Der Schutz von Websites vor Bots ist heutzutage von entscheidender Bedeutung. Insbesondere interaktive Websites mit Funktionen wie Benutzerregistrierungen und Online-Formularen werden oft von automatisierter Software angegriffen. Ein Bot-Schutz ist wichtig, damit eine Website funktionsfähig und für echte Benutzer zugänglich bleibt.

Mehrere Bots

Was ist ein Bot?

Ein Bot ist eine automatisierte Software, die so konzipiert ist, dass sie eine Reihe von Aufgaben immer und immer wieder ohne menschliches Zutun erledigt. Sie können dazu verwendet werden, sich für Tausende von Benutzerkonten anzumelden, Informationen von Websites zu sammeln, Spam zu versenden oder einfach nur den Datenverkehr auf der Website so weit zu erhöhen, dass sie nicht mehr alle Anfragen bedienen kann. Während ein einzelner Bot, der viele Aufgaben in einem kurzen Zeitraum ausführt, leicht zu entdecken sein kann, ist es häufig so, dass Bots den Datenverkehr über viele Geräte und Netzwerke verteilen, um das Risiko, entdeckt zu werden, zu verringern.

Da Bots immer fortschrittlicher werden, ist es wichtig, ihnen einen Schritt voraus zu sein.

Schutzmethoden

Ratenbegrenzung

Rate Limiting

Rate Limiting ist der grundlegendste Mechanismus zum Schutz einer Website vor Bots. Auf der Grundlage einer eindeutigen Kennung für jeden Benutzer begrenzt die Website den Datenverkehr, der von diesem Benutzer ausgehen darf. Ein einzelner Benutzer stellt in der Regel nicht mehr als ein paar Anfragen pro Sekunde und bleibt in den meisten Fällen weit unter dieser Schwelle. Es ist üblich, das Rate Limiting so streng wie möglich zu halten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Der schwierige Teil bei dem Rate Limiting ist die Auswahl oder Erzeugung der Kennung für den Benutzer. Die Verwendung der IP-Adresse des Benutzers ist ein guter Anfang und kann für einige Anwendungen funktionieren, ist aber auf lange Sicht nicht der beste Ansatz. Mehrere Benutzer teilen sich oft dieselbe IP-Adresse, insbesondere mobile Benutzer können dieselbe öffentliche IPv4-Adresse mit Hunderten oder sogar Tausenden von anderen Benutzern teilen. Auch Bots können ihre echte IP-Adresse leicht verbergen, indem sie Proxys verwenden. Um diese Einschränkung zu umgehen, wird Rate Limiting häufig in Kombination mit Fingerprinting eingesetzt.

Fingerprinting

Fingerprinting

Fingerprinting wird verwendet, um eine eindeutige Kennung für einen Benutzer oder ein Gerät zu erstellen, die in der Regel nicht von der IP-Adresse abhängig ist. Diese Identifikatoren können von Websites verwendet werden, um das Verhalten von Nutzern zu verfolgen, verdächtige Nutzer zu erkennen oder bestimmte Nutzer zu beschränken.

Eine gute Kennung zu erstellen, die denselben Benutzer über IP-Adressen und Browsersitzungen hinweg erkennt, ist keine triviale Aufgabe.

Informationen, die üblicherweise verwendet werden, um den Fingerprint eines Webbenutzers zu erstellen, sind der Browsertyp, die Version und die Einstellungen, das Betriebssystem, die Browsererweiterungen, die Zeitzone, die Sprache, die Bildschirmauflösung, die Hardware und andere derartige Merkmale. Jede dieser Daten ist für sich genommen nicht sehr nützlich, aber durch die Kombination dieser Daten kann eine Website einen Fingerprint erstellen, bei dem die Wahrscheinlichkeit relativ gering ist, dass die Benutzer denselben Fingerprint haben (was als Kollision bezeichnet wird). Es kommt selten vor, dass Benutzer die exakt gleiche Kombination dieser Parameter haben. Dennoch können fortgeschrittene Angreifer ihre Fingerprints manipulieren, um sich als eine beliebige Identität auszugeben. Daher kann Fingerprinting nicht die einzige Lösung zum Schutz vor Bots sein.

Honeypot

Honeypots

Es gibt viele Bots, die nicht auf eine bestimmte Website abzielen, sondern automatisch Links folgen, um Websites zu finden, in die sie Inhalte einspeisen und Formulare ausfüllen können. Honey Pots sind eine Möglichkeit, Ihre Website vor solchen Angriffen zu schützen.

Der einfachste Weg, einen Honeypots zu erstellen, ist, ein zusätzliches Feld in Ihr Formular einzufügen, das für normale Benutzer mit CSS verborgen ist. Einige Bots werden nicht bemerken, dass das Feld unsichtbar ist und es trotzdem ausfüllen. Die Website kann dann überprüfen, ob das Feld ausgefüllt wurde und verdächtige Einträge herausfiltern. Diese Methode kann zwar eine gewisse Zeit lang Schutz vor Bots bieten, aber nach einer Weile können selbst naive Bots Honeypot-Felder erkennen und sie, sobald sie entdeckt wurden, ohne weitere Hürden umgehen. Auch Benutzer, die eine Screenreader-Software verwenden (die von blinden oder eingeschränkten Benutzern verwendet wird), können dieses Feld versehentlich ausfüllen, so dass es für sie unmöglich wird, Ihre Website zu nutzen.

reCAPTCHA v2

Bilderkennungsaufgaben

Bildmarkierungsaufgaben sind eine gute Möglichkeit, um zwischen echten Benutzern und Bots zu unterscheiden. Sie erfordern eine manuelle Interaktion durch den Benutzer und zielen darauf ab, für Bots schwer lösbar zu sein. Ein solches Bilderrätsel könnte darin bestehen, eine Reihe von verzerrten Zeichen zu erkennen und abzutippen oder Bilder auszuwählen, die einer Beschreibung entsprechen.

Während diese Art von Aufgaben für Bots in der Regel schwer zu lösen sind, gibt es viele Dienste, die eine automatisierte Lösung der Bilderrätsel für wenig Geld anbieten. Diese Dienste werden in der Regel durch künstliche Intelligenz oder billige Arbeitskräfte betrieben. Hinzu kommt, dass Bild- und Audioerkennungsaufgaben nicht für alle Benutzer zugänglich sind und das Benutzererlebnis beeinträchtigen, was zu vermehrten Abbrüchen führen kann. Dies stellt Website-Betreiber vor eine besondere Herausforderung, wenn sie sicherstellen wollen, dass ihre Website barrierefrei ist.

Sicheres Captcha

Managed Bot Protection-Lösungen

Die Integration all dieser Anti-Bot-Maßnahmen kann für eine einzelne Website eine Menge Arbeit bedeuten. Deshalb gibt es vollständig gemanagte Web-Sicherheitslösungen, die darauf abzielen, Websites gegen Bots zu schützen und dabei relativ einfach zu implementieren sind. Eine dieser Lösungen ist Friendly Captcha.

Friendly Captcha ist die einzige ausgefeilte Lösung auf der Grundlage der Proof-of-Work-Technologie auf dem Markt. Friendly Captcha nutzt fortgeschrittene Kryptographie ergänzt um intelligentes Fingerprinting mit inkludiertem Schutz der Privatsphäre um Websites und Formulare vor Angriffen zu schützen. Jeder Benutzer erhält ein einzigartiges kryptografisches Rätsel, das vom Browser des Benutzers im Hintergrund gelöst werden kann. Durch die Kombination einer anonymisierten Version des Fingerabdrucks des Benutzers und zusätzlicher Prüfparameter kann Friendly Captcha erkennen, wenn ein Benutzer verdächtige Anfragen stellt und den Schwierigkeitsgrad seiner kryptografischen Rätsel skalieren. Im Vergleich zu anderen Bot-Schutzlösungen ist Friendly Captcha für alle Nutzer zugänglich, erfordert keine manuelle Interaktion des Benutzers, ist vollständig datenschutzkonform und entschleunigt verdächtigen Datenverkehr.

Gesicherter Bot-Schutz-Prozess

Schützen Sie Ihre Website vor ausgeklügelten Bots

Wenn Friendly Captcha als Lösung für Ihr Unternehmen in Frage kommt, so sehen Sie sich eine Live-Demo an oder registrieren Sie sich für ein kostenloses Konto und probieren Sie Friendly Captcha in Ihrer eigenen Umgebung aus.