Loading...
Preise für ALTCHA-Lösung
Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?
In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.
Wenn Sie feststellen, dass auf Ihrer Website ALTCHA eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von ALTCHA, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.
Was ist ALTCHA
ALTCHA (Alternative CAPTCHA) ist ein System zum Schutz einer Website vor Bots und Spam. Es hilft dabei, echte Benutzer von automatisierten Programmen zu unterscheiden, damit die Website sicher und stabil funktioniert. ALTCHA ist eine moderne Alternative zu herkömmlichen Captchas: Es verwendet eine leichte kryptografische Aufgabe (Proof-of-Work) und sammelt dabei keine Cookies und verfolgt keine Benutzer.
Beispiele von ALTCHA
Proof-of-Work (PoW)
Das System verwendet standardmäßig die Proof-of-Work-(PoW)-Verifikation, wodurch visuelle Rätsel und aufdringliche Prüfungen ausgeschlossen werden. Dieser Ansatz kombiniert Sicherheit und Benutzerfreundlichkeit und bietet eine unaufdringliche Captcha-Lösung, die für die meisten Besucher geeignet ist.
Code Captcha
Der Schutz kann bis zur Durchführung eines Text-Captchas verstärkt werden.
Invisible Captcha
Die Überprüfung erfolgt ohne sichtbares Widget und erfordert keinerlei Benutzeraktionen.
Wie man ALTCHA über CapMonster Cloud löst
Beim Testen von Formularen mit ALTCHA müssen Sie häufig prüfen, ob die Captcha korrekt eingebunden ist und funktioniert.
Sie können die auf Ihrer Seite eingebettete Captcha manuell testen.
- Öffnen Sie die Formularseite und stellen Sie sicher, dass die Captcha angezeigt wird.
- Versuchen Sie, das Formular ohne Lösung abzuschicken – der Server sollte einen Fehler melden.
- Nach einer erfolgreichen Lösung muss das Formular ohne Probleme übermittelt werden.
Für automatisches Lösen können Sie Tools wie CapMonster Cloud einsetzen. Der Dienst nimmt die Captcha-Parameter entgegen, verarbeitet sie auf seinen Servern und liefert einen einsatzbereiten Token zurück. Diesen Token setzen Sie ins Formular ein, um die Prüfung ohne Benutzerinteraktion zu bestehen.
Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:
Aufgabe erstellen
In diesem Schritt übermitteln Sie Ihren API-Schlüssel, den Captcha-Typ und dessen Parameter. Der Dienst gibt eine eindeutige taskId zurück, unter der später das Ergebnis abgerufen werden kann.
API-Anfrage sendenDie Anfrage zur Lösung von ALTCHA muss folgende Parameter enthalten:
type - CustomTask
class - altcha
websiteURL - Adresse der Seite, auf der das Captcha gelöst wird
websiteKey - Für diese Aufgabe ist es zulässig, einen leeren String zu senden.
challenge (innerhalb von metadata) - eine eindeutige Aufgaben-ID, die von der Webseite stammt.
iterations (innerhalb von metadata) - die Anzahl der Iterationen oder der maximale Wert für die Berechnung. Wichtig: Der Parameter iterations entspricht dem Wert maxnumber!
salt (innerhalb von metadata) - das von der Webseite erhaltene Salt, das zur Hash-Generierung verwendet wird.
Lösung, Token-Einsetzung und Formularübermittlung
Beispiel in Node.js für den vollständigen Ablauf der Captcha-Lösung auf Ihrer Webseite. Mögliche Ansätze: HTTP-Anfragen senden, um HTML und Captcha-Parameter abzurufen, die Antwort zu senden und das Ergebnis zu verarbeiten; oder mit Automatisierungstools wie Playwright — die Seite öffnen, auf das Captcha warten, Parameter übermitteln (zum Testen können Sie sowohl korrekte als auch falsche Daten senden), das Ergebnis über den CapMonster-Cloud-Client abrufen, das Token in das Formular einfügen und das Resultat sehen.
// npm install playwright
// npx playwright install chromium
const { chromium } = require("playwright");
const API_KEY = "YOUR_API_KEY";
const ALTCHA_PAGE = "https://example.com"; // Ihre Website mit ALTCHA
(async () => {
const browser = await chromium.launch({ headless: false, devtools: true });
const context = await browser.newContext();
const page = await context.newPage();
// Wir fangen alle Antworten des Altcha-Endpunkts ab
let challengeResp = null;
page.on("response", async (response) => {
try {
const url = response.url();
if (url.startsWith("https://captcha.example.com/altcha")) { // Altcha-Endpunkt
challengeResp = await response.json();
console.log("Captured Altcha response:", challengeResp);
}
} catch (err) {
console.warn("Error parsing Altcha response:", err);
}
});
await page.goto(ALTCHA_PAGE, { waitUntil: "networkidle" });
// Klick auf das Widget, falls vorhanden
const widgetHandle = await page.$("altcha-widget");
if (widgetHandle) {
try {
await widgetHandle.click();
} catch {}
}
// Warten auf das Erscheinen des challenge
const start = Date.now();
while (!challengeResp && Date.now() - start < 60000) { // Timeout erhöht
await new Promise((r) => setTimeout(r, 300));
}
if (!challengeResp) {
console.error("Failed to capture Altcha challenge.");
await browser.close();
return;
}
const { challenge, salt, signature, maxnumbers } = challengeResp;
// Aufgabe bei CapMonster Cloud erstellen
const createTaskBody = {
clientKey: API_KEY,
task: {
type: "CustomTask",
class: "altcha",
websiteURL: ALTCHA_PAGE,
websiteKey: "",
userAgent:"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36",
metadata: {
challenge,
iterations: maxnumbers || 100000,
salt,
signature,
},
},
};
const taskResp = await fetch("https://api.capmonster.cloud/createTask", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify(createTaskBody),
}).then((r) => r.json());
console.log("CreateTask response:", taskResp);
if (!taskResp?.taskId) {
console.error("CreateTask failed:", taskResp);
await browser.close();
return;
}
const taskId = taskResp.taskId;
// Lösung abrufen
let fullSolution = null;
const pollStart = Date.now();
while (Date.now() - pollStart < 120000) {
const res = await fetch("https://api.capmonster.cloud/getTaskResult", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({ clientKey: API_KEY, taskId }),
}).then((r) => r.json());
if (res.status === "ready") {
fullSolution = res.solution;
console.log("Solution:", fullSolution);
break;
}
await new Promise((r) => setTimeout(r, 3000));
}
if (!fullSolution) {
console.error("No solution received in time.");
await browser.close();
return;
}
const token = fullSolution?.data?.token || fullSolution?.token || fullSolution?.data;
if (!token) {
console.error("Token not found in solution:", fullSolution);
await browser.close();
return;
}
//Token einfügen
await page.evaluate((t) => {
let input = document.querySelector("#captchaParaValidar");
if (!input) {
input = document.createElement("input");
input.type = "hidden";
input.id = "captchaParaValidar";
input.name = "captchaParaValidar";
(document.querySelector("form") || document.body).appendChild(input);
}
input.value = t;
let alt = document.querySelector('input[name="altcha"]');
if (!alt) {
alt = document.createElement("input");
alt.type = "hidden";
alt.name = "altcha";
(document.querySelector("form") || document.body).appendChild(alt);
}
alt.value = t;
const widget = document.querySelector("altcha-widget");
if (widget) {
widget.setAttribute("data-state", "verified");
const checkbox = widget.querySelector("input[type='checkbox']");
if (checkbox) {
checkbox.checked = true;
checkbox.dispatchEvent(new Event("change", { bubbles: true }));
}
const label = widget.querySelector(".altcha-label");
if (label) label.textContent = "Verified";
}
}, token);
console.log("Token injected:", token);
})();Wie man ALTCHA auf seiner Website einbindet
Um sich sicher in der Funktionsweise des Captchas auf Ihrer Website zurechtzufinden, dessen Prüfungslogik zu verstehen, es neu zu konfigurieren oder erneut zu integrieren, empfehlen wir Ihnen, diesen Abschnitt zu lesen. Hier wird der gesamte Einbindungsprozess beschrieben — das hilft Ihnen, alle Feinheiten schnell zu verstehen.
1. Widget-Installation
Variante 1 — über CDN (am einfachsten). Fügen Sie im <head> Ihres HTML Folgendes hinzu:
<script async defer src="https://cdn.jsdelivr.net/gh/altcha-org/altcha/dist/altcha.min.js" type="module"></script>Variante 2 — über npm:
npm install altchaImportieren Sie das Widget in Ihre JS-Datei:
import "altcha";2. Hinzufügen des Widgets zum Formular.
Fügen Sie die Komponente <altcha-widget> in das Formular ein, das geschützt werden soll:
<form method="POST" action="/submit">
<altcha-widget challengeurl="/altcha/challenge"></altcha-widget>
<button type="submit">Send</button>
</form>challengeurl — Ihr serverseitiger Endpoint zur Ausgabe der Challenge.
Wenn Sie ALTCHA Sentinel verwenden (eine fertige Serversicherheitslösung gegen Bots und Spam, inkl. Machine-Learning und Traffic-Analyse), verwenden Sie statt Ihres eigenen Servers dessen URL:
<altcha-widget
challengeurl="https://sentinel.example.com/v1/challenge?apiKey=YOUR_API_KEY">
</altcha-widget>
3. Serverseitige Überprüfung.
Wie die Überprüfung abläuft:
- 1) Das Widget generiert ein Payload — Base64-codiertes JSON, das normalerweise als Formularfeld altcha gesendet wird.
Mögliche Fehler und Debugging
Ungültige challengeurl oder API Key
Das Widget lädt nicht oder liefert beim Prüfen einen Fehler zurück.
Lösungs-Timeout
Der Server hatte keine Zeit, den Payload zu überprüfen. Erhöhen Sie das Timeout oder stellen Sie sicher, dass die serverseitige Überprüfung korrekt funktioniert.
Leerer Payload
Fehler bei der Übertragung des Ergebnisses vom Widget an den Server.
Verification failed
Payload ist abgelaufen, erneut verwendet oder manipuliert. Aktivieren Sie das Logging und prüfen Sie die Felder verified und verificationData in der Antwort des Servers oder Sentinel.
Tests der Schutzstabilität
Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.
Versuchen Sie eine Anfrage ohne Captcha-Lösung — der Server sollte success: false zurückgeben.
Führen Sie einen Lasttest (z. B. mit k6 oder JMeter) bei mehr als 100 Anfragen pro Sekunde durch — das Captcha sollte korrekt angezeigt werden und das Validierungssystem stabil bleiben.
Prüfen Sie die Serverreaktion bei abgelaufenem oder erneut gesendetem Token — die erwartete Antwort ist 403 Forbidden.
Tipps zu Sicherheit und Optimierung
Speichern Sie geheime Schlüssel (HMAC oder API Key für Sentinel) nur auf dem Server — senden Sie sie nicht an das Frontend.
Protokollieren Sie Fehler und Verifizierungsereignisse (verified: false und verificationData), um die Gründe für fehlgeschlagene Prüfungen zu verstehen.
Für Transparenz und Nutzervertrauen fügen Sie Links zur Datenschutzrichtlinie und zu den ALTCHA Nutzungsbedingungen hinzu, falls erforderlich.
Unterstützte Captchas
reCAPTCHA v2
GeeTest
Cloudflare Turnstile
DataDomeFazit
Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.
Im Fall von ALTCHA reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie ALTCHA identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.
Nützliche Links
Amazon Waf
Faucet Pay
Imperva (Incapsula)
Prosopo
Text CAPTCHA
Yidun
MTCaptcha
Funcaptcha
TSPD
Hunt
Alibaba
Friendly