Google reCaptcha

Das Thema Google reCaptcha ist kompliziert. Aus Datenschutzperspektive gibt es gute Alternativen - aus technischer leider nicht (eigene Erfahrung).

Manche Webseiten brauchen das gar nicht. Bei zwei Webseiten mit ähnlichen Besucherzahlen und ähnlicher Zielgruppe, kann die eine ein Captcha brauchen und die andere nicht. Das kann man als außenstehender nicht beurteilen. Ich habe selbst lange mit Spam über Kontaktformulare gekämpft und wirklich viel ausprobiert, aber letztendlich waren das bestenfalls vorübergehende Lösungen. Am Ende habe ich (obwohl ich ein Fan davon bin) alle Kontaktformulare ausgebaut.

Gerade Mailanbieter hängen aber enorm an der Reputation. Je häufiger über die Mailserver Spam versendet wird, umso höher ist das Risiko, dass ganz normale E-Mails bei anderen Mailanbietern als Spam klassifiziert werden. Sobald der Punkt erreicht wird, bei dem gesendete E-Mail dauerhaft im Spam-Ordner landen oder gänzlich geblockt werden, ist die ganze Geschäftsgrundlage im Eimer.

Finde ich es gut, dass mailbox.org Googles reCaptcha verwendet? Nein, natürlich nicht. Kenne ich eine Alternative mit einer ähnlich hohen Erkennungsrate? Nein, leider nicht. Der Kompromiss ist aber meiner Meinung nach gut gelöst: Das Captcha ist auf einer separaten Seite (ohne andere Formularfelder), nur einmalig während der Registrierung und (inzwischen) nicht mehr pauschal für alle. Einerseits ist es damit nicht möglich Google mehr Informationen als notwendig zu geben, aber andererseits kann sich der Mailprovider vor Missbrauch schützen. Klar sind die Interessen der Anwender wichtig, aber auch der Anbieter hat Interessen, die man nicht vernachlässigen kann.

(Und ja, ich nutze mailbox.org - ich nutze aber auch posteo. Beide haben ihre Vorteile, daher sehe das mehr als Förderung von zwei guten deutschen Mailprovidern und nutze den einen für Postfach-X und den anderen für Postfach-Y)

Ich bin der Meinung, dass Captchas in Zukunft seltener eingesetzt werden können, weil sie leichter umgangen werden. Die KI entwickelt sich immer weiter und wird in Zukunft sowas immer besser lösen. Zusätzlich wird es immer günstiger schwierigere Captchas einfach von echten Menschen lösen zu lassen. Es gibt diverse Dienstleister, die sowas anbieten - teilweise auch über ein Credit-System. Das läuft dann so ab, dass du für beispielsweise 10 gelöste Captchas dir 5 lösen lassen kannst.

Ganz anders sehe ich übrigens Cloudflare: Hier gibt es sowohl datenschutzfreundlichere als auch technisch gleichwertige Lösungen.

Die da wären? Wenn du zB auf friendlycaptcha anspielst: Die benutzen auch das System von Cloudflare.
Man bräuchte eine datenschutzfreundlichere und technisch mindestens gleichwertige, damit es eingesetzt würde.

Sorry, das hab ich schlecht formuliert. Mit Cloudflare meinte ich eigentlich sowas wie den angebotenen DDoS-Schutz, also nichts mit Captcha-Bezug.

14 Beiträge wurden in ein neues Thema verschoben: Diskussion: Cloudflare

Da gibt es auch Unterschiede. Wenn ich ein Formular ausfülle und abschicke, dann aber keine Mail erhalte, ist immer die Frage, ging es jetzt durch oder nicht.

Warum reicht es nicht, nur an eine Domain anschreiben zu können und auch nur 5 Mails pro Tag?
Bots zahlen nicht und können so kein großen Schaden verursachen. Auch könnte man jeden neuen Nutzer eine einfache Frage stellen per Mail die innerhalb von 5 Tagen beantwortet werden muss, bots werden diese nicht beantworten können. Raus. So was muss vorher angekündigt werden und kann bestimmt auch Automatisiert geschehen.
Ich glaube nicht das es keine anderen gleichwertigen Maßnahmen gibt, man macht es sich leider immer zu einfach und sucht lieber nach fertigen Lösungen als sich selbst um so Kleinkram zu kümmern. Deshalb haben die auch so Erfolg.

Ich war schon immer dafür, daß es eine Versandkopie an die eigene Adresse gibt.
Ansonsten mag ich Kontaktformulare nämlich nicht.

Im Übrigen bin ich ein Fan von Aktivierungslinks.

Es ging eigentlich nur darum, dass die Captchas gelöst wurden - egal welche Captcha-Variante ich verwendet habe („Selbst-gehostet“, externe Dienste, versteckte Formularfelder, Malicious-IP-Lists, usw.). Die Frage die ich mir dabei aus Entwicklersicht immer stellte war „Wieso wurde das Formular schon wieder verschickt?“.

Wie gesagt, als außenstehender hat man an der Stelle keinen Einblick, was dort im Hintergrund genau passiert. Ich würde auch denken, dass das ausreichend sein sollte. Eingeschränkte Postfächer gibt es bei mailbox.org schon lange, hat anscheinend nicht ausgereicht. Da kann ich aber nur Vermutungen anstellen, die zu nichts führen. Codeänderungen macht man eher weniger aus Spaß oder Langeweile

Bei Captchas ging es ursprünglich mal nur um Bots. Das hat sich längst geändert (siehe Dienstleister), sodass diese Captchas teilweise von echten Menschen ausgefüllt werden.

Der größte Unterschied zwischen Google reCatpcha und anderen Methoden ist, dass z.B. auffällige IP-Adressen in Echtzeit geblockt werden können. Immer dann, wenn man auf eine Liste mit bösen IPs zurückgreift und beispielsweise in einer Software einen manuellen Abgleich macht, dann ist ein zeitlicher Verzug da. Zum einen dauert es, bis eine IP-Adresse dort eingetragen wird und zum anderen wird eine Software nicht im Sekundentakt die Daten abrufen. Das kann für eine Webseite oder einen Dienst genügen oder eben nicht. Schlimmstenfalls könnte man bei großangelegten Spam-Wellen oder gezielten Kampagnen förmlich überrollt werden, weil die IP-Adresse(n) noch nicht auf einer diesen Listen gelandet ist.

GitHub, GitLab und Co. sind voll von frei verfügbaren Captcha Lösungen für alle möglichen Programmiersprachen. Alles fertig und funktionsfähig - in den meisten Fällen auch ausreichend gut dokumentiert. Darunter finden sich aber auch einige, die nicht mehr gepflegt werden, weil genau diese Hürden von Bots umgangen werden können. Das Einbinden ist aus Entwicklersicht kein Hexenwerk und dauert nicht länger als das Einbinden von Google reCaptcha (für das man auch erstmal ein Entwicklerkonto + API-Key braucht und das Zeug auch noch einbinden muss).

Speziell bei mailbox.org ist es seit längerem schon so, dass Google reCaptcha auf der Registrierungsseite (mit einer deutschen IP-Adressen) nicht mehr angezeigt wird. Stattdessen sieht man einfache Fragen die beantwortet werden müssen. Bei einem Versuch vor einiger Zeit bekam ich Googles reCaptcha erst dann zu sehen, als ich die Frage mehrfach falsch beantwortet habe. Eine deutsche IP-Adresse ist allerdings kein Garantie, dass der Traffic von keinem Botnetz oder einem „Dienstleister“ stammt. Meine Server-Logfiles waren in einem anderen Kontext voll von IP-Adressen die aus den Netzen von Hetzner oder OVH kamen und eine deutsche IP-Adresse hatten. Gut möglich, dass im Hintergrund noch weitere Kriterien geprüft werden und dann im Verdachtsfall das Google reCaptcha ausgeliefert wird.

Ich bin wirklich kein Fan von Googles Captchas und verzichte liebend gerne darauf sowas einzubinden (früher oder später werden Captchas mMn sowieso aussterben). Je größer aber das Spam-Problem ist, umso eher wird man leider Google reCaptcha verwenden. Wenn zusätzlich auch noch Dinge wie Barrierefreiheit* wichtig sind, dann ist die Auswahl der möglichen Alternativen schon sehr sehr eng.

*) wobei Googles reCaptcha auch nicht 100% barrierefrei ist

Ja, schon klar, mein Problem als derjenige der Kontakt aufnehmen möchte ist halt, das ich solche Captchas oft gar nicht sehe, das Formular ausfülle, abschicke und dann dort lese „Vielen Dank für Ihre Anfrage wir melden uns schon bald bei Ihnen“. Keine Mail nichts. Später stellte sich dann heraus das Formular wurde gar nicht übertragen.
Wenn Formular, erklärt den Ablauf, Hinweis auf Captchas oder wenigstens Fehlermeldungen. Ist so was zu viel verlangt?
Wozu hier Captcha? Was für ein Sinn hat es über ein Kontaktformular mittels bot leere Nachrichten zu versenden, welche man doch vom Mailserver aussortieren kann, oder das Formular wird nicht gesendet wenn keine korrekten Daten drin stehen

Wenn Du Dich da besonders auskennst, ich habe mal über eine bestimmte Zeit jedes Captcha absichtlich im Negativ beantwortet, also immer das ausgewählt was falsch ist, warum erkennt die Scheiß Logik Maschine das nicht als Beweis an, ein Mensch macht das?

IP basiertes blocken… Ihr wisst doch woraus Botnetze immer mehr bestehen, aus IoT Geräten, die haben doch private IP Adressen, Ihr sperrt Kunden aus, cooles Konzept das hoffentlich bald durch intelligentere Systeme abgelöst wird.

Was macht der bot denn? Er stellt eine Login Abfrage mit Daten einer externen Datenbank oder verschickt Mails mit einem Formular. 3 Mal Login falsch IP-Block 5 Minuten warten, selbe IP nochmal 3 Mal Login falsch 10 Minuten warten…kommt die IP nochmal mit 3 falschen Logins mit insgesamt 9 verschiedenen Kombination 24h Block und Eintrag in die Externe Liste.
Da brauche ich doch keine externen Listen, also schon, aber ich sollte auch eigene Listen ebenfalls führen.

Beim Formular gibt es doch oft diese Themen Auswahl Balken, drei davon, wovon aber nicht alle zusammen passen, werfen Fehlermeldungen raus, mit diesen wie beim Login verfahren.
Bei ipfire nennt sich das der guard vom IDS. IDS gleicht Listen ab, der Guard blockt live bei Verstößen,

Warum soll man sich den Kopf zerbrechen über eine Sache die jemand schon bis zur Perfektion anbietet nur etwas anders Aussehen zu lassen. Kein Wunder haben die Entwickler da bald kein Interesse weiter zu machen, weil sie hinterher hinken.
Wir benötigen neue Ideen und nichts neu aufgewärmtes.

Das wird so groß bis massenweise Private IPs auf dem Blocklisten landen die IoT Geräte haben mittlerweile ein Ausmaß angenommen und das ist erst der Anfang, die bauen ja mittlerweile Dildos mit Wlan.
Dann wird kein Server lahm gelegt mit den Bots, sondern die Sorgen dafür das 70% der Kunden auf den Blocklisten landen, die sich den Arsch ab freuen über diese durchdachten Sicherheitssysteme. Also wird nicht dafür gesorgt da Server nicht mehr erreichbar sind, sondern das die Server Ihre Kunden selber aus sperren…

Kann eigentlich nur ein Fehler sein. Wüsste nicht was das für einen Sinn ergeben sollte. Ein „Absenden“-Button sollte nur dann anklickbar sein, wenn das Captcha gelöst wurde. Selbst wenn der Benutzer über die Browser-Web-Tools den Button anlickbar machen würde und das Formular versendet, sollte der Webserver mit einem Fehler antworten. Im Detail schickt der Browser einen Post-Request an eine bestimmte URL mit den Formulardaten im Body - alles weitere passiert dann serverseitig. Da gibt es viele Fehlerquellen. Letztendlich ist es nur eine einzige Codezeile die darüber entscheidet, ob als Status ein 200 (= OK) oder irgendein 400er (= Client-Fehler) an deinen Browser gesendet wird - unabhängig davon, ob die Formulardaten weiter verarbeitet werden oder nicht.

Wie soll man unterscheiden, ob ein Bot oder ein Mensch ein Captcha falsch löst?

Ja, „böser“ Traffic kann sowohl von irgendwelchen Hostern oder von privaten Anschlüssen kommen. Da kann und darf man aber keinen Unterschied machen. Das wird natürlich früher oder später auch potentielle Kunden treffen. Da kann man halt nix machen, oder sollte man beispielsweise DDoS-Attacken von privaten IP-Adressen ignorieren und dulden?

Der Nachteil an einer eigenen Blockliste ist das sehr begrenzte „Sichtfeld“. Eine Blockliste wie z.B. Stop Forum Spam haben zwar gute Listen und ein größeres Sichtfeld, allerdings mit dem zeitlichen Verzug. Tools wie reCaptcha haben einen großes Sichtfeld und können nahezu in Echtzeit reagieren. Den falschen Traffic weit vorher abzufangen und nicht bis zur Anwendung durchzureichen wäre natürlich die beste Lösung. Es lässt sich aber nicht vermeiden, dass mit dieser Methode alles abgewehrt wird.

Egal welche Variante(n) man einsetzt, im Idealfall prüft man regelmäßig welche Maßnahmen greifen und ob man „härtere“ Maßnahmen ergreifen muss. Das lässt sich im Vorfeld schwer abschätzen. Während die eine Maßnahme für Webseite A völlig ausreichend ist, kann die Maßnahme für Webseite B unzureichend sein. Diese „Wellen“ sind zu allem Überfluss nicht konstant, sondern unterschiedlich. Da kann sich von der einen Stunde auf die andere viel ändern.

Ist mir nachweislich aber mindestens einmal passiert solange mich der Kundendienst später als ich per Mail Adresse Kontakt aufnahm nicht belogen hat und keine Nachricht erhielt. Da ich aber des öfteren keine Antwort auf solche Formulare erhielt, wird das wohl öfters vorkommen.

Wenn ich von 3 Richtigen bei 9 Feldern immer die falschen 6 auswähle.
Sollte das doch erkennbar sein… zumindest für eine Logik Maschine die mehr als wahr/unwahr kennt.

Der Angreifer fügt Euch so doch viel mehr Schaden zu. Der Server wird nach dem Angriff erreichbar sein, aber für wen? Stehen doch alle auf der Blockliste…Eure Verteidigung wird zu Eurem größten Gegner.

Wenn man Entwickler reden hört weiẞ man woher diese perfiden Wunschvorstellungen einiger Wirtschaftsbosse jeden Menschen restlos überwachen und kontrollieren zu können kommen. Nennt man Präventionsmaßnahmen, die es staatlichen Behörden z.B. ermöglicht Menschen ohne jegliche Begründung und ohne richterliche Entscheidung auf unbestimmte Zeit einzusperren. Nur das ihr alle einsperrt danit keiner was böses tut.
Das was wir alle, oder zumindest die die Ihre Freiheit lieben, missbilligen und bekämpfen, gehört in der IT-Welt zum Alltag.

Es reicht doch wenn man mit Blocklisten arbeitet die statisch arbeiten und nicht so oft dafür aber.genauer sind und lokale Bedrohungen in Echtzeit nach den von mir oben genannten Prinzip behandelt.
Ich sehe kein Mehrwert vom Captcha.
Weil ich bin zu 100% eine false positiv Fehler des Systems.

Der Algorithmus, der darüber entscheidet, ob jemand als Mensch oder Maschine zu betrachten ist, wurde von Entwicklern (Menschen) entwickelt, die sich eben darauf beschränkt haben, nur die Anfragen durchzulassen, wo alle positiven Bilder erkannt werden. Hätte man natürlich auch andersherum machen können, wie Du gesagt hast, aber man hat eben einen einfachen Weg genommen. Es ist keine reine KI (da kommt höchstens in Teilen Mustererkennung dazu, aber keine umfassendere KI), keine „Logik-Maschine“. Also nicht dass ich das so genau weiß, aber alles andere macht wenig Sinn. Warum sollte man ein Tool komplexer und aufwendiger machen als nötig?

Ich formuliere es nochmal anders: Da ist kein KI-System, was darüber entscheidet, ob auf der anderen Seite ein Mensch sitzt und egal welcher Mensch da sitzt die richtige Antwort liefert. Sondern es ist ein System, was darauf ausgerichtet ist, dass ein Mensch als solcher irdentifiziert werden möchte (um Zugang zu bekommen) und deswegen die Spielregeln einhält und alles positive anklickt. Da wird nur überprüft, ob das angeklickte tatsächlich positiv (oder überwiegend positiv) ist und diese Leute bekommen grünes Licht.

„Keine Antwort“ zu bekommen ist kein sicheres Zeichen dafür. Damit lässt sich das weder beweisen noch wiederlegen.

Kann ich nicht bestätigen. Natürlich gibt es wie in jeder Branche „gute“ und „schlechte“. Pauschalisierungen und von „Alltag“ sprechen kann man definitiv nicht.

Wie gesagt, für Webseite A kann das ausreichen und für Webseite B nicht. Genau das ist ja das Komplexe an dem Thema. Captchas sind immer die letzte Möglichkeit Bots (und die o.g. Dienstleister) zu erkennen.

Blocklisten sind alles andere als in Echtzeit - einige werden nur 1x täglich aktualisiert und andere stündlich. Manche sind nicht frei Verfügbar und andere limitieren die möglichen Aktualisierungen.

Wenn ich die zu schnell löse werde ich auch abgelehnt oder muss viele hintereinander machen, also wird auf mehr geachtet als nur die Richtigkeit.

Sondern das der Kundendienst keine Lust hat oder wie?

Ich sprach niemanden personalisiert an und das die Logik Sprache der Maschine nur Strom an oder Strom aus kennt mit dem Bezug auf Aussagen wie entweder wahr oder falsch, greift die Maßnahme oder nicht, heißt im Gegenzug der Zweck heiligt die Mittel. Überwachen wir alle am besten so das sie es gar nicht merken und nicht so genau wissen,dann kann man sie am besten kontrollieren. Denn anders funktioniert es ja nicht.

Ja doch, indem ich sie zusätzlich selbst erstelle mit einem Guard eines IDS, hat man eine Echtzeit Maßnahme. Sobald zu viele Versuche, ein Tag Sperre. Sollte jemand mit IP kommen die auf statischer Blockliste sich befindet wird nicht mal der Versuch gestattet.
Zusätzlich, ist die IP 3 Tage hintereinander auf der internen Blockliste, wird diese den zuständigen Stellen gemeldet, dann befindet sich die IP auf der statischen Blockliste.

Stellt das kein Maßnahme da, die Wirkung zeigen würde? Wenn nein, dann nenne mir bitte mal ein Beispiel., vielleicht kann ich dem Google Captcha demnächst ja doch noch was abgewinnen.

Vielleicht. Vielleicht ist die Nachricht vom Support in Vergessenheit geraten. Vielleicht hat der Support die Nachricht an die Fachabteilung weitergeleitet und sie ist dort untergegangen. Vielleicht gab es ein technisches Problem. Alles kann, nichts muss. War ja anscheinend kein Ticketsystem, bei dem sowas fast ausgeschlossen werden kann. Keiner von uns kann weder das eine noch das andere beweisen. Es sind lediglich Vermutungen.

Hab ich auch nicht geschrieben.

Echtzeit ja, aber zum einen (das habe ich weiter oben schon geschrieben) hat eine eigene Blockliste ein sehr begrenztes „Sichtfeld“ und zum anderen wird bei einer Registrierung kein Fehler ausgelöst. Für einen fehlerhaften Login hättest du Recht, aber reCaptcha wird im Fall mailbox.org nicht bei einem Login eingebunden, sondern bei der Registrierung.

Kommt drauf an. Wie gesagt, dass kann am Beispiel des Loginbereichs für Webseite A ausreichen, aber für Webseite B nicht. Das kann für Webseite A dauerhaft eine Lösung sein und für Webseite B nur eine vorrübergehende - oder für Webseite A nur eine vorübergehende Lösung und für Webseite B dauerhaft keine Lösung. Für einen Registrierungsbereich ist es so oder so keine Lösung.

Erstelle eine Webseite mit einem Loginbereich und probiere nacheinander für je 24 Stunden:

• ohne Schutzmaßnahme
• frei verfügbare Blocklisten
• eigene Blocklisten
• reCaptcha
• Friendly Captcha
• hCaptcha
• eigene Captchas wie z.B. „Securimage“ (abhängig von der Programmiersprache)

Nein, im ernst, wie soll das funktionieren - abgesehen davon, dass 24h nicht aussagekräftig sind. Ob ein Captcha notwendig ist, hängt davon ab, ob die Webseite von Bots oder diesen Dienstleistern besucht wird oder nicht. Nicht jede Webseite ist davon betroffen und nicht jede betroffene Webseite ist davon dauerhaft betroffen. Genau das macht es ja so schwierig. Eine pauschale Lösung kann es nicht geben.

Nachdem was ich bis jetzt an Gutes und Schlechtes mitgemacht habe und ja ich bin einer von denen die Fragen stellen (nachdem ich die Hilfe oder das FAQ durchsucht habe) oder sich beschweren oder etwas melden wollen.
Interessiert nur keinen. Dann finde ich so ein hübsches Formular, was Dir freundlich meldet, das man sich um dich kümmert wird und Deine Nachricht beim absenden einfach löscht, gar nicht zu abwegig.
Gerade bei solchen Aussagen von Entwicklern das dort ein großes ? für den Außenstehenden stehen muss, weil könnte immer ein Fehler drin stecken.
Man schlägt zwei Fliegen mit einer Klappe, Kundenservice muss keine Anfrage per Mail (schriftlich heißt auch immer rechtssicher verfasst, am Telefon können die Lügen wie sie wollen, kannst man nicht beweisen) bearbeiten und der Entwickler muss sich mit keinen Bots am Formular rumärgen und kann recapchta weglassen

Ich spreche eigentlich die ganze Zeit von einer gemeinsamen Nutzung von statischen und dynamischen Listen. Was ist denn mit Sichtfeld gemeint, was Du jedes mal als Argument wählst? Das reCapchta in Echtzeit globale bedrohliche IP melden kann? Ist dem so?
Du möchtest eine Fehlermeldung bei einer Registrierung? Blende ein Text mir 40 Wörtern ein und würfel 3 Mal, der Nutzer soll jeweils die Wörter abzählen und die Drei Wörter eintragen. Oder man muss Auswahlboxen mit richtigen Aussagen in der Anmeldung die immer an verschiedenen Stellen stehen auswählen.
Es ist doch nicht so schwer sich ein einfaches Rätsel auszudenken und in die Webseite einzubauen…
kleines Info i mit PoPup was dem Nutzer erklärt, wir verzichten lieber auf reCaptcha ihrem Datenschutz zu liebe.

Und wenn reCapchta so gut ist, warum kann man im kostenlosen Monat von mailbox.org keine anderen domains anschreiben und auch nur eine begrenzte Stückzahl. Ich finde diese Maßnahme von mailbox perfekt. Ich würde diese „Probe“ auf einem extra Server verlegen, wo die von Software auf Ihre Tätigkeiten hin überwacht werden. Sobald der Account bezahlt wurde, zieht das Postfach auf die nicht überwachten Server um. Ein Bot der den mailbox Nutzer mit 5 Nachrichten am Tag nervt und das tausendfach, braucht schon Mailadress Listen um wirklich mal kurz lästig zu sein.
Wenn der Anmeldename schon nach bot stinkt, bekommt der auch direkt Sperre Mails zu versenden, der Nutzer bekommt ne aussagekräftige Fehlermeldung, nachdem die Wahl des Namens dem eines bots zu sehr ähnelt und man bitte ein Mail schreiben soll mit der Bitte um Freischaltung.
Das klick verhalten kann man doch im erstem Monat Prima aufzeichnen um bots zu erkennen.

Und wie ist die gängige Praxis? man greift zu bewerten Methoden auf Kosten der Daten, sind doch bloss Kunden, Man könnte fast meinen, da alle Antibotmaßnahmen bis auf reCaptcha nicht optimal sind und ab einem bestimmten Level des Angriffs, das der Bot einfach Google reCapchta Seiten generell nicht angreift, weil er so programmiert ist, aber ein Schelm…

Naja es ist Software, die kann immer Fehler enthalten. Meiner Erfahrung nach hat bisher jedes von mir genutzte Kontaktformular einwandfrei funktioniert. Aus meiner Sicht also ein eher sehr kleines Fragezeichen.

Also mit einem eigenen Captcha. Ich habe deine Beiträge bisher so verstanden, dass du gar kein Captcha einsetzen und stattdessen eine eigene Blockliste verwenden möchtest (siehe Beispiel) - ohne Captcha gibt es dann bei der Registrierung natürlich nichts zu protokollieren. Mit einem „eigenen“ Captcha lassen sich Fehlversuche protokollieren, allerdings ersetzt das nur die einen Teil der Funktionen eines „externen“ Captchas (siehe nächsten Absatz).

Ja, reCaptcha bzw. alle „externen“ Captcha-Dienste überblicken einen weit größeren Teil, als nur eine einzelne Webseite. So lässt sich beispielsweise eine ungewöhnlich hohe Anzahl von Anfragen in kurzer Zeit erkennen - ganz egal ob korrekt gelöst oder falsch. Somit würde man Dienstleister, bei denen echte Menschen diese Captchas lösen, „enttarnen“.

Das musst du mailbox.org fragen. Aus meiner Sicht ist es eine zusätzliche Absicherung. Dagegen ist nichts einzuwenden - ganz im Gegenteil. Captchas sind nicht unüberwindbar (wurde auch nie behauptet) und sollte insbesondere bei E-Mail Postfächern mMn nicht die einzige Schutzmaßnahme sein.

Die gängige Praxis ist, dass es keine gängige Praxis gibt. Es gibt genügend Webseiten, die kein reCaptcha einsetzen und stattdessen auf andere Captcha-Methoden oder gar kein Captcha verwenden und stattdessen auf andere Methoden setzen (bspw. Discourse). Auf der Registrierungsseite von mailbox.org wird für Anwender die mit einer deutschen IP-Adresse „ankommen“ kein reCaptcha angezeigt, sondern eine eigene Captcha-Lösung. Perfekt sind Captchas (egal welche) allerdings sowieso nicht und verlieren meiner Meinung nach mit der Zeit an Bedeutung - zumindest wenn sich am grundlegenden Prinzip nichts ändert.

Wir (mein Arbeitgeber) haben gerade erst reCAPTCHA auf unseren Registrierungsseiten komplett entfernt, weil es keinen messbaren Vorteil gebracht hat. Die Spammer sind trotzdem durchgekommen und die richtigen Benutzer wurden durch das lästige CAPTCHA abgeschreckt.

Schon gesehen, mailbox.org hat im dritten Registrierungsschritt ( https://register.mailbox.org/de/secure2 ) auf friendly captcha umgestellt.
Gute Move, endlich ist evil Google wech!!

Gibts hier Erfahrungen aus Firmensicht? Taugts?

Macht Googles reCaptcha (immer noch) ein Foto vom Bildschirm, wie hier behauptet?

https://cortina-consult.com/online-datenschutz/google-recaptcha-dsgvo-alternativen/

Von diesem „Goody“ war mir bislang gar nichts bekannt.
Vielleicht mal den Verfasser des Beitrages darauf ansprechen und … .

Fakt ist, dass Google reCAPTCHA neben seiner einen nützlichen Funktion viele sehr unschöne Sachen macht. Vor längerer Zeit bin ich auf einen Blogbeitrag eines renommierten internationalen Magazins gestoßen, wo das Thema näher beleuchtet wurde (inkl. entsprechender Quellangaben).

Zudem gibt es die Situationen, wo man mit Google reCAPTCHA gar keine messbaren Vorteile erzielt, wie @elfchen oben schrieb. Trotzdem wird diese fragwürdige Webanwendung immer wieder gerne genutzt und eingesetzt (Bsp.: „kleinanzeigen.de“, ehem. „ebay-kleinanzeigen.de“).