Pull to refresh

EXOCAPTCHA — это Вам не CAPTCHA!

Reading time 3 min
Views 907
EXOCAPTCHAДавно хотелось создать сервис, который бы позволял быстро и просто избавляться от спама и флуда на любом сайте. И вот, наконец, руки дошли и сервис создан. EXOCAPTCHA, такое название получил сервис — теперь доступен всем желающим.

В интернете есть несколько удачных проектов на тему CAPTCHA, но все просмотренные мной обладают теми или иными недостатками.

Цели, которые ставились перед сервисом EXOCAPTCHA:

  1. Простота и быстрота установки, независимость от платформы.
  2. Возможность индивидуальных настроек (вид, размеры, цвет, используемые символы и т.п.)
  3. Отсутствие основных уязвимостей.

А теперь об этом немного подробнее:

1. Простота и быстрота установки, независимость от платформы

Всё, что требуется от Вас — это указать e-mail, на который будет выслан небольшой код для вставки на страницы Вашего сайта, а также готовые примеры реализации на форме (ASP для Windows и PHP для UNIX). Никаких особых настроек или установок на веб-сервере не требуется. На всё про всё должно уйти несколько минут!

2. Возможность индивидуальных настроек

В личном кабинете сервиса EXOCAPTCHA Вы сможете создать несколько экземпляров каптчи (например, разного вида для разных сайтов). Экспериментируя с параметрами Вы сможете создать свою неповторимую каптчу. А в случае создания спамерами программы автоматического распознавания конкретного экземпляра каптчи, легко (и без внесения изменений на страницах вашего сайта) изменить графическое представление кода, тем самым быстро сведя усилия спамеров на нет.

3. Отсутствие основных уязвимостей

  • Повторное использование идентификаторов сессии.
    Как правило, большинство реализаций CAPTCHA хранят правильный ответ в переменной сессии. Некоторые из таких реализаций после проверки значения не обнуляют эту переменную. Т.е. достаточно один раз вручную пройти тест CAPTCHA, передать идентификатор сессии и ответ на CAPTCHA боту и тот сформирует большое количество успешных запросов.

    Еще одним недостатком использования переменной сессии является ее ограниченное время жизни. Если пользователь по истечении времени сессии (как правило — 20 мин.) вводит правильный ответ на CAPTCHA, то на сервере уже нет возможности проверить его и ответ признается как неправильный. Минус? Конечно минус! Кому же хочется 2 раза доказывать, что он человек?!

    EXOCAPTCHA лишена этого недостатка, т.к. в переменных сессии ничего не хранит, а проверка значения может быть в течение 24 часов (может и дольше, но ограничена этим временем из практических соображений).
  • Определение ответа по какой-либо информации, содержащейся на странице.
    Ответ на CAPTCHA в некоторых ее реализациях может содержаться в открытом или зашифрованном виде в скрытом поле формы или в параметре запроса картинки с кодом (пример здесь: www.xakep.ru/post/31268). Т.е. определив алгоритм декодирования, бот будет 100% знать правильный ответ на CAPTCHA.

    EXOCAPTCHA лишена этого недостатка, потому что ответ в параметрах запроса не содержится ни в каком виде.
  • Вероятность подбора ответа.
    Многие системы управления сайтами в качестве каптчи используют заранее сгенерированные картинки. Спамер, создав базу из таких картинок и правильных ответов, легко обойдет основное предназначение каптчи. Другой вариант уязвимости — это ограниченное количество вариантов ответов на CAPTCHA. К примеру, если вариантов ответов 1000, то даже при производительности 1 запрос в секунду, бот может производить 86 успешных запросов в сутки.

    EXOCAPTCHA лишена этого недостатка. Все картинки генерятся на основе множества случайных параметров. А количество возможных вариантов ответа определяется самим пользоватем, который определяет возможные символы в каптче и их количество.


Пока всё. Кого заинтересовал, пожалуйста, пользуйтесь:
www.e-xo.ru/captcha/setup.asp

Буду рад услышать Ваши мнения и предложения.
Tags:
Hubs:
+4
Comments 20
Comments Comments 20

Articles