@dmaus Vielleicht verstehe ich das falsch, aber sollte das Authorization-Cookie nicht irgendeinen kryptografischen Hash enthalten, der beim Request verifiziert wird? Sonst kann ja jeder das Captcha umgehen, indem man ein "Captcha_Authorize=true"-Cookie fingiert. Oder wird das bewusst in Kauf genommen, weil die Wahrscheinlichkeit gering ist, dass ein Bot-Betreiber sich extra diese Mühe macht?
@meyse@openbiblio.social Letzteres: Wenn die Bots anfangen das Cookie zu faken, dann rüsten wir nach.
Likes
Der neue Botschutz mit einem Proof-of-Work Captcha und etwas Apache mod_rewrite-Magie funktioniert.
Gestern gegen 16 Uhr zwei Zugriffsspitzen (Bots), dann Ruhe.
https://gitlab-ce.rrz.uni-hamburg.de/subhh/public/botauth