Missbrauchspotential durch Spam/Bots (Formular ohne Captcha)

  • davidkoster89

    (@davidkoster89)


    1 month ago

    Hallo Dennis,

    danke für die Bereitstellung des Plugins, welches wir indirekt via Germanized verwenden. Bei uns ist es so, dass wir ca. 1-2 Widerrufe pro Monat haben und die Kunden antworten in der Regel einfach per Mail auf die Bestell-Bestätigungsmail. Einen großen Mehrwert hat diese neue Richtlinie da nicht für den Kunden und für uns auch nicht. Die EU-Richtlinie ist ja aber nicht eure Schuld, und das Abmahn(un)wesen ja auch nicht – von daher wie gesagt: Danke.

    Was ich mich jedoch frage: Es gibt jetzt ein ungeschütztes Formular ganz ohne Captcha. Kann man nicht per Bot das zig fach triggern (als “Gast”)? Die fortlaufend nummerierten Bestellnummer zu raten ist auch nicht so schwierig. Durch den neuen Workflow mit den neuen Status wie “Widerrufen” und “Widerruf ausstehend” kann so ein Bot für ziemlich viel Arbeit sorgen und mal eben alle Bestellungen durcheinander schütteln.

    Wie siehst du diesen potentiellen Sicherheits- und Missbrauchseffekt?

    Ich frage mich, ob man

    a) das Formular mit einem Captcha o.ä. ergänzen sollte (widerspricht vermutlich der EU-Richtlinie?!)

    b) diesen ganzen Workflow-Automatismus ausschalten. Wie gesagt, das nimmt uns eh nicht viel Arbeit ab bei 1-2 Widerrufen im Monat, aber *eventuell* ist das Missbrauchspotential durch diese Automatismen recht hoch. Lassen sich diese neuen Workflows/Status in Germanized ausschalten?

    c) den Germanized-Widerruf nicht nutzen, sondern einfach selber ein Formular bauen, das dann halt nur eine Mail versendet. Also das Widerruf-Feature in Germanized ganz (mitsamt allen Widerruf-Mails, neuen Status und Workflow) komplett ausschalten – geht das?

Viewing 2 replies - 1 through 2 (of 2 total)
  • Plugin Contributor Dennis

    (@vdwoocommercesupport)

    1 month ago

    Hi,

    ich habe mir dazu natürlich auch Gedanken gemacht und derzeit ist es so, dass (standardmäßig) nur Widerrufsanträge, bei denen Bestellnummer + E-Mail-Adresse übereinstimmt als “verifizierte Anträge” gelten und dazu führen, dass der Bestellstatus automatisch auf “Widerruf ausstehend” wechselt. Unverifizierte Anträge werden unter WooCommerce > Bestellungen in einem separaten Tab aufgelistet und führen explizit nicht dazu, dass der Workflow zur Bestellung “unterbrochen” wird (d.h. es findet kein Statuswechsel bei Eingang des Widerrufsantrags statt).

    PS: Ich empfehle grundsätzlich eher auf individuelle Bestellnummern zu setzen – dafür gibt es ja ebenfalls Plugins.

    PPS: Ich bin auch nicht ganz “happy” mit der aktuellen (sehr offenen) Umsetzung und hoffe, dass die Rechtsprechung dazu in Zukunft noch etwas konkreter wird.

    Grüße

    hanserankingjs

    (@hanserankingjs)

    2 weeks, 2 days ago

    Danke für euer Plugin! Zu dem Captcha-Thema fand ich diesen Artikel interessant: https://www.it-recht-kanzlei.de/captcha-kuendigungsbutton-widerrufsbutton.html
    Klingt für mich so, als wäre das grundsätzlich denkbar. Gibt es technische Möglichkeiten, eine eigene Captcha-Lösung (die man zB auch für andere Formulare auf der Website aktiv hat) darin zu integrieren, zB über einen Shortcode oder eine Ergänzung in der functions.php?

    VG
    Jörg

Viewing 2 replies - 1 through 2 (of 2 total)

You must be logged in to reply to this topic.