image

Proton introduceert zelfontwikkelde, 'censuurbestendige' CAPTCHA

donderdag 21 september 2023, 17:08 door Redactie, 6 reacties

Proton, het bedrijf achter ProtonMail en ProtonVPN, heeft vandaag een zelfontwikkelde CAPTCHA geïntroduceerd die bestand tegen censuur zou moeten zijn en volledig aan de AVG voldoet. De Proton CAPTCHA is volgens het bedrijf met een 'privacy-first' aanpak ontwikkeld die volledig aan de AVG voldoet, is mobiel vriendelijk en maakt geen gebruik van third-party services.

Verder beschikt de CAPTCHA-oplossing over verschillende beschermingsmaatregelen om misbruik te voorkomen, zoals proof of work, visuele puzzels en privacyvriendelijke botdetectie. Zo moeten gebruikers bijvoorbeeld een puzzelstuk op de juiste plek leggen om de captcha op te lossen. "Ons doel is het bieden van een CAPTCHA die toegankelijk, bruikbaar, privacyvriendelijk en bestand is tegen zelfs de meest geavanceerde dreigingen", zegt Eamonn Maguire van Proton. Op dit moment maakt alleen Proton gebruik van de CAPTCHA, maar het bedrijf overweegt om die via een API toegankelijk te maken voor derde partijen die privacy belangrijk vinden.

Image

Reacties (6)
21-09-2023, 19:43 door Anoniem
https://www.transip.nl/knowledgebase/artikel/3005-de-captcha-op-de-transip-website/ (website is niet bijster privacy-vriendelijk)
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?

Uitermate goed dus dat Proton een alternatief gecreëerd heeft. Als bedrijf zou dat een slimme keuze zijn, in een beetje fatsoenlijke browser werkt de Recaptcha van Google niet. Loop je toch al gauw bestellingen mis of waardevolle feedback. Daarnaast geef je een signaal af dat je als bedrijf privacy eigenlijk niet belangrijk vindt.
22-09-2023, 11:06 door Anoniem
Door Anoniem: https://www.transip.nl/knowledgebase/artikel/3005-de-captcha-op-de-transip-website/ (website is niet bijster privacy-vriendelijk)
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?

Uitermate goed dus dat Proton een alternatief gecreëerd heeft. Als bedrijf zou dat een slimme keuze zijn, in een beetje fatsoenlijke browser werkt de Recaptcha van Google niet. Loop je toch al gauw bestellingen mis of waardevolle feedback. Daarnaast geef je een signaal af dat je als bedrijf privacy eigenlijk niet belangrijk vindt.
Captchas zijn vaak overbodige troep en absoluut iritant voor echte gebruikers.

Het is beter is om een goed afgestelde honeypot te ontwikkelen, in te zetten die enige request blackholed als bepaalde voorwaarden getriggered worden. Zoals het invullen van een visueel verborgen veld waarna de bot een reactie accepted krijgt ondertussen de content gedropped is en bij herhaling in een deny list komt.

Echte gebruikers hebben geen last ervan gezien de beveiliging zich afspeeld onder een css visibility:hidden style declaration. Heb je ook geen gezeik met adblockers door geen gebruik van externe bronnen voor je klanten uberhaubt iets kunnen.
22-09-2023, 15:01 door Anoniem
Door Anoniem:Zoals het invullen van een visueel verborgen veld waarna de bot een reactie accepted krijgt ondertussen de content gedropped is en bij herhaling in een deny list komt. .

Your assumption is wrong. Hackers can easily tell the bot what fields to fill or not. Besides, if the browser of a legitimate user fills the field automatically based on saved user data it would lead to impact to the legitimate users.

Finally, security by obfuscation only works for a period of time.
23-09-2023, 09:29 door Anoniem
Door Anoniem: https://www.transip.nl/knowledgebase/artikel/3005-de-captcha-op-de-transip-website/ (website is niet bijster privacy-vriendelijk)
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?
Omdat transip een toko is die privacy niet snapt. Het enige wat ik in hun voordeel kan zeggen is dat ze wel heel duidelijk zijn over wat het doet (de pagina waar je naar linkt). Ik heb uitgebreid contact met ze gehad toen ze dit ingevoerd hadden en ik in m'n account wou komen, en volgens hun was er niets mis mee. Ze gaven ook aan om te willen schakelen naar meer privacy vriendelijke captcha's als dat mogelijk was, maar toen ik daarvan 3 opties gaf hadden ze daar ineens geen oren meer naar :-).

Ik ben uiteindelijk via een password reset procedure zonder captcha in m'n account gekomen en heb meteen m'n diensten opgezegd en domeinen bij een andere toko ondergebracht.
23-09-2023, 12:12 door Anoniem
Door Anoniem: Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet.

De volgende informatie wordt vervolgens verzameld van je computer:

- Een volledige screenshot van het scherm van je browser op het moment dat die cookie geplaatst wordt
- Alle cookies van Google van de laatste 6 maanden. [waaronder ook die van AdMob, DoubleClick, YouTube, ... ]
- Hoeveel keer je geklikt hebt op het scherm dat met de captcha is beveiligd [muisbewegingen, reactietijd]
- De CSS-informatie van die pagina [cascading stylesheets]
- De datum [uw tijdzone, IP-adres en geografische locatie]
- De taal van je browser [fingerprint, en HTTP-referer en kenmerken besturingssysteem]
- Plugins die op je browser zijn geïnstalleerd [geïnstalleerde lettertypen, grootte en resolutie van beeldscherm]
- Alle javascript objecten [en nog veel meer ... ]

Hoe volgt trackingtechnologie uw spoor op het web, zelfs als u beschermende maatregelen dacht te hebben genomen? Cover Your Tracks van de Electronic Frontier Foundation laat je zien hoe trackers je browser zien. Het biedt u een overzicht van de meest unieke en identificerende kenmerken van uw browser, waarmee u overal kan worden gevolgd.

https://coveryourtracks.eff.org
28-09-2023, 07:36 door Anoniem
Door Anoniem: https://www.transip.nl/knowledgebase/artikel/3005-de-captcha-op-de-transip-website/ (website is niet bijster privacy-vriendelijk)
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?

Uitermate goed dus dat Proton een alternatief gecreëerd heeft. Als bedrijf zou dat een slimme keuze zijn, in een beetje fatsoenlijke browser werkt de Recaptcha van Google niet. Loop je toch al gauw bestellingen mis of waardevolle feedback. Daarnaast geef je een signaal af dat je als bedrijf privacy eigenlijk niet belangrijk vindt.


TransIP is een flutprovider die niks om de AVG geeft en ook niet op brieven reageert. Oppassen dus!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.