTCHA, технічні проблеми, недостатня доступність і нетипова поведінка користувачів. Іноді це також пов'язано з невидимими полями, які заповнюються функцією автозаповнення браузера.