Erweiterung für Browser

Für Unternehmen

Preise

Blog

Dokumentation

Deutsch

FunCaptcha
und CapMonster Cloud

CAPTCHA-Lösung, Installation auf der Website und Testen.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website FunCaptcha (Arkose Labs CAPTCHA) eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von FunCaptcha (Arkose Labs CAPTCHA), damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist FunCaptcha

FunCaptcha ist ein interaktives Bot-Schutzsystem, das von Arkose Labs entwickelt wurde. Es überprüft, ob ein Nutzer ein echter Mensch ist, mithilfe von spielerischen und visuellen Aufgaben, die für Menschen leicht, aber für Automatisierung schwer zu lösen sind. FunCaptcha wird zum Schutz von Registrierungen, Logins, Online-Zahlungen, Marketingkampagnen sowie zur Verhinderung von Betrug, Spam und massenhaften automatisierten Aktionen eingesetzt.

Beispiele von FunCaptcha

Drehen eines 3D-Objekts

Der Nutzer dreht ein 3D-Modell oder eine Figur, um sie in die richtige Position zu bringen.

Auswahl von Objekten nach Bedingung

Es müssen Bilder oder Elemente ausgewählt werden, die einer vorgegebenen Regel entsprechen (z. B. „Wählen Sie alle Äpfel aus“).

Interaktive Aufgaben (Drag-and-Drop / Pfad folgen)

Der Nutzer führt Aktionen mit Elementen aus, z. B. verschiebt er sie entlang eines bestimmten Pfades.

Audio-Fragen

Der Nutzer hört sich ein Audio an und wählt die richtige Antwort (wird seltener verwendet, als Alternative zu visuellen Aufgaben).

Wie man FunCaptcha über CapMonster Cloud löst

Beim Testen von Formularen mit FunCaptcha entsteht häufig die Notwendigkeit, die Funktion der CAPTCHA zu überprüfen und sicherzustellen, dass sie korrekt integriert ist.

Sie können die auf Ihrer Website eingebundene CAPTCHA manuell testen.

Öffnen Sie die Seite mit dem Formular und stellen Sie sicher, dass die CAPTCHA angezeigt wird.
Versuchen Sie, das Formular ohne Lösen der CAPTCHA abzusenden — der Server sollte einen Fehler zurückgeben.
Nach erfolgreichem Lösen der CAPTCHA sollte das Formular ohne Fehler gesendet werden.

Für die automatische Erkennung der CAPTCHA können spezialisierte Dienste verwendet werden, z. B. CapMonster Cloud — ein Tool, das die CAPTCHA-Parameter entgegennimmt, sie auf eigenen Servern verarbeitet und einen fertigen Token zurückgibt. Dieser Token kann in das Formular eingefügt werden, um die Prüfung ohne Benutzerinteraktion zu bestehen.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt übermitteln Sie Ihren API-Schlüssel, den CAPTCHA-Typ und dessen Parameter. Der Service gibt eine eindeutige taskId zurück, über die später das Ergebnis abgerufen werden kann.

API-Anfrage senden

In der Anfrage zur Lösung von FunCaptcha müssen folgende Parameter angegeben werden:

type - FunCaptchaTask

websiteURL - die Adresse der Seite, auf der die CAPTCHA gelöst wird;

websitePublicKey - der FunCaptcha-Schlüssel (Wert Public Key oder pk);

data - ein zusätzlicher Parameter. Er ist erforderlich, wenn auf der Website data[blob] verwendet wird;

funcaptchaApiJSSubdomain - das Arkose-Labs-Subdomain (Wert surl). Geben Sie es an, wenn es vom Standard abweicht: client-api.arkoselabs.com

userAgent - User-Agent des Browsers. Übermitteln Sie nur einen aktuellen UA von einem Windows-Betriebssystem.

Für diese Aufgabe ist außerdem die Verwendung Ihrer Proxys erforderlich:

proxyType :

http – gewöhnlicher HTTP/HTTPS-Proxy;
https – probieren Sie diese Option, wenn „http“ nicht funktioniert (erforderlich für einige benutzerdefinierte Proxys);
socks4 – Proxy vom Typ SOCKS4;
socks5 – Proxy vom Typ SOCKS5.

proxyAddress - IP-Adresse des Proxys (IPv4/IPv6).

proxyPort - Proxy-Port.

proxyLogin - Login des Proxy-Servers.

proxyPassword - Passwort des Proxy-Servers.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "FunCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websitePublicKey": "EX72CCFB-26EX-40E5-91E6-85EX70BE98ED",
    "funcaptchaApiJSSubdomain": "example-api.arkoselabs.com",
    "data": "{\"blob\":\"nj9UbL+yio7goOlTQ/b64t.ayrrBnP6kPgzlKYCP/kv491lKS...Wot/7gjpyIxs7VYb0+QuRcfQ/t6bzh5pXDkOFSskA/V/ITSVZSAlglIplLcdreZ4PE8skfMU6k1Q\"}",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36",
    "proxyType": "http",  // Fügen Sie bei Bedarf einen Proxy hinzu
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:


{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "337187b9f57678923.5060184402|r=us-west-2|lang=en|pk=EX72CCFB-26EX-40E5-91E6-85EX70BE98ED|at=40|ag=101|cdn_url=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc|surl=https%3A%2F%2Fclient-api.arkoselabs.com|smurl=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc%2Fassets%2Fstyle-manager",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36"
  },
  "status": "ready"
}

Token auf der Seite einsetzen

Der erhaltene Token kann in ein verborgenes Formularfeld eingefügt oder über eine JS-Funktion auf der Website zur Bestätigung der Lösung verwendet werden. Danach akzeptiert der Server das Formular als korrekt ausgefüllt. Für Automatisierung und Tests eignen sich Puppeteer, Selenium oder Playwright, da sie Benutzeraktionen emulieren, Tokens einfügen und Formulare absenden können.


// npm install playwright
const { chromium } = require("playwright");

const WEBSITE_URL = "https://example.com";
// Token, der von CapMonster Cloud erhalten wurde
const FUN_CAPTCHA_TOKEN = "PUT_YOUR_FUN_CAPTCHA_TOKEN_HERE"; 

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  /**
   * Universeller Arkose-Interceptor (v1 / v2)
   * Wird vor dem Laden der Seite ausgeführt
   */
  await page.addInitScript(() => {
    const callbacks = [];

    function captureCallback(cb, source) {
      if (typeof cb === "function") {
        callbacks.push(cb);
        console.log("[Arkose] callback captured from", source);
      }
    }

    function patchRender(obj, name) {
      if (!obj || typeof obj.render !== "function") return;

      const originalRender = obj.render;
      obj.render = function (container, options = {}) {
        captureCallback(options.callback, name + ".render");
        return originalRender.apply(this, arguments);
      };
    }

    // Abfangen über Object.defineProperty (wird häufig von Arkose verwendet)
    const originalDefineProperty = Object.defineProperty;
    Object.defineProperty = function (target, prop, descriptor) {
      if (
        (prop === "FunCaptcha" || prop === "ArkoseEnforcement") &&
        descriptor &&
        typeof descriptor.value === "object"
      ) {
        patchRender(descriptor.value, prop);
      }
      return originalDefineProperty.apply(this, arguments);
    };

    // Fallback: periodische Überprüfung globaler Objekte
    const interval = setInterval(() => {
      if (window.FunCaptcha) patchRender(window.FunCaptcha, "FunCaptcha");
      if (window.ArkoseEnforcement)
        patchRender(window.ArkoseEnforcement, "ArkoseEnforcement");

      if (callbacks.length > 0) clearInterval(interval);
    }, 200);

    // Universeller Punkt zur Übergabe des Tokens
    window.__arkoseSolve = function (token) {
      if (callbacks.length > 0) {
        callbacks.forEach((cb) => cb(token));
        console.log("[Arkose] token delivered via captured callbacks");
        return true;
      }

      // Alternative Varianten
      if (typeof window.arkoseCallback === "function") {
        window.arkoseCallback(token);
        console.log("[Arkose] token delivered via arkoseCallback");
        return true;
      }

      // Fallback
      window._arkoseToken = token;
      console.log("[Arkose] token stored in window._arkoseToken");
      return false;
    };
  });

  /**
   * Seite öffnen
   */
  console.log("Opening page...");
  await page.goto(WEBSITE_URL, { waitUntil: "domcontentloaded" });

  /**
   * Hier sollte die Website FunCaptcha initialisieren
   * (Registrierung, Login, Button, Formular usw.)
   */

  /**
   * Fertigen Token übergeben
   */
  console.log("Injecting FunCaptcha token...");
  await page.evaluate((token) => {
    if (!window.__arkoseSolve) {
      console.log("[Arkose] solver not ready");
      return;
    }
    window.__arkoseSolve(token);
  }, FUN_CAPTCHA_TOKEN);

  /**
   * Der Seite Zeit geben, das Ergebnis zu verarbeiten
   */
  await page.waitForTimeout(5000);

  console.log("Done.");
  await browser.close();
})();

Es besteht außerdem die Möglichkeit, die CAPTCHA-Erkennung mithilfe der CapMonster-Cloud-Browsererweiterung zu testen. Damit können Sie die Funktion der CAPTCHA direkt auf der Seite überprüfen und den Lösungsprozess in Echtzeit verfolgen — ganz ohne Code. Verfügbar für Chrome und Firefox.

Wie man FunCaptcha in die eigene Website integriert

Um die Funktionsweise der CAPTCHA auf Ihrer Website sicher zu verstehen, die Prüfungslogik nachzuvollziehen sowie die Integration neu einzurichten oder anzupassen, empfehlen wir, diesen Abschnitt zu studieren. Er beschreibt den Prozess der Einbindung des Schutzes und hilft, alle Details schnell zu verstehen.

Registrieren Sie sich bei Arkose Labs und erhalten Sie Zugriff auf das Arkose Command Center (Sie können den Chat nutzen und Ihre Daten im Formular angeben, z. B. hier oder hier).
Nach Erhalt des Zugriffs bekommen Sie zwei Schlüssel (Public / Private) im Bereich Settings → Keys.
Wenden Sie sich bei Bedarf an den Customer Success Manager (CSM) für:
- Erhalt benutzerdefinierter API-Domains;
- Verify-API-Schemas für Anfragen und Antworten.

Empfehlungen von Arkose

Verwenden Sie einen Development Key für Tests.
Verwenden Sie einen separaten Production Key für jeden Workflow (Login, Registrierung, Kauf usw.).
Verwenden Sie unterschiedliche Schlüssel für verschiedene Websites.

Allgemeiner Ablauf

Der Client sammelt Daten und zeigt bei Bedarf eine Challenge an.
Der Client erhält einen einmaligen Token.
Der Server überprüft den Token über die Arkose Verify API.

Schritt 1. Client-seitige Integration

Auf Browser-Seite (Arkose Bot Manager):

Analyse des Nutzerverhaltens;
Anzeige einer Enforcement Challenge bei Bedarf;
Rückgabe eines einmaligen Session-Tokens.

Client API:

Für Tests kann Folgendes verwendet werden:
client-api.arkoselabs.com
Für die Produktion empfiehlt es sich, eine benutzerdefinierte Domain anzugeben:
<company>-api.arkoselabs.com

Grundlegende Anforderungen

Das Arkose-Client-Skript wird nur einmal pro Seite eingebunden
Ein globaler Callback muss definiert werden
setConfig() muss zwingend aufgerufen werden
Basierend auf dem Ergebnis wird eine Entscheidung getroffen (Aktion erlauben oder ablehnen).

Das Ergebnis der Client-Arbeit ist ein Token, der an den Server gesendet werden muss.

Integrationsbeispiel


<html>
<head>
  <!--
    Binden Sie die Arkose-Labs-API im <head> der Seite ein. Im folgenden Beispiel unbedingt:
    - ersetzen Sie <YOUR PUBLIC KEY> durch den von Arkose Labs bereitgestellten Public Key;
    - ersetzen Sie <YOUR CALLBACK> durch den Namen der globalen Callback-Funktion, die Sie unten definieren.
   Beispiel:
    <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js"
            data-callback="setupDetect"></script>
  -->
  <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js" data-callback="<YOUR CALLBACK>"></script>
  <link rel="shortcut icon" href="#">
  <meta charset="UTF-8">
</head>

<body>
  <!--
    Das Trigger-Element kann sich an beliebiger Stelle der Seite befinden und jederzeit dem DOM hinzugefügt werden.
  -->
  <button id="arkose-trigger">
    Trigger-Element
  </button>

  <!--
    Zur Konfiguration von Arkose (Detection- oder Enforcement-Modus) platzieren Sie das Skript vor dem schließenden </body>-Tag und definieren Sie die Callback-Funktion als global.
  -->
  <script>
    /*
      Diese globale Funktion wird aufgerufen, sobald die Arkose-API bereit ist. Der Funktionsname muss mit dem Wert des Attributs data-callback des script-Tags übereinstimmen, das die Arkose-API lädt.
    */
    function setupArkose(myArkose) {
      myArkose.setConfig({
        selector: '#arkose-trigger',
        onCompleted: function(response) {
          // Einmaliger Token, der an den Server gesendet werden muss
          console.log(response.token);
        }
      });
    }
  </script>
</body>
</html>

Schritt 2. Server-seitige Überprüfung

Auf dem Server wird der Token über die Arkose Verify API überprüft.

Verify API endpoint

https://<company>-verify.arkoselabs.com/api/v4/verify/

Erforderliche Anfrageparameter

Beispiel für den Body einer POST-Anfrage


{
  "private_key": "_PRIVATE_KEY_HERE_",
  "session_token": "_SESSION_TOKEN_HERE_",
  "log_data": "_LOG_DATA_HERE_"
}

Die API-Antwort enthält Informationen zur Session und zum Prüfergebnis.

Wichtige Punkte

Beispiel einer serverseitigen Überprüfung in PHP:


<?php
$private_key = 'IHR_PRIVATE_KEY';
$verify_url = 'https://<company>-verify.arkoselabs.com/api/v4/verify/';

$input = json_decode(file_get_contents('php://input'), true);
$session_token = $input['session_token'] ?? null;
$log_data = $input['log_data'] ?? '';
$email_address = $input['email_address'] ?? '';

if (!$session_token) {
    http_response_code(400);
    echo json_encode(['error' => 'Session-Token fehlt']);
    exit;
}

$data = [
    'private_key' => $private_key,
    'session_token' => $session_token,
    'log_data' => $log_data,
    'email_address' => $email_address
];

$options = [
    'http' => [
        'header'  => "Content-Type: application/json\r\n",
        'method'  => 'POST',
        'content' => json_encode($data),
    ],
];

$context  = stream_context_create($options);
$result = file_get_contents($verify_url, false, $context);

if ($result === FALSE) {
    http_response_code(500);
    echo json_encode(['error' => 'Fehler bei der CAPTCHA-Überprüfung']);
    exit;
}

echo $result;
?>

So funktioniert es:

Weitere Informationen zur Integration von FunCaptcha auf Ihrer Website finden Sie in der offiziellen Dokumentation.

Mögliche Fehler und Debugging

Ungültige Anfrageparameter

Stellen Sie sicher, dass Sie den Public Key für den Client und den Private Key für den Server korrekt angeben und einen gültigen session_token an die Verify API übermitteln.

Leerer oder ungültiger session_token

Der Server erhält ein leeres Ergebnis oder einen Prüfungsfehler. Prüfen Sie, ob der Client den Token nach dem Lösen der CAPTCHA korrekt sendet.

Zeitüberschreitung bei der Lösung

Wenn der Nutzer die Prüfung nicht rechtzeitig abschließt, kann der Arkose-Server einen Fehler zurückgeben oder die Verifizierung ablehnen. Erhöhen Sie die zulässige Wartezeit auf der Server-Seite.

Tests der Schutzstabilität

Versuchen Sie, eine Anfrage ohne session_token zu senden — die serverseitige Prüfung sollte einen Fehler zurückgeben und die Anfrage ablehnen.

Führen Sie Lasttests durch (z. B. mit k6 oder JMeter) bei 100–200+ Anfragen pro Sekunde — die CAPTCHA sollte korrekt initialisiert werden und das Backend die Prüfungen stabil verarbeiten.

Prüfen Sie das Verhalten bei abgelaufenem session_token — der Server sollte einen Fehler zurückgeben und die Verifizierung ablehnen.

Prüfen Sie die Wiederverwendung desselben Tokens — erwartetes Ergebnis: Die Verifizierung wird abgelehnt.

Tipps zu Sicherheit und Optimierung

<b>Speichern Sie den Private Key ausschließlich auf dem Server</b> und binden Sie ihn nicht in den Client-JS-Code ein.

Speichern Sie den Private Key ausschließlich auf dem Server und binden Sie ihn nicht in den Client-JS-Code ein.

Protokollieren Sie vollständige Antworten der Arkose Verify API, einschließlich Prüfstatus, Fehlercode und übermittelter Parameter — dies erleichtert die Fehlerdiagnose.

Protokollieren Sie vollständige Antworten der Arkose Verify API, einschließlich Prüfstatus, Fehlercode und übermittelter Parameter — dies erleichtert die Fehlerdiagnose.

Verwenden Sie <b>HTTPS</b> für alle Anfragen (Client → Server → Verify API), um Manipulationen auszuschließen.

Verwenden Sie HTTPS für alle Anfragen (Client → Server → Verify API), um Manipulationen auszuschließen.

Platzieren Sie auf der Website Links zur <b>Datenschutzerklärung</b> und zu den <b>Nutzungsbedingungen von Arkose Labs</b>, wie es die Lizenz erfordert.

Platzieren Sie auf der Website Links zur Datenschutzerklärung und zu den Nutzungsbedingungen von Arkose Labs, wie es die Lizenz erfordert.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von FunCaptcha reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie FunCaptcha identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

FunCaptcha-Dokumentation (Arkose Labs CAPTCHA) →

Formular zur Anfrage für die FunCaptcha-Integration →

CapMonster-Cloud-Dokumentation (Arbeit mit FunCaptcha) →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

FunCaptcha und CapMonster Cloud

Wie man FunCaptcha über CapMonster Cloud löst

FunCaptcha
und CapMonster Cloud