Abo
  • Services:
Anzeige
Tor-Nutzer müssen viele Captchas lösen.
Tor-Nutzer müssen viele Captchas lösen. (Bild: Screenshot Golem.de)

Captchas: Cloudflare bezeichnet 94 Prozent des Tor-Traffics als böse

Tor-Nutzer müssen viele Captchas lösen.
Tor-Nutzer müssen viele Captchas lösen. (Bild: Screenshot Golem.de)

Geht von Tor-Nutzern eine Gefahr aus? Das sagt zumindest Cloudflare und präsentiert Tor-Nutzern immer neue Captchas. Jetzt haben beide Seiten in dem Streit nachgelegt.

Das Tor-Projekt und Cloudflare, ein Anbieter von Content-Delivery-Networks und DDoS-Schutzlösungen, streiten sich seit längerem um Captchas, die Nutzer des Tor-Browsers regelmäßig lösen müssen. Tor spricht von einer "Blockade" legitimer Nutzer, Cloudflare hingegen bezeichnet die Maßnahmen als Notwendigkeit, weil über Tor zahlreiche bösartige Anfragen abgewickelt würden. Jetzt haben beide Seiten in Blogposts nachgelegt.

Anzeige

In dem Blogpost behauptet Cloudflare-CEO Matthew Prince nun, dass 94 Prozent des Traffics, den Cloudflare-Kunden aus dem Tor-Netzwerk erhalten, bösartig sei. Damit sei nicht gemeint, dass Nutzer auf kontroverse Inhalte zugreifen wollten, vielmehr handele es sich um automatisierte Anfragen, um Cloudflare-Kunden zu schaden, schreibt das Unternehmen. Das könnte Kommentar-Spam, das automatisierte Scannen von Sicherheitslücken und Login-Scanning sein, schreibt Cloudflare. Zahlen des eigenen Honeypot-Projekts sollen belegen, dass 18 Prozent der weltweiten Spam-E-Mails mit dem automatisierten "Ernten" von E-Mail-Adressen durch Bots im Tor-Netzwerk ihren Anfang nehmen würden.

Schlechte Reputation für viele Exit-Nodes

Jede IP-Adresse bekommt von Cloudflare einen "Reputation Score" zugewiesen, also eine Art Vertrauensranking. Werden von einer IP-Adresse regelmäßig verdächtige Aktionen durchgeführt, müssen Nutzer mit dieser IP künftig Captchas lösen, um eine durch Cloudflare geschützte Webseite ansehen zu können. Je nach Anbieter können auch mehrere hintereinandergeschaltete Captchas auftauchen. Cloudflare behauptet, IP-Adressen aus dem Tor-Netzwerk grundsätzlich nicht anders zu behandeln als gewöhnliche IPs - nur würden diese halt von vielen Nutzern geteilt und es gebe häufig bösartigen Traffic. Alternativ kann Cloudflare auch über Javascript ermitteln, ob ein Besucher bösartig ist oder nicht - doch viele Tor-Browser-Nutzer haben Javascript aus Sicherheitsgründen oder um Fingerprinting zu vermeiden, deaktiviert.

Das Tor-Projekt zweifelt die von dem Unternehmen präsentierten Zahlen an. Tatsächlich ist nicht ganz klar, wie Cloudflare die 94 Prozent berechnet - Details dazu gibt das Unternehmen bislang nicht preis. Jens Kubieziel vom Tor-Servers-Projekt sagt dazu: "Wenn der Anteil bösartigen Traffics wirklich so hoch wäre, würden wir mit dem Beantworten von Abuse-Mails gar nicht hinterherkommen. Dem ist aber nicht so." Das Tor-Projekt vermutet daher, dass der gesamte Traffic, der Cloudflare über einen schlecht eingestuften Exit-Node erreicht, als bösartig bewertet wird. Nachprüfen lässt sich das derzeit nicht.

80 Prozent der Exit Nodes sollen gesperrt sein

Tor bezieht sich in seiner Kritik von Cloudflares Vorgehen vor allem auf eine wissenschaftliche Studie [PDF], in der untersucht wurde, ob und wie Tor-Nutzer auf den Alexa-Top-1000-Seiten diskriminiert werden. Demnach seien 80 Prozent der öffentlichen Exit-Node-IPs mit einer Strafe belegt. Kritisch sieht Tor dabei vor allem, dass offenbar nur wenige bösartige Verbindungen von einer IP innerhalb von 30 Tagen ausreichen, um die Captchas zu aktivieren. "Cloudflare scheint anders mit Tor-Traffic umzugehen als andere Anti-DDoS-Anbieter", sagt Kubieziel. "Ich habe den Eindruck, dass sie sich sehr viel Zeit lassen, um einmal gesperrte IPs wieder freizuschalten." Zu einem ähnlichen Ergebnis kommen auch die Autoren der bereits erwähnten Studie: Eine Freischaltung der IPs bei Ausbleiben von bösartigem Traffic sei jedoch im Studienzeitraum nicht erfolgt. Tatsächlich dürfte es für die Forscher aber nur schwer möglich sein einzuschätzen, inwiefern der Traffic tatsächlich gutartig oder bösartig ist.

Cloudflare-Mitarbeiter surfen mit Captchas 

eye home zur Startseite
berritorre 08. Apr 2016

Da du hier im Golem-Forum liest und postest bist du sicher kein "Otto-Normal...

chefin 05. Apr 2016

@Helites Was ein Blödsinn. Man in the Middle würde heisen das ein Dritter lauscht dem ich...

Rulf 05. Apr 2016

mich mit einem captcha belästigen zu müssen, hat der sich geschnitten...die seiten werden...

Niantic 05. Apr 2016

[ ] du hast den sinn von tor verstanden Du bist teil des problems für unsere freiheit

Vertex 05. Apr 2016

Auch nett: Manche Seiten lagern Bilder auf CDNs aus. Die Seite an sich nutzt nicht...



Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. Bundesnachrichtendienst, München
  3. Zühlke Engineering GmbH, München, Stuttgart, Hannover
  4. Bundeskriminalamt, Wiesbaden


Anzeige
Spiele-Angebote
  1. (-53%) 13,99€
  2. 29,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Apple

    iOS 10.3 sucht nach verlorenen Airpods

  2. Beta 1

    MacOS Sierra 10.12.4 mit Blaulichtfilter als Nachtmodus

  3. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  4. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  5. DirectX 12

    Microsoft legt Shader-Compiler offen

  6. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  7. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  8. Innogy

    Telekom will auch FTTH anmieten

  9. Tissue Engineering

    3D-Drucker produziert Haut

  10. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Smartphone-Hersteller Hugo Barra verlässt Xiaomi
  2. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

  1. Re: Gab es das nicht als App?

    Keksmonster226 | 00:20

  2. Clickbait Artikel der den Sinn der Quelle nicht...

    Thegod | 00:20

  3. OT: Gibts die AirPods auch in Schwarz?

    jayjay | 00:18

  4. Re: In meinem Haus liegt bereits Glasfaser

    Squirrelchen | 00:06

  5. Re: Warum nicht ein anderer Hersteller?

    ms (Golem.de) | 00:04


  1. 22:59

  2. 22:16

  3. 18:21

  4. 18:16

  5. 17:44

  6. 17:29

  7. 16:57

  8. 16:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel