[3.3] reCAPTCHA-Tokens

Fragen rund um die Installation, Administration und Benutzung von phpBB.
Forumsregeln
Bitte im Thementitel den Präfix deiner phpBB-Version angeben
Antworten
Benutzeravatar
Tommy Herrmann
Mitglied
Beiträge: 147
Registriert: 06.12.2020 11:24
Kontaktdaten:

[3.3] reCAPTCHA-Tokens

Beitrag von Tommy Herrmann »

Hallo,

Ich verwende seit einiger Zeit reCAPTCHA für meine Forum-Software und blockiere damit täglich etwa 50-100 Spambots:

[ externes Bild ]

Leider habe ich nur geringe Kenntnisse im Programmieren, daher habe ich ChatGPT um Hilfe gebeten. Auf meiner reCAPTCHA v3-Seite bei Google habe ich folgenden Hinweis erhalten, mit dem ich nicht viel anfangen kann:

"Wir haben festgestellt, dass Ihre Website keine reCAPTCHA-Tokens überprüft."

Die Antwort von ChatGPT lautet wie folgt, und ich habe keine Ahnung, ob das in phpBB korrekt eingefügt ist oder warum ich diese Meldung von Google erhalte. Bei dieser Option kann ich in der Administrationsoberfläche ja lediglich meinen Website- und geheimen Schlüssel eintragen.

ChatGPT hat geschrieben:
Der Hinweis **"Wir haben festgestellt, dass Ihre Website keine reCAPTCHA-Tokens überprüft"** bedeutet, dass Sie zwar den reCAPTCHA v3 Code auf Ihrer Website eingebunden haben, **aber die Token, die vom reCAPTCHA-Client erzeugt werden, nicht auf Ihrem Server überprüft werden**. Google verlangt diese Überprüfung, um sicherzustellen, dass reCAPTCHA korrekt genutzt wird und Bots effektiv erkannt werden.

### Was bedeutet das konkret?

reCAPTCHA v3 funktioniert so:

1. **Auf Ihrer Webseite (Client-Seite)** wird das JavaScript von Google eingebunden.
2. Dieses Skript erstellt im Hintergrund ein **Token** (eine Art "Benutzerscore").
3. Dieses Token müssen **Sie auf Ihrem Server (Backend)** an Google schicken, um zu überprüfen, ob der Benutzer "vertrauenswürdig" ist.

Wenn Sie **nur Schritt 1 machen** und das Token **nicht prüfen**, dann sagt Google: "Wir sehen, dass du das System zwar eingebunden hast, aber nicht richtig verwendest."

---

### Was müssen Sie tun?

#### 1. Token vom Client einsammeln

Sie müssen das reCAPTCHA-Token per JavaScript erzeugen und zusammen mit dem Formular an Ihren Server schicken:

```html

Code: Alles auswählen

<script src="https://www.google.com/recaptcha/api.js?render=IHRE_SITE_KEY"></script>
<script>
grecaptcha.ready(function() {
    grecaptcha.execute('IHRE_SITE_KEY', {action: 'submit'}).then(function(token) {
        // Token an Ihr Formular anhängen
        document.getElementById('meinFormular').insertAdjacentHTML('beforeend',
            '<input type="hidden" name="g-recaptcha-response" value="' + token + '">');
    });
});
</script>
```

#### 2. Token auf dem Server validieren

Auf Ihrem Server (z. B. in PHP, Python, Node.js etc.) müssen Sie dann das Token an Google schicken und die Antwort prüfen.

**Beispiel in PHP:**

```php

Code: Alles auswählen

$token = $_POST['g-recaptcha-response'];
$secretKey = 'IHRE_GEHEIME_KEY';

$response = file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret=$secretKey&response=$token");
$responseKeys = json_decode($response, true);

if($responseKeys["success"] && $responseKeys["score"] >= 0.5) {
    // Gültig: Formular weiterverarbeiten
} else {
    // Ungültig: ggf. blockieren oder Fehlermeldung anzeigen
}
```

---

### Zusammengefasst:

* Der Hinweis bedeutet, dass Ihr Server die reCAPTCHA-Daten **nicht auswertet**.
* Sie müssen das **Token vom Client an den Server übergeben** und es dort **über die API von Google prüfen**.
* Wenn Sie das nicht tun, wird reCAPTCHA v3 **nicht vollständig oder gar nicht funktionieren**.
Benutzeravatar
LukeWCS
Supporter
Supporter
Beiträge: 3041
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [3.3] reCAPTCHA-Tokens

Beitrag von LukeWCS »

Hallo
Tommy Herrmann hat geschrieben: 14.07.2025 07:56 Leider habe ich nur geringe Kenntnisse im Programmieren, daher habe ich ChatGPT um Hilfe gebeten.
Du selber musst/kannst hier nichts machen. Wenn du den privaten und öffentlichen Schlüssel eingetragen hast und der Test bei der Einrichtung positiv verlief, ist von deiner Seite alles erledigt. Ich habe sehr lange ReCaptcha eingesetzt, weil das eines der effektivsten Mittel ist, sich die lästigen Spambots vom Hals zu halten. Aber mir sind solche Probleme nicht bekannt, allerdings setze ich es schon länger nicht mehr ein. Angefangen hatte ich vor ewigen Zeiten noch mit V1, dann V2 und zuletzt auch V3.

Ich habe mir eben dein Forum angeschaut; das ReCaptcha Javascript wird bei dir durchaus ausgeführt und ich finde dann auch die besagten TOKEN im DOM Objekt deiner Registrierungsseite. Also von daher sieht das für mich okay aus. Aber ich weiss nicht, ob die Namen und Inhalte der versteckten Formular Elemente (Variablen) noch aktuell sind. Eventuell hat sich bei ReCaptcha kürzlich was geändert, was bei phpBB noch nicht berücksichtigt wurde?

Es wäre sinnvoll, das Problem mal bei phpBB.com zu melden bzw. dort anzufragen, ob noch jemand diese Meldungen bekommt. Auch unter dem Gesichtspunkt, dass ReCaptcha ein Sicherheitsmedium ist und somit eine sensible Angelegenheit darstellt. Ich selber kanns nicht gegenprüfen, ich habs nicht mehr eingerichtet, weil ich wegen DSGVO auf ein anderes Captcha umgestiegen bin. Leider, muss ich sagen, ReCaptcha ist eigentlich klasse.
Möge das Backup mit dir sein. Immer.
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
Benutzeravatar
Tommy Herrmann
Mitglied
Beiträge: 147
Registriert: 06.12.2020 11:24
Kontaktdaten:

Re: [3.3] reCAPTCHA-Tokens

Beitrag von Tommy Herrmann »

Danke Dir sehr. Ich kann mir eigentlich auch nicht vorstellen, dass das Problem bei phpBB liegt. Ich wollte nur wissen, ob das Token auch überprüft wird.

Ich habe das schon seit Jahren im Einsatz und auch bei ein, zwei Testseiten meiner Webdesign-Software Mobirise, die ich über das Forum von phpBB supporte, und ich vermute den Fehler dann vielleicht dort.

Allerdings gibt es diesen Hinweis von Google eben erst, nachdem ich das im Forum von phpBB eingebunden hatte, denn mich fressen sonst die Spambots auf und reCAPTCHA v3 hat die Bots auf vielleicht 1% reduziert.


Komischerweise ist der Hinweis von Google, dass diese Rückmeldung fehlt, nun auch wieder verschwunden. Vielleicht deutet das darauf hin, dass eines der Formulare meiner Website-Software einen Angriff von Bots hatte und sich die Situation nun wieder beruhigt hat. Mein Forum hingegen wird täglich angegriffen.

Ich habe einige Testseiten mit dieser Software, die nun vollständig autonom über eine KI erstellt wurden, ähnlich wie diese hier:

https://www.mobirise-tutorials.com/Test ... nerated-8/

Dort kann ich jedoch nichts von dem Token sehen.

Danke Dir !
Benutzeravatar
LukeWCS
Supporter
Supporter
Beiträge: 3041
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [3.3] reCAPTCHA-Tokens

Beitrag von LukeWCS »

Tommy Herrmann hat geschrieben: 17.07.2025 01:44 https://www.mobirise-tutorials.com/Test ... nerated-8/

Dort kann ich jedoch nichts von dem Token sehen.
Die Seite hat jetzt aber nichts mit phpBB zu tun. Wenn du ReCaptcha auf eigenen Seiten einrichten willst, musst du dich auch an die Anleitungen von ReCaptcha halten, das hat aber mit dem phpBB Support hier nichts zu tun.
Möge das Backup mit dir sein. Immer.
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
Benutzeravatar
Tommy Herrmann
Mitglied
Beiträge: 147
Registriert: 06.12.2020 11:24
Kontaktdaten:

Re: [3.3] reCAPTCHA-Tokens

Beitrag von Tommy Herrmann »

Moin,

ja natürlich.

Diese Seite ist von der Webdesign-Software "Mobirise" generiert worden.

Nur habe ich eben diese Meldung von Google erst erhalten, als ich das reCAPTCHA v3 auch in mein Forum von phpBB zur Registrierung eingebaut habe:

https://www.mobirise-tutorials.com/Foru ... e=register

Die Meldung von Google ist aber inzwischen wieder verschwunden.
Antworten

Zurück zu „Support-Forum“