sr_freecap dla TYPO3

Dlaczego polskie urzędy i szpitale są zdane na self-hosted ochronę CAPTCHA

reCAPTCHA od Google jest technicznie skuteczne, ale dla wielu operatorów w Polsce prawnie problematyczne: każde osadzenie prowadzi do przekazania danych osobowych do Google w USA, wymaga aktywnej zgody zgodnie z Prawem komunikacji elektronicznej i jest krytycznie oceniane przez UODO. sr_freecap to odpowiedź na ten problem: w pełni self-hosted rozszerzenie CAPTCHA dla TYPO3, które nie wyzwala żadnych zewnętrznych żądań, nie przesyła danych użytkownika stronom trzecim i tym samym działa bez blokady banera zgody. Grupą docelową są urzędy, szpitale, uczelnie i firmy dbające o prywatność, które muszą chronić formularze przed spamem botów bez wchodzenia w nową zależność od amerykańskiej usługi.

Typowe scenariusze zastosowania

Szpital kliniczny prowadzi formularz kontaktowy dla zapytań pacjentów, formularz rekrutacyjny dla personelu pielęgniarskiego i formularz zapytań prasowych. Wszystkie trzy są regularnie atakowane przez boty, które wysyłają ogólne wiadomości reklamowe lub próby phishingu. IT kliniki zdecydowało, żeby nie osadzać usług Google, bo inspektor ochrony danych chce uniknąć obowiązku zgody. sr_freecap generuje grafiki po stronie serwera z kombinacjami liter, sprawdza wprowadzenie na własnym serwerze i w żadnym momencie nie wysyła informacji na zewnątrz.

Drugim przypadkiem jest administracja miejska z około 15 formularzami online dla spraw obywateli, od zgłoszenia przeprowadzki po wniosek o kartę parkingową dla mieszkańców. UODO przy audycie wyraźnie zalecił, aby nie stosować zewnętrznych CAPTCHA. sr_freecap integruje się z TYPO3 Form API (Powermail lub Form Framework) i tym samym chroni wszystkie formularze bez dodatkowej zgody.

Trzeci kontekst to izby i stowarzyszenia, które zarządzają listami członków, adresami lub rejestrami publicznymi. Każda z tych organizacji prowadzi formularz wyszukiwania lub kontaktowy, który musi być chroniony przed botami, ale jednocześnie zachowuje podstawową postawę ochrony danych. sr_freecap dostarcza prosty test wizualny, który dla ludzi jest rozwiązywalny, a dla prostych botów OCR stanowi zauważalną przeszkodę.

Architektura techniczna: GD-Library, sesja i Form API

sr_freecap generuje obrazy CAPTCHA po stronie serwera z biblioteką GD lub ImageMagick, przy czym GD jest opcją standardową i dostępną praktycznie w każdej instalacji PHP bez dodatkowego nakładu pracy. Litery są losowo wybierane z konfigurowalnego alfabetu, rysowane w obrazie z szumem tła i zniekształceniem oraz dostarczane do przeglądarki. Oczekiwany tekst jest zapisywany w sesji TYPO3 i przy wysłaniu formularza porównywany z wprowadzeniem użytkownika.

Integracja w formularze odbywa się przez walidator dla TYPO3 Form Framework oraz przez Powermail-API, gdzie pole jest osadzone jako dodatkowy element w definicji formularza. Audio-CAPTCHA jako alternatywa dostępności są w rozszerzeniu dostępne, ale domyślnie wyłączone, i powinny być aktywowane przy formularzach z szeroką grupą docelową, aby nie wykluczać użytkowników niedowidzących. Konfiguracja sr_freecap odbywa się przez TypoScript, który steruje długością stringu CAPTCHA, używanymi czcionkami i poziomem szumu.

Częste problemy i rozwiązania

Pierwszy problem to czytelność kontra bezpieczeństwo. Jeśli CAPTCHA jest zbyt zaszumiony, również ludzcy użytkownicy zawodzą i porzucają formularz, co zauważalnie obniża współczynnik konwersji. Jeśli jest zbyt słabo zaszumiony, nowoczesne silniki OCR odczytują tekst w sekundach. Praktyczne rozwiązanie leży w umiarkowanym zniekształceniu w połączeniu z polem honeypot, które jest niewidocznym polem wprowadzania w formularzu. Ludzie go nie wypełniają, boty często tak, a te zgłoszenia są cicho odrzucane.

Drugi problem dotyczy dostępności. Czysto wizualne CAPTCHA wyklucza niewidomych i niedowidzących użytkowników, co w instytucjach publicznych może być naruszeniem ustawy o dostępności cyfrowej oraz standardu WCAG. Aktywacja trybu audio i dodatkowo prosty test arytmetyczny jako alternatywa tworzą dostępne drogi spełnienia wymagania bez rezygnacji z ochrony.

Trzeci temat to obsługa sesji. sr_freecap zapisuje oczekiwane rozwiązanie w sesji PHP, co przy load-balancerach bez session-affinity lub przy bezstanowo hostowanych instalacjach TYPO3 prowadzi do błędów. Rozwiązaniem są albo sticky sessions na load-balancerze, albo wspólne session-backend jak Redis, z którego korzystają wszystkie nody.

Czwarty problem to skuteczność wobec nowoczesnych frameworków botów. Proste headless-browsery jak Puppeteer wprawdzie same nie potrafią rozwiązać wizualnych CAPTCHA, ale mogą przekazać zadanie zewnętrznej usłudze rozwiązywania, która w ciągu sekund dostarczy poprawną odpowiedź. Przeciwko takim atakom sam rozpoznawanie obrazów CAPTCHA nie wystarcza, a kombinacja z checkami opartymi na zachowaniu jak analiza ruchu myszy lub wspomnianym honeypotem jest bardziej skuteczną obroną.

Migracja i kompatybilność wersji

sr_freecap jest jednym z najstarszych rozszerzeń CAPTCHA dla TYPO3 i ma burzliwą historię wersji: dla TYPO3 v11 i v12 istnieją utrzymywane forki społeczności, kompatybilność z v13 jest różna między forkami. Kto obecnie migruje na v12 lub v13, powinien przed upgrade’em sprawdzić, czy własny zwój rozszerzenia jest aktywnie utrzymywany, a w razie wątpliwości przejść na inne podejście CAPTCHA.

Alternatywy dla sr_freecap w spektrum przyjaznym dla prywatności to hCaptcha (możliwa wersja self-hosted), Friendly Captcha z niemieckiej produkcji i pola honeypot w połączeniu z serwerowym rate-limiting. Gosign doradza przy wyborze w zależności od wolumenu formularzy, grupy użytkowników i wymagań regulacyjnych i w razie potrzeby buduje rozwiązanie hybrydowe, które najpierw filtruje ruch botów honeypotem, a tylko podejrzane zgłoszenia kieruje do kroku CAPTCHA.

Dla instytucji, które z powodów regulacyjnych nie mogą osadzać zewnętrznych usług, self-hosted rozwiązanie jak sr_freecap często pozostaje jedynym praktycznym wyborem, a nakład utrzymania jest do ogarnięcia. Ważne jest, aby regularnie dopasowywać ochronę CAPTCHA do aktualnych wzorców spamu i analizować statystyki nieudanych prób, aby rozpoznać, kiedy upgrade zniekształcenia lub kombinacja z innymi środkami ochrony staje się sensowna.