Captcha-Sicherheit
Diese Seite beschreibt die in CrispyCMS integrierte Captcha-Lösung und zeigt, wie Sie Altcha sicher und datenschutzkonform konfigurieren und betreiben. Die Anleitungen sind praxisnah formuliert, damit Administratoren und Entwickler die Einstellungen schnell verstehen und umsetzen können.
Was ist Altcha?
Altcha ist eine moderne Alternative zu klassischen Captchas, die ohne sichtbare Rätsel oder Bildauswahl auskommt. Technisch basiert Altcha auf kryptografischen Proof-of-Work-Herausforderungen, die im Hintergrund stattfinden — für Endbenutzer merkt man davon nichts. Das Ziel ist, automatisierte Anfragen zuverlässig zu erkennen, ohne die Benutzererfahrung zu belasten.
In der Praxis bedeutet das: normale Besucher bemerken keinen zusätzlichen Schritt, während automatisierte Bots höhere Rechenkosten aufbringen müssen, um das Challenge-Response-Protokoll zu lösen.
Vorteile von Altcha
Altcha kombiniert Sicherheit mit einfacher Bedienung. Die wichtigsten Vorteile im Überblick:
- Keine visuellen Rätsel - Benutzer müssen keine Bilder auswählen oder Text eingeben
- Barrierefrei - Funktioniert mit Screenreadern und anderen Hilfstechnologien
- Schnell - Automatische Hintergrundverarbeitung ohne Verzögerungen
- Datenschutz - Keine Tracking-Cookies oder externe Datenübertragung
Für Betreiber bedeutet das geringere Support-Anfragen und eine höhere Abschlussrate bei Formularen, weil Nutzer nicht durch Captcha-Hürden abgeschreckt werden.
Konfiguration der Captcha-Einstellungen
Zugriff auf die Einstellungen
Die Captcha-Konfiguration finden Sie im CMS-Administrationsbereich unter: Einstellungen → Captcha
Verfügbare Einstellungen
CAPTCHA HMAC
Der HMAC-Schlüssel sichert die Kommunikation zwischen Ihrem Server und dem Captcha-Service und verhindert Manipulationen an Challenge- oder Antwortdaten. Behandeln Sie diesen Schlüssel wie ein Passwort.
- Format: Alphanumerischer Schlüssel (empfohlen: 32+ Zeichen)
- Sicherheit: Wenn nicht gesetzt, wird Captcha deaktiviert und das System bleibt ungeschützt
- Wichtig: Verwenden Sie einen starken, zufälligen Schlüssel und rotieren Sie ihn regelmäßig bei Verdacht auf Kompromittierung
HTTPS-Anforderung
Aus Sicherheitsgründen funktioniert das Captcha nur auf HTTPS-gesicherten Seiten. Moderne Browser schränken viele sicherheitsrelevanten Funktionen ein, wenn eine Seite nur über HTTP ausgeliefert wird. Stellen Sie daher sicher, dass Ihre Admin- und Formularseiten TLS/HTTPS verwenden, bevor Sie Captcha aktivieren.
Hinweis: Bei Testumgebungen können lokale Zertifikate genutzt werden, prüfen Sie jedoch immer das Verhalten in einer produktionsähnlichen Umgebung.
CAPTCHA KOMPLEXITÄT
Rechenaufwand-Steuerung
Standardwert: 50000
Die Komplexität steuert, wie viel Rechenzeit ein Client investieren muss, um eine Challenge zu lösen. Für öffentliche Webseiten mit hohem Traffic empfehlen wir den Standardwert, da er eine gute Balance zwischen Sicherheit und Nutzerfreundlichkeit bietet. Bei gezielten Bot-Angriffen kann die Komplexität erhöht werden; beachten Sie dabei jedoch mögliche Auswirkungen auf sehr alte oder leistungsschwache Clients.
CAPTCHA ANTWORTEN
Nutzungslimit
Das System zählt erfolgreich verifizierte Captcha-Antworten. Dieses Metering erlaubt Anbietern, Verbrauchsmodelle umzusetzen oder Limits pro Plan durchzusetzen. Prüfen Sie in Ihrem Admin-Dashboard regelmäßig die Verbrauchswerte und planen Sie Kapazitätserweiterungen rechtzeitig ein, wenn Ihr Traffic wächst.
- Anzeige: Aktuell verwendete Antworten / Maximales Limit
- Verhalten: Nach Erreichen des Limits wird Captcha deaktiviert — alternative Schutzmechanismen sollten dann geprüft werden
- Reset: Automatisches Zurücksetzen basierend auf Ihrem Lizenzmodell
Endpoint-Information
Der Altcha Captcha Challenge Endpoint befindet sich unter:
/system/security/captcha/challengeDieser Endpoint wird von Plugins und Formularen aufgerufen, um ein Challenge-Token zu erhalten. Integrieren Sie den Endpoint serverseitig so, dass die Kommunikation abgesichert und nicht für Dritte offen zugänglich ist.
Empfohlene Konfiguration
- HMAC: Verwenden Sie einen starken, zufälligen 32-Zeichen-Schlüssel
- Komplexität: Beginnen Sie mit 50000 und passen Sie bei Bedarf an
- HTTPS: Stellen Sie sicher, dass Ihr System HTTPS unterstützt
- Testing: Testen Sie die Funktionalität nach der Konfiguration
Automatische Aktivierung
HMAC-Konfiguration erforderlich
Sobald der HMAC-Schlüssel hinterlegt ist, sorgt CrispyCMS formlos dafür, dass Altcha in den relevanten Bereichen aktiv wird. Damit entfällt ein manueller Schritt für jede einzelne Seite; achten Sie jedoch darauf, die Auswirkungen vor dem Produktiveinsatz in einer Testumgebung zu prüfen.
Geschützte Bereiche
| Bereich | Beschreibung |
|---|---|
| Anmeldung | Login-Formular für CMS-Benutzer |
| Registrierung | Neue Benutzerkonten erstellen |
| Passwort vergessen | Passwort-Reset-Funktionalität |
Konfiguration
Der HMAC-Schlüssel kann in der Systemkonfiguration unter Sicherheit → Captcha-Einstellungen festgelegt werden.
API-Integration für Plugins
Challenge-Token abrufen
Plugins können das Captcha-System über die bereitgestellte API nutzen:
API-Endpoint
POST /system/security/captcha/challengeIntegration in eigene Formulare
Plugin-Entwicklung
Entwickler können das Captcha-System in ihre Plugins und Formulare integrieren, indem sie:
- Challenge-Token über die API abrufen
- Altcha-Widget in ihr Formular einbinden
- Verifizierung serverseitig durchführen
Beispiel-Workflow: Das Frontend fordert ein Token an, fügt es dem Formular bei und das Backend validiert das Token zusammen mit dem HMAC, bevor eine Aktion (z. B. Registrierung) ausgeführt wird.