Cloudflare-Mitarbeiter surfen mit Captchas

Cloudflare bestreitet den von Tor verwendeten Blockade-Begriff. Man arbeite intensiv daran, weniger und besser lösbare Captchas zu verwenden, heißt es in dem Blogpost. Um dieses Ziel zu erreichen, habe man alle internen Cloudflare-IPs auf die Blacklist gesetzt, so dass Mitarbeiter regelmäßig selbst Captchas lösen müssen - und so einen Anreiz haben, das System zu verbessern. Teil der Lösung ist nach Angaben von Cloudflare, dass man Google überzeugt habe, die neuen Versionen der Captchas zur Verfügung zu stellen. Dabei müssen Nutzer nicht mehr nur Kombinationen aus Buchstaben und Zahlen richtig wiedergeben, sondern in Bildern Gegenstände auf bestimmten Quadranten richtig zuordnen.

Stellenmarkt
  1. Softwaretester:in
    Tele Columbus AG, Leipzig
  2. Software- / Webentwickler (w/m/d)
    Technische Hochschule Nürnberg Georg Simon Ohm, Nürnberg
Detailsuche

Außerdem differenziert das Unternehmen nach eigenen Angaben verschiedene Arten von Traffic, um Captchas zu vermeiden. GET-Anfragen nach statischen Inhalten würden als weit weniger kritisch betrachtet als POST-Anfragen. Doch auch mit GET-Anfragen könnte Missbrauch betrieben werden - Cloudflare nennt hier Content-Scraping, Werbebanner-Betrug und das Abscannen von Sicherheitslücken.

Cloudflare-Kunden könnte die Möglichkeit eingeräumt werden, Tor-Exit-Nodes in eine Whitelist einzutragen. Doch die meisten Kunden würden Tor lieber komplett aussperren, schreibt Prince in dem Blogpost. Seit einigen Wochen können Cloudflare-Kunden Tor-Traffic einen höheren Vertrauenslevel zuweisen, ähnlich wie das bereits mit Ländern möglich ist. Cloudflare bietet Kunden die Möglichkeit, Traffic aus Ländern mit hohem Spam-Aufkommen oder andern bösartigen Aktivitäten entweder auf eine Whitelist zu setzen oder eine Captcha-Abfrage einzurichten. Komplett blockieren lässt sich der Traffic durch die Kunden nicht.

Automatische .onion-Seiten?

Langfristig schlägt Cloudflare vor, automatische .onion-Webseiten zu erstellen, um das Problem zu lösen. Doch auch hier gebe es Probleme, weil Tor zur Erstellung der Seiten auf den veralteten SHA-1-Algorithmus setze und nur 80 Bits der verfügbaren 160 Bits zur Erstellung der Adresse genutzt würden. Für Angreifer sei es leicht möglich, ein gültiges Zertifikat für eine solche Adresse zu erlangen und so verschlüsselten Traffic mitzulesen, wenn nur eine einfache Domainvalidierung durchgeführt wird, wie das bei Let's Encrypt der Fall ist. Das CA/Browser-Forum sieht in seinen Richtlinien daher vor, dass für.onion-Adressen Zertifikate mit erweiterter Prüfung (EV-Validierung) zum Einsatz kommen müssen. Diese seien jedoch zu teuer, um sie für automatisch erstellte Tor-Mirror-Seiten einzusetzen. Wenn Tor in Zukunft auf den Hashing-Algorithmus SHA-256 zurückgreife, könne dieses Problem aber behoben werden. Dazu existiert bereits ein Vorschlag auf der Tor-Entwicklerliste. Doch bis dieser umgesetzt ist, dürfte noch einige Zeit vergehen.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Eine andere Möglichkeit sei es, über den Tor-Browser zu verifizieren, ob es sich um einen menschlichen Nutzer handelt oder nicht. Dazu hat Cloudflare einen Entwurf für ein Plugin erarbeitet, das eine einmalige anonyme kryptographische Nachricht an den Webseitenbetreiber übermitteln soll, der dann im Gegenzug auf ein Captcha verzichtet. Der Code dazu liegt auf Github.

Die Situation ist verfahren. In der Auseinandersetzung zwischen Tor-Aktivisten und Cloudflare geht es schon länger häufig recht unfreundlich zu. Unter dem Twitter-Hashtag #dontblocktor sammeln die Aktivisten nicht lösbare Captchas und diskutieren mit zahlreichen Cloudflare-Angestellten. Und tatsächlich ist Cloudflare hier der Gatekeeper - doch letztlich bestimmen eben die Webseitenbetreiber selbst, ob sie Captchas verwenden wollen oder nicht. Oder richten gleich einen eigenen .onion-Dienst ein, wie zum Beispiel Facebook.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Captchas: Cloudflare bezeichnet 94 Prozent des Tor-Traffics als böse
  1.  
  2. 1
  3. 2


berritorre 08. Apr 2016

Da du hier im Golem-Forum liest und postest bist du sicher kein "Otto-Normal...

chefin 05. Apr 2016

@Helites Was ein Blödsinn. Man in the Middle würde heisen das ein Dritter lauscht dem ich...

Rulf 05. Apr 2016

mich mit einem captcha belästigen zu müssen, hat der sich geschnitten...die seiten werden...

Niantic 05. Apr 2016

[ ] du hast den sinn von tor verstanden Du bist teil des problems für unsere freiheit



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

  2. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  3. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /