Wer für Formulareinsendungen CiviCRM-Profile nutzt, erlebt nicht selten früher oder später automatisierte Spameinsendungen. Auch Event-Anmeldungen sind davon manchmal betroffen, besonders kostenfreie. Von Haus aus bietet Civi die Möglichkeit, sich hiervor mit Googles reCAPTCHA zu schützen. Nun gibt es mit der Erweiterung Form Protection auch eine datenschutzfreundliche Alternative!
Konkret macht die Erweiterung zusätzliche, in anderen Erweiterungen bewährte Abwehrtechniken für Profile, Event-Anmeldungen, Petitions- und Spendenformulare verfügbar. Form Protect ist also für die Formulare gedacht, die Civi selbst mitbringt, d.h. nicht für z.B. Drupal Webforms. Im Moment bietet es dabei folgende Funktionen:
-
Flood Control ermöglicht es, verschiedene zeitliche Limits für die Formulareinsendung zu setzen und trickst so Bots aus – etwa weil sie dann ein Formular „zu schnell“ abschicken. Auch lässt sich für den schlimmsten Fall besonders „cleverer“ Schädlinge zumindest die Anzahl der Einsendungen beschränken und – nomen est omen – die Flut unter Kontrolle bringen.
-
Honeypot: Diese Technik fügt dem Anmeldeformular für die Nutzer*innen unsichtbare Felder hinzu, welche Bots dann mit Freude ausfüllen. Geschieht das, wird die Einsendung verhindert.
Beide Techniken zeichnen sich dadurch aus, dass sie zugleich effektiv und für Anwender*innen weitestgehend unbemerkt bleiben.
Die Einrichtung der Erweiterung ist recht einfach: Nach der Installation selbst von GitLab muss lediglich mindestens eine gewünschte Schutzfunktion unter Administration → Systemeinstellung → Form Protection Settings aktiviert werden:
Anschließend können Detaileinstellungen vorgenommen werden. Die Angaben im folgenden Screenshot bewirken beispielsweise, dass auf jeder unterstützten Formularart Flood Control aktiv sein wird (Auswahl leer), Honeypot hingegen nur bei Mailinglist- und Veranstaltungsanmeldungen. Aufgrund der Einstellungen erwartet Flood Control mindestens 15 Sekunden fürs Ausfüllen und beschränkt die Anzahl von Versuchen auf 10:
In folgendem kurzem Test hat sich die Erweiterung zufällig für das Feld „Zip“ entschieden, das eigentlich unsichtbar eingefügt und hier nur zu Demonstrationszwecken per Entwicklerwerkzeug im Webbrowser sichtbar gemacht wurde:
Da die Erweiterung noch recht neu ist, empfiehlt sich vor dem Einsatz ein sorgfältiger Test.