In diesem Artikel werfen wir einen Blick auf den von Cloudflare bereitgestellten CAPTCHA-Schutzdienst Cloudflare Turnstile und betrachten mögliche Alternativen dazu. Wir erörtern dafür die Funktionen und Einschränkungen von Cloudflare CAPTCHA aus verschiedenen Blickwinkeln, insbesondere hinsichtlich der universellen Browser-Unterstützung, der Barrierefreiheit und der DSGVO-Compliance.

Ein Überblick über Cloudflare CAPTCHA

Cloudflare Turnstile ist eine relativ neue CAPTCHA-Lösung auf dem Markt und hat außerhalb der bestehenden Cloudflare-Kunden noch keine breite Akzeptanz gefunden. Cloudflare bietet eine Vielzahl von Dienstleistungen und Lösungen für Website-Besitzer, aber die meisten sind nur für Cloudflare-Kunden von Cloudflare DNS verfügbar.

Das Hauptprodukt von Cloudflare ist Cloudflare DNS, ein Reverse-Proxy mit integriertem DDoS- und Bot-Schutz. Cloudflare CAPTCHA war eine Zeit lang Teil dieser All-in-One-Lösung von Cloudflare, wurde aber vor kurzem für alle verfügbar gemacht. Cloudflare DNS ist zwar eine leistungsstarke Lösung für viele Website-Besitzer und erfordert gleichzeitig, dass der gesamte Website-Verkehr über Cloudflare geleitet wird. Cloudflare fungiert somit als Man-in-the-Middle. Der gesamte Datenverkehr wird durch eines der Rechenzentren von Cloudflare geleitet, dort entschlüsselt und dann an ihren Webserver weitergeleitet.

Cloudflare bewirbt ihren CAPTCHA-Service Turnstile als “Cloudflare’s smart CAPTCHA alternative” und in der Form, dass Turnstile “missbräuchliche Verwendung erkennt” und echte Nutzer identifiziert. Turnstile will ohne manuelle Benutzeraufgaben auskommen, die von traditionellen CAPTCHAs verwendet werden. Dies scheint mehr Marketing als alles andere zu sein. Denn viele der bekannten CAPTCHA-Optionen wie hCaptcha und Google reCAPTCHA haben bereits ähnliche, so genannte passive CAPTCHAs oder unsichtbare CAPTCHAs eingeführt, die mit unaufdringlichen Browser-Herausforderungen ausgestattet sind. Sie alle wollen nur verdächtigen Web-Besuchern visuelle Herausforderungen stellen. Das Ziel dabei ist es, CAPTCHAs ohne Frustration zu verwenden und ein sogenanntes CAPTCHA-freies Web-Erlebnis zu ermöglichen.

Darum brauchen wir eine Cloudflare CAPTCHA-Alternative

Cloudflare bietet ein riesiges Konglomerat an Funktionen für Unternehmen, die eine All-in-One-Lösung für ihre eigene Website suchen. Der Cloudflare CAPTCHA-Service Turnstile ist nur ein Teilbereich der komplexen Gesamtlösung. Im Moment gibt es keinen finanziellen Anreiz für Cloudflare, sich auf die Weiterentwicklung des CAPTCHAs zu konzentrieren. Obwohl es sich um einen kostenlosen Service handelt, liegt es im Interesse von Cloudflare, die Website-Besitzer dazu zu bringen, auf das vollständige Cloudflare CDN-Funktionspaket umzusteigen. Es ist eine übliche Marketingstrategie von Unternehmen: Sie machen ihre Kunden abhängig und binden sie effektiv an ihre Funktionssuite, ohne dass es eine einfache Möglichkeit gibt, zu einem anderen Dienst zu wechseln.

Nicht jeder Internetnutzer verwendet die neuesten Geräte, Betriebssysteme und Browser. Es gibt viele Menschen, die ältere Browser, Computer oder Geräte wie Smartphones mit älteren Versionen von Android oder iOS verwenden.

Damit Cloudflare CAPTCHA ordnungsgemäß funktioniert, müssen Website-Besucher eine aktuelle Version eines gängigen Browsers verwenden. Cloudflare CAPTCHA unterstützt keine älteren Geräte, keine älteren Versionen von gängigen Browsern, keine alternativen Browser-Anbieter und auch nicht Internet Explorer. Kurz gesagt, Cloudflare CAPTCHA bietet keine universelle Browserunterstützung. Website-Besucher, die ältere Browser-Versionen oder ältere Geräte, wie z. B. viele Android-Smartphones, verwenden, werden effektiv ausgesperrt. Dies stellt ein großes Problem dar, das zum Ausschluss aller Internetnutzer führt, die sich nicht die neuesten Geräte leisten können oder wollen.

Auch wenn Cloudflare CAPTCHA keine visuellen Rätsel, die manuell gelöst werden müssen, verwendet, müssen Benutzer dennoch für eine CAPTCHA-Abfrage ein Kästchen manuell ankreuzen. Das passiert immer dann, wenn Cloudflare CAPTCHA den Benutzer für verdächtig einstuft.

Das kann ein Problem für Web-Besucher sein, die auf Bildschirmlesegeräte oder andere Barrierefreiheitstools angewiesen sind. Deshalb wirbt Cloudflare damit, dass sehbehinderte Web-Besucher ein Pre-Clearance-Token von einem externen Dienst erhalten können. Dieses Token bestätigt, dass die Besucher das CAPTCHA ohne jegliche Interaktion bestanden haben. Allerdings stellt es immer noch eine Barriere für gültige Besucher dar. Darüber hinaus ist es unklar, wo Besucher dieses Token bekommen.

Cloudflare ist ein US-amerikanisches Unternehmen, das Rechenzentren auf der ganzen Welt betreibt. Als Cloudflare-Kunde haben Website-Besitzer in der Regel wenig Kontrolle darüber, welches Rechenzentrum ihren Datenverkehr bedient. Das Gleiche gilt für Cloudflare CAPTCHA.

Zwar wählt Cloudflare in der Regel das Rechenzentrum, das dem Nutzer am nächsten liegt. Allerdings ist es nicht garantiert und die gespeicherten Daten werden in der Regel über alle Standorte hinweg repliziert. Somit können Website-Besitzer nie sicher definieren, wo die Daten von Cloudflare CAPTCHA gespeichert werden. Das ist allerdings eine Voraussetzung für die Einhaltung von Datenschutzstandard wie DSGVO, CCPA oder HIPAA.

Außerdem bietet Cloudflare CAPTCHA keine separaten Datenschutzrichtlinien oder Nutzungsbedingungen an. Wer Cloudflare CAPTCHA verwendet, muss sich die Bedingungen und Datenschutzrichtlinien für die gesamte Cloudflare-Funktionssuite lesen und verstehen. Die Datenschutzerklärung deckt viele Themen ab, einschließlich großer Mengen an gesammelten persönlichen Daten, und erwähnt nie ausdrücklich die Verwendung von Cloudflare CAPTCHA. Daher ist es verwirrend und schwer zu sagen, welche Daten Cloudflare CAPTCHA sammelt, wie sie verarbeitet und wo sie gespeichert werden. Die Datenschutzrichtlinie auf dem CAPTCHA selbst, die Webbesucher auf der Website sehen, führt ebenfalls zu dieser Datenschutzrichtlinie, was die Besucher verunsichern kann. Dies kann zu Datenschutzbedenken seitens der Webbesucher und einem Reputationsverlust führen.

Das alles ist ein weiteres Argument dafür, dass CAPTCHA kein Kernprodukt von Cloudflare ist. Es ist eher ein Marketing-Mechanismus, um mehr Websites auf Cloudflare DNS zu bringen und das Web weiter zu zentralisieren. Im Jahr 2022 nutzten 19 % aller Websites Cloudflare, was einen Single Point of Failure für einen großen Teil des Internets darstellt. Wenn Cloudflare ausfällt, werden auch alle Websites der Cloudflare-Kunden ausfallen.

Im Falle eines separaten CAPTCHA-Dienstes läuft die Website selbst weiter, selbst wenn dieser CAPTCHA-Dienst ausfällt. Ausfälle kommen von Zeit zu Zeit vor, wie zum Beispiel am 30. Oktober 2023, als ein Cloudflare-Ausfall dazu führte, dass viele beliebte Websites, auf die Millionen von Menschen angewiesen sind wie npm.com, discord.com, shopify.com oder gitlab.com nicht mehr funktionierten.

Die Suche nach Cloudflare CAPTCHA Alternativen

Voraussetzungen einer Cloudflare Turnstile-Alternative

Bei der Suche nach einer überlegenen CAPTCHA-Alternative zu Turnstile, sind ein paar wichtige Faktoren zu berücksichtigen. Dazu gehören Nutzerfreundlichkeit, Barrierefreiheit, Datenschutz, Verfügbarkeit und allgemeine Sicherheit.

Vom Standpunkt der Nutzerfreundlichkeit und Barrierefreiheit suchen wir nach Cloudflare CAPTCHA Alternativen, die die Nutzerfreundlichkeit so wenig wie möglich beeinträchtigen, z. B. bei einem CAPTCHA-freien Web-Erlebnis. Wir möchten nicht, dass Besucher visuelle Rätsel von Hand lösen und bestenfalls überhaupt nicht mit dem CAPTCHA interagieren müssen.

Auch wenn Cloudflare Turnstile keine visuellen Herausforderungen verwendet, muss der Benutzer im Fallback-Fall immer noch manuell mit dem CAPTCHA interagieren. Dies führt zu möglichen Problemen mit der Barrierefreiheit. Optimal wären CAPTCHAs, die vollständig im Hintergrund arbeiten, den Nutzer nicht verlangsamen und keinerlei Interaktion erfordern. Dies würde die beste Nutzererfahrung bieten und CAPTCHAs für alle Besucher zugänglich machen, einschließlich älterer Menschen oder Menschen mit gesundheitlichen Problemen und Behinderungen.

Eine wichtige Voraussetzung für ein CAPTCHA ist die universelle Browserunterstützung. Sie gewährleistet, dass das Verfahren auf allen Browsern und Geräten funktioniert. Viele Menschen nutzen noch immer ältere Browser wie den Internet Explorer oder ältere Computer und Smartphones wie zahlreiche Android-Geräte oder iPhones. Es ist wichtig, sicherzustellen, dass diese Nutzer das CAPTCHA passieren können und damit nicht von Online-Diensten ausgeschlossen werden.

Wichtig sind auch die Mechanismen zum Schutz der Privatsphäre und des Datenschutzes. Wir wollen nicht, dass ein Dritter Informationen über die Endnutzer sammelt, ohne transparent zu machen, wie diese Daten gesammelt und wo sie gespeichert werden. Auch wenn Cloudflare Turnstile damit wirbt, dass es eine datenschutzfreundliche CAPTCHA-Alternative zu herkömmlichen Anbietern wie Google reCAPTCHA oder hCaptcha ist, ist nicht klar, was das in der Praxis bedeutet. Das Durchsuchen einer langen Datenschutzerklärung, um die Abschnitte zu finden, die für die Verwendung des CAPTCHA relevant sind, ist eine schlechte Erfahrung für Website-Administratoren und inakzeptabel für gültige Nutzer.

Die Hauptaufgabe eines CAPTCHAs besteht natürlich darin, Websites vor unerwünschten Anfragen, bösartigem Verkehr, Bots und Spam zu schützen. Bei der Auswahl eines geeigneten CAPTCHA-Dienstes ist die Sicherheit ein wichtiger Faktor. Wir möchten, dass CAPTCHAs Webformulare wie Anmeldeseiten, Kontaktformulare, Registrierungsformulare und Kaufabwicklungsprozesse schützen und automatisierte Bot-Angriffe verhindern.

Insgesamt wollen wir, dass ein CAPTCHA selbst ein zentraler Bestandteil des Geschäfts des CAPTCHA-Anbieters sind. Wir wollen nicht, dass es ein Bürger zweiter Klasse in einem großen Haufen von Funktionen ist, den niemand interessiert. Es sollte einen echten Anreiz für das Unternehmen hinter den CAPTCHAs geben, sie ständig zu pflegen und zu verbessern.

Friendly Captcha: eine Cloudflare CAPTCHA-Alternative

Was ist Friendly Captcha?

Friendly Captcha ist ein in der EU ansässiger CAPTCHA-Dienst mit dem Schwerpunkt auf einem universellen Browsersupport, Barrierefreiheit und Datenschutz. Er basiert auf einem ausgeklügelten Proof-of-Work-basierten Algorithmus. Er generiert unsichtbare, kryptografische Rätsel, die das Gerät des Nutzers im Hintergrund löst. So wird bewiesen, dass es sich um einen Menschen und nicht um einen bösartigen Angreifer, Bot oder Spambot handelt. Die kryptografischen Rätsel werden in Kombination mit fortschrittlichen Risikosignalen und Schwierigkeitsskalierung verwendet, um Bot-Schutz und Spam-Schutz für Web-Interaktionen und Formulare wie Logins, Checkout-Prozesse oder Kontaktformulare zu bieten.

Anstatt dass Besucher CAPTCHA-Tests wie das Klicken auf Autos oder Ampeln manuell lösen müssen, arbeitet Friendly Captcha vollständig im Hintergrund und ist unsichtbar. Die Auswirkungen auf die UX sind minimal und menschliche Besucher warten nur selten länger als ein paar Sekunden. Normalerweise wird das unsichtbare CAPTCHA gelöst, bevor der Besucher das Formular überhaupt ausgefüllt hat.

Auf diese Weise ist Friendly Captcha für alle Webbesucher barrierefrei zugänglich und beeinträchtigt nicht das Endnutzererlebnis, während es gleichzeitig vor unerwünschten Spam-Einträgen und Bots schützt. Ohne diesen Schutz können Bots beispielsweise Konten durch Credential Stuffing-Angriffe übernehmen, indem sie gestohlene Benutzernamen und Passwörter testen.

Friendly Captcha im Vergleich zu Cloudflare Turnstile

Es ist zu prüfen, ob Cloudflare Turnstile wirklich Cloudflare’s “intelligente CAPTCHA-Alternative” ist. Vom Sicherheitsstandpunkt aus gesehen sind Friendly Captcha und Cloudflare Turnstile ähnlich. Das CAPTCHA von Cloudflare verwendet Risikosignale, um auf potenzielle Bots aufmerksam zu werden. Friendly Captcha verwendet kryptographische Rätsel, die das Gerät des Endnutzers im Hintergrund löst und zusätzliche Risikosignale, um diese nicht störenden Browser-Herausforderungen zu skalieren.

Sowohl Friendly Captcha als auch Cloudflare CAPTCHA können Webformulare vor unerwünschten Anfragen und bösartigem Bot-Traffic schützen. Beide Anbieter passen das tatsächliche Ergebnis der Challenge an den jeweiligen Browser an, indem sie allerdings unterschiedliche technische Ansätze verwenden.

In Bezug auf Nutzerfreundlichkeit und Barrierefreiheit gibt es leichte Unterschiede zwischen Friendly Captcha und Cloudflare CAPTCHA. Während beide Anbieter ohne visuelles Rätsel auskommen, kann Cloudflare Turnstile den Besucher trotzdem auffordern, manuell mit dem CAPTCHA zu interagieren. Cloudflare sagt, dass die meisten Besucher nur passiv mit dem CAPTCHA interagiert müssen. Allerdings ist nicht klar definiert, wie oft eine manuelle Interaktion mit Cloudflare CAPTCHA erforderlich ist.

Nicht alle Menschen verfügen über die neuesten Geräte, Betriebssysteme und Browser. Viele Menschen verwenden ältere Browser, Computer oder Geräte wie Smartphones mit älteren Versionen von Android oder iOS. Cloudflare CAPTCHA unterstützt keine älteren Geräte, ältere Versionen der wichtigsten Browser, alternative Browser-Anbieter oder Internet Explorer. Website-Besucher mit älteren Browser-Versionen oder älteren Geräten, wie z. B. viele Android-Smartphones, werden effektiv von der Nutzung der Dienste ausgeschlossen.

Friendly Captcha bietet universellen Browser-Support und zielt darauf ab, jeden Browser und jedes Gerät zu unterstützen, das nach Internet Explorer 11 veröffentlicht wurde. Dadurch wird sichergestellt, dass Website-Besucher nicht ausgesperrt werden.

Cloudflare Turnstile scannt Besucher und wählt automatisch aus einem rotierenden Satz von CAPTCHA-Tests auf der Grundlage von Telemetrie und Nutzerverhalten. Wenn Website-Besitzer den Pre-Clearance-Modus verwenden, um das Cloudflare CAPTCHA in die Cloudflare WAF zu integrieren, wird ein cf_clearance-Cookie verwendet, das eine Abrufanfrage an einen speziellen Endpunkt der Domain stellt.

Friendly Captcha hingegen funktioniert ohne jegliche Benutzerinteraktion oder Cookies. Dadurch ist es für alle Besucher, einschließlich älterer Menschen und Menschen mit Behinderungen, voll zugänglich. Friendy Captcha ist von vornherein DSGVO-konform. Es setzt keine HTTP-Cookies und speichert keine lokalen Daten im persistenten Speicher des Browsers. Daher benötigt es keine Zustimmung des Nutzers.

Das Hauptunterscheidungsmerkmal zwischen Friendly Captcha und Cloudflare CAPTCHA ist der Datenschutz. Während Cloudflare Turnstile sich selbst als datenschutzfreundliche CAPTCHA-Alternative zu bekannten Anbietern bewirbt, ist unklar, was dies in der Praxis bedeutet. Es gibt keine Datenschutzrichtlinien speziell für Cloudflare’s CAPTCHA Turnstile. Die Besucher der Website müssen die ziemlich langen Datenschutzrichtlinien, die für alle Cloudflare-Produkte verwendet werden, lesen und sich einen Reim darauf machen. Das macht es schwierig zu verstehen, welche spezifischen Daten das CAPTCHA von Cloudflare sammelt, wie sie verarbeitet werden und wo sie gespeichert werden. Friendly Captcha hingegen konzentriert sich auf den Datenschutz und ist völlig transparent in Bezug auf seine Datenschutzpraktiken.

Um Datenschutzstandards wie DSGVO, CCPA und HIPAA einzuhalten, können die von Cloudflare Turnstile genutzten, weltweit verteilten Datenzentren ein Problem sein. Die gespeicherten, persönlichen Daten der Endnutzer werden typischerweise über mehrere Standorte und Länder hinweg repliziert. Dabei gibt es keine Garantie dafür, dass die Anfragen in den Rechenzentren in der Nähe des Standorts des Nutzers bearbeitet werden. Offen bleibt auch, welche Rechenzentren welche Anfragen bearbeiten und wohin die personenbezogenen Daten übertragen und gesichert werden. Das führt dazu, dass Endnutzerdaten an Hosting-Anbieter in Ländern übertragen werden, die gemäß der Datenschutz-Grundverordnung (DSGVO) als Hochrisikoländer gelten, wie z. B. die Vereinigten Staaten.

Friendly Captcha konzentriert sich nur darauf, die beste CAPTCHA-Lösung anzubieten. Cloudflare hingegen hat viele verschiedene Produkte im Portfolio; der Fokus liegt dabei nicht auf Cloudflare Turnstile.

Vorteile von Friendly Captcha gegenüber Cloudflare CAPTCHA

DSGVO-Konformität: Der Vorteil eines EU-Anbieters

Friendly Captcha ist im Vergleich zum Cloudflare CAPTCHA vollständig DSGVO-konform und erfordert keine zusätzliche Zustimmung des Nutzers, um verwendet zu werden. Es ist transparent darüber, welche Daten es sammelt und wo sie gespeichert werden. Dafür bietet es eine detaillierte Datenverarbeitungsvereinbarung, einen speziellen EU-Endpunkt für europäische Nutzer, verwendet keine HTTP-Cookies und speichert keine lokalen Daten im persistenten Speicher des Browsers.

Friendly Captcha ist ein EU-CAPTCHA-Anbieter, der in der EU entwickelt und gehostet wird und sich bei der Verarbeitung von Endnutzerdaten nicht auf Drittparteien außerhalb der EU stützt. Egal ob internationale Unternehmen, die auf EU-Nutzer abzielen oder europäische Unternehmen – mit Friendly Captcha ist sicher, dass die Daten der Endnutzer niemals die Europäische Union verlassen. Gleichzeitig sind Website und Formulare vor Bots und Spam geschützt sind. Im Vergleich zu dem in den USA ansässigen Unternehmen Cloudflare stellt Friendly Captcha sicher, dass die Daten von EU-Webbesuchern niemals außerhalb der EU verarbeitet werden. Kein internationaler Datentransfer ist ein großer Vorteil für Unternehmen, um Datenschutzstandards wie die DSGVO einzuhalten.

User Experience: CAPTCHAs freundlicher gestalten

Auch in Bezug auf die Nutzerfreundlichkeit und ein gutes Endnutzererlebnis ist Friendly Captcha überlegen. Es hat wenig bis gar keinen Einfluss auf die Nutzererfahrung und sperrt niemanden aus. Während Cloudflare Turnstile keinen universellen Browsersupport bietet und in einigen Fällen eine manuelle Interaktion des Benutzers mit dem CAPTCHA von Cloudflare erfordert, arbeitet Friendly Captcha im Hintergrund. Friendly Captcha skaliert automatisch den Schwierigkeitsgrad der kryptographischen Rätsel, die das Gerät des Endbenutzers im Hintergrund lösen muss. Die meisten Webbesucher werden keine Verlangsamung oder einen Unterschied in der Nutzererfahrung bemerken. Das CAPTCHA ist oft schon gelöst, bevor der Benutzer das Formular oder die durch Friendly Captcha geschützte Webinteraktion abschicken will.

Das macht Friendly Captcha zu einer nutzerfreundlicheren CAPTCHA-Alternative zu Cloudflare CAPTCHA.

Vollständige Barrierefreiheit: Eine barrierefreie Cloudflare CAPTCHA-Alternative

Friendly Captcha arbeitet vollständig im Hintergrund und ist daher für jeden barrierefrei. Bei Cloudflare Turnstile hingegen muss trotzdem immer wieder händisch eine CAPTCHA-Abfrage von Cloudflare gelöst werden. Friendly Captcha wird niemanden jemals auffordern, ein Kästchen anzukreuzen oder – schlimmer noch – verzerrten Text zu entziffern. Die von Friendly Captcha eingesetzten Tests werden vom Webbrowser des Benutzers im Hintergrund gelöst. Es funktioniert einfach für jeden.

Als Cloudflare-Kunde akzeptieren man, dass Menschen mit Behinderungen oder ältere Menschen von wichtigen Website-Formularen wie dem Erstellen eines Kontos, dem Einloggen oder der Registrierung ausgeschlossen werden. Legitime Besucher wird der Zugang zu bestimmten Diensten verwehrt, weil sie nicht in der Lage sind, eine visuelle Challenge auszuführen. Das Ergebnis ist ein schlechtes Endnutzererlebnis.

Datenschutz: DSGVO-Konformität von Cloudflare CAPTCHA

Die Herausforderungen mit Cloudflare CAPTCHA und der DSGVO

Die Einhaltung der DSGVO ist wichtig für Websites, die auf Nutzer innerhalb der EU abzielen, um das Recht auf Datenschutz zu schützen. Wenn in der Europäischen Union tätige Unternehmen nicht DSGVO-konform sind, riskieren sie erhebliche Geldstrafen.

Cloudflare CAPTCHA verspricht DSGVO-konform zu sein, stellt aber keine Datenschutzrichtlinie und keine Datenverarbeitungsvereinbarung speziell für Cloudflare’s CAPTCHA Turnstile zur Verfügung. Somit wird nicht offen kommuniziert, welche spezifischen Informationen Cloudflare CAPTCHA sammelt und inwieweit die gesammelten Daten auch für andere Cloudflare-Produkte verwendet werden. Es beschränkt in seinen Richtlinien nicht die Standorte und Unterverarbeiter auf die EU, was durch die Datenübertragung in Drittländer zu Verletzungen der DSGVO führen kann.

Um Cloudflare CAPTCHA zu nutzen, müssen Website-Besitzer außerdem ein Skript einbetten, das dynamisch von den Servern von Cloudflare geladen wird. Das bedeutet, dass der Browser jedes Nutzers, der die Website besucht, die Cloudflare-Server anfordert, das Skript herunterlädt und es auf seinem lokalen Computer ausführt.

Das stellt ein Risiko dar, da diese Anfrage bereits persönliche Informationen des Nutzers an die verteilten Server von Cloudflare in verschiedenen Ländern sendet und eine unnötige Angriffsfläche schafft. Ein Angreifer könnte dieses Skript ändern und beliebigen Code in den Browser einschleusen, während der Benutzer die Website besucht, um seine Daten zu stehlen.

Da Cloudflare ein US-amerikanisches Unternehmen ist, das Datenzentren außerhalb der EU nutzt, stellt Website-Betreibende vor Herausforderungen bei der Einhaltung der Datenschutzgrundverordnung für ihre Website. Das globale Netzwerk von Cloudflare führt zu Verwirrung darüber, welche personenbezogenen Daten sich tatsächlich an welchen Standorten und bei welchen Unterauftragnehmern in welchen Ländern befinden.

Mit ähnlichen Problemen sehen sich die Betreiber von Websites konfrontiert, die reCAPTCHA von Google nutzen. Damit Google reCAPTCHA funktioniert, müssen personenbezogene Daten an Google-Server außerhalb der Europäischen Wirtschaftsunion, in den Vereinigten Staaten, übertragen werden.

In diesem Zusammenhang gab es bereits mehrere Urteile, wie z. B. im Fall NS Card France oder Cityscoot. Die französische Datenschutzkommission entschied, dass die Verwendung von Google reCAPTCHA nicht den DSGVO-Transparenzanforderungen entsprach. Außerdem wurde versäumt, die vorherige Zustimmung der Nutzer für den CAPTCHA-Dienst in den USA einzuholen. Beide Unternehmen wurden mit einer Geldstrafe von über 100.000 € belegt.

Cloudflare CAPTCHA verwendet zwar im Gegensatz zu Google reCAPTCHA nur Cookies, die auf dem konfigurierten Modus basieren, wie z. B. dem Vorabklärungsmodus. Er wird aber von einer Subdomain von cloudflare.com bereitgestellt, was ein Risiko darstellt. Somit hätte Cloudflare die Möglichkeit, Besucher über alle Websites, die mit Cloudflare kommunizieren, zu verfolgen.

Wie Friendly Captcha die Einhaltung der DSGVO sicherstellt

Datenschutz ist eine der Hauptstärken von Friendly Captcha und es war von Anfang an DSGVO-konform. Es setzt keine HTTP-Cookies und speichert keine lokalen Daten im persistenten Speicher des Browsers. Daher ist auch keine Zustimmung des Nutzers erforderlich.

Friendly Captcha ist ein deutsches Unternehmen, das ausschließlich auf Rechenzentren in der EU zurückgreift. Das Gleiche gilt für alle Dienste, von denen es bei der Verarbeitung von Endnutzerdaten abhängig ist. Das bedeutet, dass für EU-Websites, die Friendly Captcha einbetten, keine sensiblen Informationen in riskante Länder wie die USA gemäß den europäischen Vorschriften übertragen werden.

Friendly Captcha legt offen, welche Informationen gesammelt, wie sie verarbeitet werden und welche Drittparteien beteiligt sind. Es gibt keine Geheimnisse oder versteckten Überraschungen, wenn es in die Website integriert ist. Um die DSGVO zu erfüllen, müssen Website-Betreibende lediglich Friendly Captcha in ihre Datenschutzrichtlinie aufnehmen.

Nutzerfreundlichkeit: Ein Schlüsselfaktor für eine Cloudflare CAPTCHA-Alternative

Herausforderungen bei der Nutzerfreundlichkeit mit Cloudflare CAPTCHA

Obwohl Cloudflare CAPTCHA behauptet, vollständig im Hintergrund zu arbeiten, ist in einigen Fällen immer noch eine manuelle Interaktion mit dem CAPTCHA erforderlich. Basierend auf Telemetrie und Client-Verhalten während einer Sitzung wählt es aus einem rotierenden Satz von Browser-Tests. Je nachdem, welche Herausforderung oder Abfrage präsentiert wird, müssen die Nutzer zusätzlichen eine vom CAPTCHA geforderte Aufgabe manuell lösen.

Nicht alle Personen verwenden die neuesten Geräte, Betriebssysteme und Browser. Es gibt viele Nutzer von älteren Browsern, Computern oder Geräten wie Smartphones mit einer älteren Version von Android oder iOS.

Damit Cloudflare CAPTCHA überhaupt funktioniert, müssen Website-Besucher eine aktuelle Version eines gängigen Browsers verwenden. Die einzige Lösung von Cloudflare, wenn ein Website-Besucher Probleme bei der Verwendung eines gängigen Browsers hat, besteht darin, seinen Browser zu aktualisieren. Cloudflare CAPTCHA unterstützt keine älteren Geräte, keine älteren Versionen der wichtigsten Browser, keine anderen Browser-Hersteller und keinen Internet Explorer. Daher ist Cloudflare CAPTCHA nicht universell mit allen Browsern kompatibel. Website-Besucher, die ältere Browserversionen oder ältere Geräte, darunter viele Android-Smartphones, verwenden, werden effektiv ausgesperrt. In Folge werden viele Internetnutzern ausgeschlossen, die es sich nicht leisten können oder wollen, die neuesten Geräte zu benutzen.

Insgesamt führt der Mangel an universellem Browersupport zu einem unzureichenden Nutzererlebnis. Um eine Beeinträchtigung des Nutzers zu vermeiden, sollte das CAPTCHA für alle Nutzer und ohne jegliche Nutzerinteraktion funktionieren.

Der nutzerfreundliche Ansatz von Friendly Captcha

Die Cloudflare CAPTCHA-Alternative Friendly Captcha ist so konfiguriert, dass überhaupt keine Interaktion des Nutzers erforderlich ist. Die Verifizierung beginnt automatisch, sobald der Benutzer ein geschütztes Formular ausfüllt. Es ist in den meisten Fällen abgeschlossen, wenn der Benutzer zum Absenden bereit ist. Die von Friendly Captcha verwendeten kryptographischen Rätsel arbeiten vollständig im Hintergrund. Die meisten Besucher werden nicht einmal bemerken, dass ein CAPTCHA zum Einsatz gekommen ist. Friendly Captcha kann den Schwierigkeitsgrad seiner versteckten kryptographischen Rätsel dynamisch erhöhen, um fortgeschrittenere Bots, Spam und Spambots zu bekämpfen.

Friendly Captcha bietet universellen Browsersupport, einschließlich älterer Browser, Betriebssysteme und Geräte.

Es gibt weiterhin Menschen, die ältere Browser wie den Internet Explorer oder ältere Geräte wie viele Android-Geräte oder iPhones verwenden. Friendly Captcha hat sich zum Ziel gesetzt, jeden Browser und jedes Gerät zu unterstützen, das nach Internet Explorer 11 veröffentlicht wurde. Dies führt zu einer optimalen Unterstützung für eine breite Palette an Browsern und Geräten. So stellen Sie sicher, dass die Nutzer nicht von Ihren Diensten ausgeschlossen werden.

Barrierefreiheit: CAPTCHAs für alle zugänglich machen

Probleme mit der Barrierefreiheit bei Cloudflare CAPTCHA

Cloudflare CAPTCHA verwendet kein Bild-Tagging und keine textbasierten CAPTCHA-Abfragen, die der Benutzer manuell lösen muss. In einigen Fällen muss der Nutzer dennoch manuell mit dem CAPTCHA interagieren, was es ein wenig barrierefreier macht, aber immer noch nicht perfekt ist. Menschen mit visuellen oder motorischen Beeinträchtigungen können Schwierigkeiten mit manuellen Aufgaben haben.

Cloudflare CAPTCHA verspricht, dass Webbesucher mit visuellen oder motorischen Beeinträchtigungen ein Pre-Clearance-Token von einem externen Dienst erhalten können. Es ist nicht klar, wie das Token funktioniert und welche externen Dienste gemeint sind.

Wie Friendly Captcha die volle Barrierefreiheit sicherstellt

Friendly Captcha arbeitet daran, das Web offen und barrierefrei für alle zu machen. Friendly Captcha erfüllt alle Anforderungen für vollständige Barrierefreiheit und ist eine WCAG-konforme CAPTCHA-Alternative.

Im Gegensatz zu Cloudflare CAPTCHA werden keine Aufgaben verwendet, die eine manuelle Lösung durch den Benutzer oder überhaupt eine Interaktion erfordern. Mit Friendly Captcha werden die Rätsel im Hintergrund gelöst und sind für den Nutzer nicht sichtbar. Das Ergebnis ist, dass gültige Benutzer ein nahtloses Erlebnis haben, während unerwünschter Spam und Bots abgewehrt werden. Durch die Verwendung von Friendly Captcha tragen Website-Betreibende zu einem offenen und barrierefreien Web bei.

Wechsel von Cloudflare CAPTCHA auf Friendly Captcha

Schritt-für-Schritt-Anleitung für die Umstellung

Friendly Captcha kann Cloudflare Turnstile und herkömmliche CAPTCHA-Optionen einfach ersetzen. Mit seiner einfachen API dauert die Umstellung für die meisten Websites und Online-Applikationen nur ein paar Minuten.

Erstellen eines Kontos bei Friendly Captcha

Um Friendly Captcha in Ihre Website zu integrieren, erstellen Sie zunächst ein kostenloses Konto bei https://friendlycaptcha.com/signup. Im Zuge der Registrierung können Sie zwischen verschiedenen Tarifen wählen, die jeweils eine kostenlose 30-tägige Testphase beinhalten.

Erstellen einer Applikation und eines API-Schlüssels

Nachdem Sie Ihr kostenloses Testkonto erstellt haben, können Sie sich bei Ihrem Friendly Captcha Dashboard unter https://friendlycaptcha.com anmelden und dort eine Applikation und einen API-Schlüssel erstellen.

Eine Applikation liefert Ihnen den individuellen Sitekey, den Sie zur Integration benötigen. Zudem können Sie je Applikation nach den eigenen Anforderungen konfigurieren, wie das CAPTCHA auf Ihrer Website funktionieren soll. Nachdem Sie die Applikation erstellt haben, kopieren Sie den Sitekey und bewahren Sie ihn an einem sicheren Ort auf, wir werden ihn später benötigen.

Nun erstellen Sie einen API-Schlüssel. Dieser API-Schlüssel wird in Ihrem Backend verwendet, um mit der Friendly Captcha API zu kommunizieren und die CAPTCHA-Lösung zu verifizieren. Nachdem Sie den API-Schlüssel erstellt haben, kopieren Sie ihn und bewahren Sie ihn an einem sicheren Ort auf, wir werden ihn später ebenfalls benötigen.

Austauschen des Client-Codes

Um Friendly Captcha auf der Website zu verwenden, müssen Sie zunächst die von Cloudflare Turnstile bereitgestellte JavaScript-Bibliothek durch die von Friendly Captcha ersetzen.

				
					- <script src="<https://challenges.cloudflare.com/turnstile/v0/api.js>" async defer></script>
				
			
				
					+ <script type="module" src="<https://cdn.jsdelivr.net/npm/friendly-challenge@0.9.14/widget.module.min.js>" async defer></script>
+ <script nomodule src="<https://cdn.jsdelivr.net/npm/friendly-challenge@0.9.14/widget.min.js>" async defer></script>
				
			

Der Code des Widgets von Cloudflare Turnstile kann mit dem neuen Code von Friendly Captcha ausgetauscht werden. Dabei muss man sicherstellen, dass <your sitekey> durch den neuen Sitekey ersetzt wird. Wenn Cloudflare’s CAPTCHA-Service Turnstile auf mehreren Seiten verwendet wurde, müssen alle Seiten aktualisiert werden.

				
					- <div class="cf-turnstile" data-sitekey="<your sitekey>"></div>
				
			
				
					+ <div class="frc-captcha" data-sitekey="<your sitekey>"></div>
				
			

Ändern der Backend-Verifizierung

Um den CAPTCHA-Dienst zu verifizieren, benötigt man einen Code im Backend, der die Friendly Captcha API aufruft. Er ist der Funktionsweise von Cloudflare Turnstile sehr ähnlich, muss aber ebenfalls aktualisiert werden. Dies hängt stark davon ab, welche Programmiersprache und welches Framework im Backend verwendet werden.

Eine detailliertere Anleitung zur Integration von Friendly Captcha gibt es in unserer Dokumentation. Wenn Sie ein CMS wie WordPress verwenden, existiert oft bereits eine vordefinierte Out-of-the-Box-Integration. Sie finden in unserem Integrations-Marktplatz passende Anleitungen für die Installation.

Lohnenswerter Wechsel von Cloudflare Turnstile zu Friendly Captcha – Schützen Sie Ihre Kontaktformulare, Registrierungsformulare und Login-Seiten

Mit ein paar Schritten ist Cloudflare Turnstile gegen Friendly Captcha ausgetauscht und Website-Betreibende können fortan das freundlichste CAPTCHA am Markt nutzen. Die User werden eine Verbesserung der Nutzerfreundlichkeit und Barrierefreiheit feststellen, da sie nicht mehr mit dem CAPTCHA interagieren müssen. Betreiber selbst sind einfacher konform mit Datenschutzstandards wie DSGVO, CCPA und HIPAA.

Fazit

Die Vorteile von Friendly Captcha gegenüber Cloudflare CAPTCHA

Friendly Captcha ist die freundlichere Cloudflare CAPTCHA-Alternative, indem es sich auf Nutzerfreundlichkeit, Barrierefreiheit und Datenschutz konzentriert. Dabei geht Friendly Captcha keine Kompromisse bei der Sicherheit ein.

  • Nahtloses Endnutzererlebnis, da die User keine manuellen Rätsel von Hand lösen müssen.

  • Universeller Browsersupport und kein Ausschluss von Internetnutzern mit älteren Browsern oder Geräten.

  • Vollständig WCAG-konform und für alle Nutzer barrierefrei, da manuelle Aufgaben vollständig entfallen.

  • Einfache Einhaltung von Datenschutzgesetzen wie der DSGVO und CCPA.

  • Für Website-Betreiber mit EU-Nutzern ist die Einhaltung der DSGVO gewährleistet, da personenbezogene Benutzerdaten die EU nie verlassen.

  • Keine HTTP-Cookies, keine persistente Browser-Speicherung und kein Fingerprinting.

  • Funktioniert sofort, ohne dass die Zustimmung des Nutzers über ein User Consent Management Tool erforderlich ist.

Deshalb ist Friendly Captcha eine überlegene Cloudflare CAPTCHA Alternative

Friendly Captcha ist Cloudflare CAPTCHA in Bezug auf Nutzerfreundlichkeit, Barrierefreiheit und Datenschutz überlegen. Die kryptographischen Rätsel, die Friendly Captcha verwendet, sind wirklich unsichtbar, werden im Hintergrund durch das Gerät des Endbenutzers gelöst und haben keinen Einfluss auf die UX. Friendly Captcha bietet universellen Browsersupport und stellt sicher, dass Internetnutzer nicht von Ihren Diensten ausgesperrt werden. Im Hinblick auf Datenschutz und DSGVO-Konformität ist Friendly Captcha transparent, welche Daten gesammelt und wo sie gespeichert werden. Friendly Captcha hat keinen Anreiz, mehr Daten als nötig zu sammeln.

Wenn Sie Friendly Captcha als Cloudflare CAPTCHA-Alternative ausprobieren möchten, können sich die Live-Demo ansehen oder sich für einen Testmonat anmelden.

FAQ

Es gibt mehrere Alternativen zu Cloudflare CAPTCHA, die Websites vor unerwünschtem Zugriff schützen. Dazu gehören Honeypots, Anti-Spam-Plugins, Anti-Bot-Plugins, Fingerprinting und professionelle Bot-Schutz-Lösungen wie Friendly Captcha. Friendly Captcha ist eine der ausgeklügeltsten Proof-of-Work-basierenden Lösungen auf dem Markt. Es ist eine DSGVO-konforme, barrierefreie und nutzerfreundliche Alternative zu Cloudflare CAPTCHA.

Um zu klären, ob Friendly Captcha besser ist als Cloudflare CAPTCHA, müssen wir uns die Einhaltung der Datenschutzbestimmungen, die Nutzerfreundlichkeit und die Barrierefreiheit ansehen. Da die Server von Cloudflare in den USA stehen, kann die Übertragung von Nutzerdaten in nicht-europäische Länder nicht ausgeschlossen werden. Außerdem sind die CAPTCHA-Tests von Cloudflare nicht völlig unsichtbar. In einigen Fällen muss der Endnutzer manuelle Aufgaben durchführen, was für Menschen mit Behinderungen problematisch ist. Im Vergleich von Friendly Captcha und Cloudflare CAPTCHA ist Friendly Captcha damit die bessere und menschenfreundlichere Alternative zu Cloudflare CAPTCHA.

Cloudflare CAPTCHA verspricht DSGVO-konform zu sein, aber es gibt erhebliche Bedenken hinsichtlich der Datenschutz-Compliance. Insbesondere stellt Cloudflare keine dedizierte Datenschutzerklärung oder Auftragsverarbeitungsvereinbarung für Cloudflare’s CAPTCHA-Service Turnstile zur Verfügung, was zu Unsicherheit darüber führt, welche Daten gesammelt und wie sie verwendet werden.

Für Websites, die auf EU-Nutzer abzielen, erschwert die Tatsache, dass Cloudflare ein in den USA ansässiges Unternehmen mit mehreren Datenzentren außerhalb der EU ist, die Einhaltung der Datenschutzgrundverordnung. Cloudflare CAPTCHA’s Abhängigkeit von externen Skripten, die von Cloudflare-Servern geladen werden, birgt Risiken in Bezug auf die Datenübertragung in Nicht-EU-Länder und potenzielle Sicherheitslücken. Ähnliche Probleme haben zu erheblichen Geldstrafen für Unternehmen geführt, die vergleichbare Dienste wie Cloudflare CAPTCHA nutzen, wie z. B. Google reCAPTCHA, bei denen Datentransfers in die USA ohne angemessene Transparenz und Zustimmung der Nutzer erfolgen.

Zusammenfassend lässt sich sagen, dass der Mangel an spezifischen Datenschutzinformationen für Cloudflare CAPTCHA und die weltweite Verteilung der Server von Cloudflare Risiken für die Einhaltung der DSGVO mit sich bringen.

Cloudflare CAPTCHA wird als kostenloses CAPTCHA-Tool mit “Turnstile Free” beworben. Dieser Plan ist nur für bis zu 10 Widgets und im verwalteten Modus verfügbar. Unternehmen mit mehr Anfragen müssen ein Upgrade auf einen kostenpflichtigen Enterprise-Plan durchführen. Auf diese Weise versucht Cloudflare, Turnstile-Kunden dazu zu bringen, von ihrem kostenlosen CAPTCHA-Service auf ihre umfangreiche und teure Suite mit allen Funktionen umzusteigen. Eine Alternative zu Cloudflare CAPTCHA ist Friendly Captcha, das sich auf die Bereitstellung von datenschutz- und menschenfreundlichen CAPTCHAs spezialisiert hat, die vollständig im Hintergrund laufen.

Zwar bieten alle drei CAPTCHA-Provider nicht störende, unsichtbare oder passive Browser-Tests zur Überprüfung von Webbesuchern an. Allerdings besteht ein großer Unterschied im Datenschutz und der Einhaltung der DSGVO. Mit Cloudflare CAPTCHA können die persönlichen Daten der Nutzer an Cloudflare in den USA gesendet werden. Das Gleiche gilt für Google reCAPTCHA. Wenn es um den Schutz persönlicher Daten geht, wird reCAPTCHA von den europäischen Datenschutzbehörden kritisch gesehen. Daher sind sowohl Cloudflare CAPTCHA als auch Google reCAPTCHA keine Lösung für EU-Sites und Sites mit EU-Kunden. Mit Friendly Captcha verlassen die Nutzerdaten niemals die EU. Als moderner Anbieter hat Friendly Captcha einen klaren Fokus auf den Datenschutz und die kontinuierliche Verbesserung des Dienstes. Es ist eine praktikable Alternative zu Cloudflare CAPTCHA.