вот взбрела вчера в голову мысль - хочу узнать, насколько она вменяемая. смысл в том, чтобы избавить юзера от необходимости вводить код с картинки. выложив в инет свои последние разработки, я убедился в существование неких ботов, которые ищут всевозможные формы без защиты и отправляют через них сообщения. т.е. это не конкретная работа злоумышленника с моей формой, а всего лишь жалкий бот. естественно их можно обмануть лишь немного унифицировав форму - так я и сделал, попросив ввести в в поле сумму двух чисел. поток бредятины от ботов через ту форму прекратился. но есть идея ещё более красивая и удобная, суть её заключается в следующем: делаем инпут хидден, равный нулю. при onkeypress в любом из required-полей - яваскриптом меняем значение на 1. таким образом можно определить что форму заполняет человек и реализовать защиту. как вам такое?
Ну поменял ты на 1, какой-то хайден равен всё время 1 (при передаче). Захочешь хранить значение на сервере (типа рандомное каждому юзверу), тебе всё равно в html нужно будет передавать некую функцию высчитывающее рандомное значение javascript... ну кароч )) ни чего нового ты не придумал ))
сумма двух чисел, также на рисунке... т.е. аналог капчи)) если прост в html писать цифры... то для бота пустяковая задача!
Слышал о модуле для WP ,это как бы капча, но ничего вводить не надо. Как только ты или заходишь на страницу, или пишешь сообщение, тебе даетсяя кука. А как правило спам-машина не может принять кукуи у нее вырубленн JS. Как найду, скину линк - почитаете
DDoSька Вместо двух запросов, как для обычной капчи - будет 3, только процесс можно будет автоматизировать. 1) HEAD для того чтобы установилась переменная cf_salt 2) ПОСТ, чтобы получить хэш для формы 3) пост сообщения
нет желания возиться с чем-то чужим. вот что можно сделать исходя из вышесказанного: при онкейпресс ставить яваскриптом куку с рандомным значением и в хидден это значение вставлять. а затем проверять на сервере наличие куки, её значение и значение хиддена. интересно это избавит от ботов?
Абсолютно ничего нового. Лично я с 2002ого (!) года использую хэш, зависящий от некоторых серверных констант (время, IP, ...) в хиддене рядом с каптчей, который добавляется самим PHP и действителен один раз, т.е. работать всё это будет безо всяких джаваскриптов. Разумеется от ботов не спасёт (для них у меня оригинальная каптча, списывать из которой нужно только определённые символы, например только гласные или только цифры, кратные трём), НО вот для чего всё-таки этот хеш нужен: данные сгенерированных каптч у меня хранятся в БД, но если хэш не передан или неверен, то мы посылаем пользователя, не проверяя верность каптчи (и всего остального), т.е. экономим запрос, а может быть и несколько. Изобретал велосипед кстати сам, нигде не подсматривал, хоть это ничего и не значит, но всё же .
Но ведь капча, задачки - не панацея хз, мне и предложить нечего, все можно обмануть, конечно можно замудрить капчу сложную , но это не айс ЗЫ: Ничто не спасет, защита от дураков...ИМХО, умный людь найдет выход
Самое крутое, что я видел - это не капча, а рандомные имена полей ввода из заранее сделанного массива. Реализация очень проста на javascript.
Парсим код, парсим кукисы, все в одном запросе круто сделано на Рандомные имена переменных + рандомные значения. Степень обхода такой защиты стремится к нулю.
Это имелась в виду защита от автоботов при регистрации и спаме (стандартных) Если речь идет о человеке - то тут кроме сложной капчи на мой взгляд ничего круче нет, и то, всё обходится. Но с капчей злобному флудерасту таки придется потрудится больше всего + элементарная 1-минутная защита от флуда, например, между каждым постом. Если 20 постов таких сделал, где интервал ровно 1 минута (+/-) - бот, автобан, чонить вроде этого
Думаю, на данный момент актуальна капча. ЗЫ:Подскажите статьи по обходу капчи, пожалуйста. Где-то видал в инете
Собственно, вот кое-что из готовых наработок по обходу капчи в сети: http://www.cs.sfu.ca/~mori/research/gimpy/ http://caca.zoy.org/wiki/PWNtcha
