Neue Erweiterung: Mit Form Protection Anmeldungen und Formulare vor Spam schützen

Wer für Formulareinsendungen CiviCRM-Profile nutzt, erlebt nicht selten früher oder später automatisierte Spameinsendungen. Auch Event-Anmeldungen sind davon manchmal betroffen, besonders kostenfreie. Von Haus aus bietet Civi die Möglichkeit, sich hiervor mit Googles reCAPTCHA zu schützen. Nun gibt es mit der Erweiterung Form Protection auch eine datenschutzfreundliche Alternative!

Konkret macht die Erweiterung zusätzliche, in anderen Erweiterungen bewährte Abwehrtechniken für Profile, Event-Anmeldungen, Petitions- und Spendenformulare verfügbar. Form Protect ist also für die Formulare gedacht, die Civi selbst mitbringt, d.h. nicht für z.B. Drupal Webforms. Im Moment bietet es dabei folgende Funktionen:

1. Flood Control ermöglicht es, verschiedene zeitliche Limits für die Formulareinsendung zu setzen und trickst so Bots aus – etwa weil sie dann ein Formular „zu schnell“ abschicken. Auch lässt sich für den schlimmsten Fall besonders „cleverer“ Schädlinge zumindest die Anzahl der Einsendungen beschränken und – nomen est omen – die Flut unter Kontrolle bringen.

2. Honeypot: Diese Technik fügt dem Anmeldeformular für die Nutzer*innen unsichtbare Felder hinzu, welche Bots dann mit Freude ausfüllen. Geschieht das, wird die Einsendung verhindert.

Beide Techniken zeichnen sich dadurch aus, dass sie zugleich effektiv und für Anwender*innen weitestgehend unbemerkt bleiben.

Die Einrichtung der Erweiterung ist recht einfach: Nach der Installation selbst von GitLab muss lediglich mindestens eine gewünschte Schutzfunktion unter Administration → Systemeinstellung → Form Protection Settings aktiviert werden:

Konfigurationsbildschirm817×354 30.3 KB

Anschließend können Detaileinstellungen vorgenommen werden. Die Angaben im folgenden Screenshot bewirken beispielsweise, dass auf jeder unterstützten Formularart Flood Control aktiv sein wird (Auswahl leer), Honeypot hingegen nur bei Mailinglist- und Veranstaltungs­anmeldungen. Aufgrund der Einstellungen erwartet Flood Control mindestens 15 Sekunden fürs Ausfüllen und beschränkt die Anzahl von Versuchen auf 10:

Beispielkonfiguration817×926 127 KB

In folgendem kurzem Test hat sich die Erweiterung zufällig für das Feld „Zip“ entschieden, das eigentlich unsichtbar eingefügt und hier nur zu Demonstrationszwecken per Entwickler­werkzeug im Webbrowser sichtbar gemacht wurde:

Da die Erweiterung noch recht neu ist, empfiehlt sich vor dem Einsatz ein sorgfältiger Test.

Aus gegebenem Anlass möchte ich hier gerne einen Werbeblock einfügen:

Diese Extension wurde von „Software für Engagierte e.V.“ finanziert – und zwar aus einem kleinen Teil der Mitgliedsbeiträge unserer Mitglieder. Ein schönes Beispiel mal wieder, warum sich eine Mitgliedschaft bei „SfE“ für die ganze Community lohnt.

Drum der Aufruf: Es wäre schön, wenn sich weitere Mitglieder für den Verein finden – die unter anderem mit ihren gemeinschaftlich aufgebrachten Mitteln dazu beitragen, dass solche Erweiterungen zustande kommen: Das hätte kein einzelner beauftragt, aber es kann für alle von uns nützlich werden!