Abo
  • Services:
Anzeige
Tor-Nutzer müssen viele Captchas lösen.
Tor-Nutzer müssen viele Captchas lösen. (Bild: Screenshot Golem.de)

Cloudflare-Mitarbeiter surfen mit Captchas

Cloudflare bestreitet den von Tor verwendeten Blockade-Begriff. Man arbeite intensiv daran, weniger und besser lösbare Captchas zu verwenden, heißt es in dem Blogpost. Um dieses Ziel zu erreichen, habe man alle internen Cloudflare-IPs auf die Blacklist gesetzt, so dass Mitarbeiter regelmäßig selbst Captchas lösen müssen - und so einen Anreiz haben, das System zu verbessern. Teil der Lösung ist nach Angaben von Cloudflare, dass man Google überzeugt habe, die neuen Versionen der Captchas zur Verfügung zu stellen. Dabei müssen Nutzer nicht mehr nur Kombinationen aus Buchstaben und Zahlen richtig wiedergeben, sondern in Bildern Gegenstände auf bestimmten Quadranten richtig zuordnen.

Anzeige

Außerdem differenziert das Unternehmen nach eigenen Angaben verschiedene Arten von Traffic, um Captchas zu vermeiden. GET-Anfragen nach statischen Inhalten würden als weit weniger kritisch betrachtet als POST-Anfragen. Doch auch mit GET-Anfragen könnte Missbrauch betrieben werden - Cloudflare nennt hier Content-Scraping, Werbebanner-Betrug und das Abscannen von Sicherheitslücken.

Cloudflare-Kunden könnte die Möglichkeit eingeräumt werden, Tor-Exit-Nodes in eine Whitelist einzutragen. Doch die meisten Kunden würden Tor lieber komplett aussperren, schreibt Prince in dem Blogpost. Seit einigen Wochen können Cloudflare-Kunden Tor-Traffic einen höheren Vertrauenslevel zuweisen, ähnlich wie das bereits mit Ländern möglich ist. Cloudflare bietet Kunden die Möglichkeit, Traffic aus Ländern mit hohem Spam-Aufkommen oder andern bösartigen Aktivitäten entweder auf eine Whitelist zu setzen oder eine Captcha-Abfrage einzurichten. Komplett blockieren lässt sich der Traffic durch die Kunden nicht.

Automatische .onion-Seiten?

Langfristig schlägt Cloudflare vor, automatische .onion-Webseiten zu erstellen, um das Problem zu lösen. Doch auch hier gebe es Probleme, weil Tor zur Erstellung der Seiten auf den veralteten SHA-1-Algorithmus setze und nur 80 Bits der verfügbaren 160 Bits zur Erstellung der Adresse genutzt würden. Für Angreifer sei es leicht möglich, ein gültiges Zertifikat für eine solche Adresse zu erlangen und so verschlüsselten Traffic mitzulesen, wenn nur eine einfache Domainvalidierung durchgeführt wird, wie das bei Let's Encrypt der Fall ist. Das CA/Browser-Forum sieht in seinen Richtlinien daher vor, dass für.onion-Adressen Zertifikate mit erweiterter Prüfung (EV-Validierung) zum Einsatz kommen müssen. Diese seien jedoch zu teuer, um sie für automatisch erstellte Tor-Mirror-Seiten einzusetzen. Wenn Tor in Zukunft auf den Hashing-Algorithmus SHA-256 zurückgreife, könne dieses Problem aber behoben werden. Dazu existiert bereits ein Vorschlag auf der Tor-Entwicklerliste. Doch bis dieser umgesetzt ist, dürfte noch einige Zeit vergehen.

Eine andere Möglichkeit sei es, über den Tor-Browser zu verifizieren, ob es sich um einen menschlichen Nutzer handelt oder nicht. Dazu hat Cloudflare einen Entwurf für ein Plugin erarbeitet, das eine einmalige anonyme kryptographische Nachricht an den Webseitenbetreiber übermitteln soll, der dann im Gegenzug auf ein Captcha verzichtet. Der Code dazu liegt auf Github.

Die Situation ist verfahren. In der Auseinandersetzung zwischen Tor-Aktivisten und Cloudflare geht es schon länger häufig recht unfreundlich zu. Unter dem Twitter-Hashtag #dontblocktor sammeln die Aktivisten nicht lösbare Captchas und diskutieren mit zahlreichen Cloudflare-Angestellten. Und tatsächlich ist Cloudflare hier der Gatekeeper - doch letztlich bestimmen eben die Webseitenbetreiber selbst, ob sie Captchas verwenden wollen oder nicht. Oder richten gleich einen eigenen .onion-Dienst ein, wie zum Beispiel Facebook.

 Captchas: Cloudflare bezeichnet 94 Prozent des Tor-Traffics als böse

eye home zur Startseite
berritorre 08. Apr 2016

Da du hier im Golem-Forum liest und postest bist du sicher kein "Otto-Normal...

chefin 05. Apr 2016

@Helites Was ein Blödsinn. Man in the Middle würde heisen das ein Dritter lauscht dem ich...

Rulf 05. Apr 2016

mich mit einem captcha belästigen zu müssen, hat der sich geschnitten...die seiten werden...

Niantic 05. Apr 2016

[ ] du hast den sinn von tor verstanden Du bist teil des problems für unsere freiheit

Vertex 05. Apr 2016

Auch nett: Manche Seiten lagern Bilder auf CDNs aus. Die Seite an sich nutzt nicht...



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  2. über Ratbacher GmbH, Raum Nürnberg
  3. Amprion GmbH, Dortmund
  4. Universität Osnabrück, Osnabrück


Anzeige
Hardware-Angebote
  1. Bis zu 250 EUR Cashback auf ausgewählte Objektive erhalten
  2. (reduzierte Überstände, Restposten & Co.)
  3. 274,90€ + 3,99€ Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  2. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler

  3. Hannover

    Die Sommer-Cebit wird teuer

  4. Android O

    Alte Crypto raus und neuer Datenschutz rein

  5. Streaming

    Akamai macht Videos mit Quic schneller

  6. United Internet

    1&1 bietet VDSL immer mehr über sein eigenes Netz an

  7. Videostreaming im Zug

    Maxdome umwirbt Bahnfahrer bei Tempo 230

  8. Synology FS1018

    Kleine Flashstation für SSDs und Adapterkarte für M.2-SSDs

  9. Reddit

    Drei Alpha-Profilseiten sind online

  10. Souq.com

    Amazon gibt 750 Millionen Dollar für Übernahme aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer
  2. Apple Park Apple bezieht das Raumschiff
  3. Klage gegen Steuernachzahlung Apple beruft sich auf europäische Grundrechte

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  2. OCP Facebook rüstet das Rechenzentrum auf
  3. Social Media Facebook verbietet Datennutzung für Überwachung

  1. Re: Switch ohne Spiele rausbringen, aber...

    Axido | 15:28

  2. Re: Kein Hardware-Bug? Warum nicht?

    HubertHans | 15:27

  3. Re: Keine Ahnung warum die Leute Probleme haben.....

    Prypjat | 15:26

  4. Re: Zensur durch die Hintertür

    Berner Rösti | 15:26

  5. Re: viele Nutzer

    Gemüseistgut | 15:25


  1. 14:39

  2. 14:10

  3. 13:36

  4. 13:35

  5. 13:18

  6. 12:28

  7. 12:05

  8. 11:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel