mathguard dla TYPO3

CAPTCHA matematyczny to dostępna ochrona antyspamowa, której większość stron nie zna

Spam w formularzach kontaktowych jest tematem ciągłym. Najpopularniejszym rozwiązaniem jest Google reCAPTCHA, które jednak przesyła dane użytkownika do Google i komplikuje zgodność z RODO. CAPTCHA oparte na obrazach (“kliknij wszystkie sygnalizatory”) frustrują użytkowników i są niedostępne dla czytników ekranu. mathguard idzie inną drogą: rozszerzenie pokazuje w formularzu proste zadanie rachunkowe (“ile to jest 3 + 7?”). Ludzie rozwiązują to w kilka sekund, automatyczne boty w większości zawodzą. Żadnego zewnętrznego JavaScriptu, żadnych ciasteczek, żadnego przesyłania danych do stron trzecich, w pełni zgodne z czytnikami ekranu.

Dla instytucji publicznych, uczelni i firm z wymaganiami dostępności (WCAG 2.1, ustawa o zapewnianiu dostępności cyfrowej) mathguard jest jednym z niewielu rozwiązań CAPTCHA, które gwarantuje zarówno ochronę antyspamową, jak i dostępność. Redukcja spamu wynosi od 85 do 95 procent przychodzącego ruchu botów. Dla porównania: Google reCAPTCHA v3 osiąga podobne wartości, ale przesyła dane do serwerów Google przy każdym załadowaniu strony, nawet bez interakcji z formularzem.

Typowe scenariusze to formularze kontaktowe, komentarze i rejestracje

Scenariuszem standardowym jest formularz kontaktowy na firmowej stronie. Bez ochrony antyspamowej codziennie w skrzynce redakcji ląduje od 20 do 200 zgłoszeń od botów. mathguard dodaje pole rachunkowe, które jest umieszczane w formularzu między polem e-mail a przyciskiem wysyłki. Zadanie rachunkowe jest generowane losowo przy każdym załadowaniu strony, dzięki czemu boty nie mogą wstępnie obliczyć rozwiązania.

Drugi scenariusz: funkcje komentarzy na blogach i stronach informacyjnych. Gdy odwiedzający mogą zostawiać komentarze pod artykułami, spam jest nieunikniony. mathguard chroni formularz komentarzy bez konieczności posiadania przez odwiedzających konta Google lub specjalnej aplikacji.

Trzeci scenariusz: rejestracje użytkowników. Gdy strona oferuje konta frontendowe (np. dla portalu klienta lub chronionego obszaru pobrań), mathguard chroni formularz rejestracji przed zautomatyzowanym tworzeniem kont. Zadanie rachunkowe to ostatnia przeszkoda przed wysłaniem, dodatkowo do Double-Opt-In.

Architektura techniczna generuje zadania rachunkowe po stronie serwera z walidacją sesji

mathguard działa całkowicie po stronie serwera. Przy każdym wywołaniu formularza rozszerzenie generuje losowe zadanie rachunkowe (dodawanie, odejmowanie lub mnożenie z liczbami jednocyfrowymi). Poprawne rozwiązanie jest zapisywane w sesji PHP, a nie w kodzie HTML. To kluczowe: gdyby rozwiązanie było ukrytym polem w formularzu, każdy bot mógłby je odczytać.

Integracja z formularzami TYPO3 odbywa się przez ViewHelper lub partial Fluid, który jest wstawiany do istniejących szablonów formularza. Dla powermail i TYPO3 Form Framework istnieją przykłady konfiguracji, które umożliwiają włączenie w 10 do 15 minut.

Zadanie rachunkowe jest prezentowane jako tekst (“ile to jest 5 + 3?”), a nie jako obraz. Dzięki temu jest automatycznie zgodne z czytnikami ekranu: oprogramowanie czytające może przeczytać zadanie, a użytkownik wpisuje rozwiązanie do zwykłego pola tekstowego. Nie ma żadnych zniekształceń wizualnych, żadnych problemów z kontrastem kolorów ani ograniczeń czasowych.

Dla dodatkowego bezpieczeństwa mathguard można połączyć z polem honeypot: niewidocznym polem formularza, które boty wypełniają, ale prawdziwi użytkownicy ignorują. Uzupełniająco można zastosować walidację znacznika czasu: gdy formularz jest wypełniany w czasie poniżej 3 sekund, z dużym prawdopodobieństwem jest to bot. Kombinacja CAPTCHA matematycznego, honeypota i sprawdzania znacznika czasu osiąga redukcję spamu powyżej 99 procent.

Częste problemy to sprytne boty, utrata sesji i irytacja UX

Problem pierwszy: zaawansowane boty rozwiązujące zadania rachunkowe. Proste boty parsujące tekst mogą zinterpretować “ile to jest 3 + 7?” i podać właściwą odpowiedź “10”. Rozwiązanie: prezentować zadanie jako lekko zaciemniony tekst (“trzy plus siedem to?”) lub rozszerzyć zadanie o kontekst (“ile nóg ma krzesło minus jedna?”). mathguard w standardowej konfiguracji używa zadań numerycznych, co wystarcza na 85 do 95 procent botów.

Problem drugi: utrata sesji. Gdy sesja PHP zostanie utracona między wywołaniem formularza a wysłaniem (np. przez load balancer bez session stickiness), walidacja zawodzi, chociaż użytkownik wprowadził poprawną odpowiedź. Rozwiązanie: skonfigurować session stickiness w load balancerze lub zapisywać dane sesji w bazie danych zamiast w systemie plików.

Problem trzeci: irytacja UX u użytkowników. Niektórzy odwiedzający odbierają zadanie rachunkowe jako protekcjonalne (“czy muszę udowadniać, że umiem liczyć?”). Rozwiązanie: umieścić przyjazną wskazówkę nad polem (“ochrona antyspamowa: prosimy rozwiązać to krótkie zadanie”) i dyskretnie wkomponować zadanie w projekt formularza.

mathguard działa ze wszystkimi wersjami TYPO3, ponieważ technika jest minimalna

Rozszerzenie nie ma głębokich zależności API od rdzenia TYPO3. Obsługa sesji, renderowanie formularza i walidacja wykorzystują standardowe funkcje PHP i TYPO3, które zmieniają się w niewielkim stopniu między wersjami. mathguard jest kompatybilny z TYPO3 v10, v11 i v12 i prawdopodobnie będzie działać także pod v13, ewentualnie z minimalnymi dostosowaniami w ViewHelperze. Dla projektów, które chcą obyć się zupełnie bez rozszerzenia, tę samą logikę można odtworzyć jako własny walidator w TYPO3 Form Framework lub jako finisher powermail w czasie poniżej godziny. Gosign we własnych projektach wdraża kombinację honeypota, walidacji znacznika czasu i opcjonalnego CAPTCHA matematycznego jako trzystopniową ochronę antyspamową, która obywa się bez usług zewnętrznych i jest skuteczna przeciwko ponad 99 procentom zautomatyzowanych ataków. Decyzję, czy CAPTCHA matematyczne jest widoczne, czy działa tylko jako niewidoczny fallback, podejmujemy projektowo na podstawie oczekiwanej ilości spamu i wymagań dostępności.