Neu Shop 4 Captcha - Spamschutz

[ag-websolutions.de]

Im Prinzip ist mir das egal. Ich will das meinen Kunden nicht antun

Dein Wunsch / deine persönliche Vorliebe ist aber was anderes wie ein ... "ist nicht konform"

verstößt gegen die DSGVO

Durch mehrfaches wiederholen wird eine Falschaussage nicht besser. Solange du in deiner DaSchu darauf hinweist ist der Einsatz DSGVO-konform:
Google fällt unter das Privacy Shield Framework

 

[albi123]

Google fällt unter das Privacy Shield Framework

wieso wundert mich das nicht Facebook und der Staatstrojaner bestimmt auch

Spaß beiseite: nochmal warum wird jetzt so Richtung Google geschoben? Weil die unter unter das Privacy Shield Framework fallen, damit unantastbar sind und JTL nicht? Wird wirklich deswegen das JTL-interne Captcha abgeschossen/geopfert?
Oder ist das wieder nur mein persönlicher, irre geleiteter Eindruck?

 

[ag-websolutions.de]

geschoben ... damit unantastbar sind und JTL nicht?

Wieso geschoben und unantastbar? Fakt ist, man kann Google reCaptcha auch ab Freitag noch rechtskonform einsetzen, wenn man das als Shop-Betreiber will.
Oder man hat eine persönliche Aversie gegen reCaptcha, dann hätte man nicht updaten sollen.

Oder ist das wieder nur mein persönlicher, irre geleiteter Eindruck?

Weiss nicht

 

[albi123]

Ich würde es nicht als persönliche Aversie bezeichnen wollen. Es ist einfach nur ein riesen Haufen Müll der da auf unsere Kunden losgelassen wird! So einfach ist das. Das JTL-interne reCaptcha ist diesem kundevergraulenden, tausend-klickie Quatsch um lägen voraus.

 

[MBesancon]

@albi123 Bei dir klingt das so als ob die Google reCaptcha-Methoden erst jetzt mit der DSGVO Einzug in den Shop gehalten haben. Aber das ist ja gar nicht so. Es gibt die bereits eine ganze Weile und das unabhängig von den aktuellen DSGVO-Angelenheiten.

Ich muss übrigens bei reCaptcha nur einmal klicken. Nicht tausendmal. Bist du dir sicher das du kein Roboter bist?

 

[Rico Giesler]

Ich habe die Kollegen aus der Shopentwicklung gebeten hier nochmal was zu dem Thema zu sagen, weil sie den besten Einblick haben was mit dem Shop geht und was nicht.

 

[albi123]

@albi123 Bei dir klingt das so als ob die Google reCaptcha-Methoden erst jetzt mit der DSGVO Einzug in den Shop gehalten haben. Aber das ist ja gar nicht so. Es gibt die bereits eine ganze Weile und das unabhängig von den aktuellen DSGVO-Angelenheiten.

Ich muss übrigens bei reCaptcha nur einmal klicken. Nicht tausendmal. Bist du dir sicher das du kein Roboter bist?

Ich bin mir das schon sicher Ich habe es gestern erst probiert und obwohl ich "unsichtbarer Sicherheitstoken" angeklickt hatte kam
1. "Ich bin kein Roboter"
2. tausend (ich weiß sind nur 5 aber 5 zu viel) Bildchen klicken, zugegeben beim zweiten Test in einem anderen Browser.

Aber, solchen Käse hat es mit JTL-Captch nie gegeben! Da ging das tatsächlich alles schön im Hintergrund und es kam nie Spam durch.

Das es dieses Google reCaptch schon lange gibt weiß ich auch aber deswegen wird es ja nicht besser oder?

Und ja, du hast völlig recht wir (ich) bin da ein wenig vom Thema abgekommen *sorry*. Das hat mit DSGVO nichts zu tun. Die Ausgangsfrage war aber auch keine spezielle "DSGVO-Frage".

 

[Conny]

Steht ja jetzt auch hinter (jeder) Einstellung ( Shop 4.06) aus bei AUS, dass (reCaptcha) genutzt wird.

Wenn man bei JTL alles so gelassen hätte wie es war, hätte man wenigstens wählen können, ob man das Risiko abgemahnt zu werden eingeht oder nicht.

 

[FPrüfer]

Hallo, ich möchte mal zur Entschärfung des Themas https://issues.jtl-software.de/issues/SHOP-1176 in den Raum werfen. Dieses Ticket ist aktuell in Bearbeitung und wird Google reCaptcha komplett aus dem Evo und dem Shop-Core entfernen. Stattdessen wird es eine Plugin-Schnittstelle für Captchas und ein einfaches Fallback-Captcha (falls kein Captcha-Plugin installiert ist) geben. Google reCaptcha wird weiterhin als JTL-Plugin verfügbar sein. Damit kann dann jeder selbst entscheiden, welchen Spam-Schutz er in seinem Shop einsetzt.
Die Kritiker werden jetzt sicher sagen: "Das ist zu spät." Aber es ist auch nicht so, dass wir das Thema nicht auf dem Schirm haben.

 

[FPrüfer]

Steht ja jetzt auch hinter (jeder) Einstellung (Shop 4.06) aus bei AUS, dass (reCaptcha) genutzt wird.

Wenn ich da mal Krümel kacken darf... da steht "im Evo reCaptcha". Die anderen Spamschutz-Methoden sind nach wie vor im Shop-Core implementiert und könnten durch entsprechende Templateanpassungen genutzt werden. Es ist nicht so, dass man mit JTL-Shop zu reCaptcha gezwungen wird, lediglich das JTL eigene Evo-Template unterstützt ausschließlich reCaptcha von Google!

 

[Conny]

Gibt es einen Work Arround oder eine Deadline bis wann das umgesetzt ist ?

 

[FPrüfer]

Der Workaround wäre die Implementation eines anderen Spamschutzes durch Templateanpassung, aber das ist schon ein bissel Arbeit. Die Plugin-Lösung aus SHOP-1176 ist für die 5.0 geplant.

 

[david]

Na man kann reCAPTCHA auch mal testweise deaktivieren und erstmal schauen, ob und wieviel Spam überhaupt über die Formulare reinkommt.
Ein günstiger Workaround wäre bei geringem Spam-Aufkommen dann ein Spamfilter bei deinem E-Mail-Provider.

Die selbstentwickelten Bot-Mensch-Unterscheidungsscripts sind halt nur solange sicher, bis sie geknackt werden.
Das ist bei einer Massensoftware wie dem JTL- Shop nicht so einfach Das unsichtbare Token aus dem Shop3 war lange Zeit "sicher", bis es dann von einem Spambot gezielt "geknackt" wurde und wieder tonnenweise SPAM reinkam.
"Sicher" wäre es, bei jedem Shop eigene, individuelle Sicherheitsfragen z.B. über ein Plugin einfache Textfragen, individuelle Bilderrätsel etc zu implementieren. Oder versteckte individuelle Formularfelder, die NICHT ausgefüllt werden dürfen.
Das hält dann eine Weile und umso länger, je weniger Shops diese Mechanismen nutzen.

 

[Conny]

mir wäre ja schon damit gedient die alten Möglichkeiten zu nutzen. Du hast ja geschrieben, dass die noch im Kern vorhanden sind.
Vielleicht genügt da ja ein kleiner Patch und die Sache funktioniert wieder.

 

[FPrüfer]

Vielleicht genügt da ja ein kleiner Patch und die Sache funktioniert wieder.

Wie schon gesagt, mit einem kleinen Patch ist es nicht getan. Es müsste schon jede Templatedatei in der ein <div class="g-recaptcha ... > enthalten ist angepasst und dort der Code für ein alternatives Captcha implementiert werden. Dazu ist dann noch eine Smarty-Funktionserweiterung notwendig um den Code zu generieren und aus jtl.evo.js muss die Funktion renderCaptcha komplett entfernt werden. Sind alles Sachen, die sich über ein Child-Template lösen lassen, aber nicht mal eben so...

 

[Conny]

Ok .... dachte es wäre evtl. einfacher.
In jeder TPL einen Code zu suchen und zu ersetzen ist kein Hexenwerk.
Aber wenn es so aufwendig ist dann warten wir mal auf die Entwickler.
Und ich schalte es heute Abend einfach ab um sicher zu gehen, dass man nicht abgemahnt wird.

 

[albi123]

Hallo, ich möchte mal zur Entschärfung des Themas https://issues.jtl-software.de/issues/SHOP-1176 in den Raum werfen. Dieses Ticket ist aktuell in Bearbeitung und wird Google reCaptcha komplett aus dem Evo und dem Shop-Core entfernen. Stattdessen wird es eine Plugin-Schnittstelle für Captchas und ein einfaches Fallback-Captcha (falls kein Captcha-Plugin installiert ist) geben. Google reCaptcha wird weiterhin als JTL-Plugin verfügbar sein. Damit kann dann jeder selbst entscheiden, welchen Spam-Schutz er in seinem Shop einsetzt.
Die Kritiker werden jetzt sicher sagen: "Das ist zu spät." Aber es ist auch nicht so, dass wir das Thema nicht auf dem Schirm haben.

Ich finde das super. Ich hoffe nur, dass ihr euer eigenes recapchta wieder ins EVO einpflegt. Wie gesagt es war super, hat super funktioniert also warum nicht bewährtes beibehalten?
Es ist so, dass meine Kunden das "ältere Semester" sind und wenn da was von "Roboter" steht und es keinen "weiter-Button" gibt ist oben rechts das Kreuz der nächste klick.
Ich weiss ja, dass ich hier schon wieder an heilige Kühe ran gehe wenn ich sage "Google recaptcha ist ein riesen Haufen Müll" aber ein derart Nutzer unfreundliches, Kundevergraulendes Zeug ist einfach nur Müll.
Stellt euch vor ihr wollt Getränke (Bier) kaufen und am Laden-Ausgang sollt ihr mit den Kästen in der Hand über eine 2 Meter Wand hüpfen

 

[ag-websolutions.de]

Wie gesagt es war super, hat super funktioniert also warum nicht bewährtes beibehalten?

Weil es eben bei zig anderen nach einer gewissen Zeit eben nicht mehr funktioniert hat, da die Spammer-Bots auch immer intelligenter werden und es immer eine Frage der Zeit ist, wann ein Spam-Schutz verbraucht ist.

Wenn du Glück gehabt hast, dann freu dich einfach, dass dann keine intelligenten Bots auf deiner Seite waren.

aber ein derart Nutzer unfreundliches, Kundevergraulendes Zeug

Wir betreuen zig Webseiten, wo das eingesetzt wird und es hat bisher noch zu keiner einzigen Klage deswegen geführt ... weder vom Seitenbetreiber, noch von Seitenbesuchern

dass meine Kunden das "ältere Semester" sind und wenn da was von "Roboter" steht und es keinen "weiter-Button" gibt

Stellst du jetzt nicht deine Seitenbesucher etwas zu negativ dar?!

 

[albi123]

Stellst du jetzt nicht deine Seitenbesucher etwas zu negativ dar?!

Nein ist nicht negativ. Schon der Umstieg von Windows XP auf Windows 8 fällt in diesem alter nicht leicht. Mit Windows 10 und seinem bunten Klötzchen ohne die gewohnte Menüleiste will ich da gar nicht anfangen. Damit kommen die Senioren überhaupt nicht klar. Zumal die allermeisten keinen Zombiemaker haben und es von daher auch nicht kennen.
Ne, ne. Mir geht es nur um neudeutsch "usability".
Bin ich denn wirklich der einzige der diesen Googel-Müll als eine totale usability-Katastrophe empfinde?
Wenn ich dich so schreiben "höre" fällt es mir schwer zu glauben, dass ich nur Glück gehabt habe in mehreren Shops.
Ich "glaube" viel lieber an JTL *ganz fett Honig auftragen*

 

[ag-websolutions.de]

Ich "glaube" viel lieber an JTL

Überleg mal ... der Ausbau der alten Captcha-Lösungen ... und der Einbau der neuen reCaptcha-Lösung kostt JTL Ressourcen.
Warum sollen sie die verschwenden, wenn das alte doch ... aus deiner Sicht ... so hervorragend läuft?!

JTL hat nichts davon, was letztlich für eine Captcha-Methode verwendet wird