Abo
  • Services:

Captchas: Cloudflare bezeichnet 94 Prozent des Tor-Traffics als böse

Geht von Tor-Nutzern eine Gefahr aus? Das sagt zumindest Cloudflare und präsentiert Tor-Nutzern immer neue Captchas. Jetzt haben beide Seiten in dem Streit nachgelegt.

Artikel von veröffentlicht am
Tor-Nutzer müssen viele Captchas lösen.
Tor-Nutzer müssen viele Captchas lösen. (Bild: Screenshot Golem.de)

Das Tor-Projekt und Cloudflare, ein Anbieter von Content-Delivery-Networks und DDoS-Schutzlösungen, streiten sich seit längerem um Captchas, die Nutzer des Tor-Browsers regelmäßig lösen müssen. Tor spricht von einer "Blockade" legitimer Nutzer, Cloudflare hingegen bezeichnet die Maßnahmen als Notwendigkeit, weil über Tor zahlreiche bösartige Anfragen abgewickelt würden. Jetzt haben beide Seiten in Blogposts nachgelegt.

Inhalt:
  1. Captchas: Cloudflare bezeichnet 94 Prozent des Tor-Traffics als böse
  2. Cloudflare-Mitarbeiter surfen mit Captchas

In dem Blogpost behauptet Cloudflare-CEO Matthew Prince nun, dass 94 Prozent des Traffics, den Cloudflare-Kunden aus dem Tor-Netzwerk erhalten, bösartig sei. Damit sei nicht gemeint, dass Nutzer auf kontroverse Inhalte zugreifen wollten, vielmehr handele es sich um automatisierte Anfragen, um Cloudflare-Kunden zu schaden, schreibt das Unternehmen. Das könnte Kommentar-Spam, das automatisierte Scannen von Sicherheitslücken und Login-Scanning sein, schreibt Cloudflare. Zahlen des eigenen Honeypot-Projekts sollen belegen, dass 18 Prozent der weltweiten Spam-E-Mails mit dem automatisierten "Ernten" von E-Mail-Adressen durch Bots im Tor-Netzwerk ihren Anfang nehmen würden.

Schlechte Reputation für viele Exit-Nodes

Jede IP-Adresse bekommt von Cloudflare einen "Reputation Score" zugewiesen, also eine Art Vertrauensranking. Werden von einer IP-Adresse regelmäßig verdächtige Aktionen durchgeführt, müssen Nutzer mit dieser IP künftig Captchas lösen, um eine durch Cloudflare geschützte Webseite ansehen zu können. Je nach Anbieter können auch mehrere hintereinandergeschaltete Captchas auftauchen. Cloudflare behauptet, IP-Adressen aus dem Tor-Netzwerk grundsätzlich nicht anders zu behandeln als gewöhnliche IPs - nur würden diese halt von vielen Nutzern geteilt und es gebe häufig bösartigen Traffic. Alternativ kann Cloudflare auch über Javascript ermitteln, ob ein Besucher bösartig ist oder nicht - doch viele Tor-Browser-Nutzer haben Javascript aus Sicherheitsgründen oder um Fingerprinting zu vermeiden, deaktiviert.

Das Tor-Projekt zweifelt die von dem Unternehmen präsentierten Zahlen an. Tatsächlich ist nicht ganz klar, wie Cloudflare die 94 Prozent berechnet - Details dazu gibt das Unternehmen bislang nicht preis. Jens Kubieziel vom Tor-Servers-Projekt sagt dazu: "Wenn der Anteil bösartigen Traffics wirklich so hoch wäre, würden wir mit dem Beantworten von Abuse-Mails gar nicht hinterherkommen. Dem ist aber nicht so." Das Tor-Projekt vermutet daher, dass der gesamte Traffic, der Cloudflare über einen schlecht eingestuften Exit-Node erreicht, als bösartig bewertet wird. Nachprüfen lässt sich das derzeit nicht.

80 Prozent der Exit Nodes sollen gesperrt sein

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. SoftProject GmbH, Ettlingen

Tor bezieht sich in seiner Kritik von Cloudflares Vorgehen vor allem auf eine wissenschaftliche Studie [PDF], in der untersucht wurde, ob und wie Tor-Nutzer auf den Alexa-Top-1000-Seiten diskriminiert werden. Demnach seien 80 Prozent der öffentlichen Exit-Node-IPs mit einer Strafe belegt. Kritisch sieht Tor dabei vor allem, dass offenbar nur wenige bösartige Verbindungen von einer IP innerhalb von 30 Tagen ausreichen, um die Captchas zu aktivieren. "Cloudflare scheint anders mit Tor-Traffic umzugehen als andere Anti-DDoS-Anbieter", sagt Kubieziel. "Ich habe den Eindruck, dass sie sich sehr viel Zeit lassen, um einmal gesperrte IPs wieder freizuschalten." Zu einem ähnlichen Ergebnis kommen auch die Autoren der bereits erwähnten Studie: Eine Freischaltung der IPs bei Ausbleiben von bösartigem Traffic sei jedoch im Studienzeitraum nicht erfolgt. Tatsächlich dürfte es für die Forscher aber nur schwer möglich sein einzuschätzen, inwiefern der Traffic tatsächlich gutartig oder bösartig ist.

Cloudflare-Mitarbeiter surfen mit Captchas 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. (2 Monate Sky Ticket für nur 4,99€)

berritorre 08. Apr 2016

Da du hier im Golem-Forum liest und postest bist du sicher kein "Otto-Normal...

chefin 05. Apr 2016

@Helites Was ein Blödsinn. Man in the Middle würde heisen das ein Dritter lauscht dem ich...

Rulf 05. Apr 2016

mich mit einem captcha belästigen zu müssen, hat der sich geschnitten...die seiten werden...

Niantic 05. Apr 2016

[ ] du hast den sinn von tor verstanden Du bist teil des problems für unsere freiheit

Vertex 05. Apr 2016

Auch nett: Manche Seiten lagern Bilder auf CDNs aus. Die Seite an sich nutzt nicht...


Folgen Sie uns
       


Sieben Bluetooth-Ohrstöpsel im Test

Bei komplett kabellos arbeitenden Bluetooth-Ohrstöpseln zeigen sich erhebliche Unterschiede. Das perfekte Modell schmerzt nicht im Ohr, lässt sich bequem bedienen und hat einen guten Klang. An das Ideal kommt immerhin ein Teilnehmer heran.

Sieben Bluetooth-Ohrstöpsel im Test Video aufrufen
EU-Urheberrechtsreform: Wie die Affen auf der Schreibmaschine
EU-Urheberrechtsreform
Wie die Affen auf der Schreibmaschine

Nahezu wöchentlich liegen inzwischen neue Vorschläge zum europäischen Leistungsschutzrecht und zu Uploadfiltern auf dem Tisch. Sie sind dilettantische Versuche, schlechte Konzepte irgendwie in Gesetzesform zu gießen.
Ein IMHO von Friedhelm Greis

  1. Leistungsschutzrecht VG Media darf Google weiterhin bevorzugen
  2. EU-Verhandlungen Regierung fordert deutsche Version des Leistungsschutzrechts
  3. Fake News EU-Kommission fordert Verhaltenskodex für Online-Plattformen

Xbox Adaptive Controller ausprobiert: 19 x Klinke, 1 x Controller, 0 x Probleme
Xbox Adaptive Controller ausprobiert
19 x Klinke, 1 x Controller, 0 x Probleme

Microsoft steigt in den Markt der zugänglichen Geräte ein. Der Xbox Adaptive Controller ermöglicht es Menschen mit temporärer oder dauerhafter Bewegungseinschränkung zu spielen, ohne enorm viel Geld auszugeben. Wir haben es auf dem Microsoft Campus in Redmond ausprobiert.
Von Andreas Sebayang

  1. Firmware Xbox One erhält Option für 120-Hz-Bildfrequenz
  2. AMD Freesync Xbox One erhält variable Bildraten
  3. Xbox One Streamer können Gamepad mit Spieler teilen

Indiegames-Rundschau: Kampfkrieger und Abenteuer in 1001 Nacht
Indiegames-Rundschau
Kampfkrieger und Abenteuer in 1001 Nacht

Battletech schickt Spieler in toll inszenierte Strategieschlachten, eine königliche Fantasywelt und Abenteuer im Orient: Unsere Rundschau stellt diesmal besonders spannende Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis
  2. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  3. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte

    •  /