Ergebnis 1 bis 6 von 6

Google reCaptcha DSGVO-konform?

  1. baywal
    baywal ist offline
    Neuer Benutzer
    Registriert seit
    09.05.2017
    Beiträge
    2
    Standard Google reCaptcha DSGVO-konform?
    Ist die Einbindung von Google reCaptcha bei Kontakt- und/oder Bestellformularen aus DSGVO-sicht erlaubt, wenn in der Datenschutzerklärung darauf hingewiesen wird?
    https://www.google.com/recaptcha/intro/v3.html >> hier direkt im Beispiel von Google sieht man auch direkt, wie der Hinweis in der unteren Ecke auf jeder dieser Seiten dann aussieht.

  2. Erfahrener Benutzer
    Registriert seit
    15.05.2010
    Ort
    Lindau (B)
    Beiträge
    1.369
    Standard AW: Google reCaptcha DSGVO-konform?
    Gegenfrage:
    Weshalb nutzen Seitenbetreiber überhaupt noch Captchas" Die sind nicht barrierefrei. Und es gibt bessere Möglichkeiten Spammer auszusperren ohne gleichzeitig auch Menschen mit Handikap auszusperren..

    ---------------------
    M.W. genügt es reCapcha in die Datenschutzerklärung aufzunehmen und beim reCaptcha einen Link zum Passus in der Datenschutzerklärung zu setzen.
    Ignorantia iuris nocet
    quod non in actis non est in mundo

  3. privat-thing
    privat-thing ist offline
    Neuer Benutzer
    Registriert seit
    08.02.2020
    Beiträge
    2
    Standard AW: Google reCaptcha DSGVO-konform?
    Wenn würde ich mehr auf eigene Captchas setzen zwecks Datenschutz als auf fremde Dienste. Google hat reCaptcha v1 bereits abgeschaltet (=Formular unbrauchbar) und allen anderen Versionen droht in Zukunft vermutlich das gleiche Schicksal.

    Zitat Zitat von mumpel Beitrag anzeigen
    Weshalb nutzen Seitenbetreiber überhaupt noch Captchas" Die sind nicht barrierefrei. Und es gibt bessere Möglichkeiten Spammer auszusperren ohne gleichzeitig auch Menschen mit Handikap auszusperren.
    Und welche Möglichkeiten sind angeblich besser?

  4. Erfahrener Benutzer
    Registriert seit
    15.05.2010
    Ort
    Lindau (B)
    Beiträge
    1.369
    Standard AW: Google reCaptcha DSGVO-konform?
    Zitat Zitat von privat-thing Beitrag anzeigen
    Und welche Möglichkeiten sind angeblich besser?
    1. Get-Parameter aussperren,dann werden Formular-Eingaben nurnoch per Post akzeptiert.
    2. Kein Get nutzen. Ein automatisches Ausfüllen des Formulars per Get-Parameter ist dann nicht möglich.
    3. Honeypots nutzen. Diese Datenfelder so aufbauen/bezeichnen, dass sie nicht ohne Weiteres als Honeypots erkennbar sind, sondern als Pflichtfelder. Die Honeypots auch nicht mit "nosee" ausblenden (das können automatisierte Programme zu leicht erkennen), sondern in Div-Elementen unterbringen die man mit "display:none" ausblendet.
    4. Datenfelder per PHP zählen. Manipuliert ein Angreifer das Formular (auf Client-Ebene) kommt er dann nicht durch.
    5. Eingaben prüfen und filtern.
    6. Verhindern, dass Angreifer das Formular im Document-Root-Verzeichnis finden. Meine Formulare habe ich außerhalb des Document-Root-Verzeichnisses gespeichert, es wird per PHP in die Seite geladen, dadurch finden Angreifer die Formulare nicht durch Scan des Document-Root-Verzeichnisses.


    Funktioniert bei mir problemlos. Bisher hat es noch kein Angreifer geschafft, meine Formulare zu missbrauchen.
    Geändert von mumpel (08.02.2020 um 14:15 Uhr)
    Ignorantia iuris nocet
    quod non in actis non est in mundo

  5. Erfahrener Benutzer
    Registriert seit
    15.05.2010
    Ort
    Lindau (B)
    Beiträge
    1.369
    Standard AW: Google reCaptcha DSGVO-konform?
    Die Laufzeit habe ich vergessen aufzuzählen. Spambots brauchen nur Millisekunden bis maximal 3 Sekunden. Setzt man die Mindestlaufzeit auf 20 Sekunden (oder mehr) und die Maximalzeit auf 5 Minuten, ist das Formular noch ein bisschen sicherer.
    Ignorantia iuris nocet
    quod non in actis non est in mundo

  6. privat-thing
    privat-thing ist offline
    Neuer Benutzer
    Registriert seit
    08.02.2020
    Beiträge
    2
    Ausrufezeichen AW: Google reCaptcha DSGVO-konform?
    Zitat Zitat von mumpel Beitrag anzeigen
    Die Laufzeit habe ich vergessen aufzuzählen. Spambots brauchen nur Millisekunden bis maximal 3 Sekunden. Setzt man die Mindestlaufzeit auf 20 Sekunden (oder mehr) und die Maximalzeit auf 5 Minuten, ist das Formular noch ein bisschen sicherer.
    Das verhindert durchaus deine Barrierefreiheit bei nur 5 Minuten! (z.B. ältere Menschen, jene die nur per Spracheingabe agieren können)
    Mich sperrst nicht selten mit 5 Minuten auch aus. Du erwartest das ein Formular sofort ausgefüllt wird. Das ist eine irreführende Annahme.

    Zitat Zitat von mumpel Beitrag anzeigen
    1. Get-Parameter aussperren,dann werden Formular-Eingaben nurnoch per Post akzeptiert.
    Im Quellcode unterscheide ich immer zwischen GET und POST. Alleine schon aus Sicherheitsgründen. Da kann gar kein GET genutzt werden, wenn ich nur POST erwarte.

    Zitat Zitat von mumpel Beitrag anzeigen
    2. Kein Get nutzen. Ein automatisches Ausfüllen des Formulars per Get-Parameter ist dann nicht möglich.
    Bei mir wird entweder direkt eine Browserengine genutzt oder das Formular gescannt vorher.

    Zitat Zitat von mumpel Beitrag anzeigen
    3. Honeypots nutzen. Diese Datenfelder so aufbauen/bezeichnen, dass sie nicht ohne Weiteres als Honeypots erkennbar sind, sondern als Pflichtfelder. Die Honeypots auch nicht mit "nosee" ausblenden (das können automatisierte Programme zu leicht erkennen), sondern in Div-Elementen unterbringen die man mit "display:none" ausblendet.
    Dann hast nur alle Spammer weg die veraltete Tools nutzen statt Tools mit einer Browserengine die sich dazu den Weg merkt.

    Zitat Zitat von mumpel Beitrag anzeigen
    4. Datenfelder per PHP zählen. Manipuliert ein Angreifer das Formular (auf Client-Ebene) kommt er dann nicht durch.
    Leere Felder werden durchaus nicht übersendet. Wie willst da anständig zählen?

    Zitat Zitat von mumpel Beitrag anzeigen
    5. Eingaben prüfen und filtern.
    Wer Eingaben nicht prüft und filtert begeht ein Sicherheitsrisiko.
    Dagegen fortlaufend trainierte Filter kosten Arbeit und das lohnt sich selten.

    Zitat Zitat von mumpel Beitrag anzeigen
    6. Verhindern, dass Angreifer das Formular im Document-Root-Verzeichnis finden. Meine Formulare habe ich außerhalb des Document-Root-Verzeichnisses gespeichert, es wird per PHP in die Seite geladen, dadurch finden Angreifer die Formulare nicht durch Scan des Document-Root-Verzeichnisses.
    Der Speicherort ist egal für moderne Spammer, da die Struktur der Webseite in menschlicher Zeit durchgegangen wird über unzählige Verbindungen aber nur eine Verbindung je IP. Die IP wird oft nur einmal genutzt. Heißt selbst zufallsbasierte Speicherorte werden erfolgreich gefunden.

    Zitat Zitat von mumpel Beitrag anzeigen
    Funktioniert bei mir problemlos. Bisher hat es noch kein Angreifer geschafft, meine Formulare zu missbrauchen.
    Schön aber dann hast einfach nur Glück wegen altmodischen Spambots. Klingt jedenfalls in deinen obigen Angaben so.

Ähnliche Themen
  1. Von info1962 im Forum Mehr Onlinerecht
    Antworten: 0
    Letzter Beitrag: 03.05.2018, 09:59
  2. Von FranzW im Forum Mehr Onlinerecht
    Antworten: 0
    Letzter Beitrag: 02.05.2018, 18:04
Berechtigungen
  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •