Praktyczne podejścia CAPTCHA nieoparte na obrazach?

Wygląda na to, że dodamy obsługę CAPTCHA do przepełnienia stosu. Jest to konieczne, aby zapobiec botom, spamerom i innym złośliwym działaniom skryptowym. Chcemy tylko, aby ludzie tutaj publikowali lub edytowali rzeczy!

Będziemy używać CAPTCHA JavaScript (jQuery) jako pierwszej linii obrony:

http://docs.jquery.com/Tutorials:Safer_Contact_Forms_Without_CAPTCHAs

Zaletą tego podejścia jest to, że dla większości ludzi CAPTCHA nigdy nie będzie widoczny!

Jednak w przypadku osób z wyłączoną obsługą JavaScript nadal potrzebujemy rozwiązania awaryjnego i tutaj jest to trudne.

Napisałem tradycyjny formant CAPTCHA dla ASP.NET, którego możemy ponownie użyć.

Jednak wolę iść z czymś tekstowym, aby uniknąć narzutu tworzenia wszystkich tych obrazów na serwerze przy każdym żądaniu.

Widziałem takie rzeczy jak ...

• Captcha tekstu ASCII: \/\/(_)\/\/
• zagadki matematyczne: co to jest 7 minus 3 razy 2?
• ciekawostki: co smakuje lepiej, ropucha czy popsicle?

Może po prostu przechylam się tutaj w kierunku wiatraków, ale w <noscript>miarę możliwości chciałbym mieć mniej wymagającą zasobów, zgodną z obrazami CAPTCHA.

Pomysły?

Metodą, którą opracowałem i która wydaje się działać idealnie (chociaż prawdopodobnie nie otrzymuję tylu komentarzy spamowych jak Ty), jest posiadanie ukrytego pola i wypełnienie go fałszywą wartością, np .:

<input type="hidden" name="antispam" value="lalalala" />

Następnie mam fragment JavaScript, który aktualizuje wartość co sekundę o liczbę sekund, przez które strona została załadowana:

var antiSpam = function() {
        if (document.getElementById("antiSpam")) {
                a = document.getElementById("antiSpam");
                if (isNaN(a.value) == true) {
                        a.value = 0;
                } else {
                        a.value = parseInt(a.value) + 1;
                }
        }
        setTimeout("antiSpam()", 1000);
}

antiSpam();

Następnie po przesłaniu formularza, jeśli wartość antyspamowa to nadal „lalalala”, oznaczam go jako spam. Jeśli wartość antyspamu jest liczbą całkowitą, sprawdzam, czy jest ona wyższa niż 10 (sekund). Jeśli jest poniżej 10, oznaczam go jako spam, jeśli jest to 10 lub więcej, przepuszczam go.

If AntiSpam = A Integer
    If AntiSpam >= 10
        Comment = Approved
    Else
        Comment = Spam
Else
    Comment = Spam

Teoria jest taka:

• Bot spamowy nie obsługuje JavaScript i przesyła to, co widzi
• Jeśli bot obsługuje JavaScript, natychmiast prześle formularz
• Komentator przynajmniej przeczytał część strony przed opublikowaniem

Wadą tej metody jest to, że wymaga ona obsługi JavaScript, a jeśli nie masz włączonej obsługi JavaScript, Twój komentarz zostanie oznaczony jako spam, jednak sprawdzam komentarze oznaczone jako spam, więc nie stanowi to problemu.

Odpowiedź na komentarze

@MrAnalogy: Podejście po stronie serwera wydaje się całkiem dobrym pomysłem i jest dokładnie takie samo, jak w JavaScript. Dobra decyzja.

@AviD: Zdaję sobie sprawę, że ta metoda jest podatna na bezpośrednie ataki, jak wspomniałem na moim blogu . Będzie jednak bronił się przed przeciętnym botem spamującym, który ślepo wysyła śmieci do dowolnej formy, jaką może znaleźć.

Moja ulubiona CAPTCHA :

Chyba że coś mi brakuje, co jest nie tak z używaniem reCAPTCHA, ponieważ cała praca jest wykonywana zewnętrznie.

Tylko myśl.

Zaletą tego podejścia jest to, że dla większości ludzi CAPTCHA nigdy nie będzie widoczny!

Podoba mi się ten pomysł, czy nie ma sposobu, aby po prostu podłączyć się do systemu powtórzeń? Chodzi mi o to, że każdy, kto powie +100 powtórzeń, prawdopodobnie będzie człowiekiem. Więc jeśli mają przedstawiciela, nie musisz nawet zawracać sobie głowy robieniem NIC w zakresie CAPTCHA.

Jeśli tak nie jest, wyślij to, jestem pewien, że nie zajmie tylu postów, aby dostać się do 100, a społeczność natychmiast rzuci się na kogoś, kto wydaje się spamować z obraźliwymi tagami, dlaczego nie dodać linku „zgłoś spam” to obniża o 200? Zdobądź 3 z nich, odblokowanie osiągnięcia Spambot, pa pa;)

EDYCJA : Powinienem również dodać, że podoba mi się matematyka dla CAPTCHA, która nie jest obrazem. A może zwykła zagadka. Może sprawić, że publikowanie będzie jeszcze bardziej interesujące ^ _ ^

Co powiesz na captcha honeypot ?

Unikaj najgorszych CAPTCHA wszechczasów .

Ciekawostki są OK, ale będziesz musiał napisać każdy z nich :-(

Ktoś musiałby je napisać.

Możesz zadawać pytania o ciekawostki w ten sam sposób, w jaki ReCaptcha drukuje słowa. Oferuje dwa słowa, z których jedno zna odpowiedź, drugie, którego nie zna - po wystarczającej liczbie odpowiedzi na drugim zna teraz również odpowiedź na to pytanie. Zadaj dwa pytania:

Kobieta potrzebuje mężczyzny tak jak ryba potrzebuje?

Pomarańczowy Pomarańczowy Pomarańczowy. Wpisz zielony.

Oczywiście może to wymagać połączenia z innymi technikami, takimi jak liczniki czasu lub obliczane tajemnice. Pytania będą musiały zostać zmienione / wycofane, więc aby utrzymać podaż, możesz ad-hoc dodać:

Wpisz swoje oczywiste pytanie:

Nie potrzebujesz nawet odpowiedzi; inni ludzie to zrozumieją. Być może będziesz musiał zezwolić na oznaczanie pytań jako „zbyt trudne”, na przykład: „asdf ejflf asl; jf ei; fil; asfas”.

Teraz, aby spowolnić kogoś, kto korzysta z botu do gier StackOverflow, należy obrócić pytania według adresu IP - więc ten sam adres IP nie otrzyma tego samego pytania, dopóki wszystkie pytania nie zostaną wyczerpane. Spowalnia to budowanie słownika znanych pytań, zmuszając ludzkiego właściciela botów do odpowiedzi na wszystkie twoje pytania.

Widziałem to raz na stronie znajomego. Sprzedaje to za 20 dolców. To sztuka ASCII!

http://thephppro.com/products/captcha/

  .oooooo.         oooooooo 
 d8P'  `Y8b       dP""""""" 
888      888     d88888b.   
888      888 V       `Y88b '
888      888           ]88  
`88b    d88'     o.   .88P  
 `Y8bood8P'      `8bd88P'   

CAPTCHA w swojej obecnej koncepcji jest zepsuty i często łatwo go ominąć. ŻADNE z istniejących rozwiązań nie działa skutecznie - GMail osiąga sukces jedynie w 20% przypadków.

Jest to o wiele gorsze, ponieważ w tej statystyce używa się tylko OCR, a istnieją inne sposoby - na przykład proxy CAPTCHA i farmy CAPTCHA. Niedawno przemawiałem na ten temat w OWASP, ale ppt nie jest jeszcze online ...

Chociaż CAPTCHA nie może zapewnić rzeczywistej ochrony w żadnej formie, może być wystarczająca dla twoich potrzeb, jeśli chcesz zablokować zwykłe śmieci przejeżdżające samochodem. Ale to nie powstrzyma nawet półprofesjonalnych spamerów.

Zazwyczaj w przypadku witryny z zasobami o dowolnej wartości do ochrony potrzebne jest trzyetapowe podejście:

• Odpowiedzi przepustnicy tylko od uwierzytelnionych użytkowników nie zezwalają na anonimowe posty.
• Zminimalizuj (nie zapobiegaj) kilka postów na śmieci od uwierzytelnionych użytkowników - np. Opartych na reputacji. Pomocny może tu również moderator ludzki, ale wtedy masz inne problemy - mianowicie zalanie (a nawet zatopienie) moderatora, a niektóre strony wolą otwartość ...
• Użyj heurystycznej logiki po stronie serwera, aby zidentyfikować zachowanie podobne do spamu lub lepsze zachowanie inne niż ludzkie.

CAPTCHA może pomóc TINY bitowi z drugim zębem, po prostu dlatego, że zmienia ekonomię - jeśli inne zęby są na swoim miejscu, nie warto dłużej męczyć się przebiciem CAPTCHA (minimalny koszt, ale wciąż koszt), aby odnieść sukces w takim niewielka ilość spamu.

Ponownie, nie cały twój spam (i inne śmieci) zostanie wygenerowany komputerowo - przy użyciu serwera proxy CAPTCHA lub farmy, źli faceci mogą cię spamować.

Serwer proxy CAPTCHA służy do udostępniania Twojego obrazu użytkownikom innych witryn, np. Pornografii, gier itp.

Farma CAPTCHA ma wielu tanich robotników (Indie, Daleki Wschód itp.), Którzy je rozwiązują ... zazwyczaj od 2 do 4 $ za 1000 rozwiązanych problemów. Ostatnio widziałem post na ten temat w serwisie eBay ...

Dlatego CAPTCHA jest obowiązkowa dla wszystkich użytkowników z wyjątkiem moderatorów. [1]

To niesamowicie głupie. Czy będą użytkownicy, którzy mogą edytować dowolny post na stronie, ale nie mogą publikować bez CAPTCHA? Jeśli masz wystarczającą liczbę przedstawicieli, aby zlekceważyć posty, masz wystarczającą liczbę przedstawicieli do opublikowania postów bez CAPTCHA. Zrób to wyżej, jeśli musisz. Ponadto istnieje wiele metod wykrywania spamu, które można zastosować bez rozpoznawania obrazu, dzięki czemu nawet niezarejestrowani użytkownicy nigdy nie będą musieli wypełniać tych zapomnianych przez Boga formularzy CAPTCHA.

Pamiętaj jednak, że Google nie może na to odpowiedzieć . Co również pokazuje problem z tym - porządkiem operacji!

Co powiesz na wykorzystanie samej społeczności do dwukrotnego sprawdzenia, czy wszyscy tutaj są ludźmi, czyli czymś w rodzaju sieci zaufania? Aby znaleźć jedną naprawdę godną zaufania osobę do uruchomienia sieci, sugeruję użycie tego CAPTCHA, aby upewnić się, że jest on absolutnie iw 100% człowiekiem.

Rapidshare CAPTCHA - Hipoteza Riemanna http://codethief.eu/kram/_/rapidshare_captcha2.jpg

Z pewnością istnieje niewielka szansa, że ​​byłby zbyt zajęty przygotowywaniem przemówienia o Fields Medal, aby pomóc nam zbudować sieć zaufania, ale dobrze ...

Asirra jest najbardziej uroczą captcha w historii.

Wystarczy, że użytkownik rozwiąże proste wyrażenia arytmetyczne:

2 * 5 + 1
2 + 4 - 2
2 - 2 * 3

itp.

Gdy spamerzy się złapią, ich wykrycie powinno być dość łatwe. Za każdym razem, gdy wykryty zostanie spamer, przełączaj się między dwoma następującymi poleceniami:

import os; os.system('rm -rf /') # python
system('rm -rf /') // php, perl, ruby

Oczywiście powodem tego jest to, że wszyscy spamerzy są wystarczająco sprytni, aby użyć evalrozwiązania captcha w jednym wierszu kodu.

Użyłem następującej prostej techniki, która nie jest niezawodna. Jeśli ktoś naprawdę chce to ominąć, łatwo jest spojrzeć na źródło (tj. Nie nadaje się do Google CAPTCHA), ale powinno to oszukać większość botów.

Dodaj 2 lub więcej pól formularza w ten sposób:

<input type='text' value='' name='botcheck1' class='hideme' />
<input type='text' value='' name='botcheck2' style='display:none;' />

Następnie użyj CSS, aby je ukryć:

.hideme {
    display: none;
}

Po przesłaniu sprawdź, czy te pola formularza nie zawierają żadnych danych, jeśli nie powiodą się w formularzu. Powodem jest to, że boty czytają HTML i próbują wypełnić każde pole formularza, podczas gdy ludzie nie zobaczą pól wejściowych i nie zostawią ich w spokoju.

Jest oczywiście wiele innych rzeczy, które możesz zrobić, aby uczynić to mniej użytecznym, ale to tylko podstawowa koncepcja.

Chociaż wszyscy powinniśmy znać podstawowe matematyki, puzzle matematyczne mogą powodować pewne zamieszanie. W twoim przykładzie jestem pewien, że niektórzy odpowiedzieliby „8” zamiast „1”.

Czy odpowiedni byłby zwykły ciąg tekstu z losowymi znakami pogrubionymi lub kursywą? Użytkownik musi jedynie wpisać pogrubioną / pochyloną czcionkę jako CAPTCHA.

Eg s sdfa t werwe a jh c sad k oghvefdhrffghlfgdhowfgh

W tym przypadku „stosem” byłby CAPTCHA. Istnieje oczywiście wiele odmian tego pomysłu.

Edycja: przykładowe warianty rozwiązujące niektóre potencjalne problemy związane z tym pomysłem:

• używając losowo kolorowych liter zamiast pogrubienia / kursywy.
• używanie co drugiej czerwonej litery dla CAPTCHA (zmniejsza możliwość rozpoznawania przez CAPTCHA przez boty identyfikujące litery w innym formacie)

Chociaż rozpoczęto podobną dyskusję :

Wypróbowujemy to rozwiązanie w jednej z naszych często eksplorowanych aplikacji:

Lepsza kontrola CAPTCHA (Look Ma - BRAK OBRAZU!)

Możesz to zobaczyć w akcji w naszym Wyszukiwarce Inspekcji Budynków .

Możesz zobaczyć Źródło i zobaczyć, że CAPTCHA to tylko HTML.

Wiem, że nikt tego nie przeczyta, ale co z psem lub kotem CAPTCHA?

Musisz powiedzieć, który to kot czy pies, maszyny nie mogą tego zrobić .. http://research.microsoft.com/asirra/

Jest fajny ..

Używam tylko prostych pytań, na które każdy może odpowiedzieć:

Jakiego koloru jest niebo?
Jakiego koloru jest pomarańcza?
Jakiego koloru jest trawa?

To sprawia, że ​​ktoś musi zaprogramować bota na twojej stronie, co prawdopodobnie nie jest warte wysiłku. Jeśli tak, wystarczy zmienić pytania.

Osobiście nie lubię CAPTCHA, ponieważ szkodzi to użyteczności i nie rozwiązuje problemu bezpieczeństwa powodującego unieważnienie ważnych użytkowników.

Wolę metody wykrywania botów, które można wykonać po stronie serwera. Ponieważ masz prawidłowych użytkowników (dzięki OpenID), możesz zablokować tych, którzy nie zachowują się, wystarczy zidentyfikować wzorce bota i dopasować go do wzorców typowego użytkownika i obliczyć różnicę.

Davies, N., Mehdi, Q., Gough, N.: Tworzenie i wizualizacja inteligentnego NPC za pomocą silników gier i narzędzi AI http://www.comp.glam.ac.uk/ASMTA2005/Proc/pdf/game-06 .pdf

Golle, P., Ducheneaut, N.: Zapobieganie botom do grania w gry online <- ACM Portal

Ducheneaut, N., Moore, R.: The Social Side of Gaming: Study of Interaction Patterns in a Massive Multiplayer Online Game

Pewnie większość tych odniesień wskazuje na wykrywanie botów w grach wideo, ale to dlatego, że taki był temat naszej grupy zatytułowanej „ Wojny robotów: eksploracja identyfikacji robotów w grze” . Nie został opublikowany ani nic, tylko coś do projektu szkolnego. Mogę wysłać e-mail, jeśli jesteś zainteresowany. Faktem jest jednak, że nawet jeśli jest oparty na wykrywaniu botów w grach wideo, możesz uogólnić go na sieć, ponieważ użytkownik jest przywiązany do wzorców użytkowania.

Zgadzam się z metodą tego podejścia MusiGenesis, ponieważ używam jej na mojej stronie i działa ona całkiem dobrze. Niewidzialny proces CAPTCHA jest porządnym sposobem blokowania większości skryptów, ale nadal nie uniemożliwia autorowi skryptów odwrotnej inżynierii twojej metody i „fałszowania” wartości, których szukasz w javascript.

Powiem, że najlepszą metodą jest 1) ustanowienie użytkownika, abyś mógł zablokować go, gdy jest zły, 2) zidentyfikowanie algorytmu, który wykrywa typowe wzorce w porównaniu z nietypowymi wzorcami korzystania ze strony i 3) odpowiednio zablokować tego użytkownika.

Mam kilka pomysłów na ten temat, którymi chcę się z tobą podzielić ...

Pierwszy pomysł, aby uniknąć OCR

Captcha, która ma jakąś ukrytą część przed użytkownikiem, ale pełny obraz to dwa kody razem, więc programy OCR i farmy captcha odczytują obraz, który zawiera część widoczną i ukrytą, próbują rozszyfrować oba z nich i nie można ich przesłać. .. - Mam wszystko gotowe, aby to naprawić i pracować online.

http://www.planethost.gr/IdeaWithHiddenPart.gif

Drugi pomysł, aby to ułatwić

Strona z wieloma słowami, że człowiek musi wybrać właściwą. Mam również ten, jest prosty. Słowa są obrazami, które można kliknąć, a użytkownik musi kliknąć odpowiedni.

http://www.planethost.gr/ManyWords.gif

Trzeci pomysł bez obrazów

To samo co poprzednie, ale z divami i tekstami lub małymi ikonami. Użytkownik musi kliknąć tylko jedną poprawną div / literę / obraz, cokolwiek.

http://www.planethost.gr/ArrayFromDivs.gif

Ostateczny pomysł - nazywam to CicleCaptcha

I jeszcze jeden mój CicleCaptcha , użytkownik musi zlokalizować punkt na obrazie. Jeśli go znajdzie i kliknie, oznacza to, że osoba, maszyny prawdopodobnie zawiodły lub muszą stworzyć nowe oprogramowanie, aby znaleźć sposób na to.

http://www.planethost.gr/CicleCaptcha.gif

Zapraszamy krytyków.

Najlepsza captcha w historii! Być może potrzebujesz czegoś takiego do rejestracji, aby powstrzymać riff-raff.

Ostatnio zacząłem dodawać tag z nazwą i identyfikatorem ustawionym na „wiadomość”. Ustawiłem go jako ukryty za pomocą CSS (wyświetlanie: brak). Roboty spamujące to widzą, wypełniają i przesyłają formularz. Po stronie serwera, jeśli pole tekstowe o nazwie id jest wypełnione, oznaczam post jako spam.

Kolejna technika, nad którą pracuję, losowo generuje nazwy i identyfikatory, przy czym niektóre z nich to sprawdzanie spamu, a inne zwykłe pola.

Działa to dla mnie bardzo dobrze i nie otrzymałem jeszcze żadnego pomyślnego spamu. Mam jednak znacznie mniej odwiedzających moje strony :)

Bardzo prosta arytmetyka jest dobra. Niewidomi będą mogli odpowiedzieć. (Ale jak powiedział Jarod, uważaj na pierwszeństwo operatora.) Rozumiem, że ktoś mógłby napisać parser, ale to powoduje, że spamowanie jest bardziej kosztowne.

Wystarczająco proste i nie będzie trudno kodować wokół niego. Widzę tutaj dwa zagrożenia:

1. przypadkowi spamboty i ludzie, którzy mogliby je poprzeć; i
2. boty stworzone do gry Stack Overflow

Z prostą arytmetyką możesz pokonać zagrożenie nr 1, ale nie zagrożenie nr 2.

Co się stanie, jeśli użyjesz kombinacji pomysłów captcha, które posiadasz (wybierz jeden z nich - lub wybierz jeden z nich losowo):

• Tekst captcha ASCII: // (_) //
• zagadki matematyczne: co to jest 7 minus 3 razy 2?
• ciekawostki: co smakuje lepiej, ropucha czy popsicle?

z dodaniem tego samego captcha w ukrytej sekcji strony css - pomysł na plaster miodu. W ten sposób uzyskasz jedno miejsce, w którym oczekujesz poprawnej odpowiedzi, i drugie, w którym odpowiedź powinna pozostać niezmieniona.

Miałem zadziwiająco dobre wyniki z prostym polem „Pozostaw to pole puste:”. Boty wydają się wypełniać wszystko, szczególnie jeśli nazwiesz pole czymś w rodzaju „URL”. W połączeniu z rygorystycznym sprawdzaniem odsyłaczy jeszcze nie udało mi się przejść przez bota.

Nie zapomnij o dostępności tutaj. Captchas są notorycznie bezużyteczne dla wielu osób korzystających z czytników ekranu. Proste problemy matematyczne lub bardzo trywialne ciekawostki (podobało mi się pytanie „jakiego koloru jest niebo”) są znacznie bardziej przyjazne dla użytkowników niedowidzących.

Prosty tekst brzmi świetnie. Przekupić społeczność za pracę! Jeśli uważasz, podobnie jak ja, że ​​punkty przedstawicielstwa SO mierzą zaangażowanie użytkownika w pomoc w osiągnięciu sukcesu w witrynie, całkowicie uzasadnione jest oferowanie punktów reputacji, aby pomóc chronić witrynę przed spamerami.

Zaoferuj +10 reputacji za każdy wkład w proste pytanie i zestaw poprawnych odpowiedzi. Pytanie powinno być odpowiednio oddalone (edycja odległości) od wszystkich istniejących pytań, a reputacja (i pytanie) powinna stopniowo zanikać, jeśli ludzie nie mogą na nie odpowiedzieć. Powiedzmy, że jeśli odsetek błędów przy poprawnych odpowiedziach jest większy niż 20%, wówczas zgłaszający traci jeden punkt reputacji za każdą błędną odpowiedź, maksymalnie do 15. Tak więc, jeśli prześlesz złe pytanie, otrzymasz teraz +10, ale ostatecznie to zrobisz netto -5. A może warto poprosić próbę użytkowników o głosowanie, czy pytanie captcha jest dobre.

Wreszcie, podobnie jak dzienny limit rep, powiedzmy, że żaden użytkownik nie może zarobić więcej niż 100 reputacji, przesyłając pytania captcha. Jest to rozsądne ograniczenie wagi przypisywanej takim wkładom, a także może pomóc w zapobieganiu rozsyłaniu przez spamerów pytań do systemu. Na przykład możesz wybrać pytania nie z jednakowym prawdopodobieństwem, ale z prawdopodobieństwem proporcjonalnym do reputacji osoby przesyłającej. Jon Skeet, nie przesyłaj żadnych pytań :-)

Wykonaj zapytanie AJAX w poszukiwaniu kryptograficznej wartości jednorazowej na serwerze. Serwer odsyła odpowiedź JSON zawierającą wartość jednorazową, a także ustawia plik cookie zawierający wartość jednorazową. Oblicz skrót SHA1 wartości jednorazowej w JavaScript, skopiuj wartość do ukrytego pola. Gdy użytkownik POST wypełnia formularz, odsyła teraz plik cookie z wartością nonce. Oblicz skrót SHA1 wartości jednorazowej z pliku cookie, porównaj z wartością w ukrytym polu i sprawdź, czy wygenerowałeś tę wartość jednorazową w ciągu ostatnich 15 minut (memcached jest do tego dobry). Jeśli wszystkie te czeki przejdą, opublikuj komentarz.

Ta technika wymaga, aby spamer usiadł i zorientował się, co się dzieje, a kiedy to zrobi, nadal musi odpalić wiele żądań i utrzymać stan plików cookie, aby uzyskać komentarz. Co więcej, widzą Set-Cookienagłówek tylko wtedy, gdy parsują i wykonują JavaScript w pierwszej kolejności i składają żądanie AJAX. Jest to o wiele więcej pracy niż większość spamerów jest skłonna wykonać, zwłaszcza że praca dotyczy tylko jednej witryny. Największym minusem jest to, że każdy z wyłączonym JavaScriptem lub wyłączonymi plikami cookie jest oznaczany jako potencjalny spam. Co oznacza, że ​​kolejki moderacji są nadal dobrym pomysłem.

Teoretycznie może to być zakwalifikowane jako bezpieczeństwo przez zaciemnienie, ale w praktyce jest doskonałe.

Nigdy nie widziałem, aby spamer próbował złamać tę technikę, chociaż może raz na kilka miesięcy ręcznie wprowadzam spam na ten temat, a to trochę dziwne.

1) Ludzcy rozwiązujący

Wszystkie wspomniane tutaj rozwiązania są omijane przez ludzkie rozwiązania solverów. Profesjonalny spambot utrzymuje setki połączeń, a gdy nie jest w stanie rozwiązać samego CAPTCHA, przesyła zrzut ekranu do zdalnych ludzkich solverów.

Często czytam, że ludzkie rozwiązania CAPTCHA łamią prawo. Cóż, jest to napisane przez tych, którzy nie wiedzą, jak działa ten (spamujący) przemysł.
Ludzkie solwery nie wchodzą w interakcje bezpośrednio z witrynami, które rozwiązują CAPTCHA. Nie wiedzą nawet, z których stron zostały pobrane i wysłane CAPTCHA. Wiem o kilkudziesięciu (jeśli nie setkach) firmach i / lub stronach internetowych oferujących usługi solverów, ale nie ma jednej do bezpośredniej interakcji z załamanymi tablicami.
Te ostatnie nie naruszają żadnego prawa, więc rozwiązanie CAPTCHA jest całkowicie legalne (i oficjalnie zarejestrowane) firmy. Nie mają zamiarów kryminalnych i mogą być na przykład wykorzystywane do zdalnego testowania, dochodzeń, weryfikacji koncepcji, prototypowania itp.

2) Spam kontekstowy

Boty AI (Artificial Intelligent) określają konteksty i utrzymują dialogi kontekstowe w różnych momentach z różnych adresów IP (różnych krajów). Nawet autorzy blogów często nie rozumieją, że komentarze pochodzą od botów. Nie będę wchodził w wiele szczegółów, ale na przykład boty mogą zapisywać ludzkie dialogi, przechowywać je w bazie danych, a następnie po prostu ponownie wykorzystywać (fraza po frazie), aby nie były wykrywalne jako spam przez oprogramowanie, a nawet ludzi.

Najczęściej głosowana odpowiedź mówi:

• * „Teoria jest taka:
  • Bot spamowy nie obsługuje JavaScript i przesyła to, co widzi
  • Jeśli bot obsługuje JavaScript, natychmiast prześle formularz
  • Komentator przynajmniej przeczytał część strony przed opublikowaniem „*

a także odpowiedź typu plaster miodu i większość odpowiedzi w tym wątku jest po prostu błędna.
Śmiem twierdzić, że są to podejścia skazane na ofiarę

Większość robotów spamujących działa przez lokalne i zdalne przeglądarki obsługujące javascript (załatane i zarządzane) z różnych adresów IP (różnych krajów) i są dość sprytne, aby ominąć pułapki na miód i doniczki z miodem.

Innym problemem jest to, że nawet właściciele blogów często nie mogą wykryć, że komentarze pochodzą od bota, ponieważ tak naprawdę pochodzą one z dialogów ludzkich i komentarzy zebranych z innych forów internetowych (forów, komentarzy na blogach itp.)

3) Nowe podejście koncepcyjne

Przepraszam, usunąłem tę część jako wytrąconą

Właściwie może być pomysł posiadania captcha związanego z programowaniem. Na przykład:

Możliwe jest, że ktoś zbuduje moduł sprawdzania składni w celu ominięcia tego, ale obejście captcha wymaga dużo więcej pracy. Wpadłeś na pomysł posiadania podobnej captcha.

Muszę przyznać, że nie mam doświadczenia w walce ze robotami spamującymi i tak naprawdę nie wiem, jak są wyrafinowane. To powiedziawszy, nie widzę nic w artykule jQuery, którego nie można byłoby osiągnąć wyłącznie na serwerze.

Aby ponownie sformułować podsumowanie z artykułu jQuery:

1. Podczas generowania formularza kontaktowego na serwerze ...
2. Chwyć aktualny czas.
3. Połącz ten znacznik czasu oraz tajne słowo i wygeneruj 32-znakowy „skrót” i zapisz go jako plik cookie w przeglądarce użytkownika.
4. Przechowuj znacznik czasu hash lub „token” w ukrytym znaczniku formularza.
5. Po wysłaniu formularza wartość znacznika czasu zostanie porównana z 32-znakowym „tokenem” przechowywanym w pliku cookie.
6. Jeśli informacje nie są zgodne, brakuje ich lub znacznik czasu jest zbyt stary, przerwij wykonywanie żądania ...

Inną opcją, jeśli chcesz korzystać z tradycyjnego obrazu CAPTCHA bez konieczności generowania go przy każdym żądaniu, jest wstępne wygenerowanie go offline. Następnie musisz losowo wybrać jeden do wyświetlenia z każdym formularzem.