Comments 32
Самое интересное, что после этой статьи будут еще о видах капчи, каждый будет предлагать свой вариант, но все дружно забыли, что главные у нас пользователи, а не спам-боты, и нужно делать жизнь тяжелее им, а не пользователям.
Взять к примеру ту же reCaptcha, проект популярный, используется не в одном сервисе, но я бы по отрывал руки бы им, хорошо, что позволяют перегенерировать капчу сразу.
Взять к примеру ту же reCaptcha, проект популярный, используется не в одном сервисе, но я бы по отрывал руки бы им, хорошо, что позволяют перегенерировать капчу сразу.
Главные у нас не пользователи, а админы. Возможно есть бескорыстные админы, но большинство заинтересовано в собственном спокойствии и удобстве. Лично я готов пожертвовать даже пятой частью пользователей(хотя максимум с чем встречался при вводе новых защит это громкий ор в коментах) собственного ресурса если это освободит у меня 1-2 часа в день, затрачиваемые на чистку спама. Если вы модерили какие-нибудь форумы куда бы сыпался постоянно спам, не только от ботов но и от людей вы бы согласились.
*вы согласитесь
«Хороший» у вас подход, не соглашусь. Спам на форумах происходит по двум причинам боты и люди.
Как правило форум — это готовый движок, под который уже написали бота, достаточно нестандартно поменять принцип «скрытой капчи» и у вас будет спокойствие. Спам от пользователей, это вообще не к капче :). Это проблема модераторов. Он будет всегда, сколько бы вы средств защиты не ставили, так как вы воюете с человеком, а не машиной. Да и я просто обламывает ответить нормальному человеку, страшная капча.
Я довольно долго был активным пользователем sql.ru, это форум. Не было там никаких капч и не было банального спама. Если не ошибаюсь, потом ввели простенькую капчу.
Как правило форум — это готовый движок, под который уже написали бота, достаточно нестандартно поменять принцип «скрытой капчи» и у вас будет спокойствие. Спам от пользователей, это вообще не к капче :). Это проблема модераторов. Он будет всегда, сколько бы вы средств защиты не ставили, так как вы воюете с человеком, а не машиной. Да и я просто обламывает ответить нормальному человеку, страшная капча.
Я довольно долго был активным пользователем sql.ru, это форум. Не было там никаких капч и не было банального спама. Если не ошибаюсь, потом ввели простенькую капчу.
зря ты так про reCaptcha
их суть в том, что генерируются реальные слова используемые в разговоре
это сильно упрощает задачу для (аноглязычного) пользователя, так как достаточно понять что за слово и не обязательно распознать все буквы, это из той же оперы что и перестановка исмволов в солве когда глаз распознает слово сам
кроме того, в recaptcha РАЗРЕШЕНО ошибаться в неких допустимых пределах
предлагаю сходить сюда и попробовать повводить немного неверные капчи
recaptcha.net/learnmore.html
так что по сравнению с шарадами из произвольных букв, которые вместе не имеют смысла, рекапча — это просто отдушина для юзера, достаточно ее попробовать более близко
их суть в том, что генерируются реальные слова используемые в разговоре
это сильно упрощает задачу для (аноглязычного) пользователя, так как достаточно понять что за слово и не обязательно распознать все буквы, это из той же оперы что и перестановка исмволов в солве когда глаз распознает слово сам
кроме того, в recaptcha РАЗРЕШЕНО ошибаться в неких допустимых пределах
предлагаю сходить сюда и попробовать повводить немного неверные капчи
recaptcha.net/learnmore.html
так что по сравнению с шарадами из произвольных букв, которые вместе не имеют смысла, рекапча — это просто отдушина для юзера, достаточно ее попробовать более близко
Я очень часто наталкиваюсь, что reCaptcha генерирует слова не понятные, когда идут подряд буквы l,i,n,m и т.п.
Я сейчас зашел на сайт и поклацал разные капчи.
img216.imageshack.us/img216/4394/testds5.png
Мы еще не забыли, что много ресурсов посещают славяне, которые не особо хорошо ориентируются в английском?
Я сейчас зашел на сайт и поклацал разные капчи.
img216.imageshack.us/img216/4394/testds5.png
Мы еще не забыли, что много ресурсов посещают славяне, которые не особо хорошо ориентируются в английском?
надо ввести статью в УК посвященную спамерам, которая предусматривает публичную смертную казнь. в следующий раз спамер трижды задумается, а стоит ли… ведь если захотят вычислить, то обязательно это сделают… пусть не сразу, но все же.
надо запретить интернет! тогда проблема пропадет сама
Один из вариантов уменьшить кол-во спама, это ввести ответственность пользователя с машины которого рассылается спам. Вот когда любой юзер будет уголовно отвечать за свою дырявую машину, только тогда можно будет начинать бороться со спамерами :)
Тогда нужно будет ввести уголовную ответственность компаниям, которые разрабатывают операционные системы, которые должны будут из коробки предоставлять 100% защиту.
как раз нет, когда вы покупаете автомобиль, вам же не предоставляется 100% защита от нарушений
Мне дают гарантию, что при нормально использовании машина не распадется по частям, хотя бы 2-3 года, при этом я должен проходить фирменное ТО, следовательно возьмем microsoft.
Мы покупаем ОС, далее ставим ее и нам гарантируют, что при постоянном обновлении мы с можем нормально работать. Но заплатки выходят не через 1 секунду вирусной активности, а минимум через 1 день. Да антивирус microsoft не предоставляет(хотя бы выбор из бесплатных для пользователя).
Если у меня в авто двигатель умрет или дворники перестанут работать, кто виноват?
Мы покупаем ОС, далее ставим ее и нам гарантируют, что при постоянном обновлении мы с можем нормально работать. Но заплатки выходят не через 1 секунду вирусной активности, а минимум через 1 день. Да антивирус microsoft не предоставляет(хотя бы выбор из бесплатных для пользователя).
Если у меня в авто двигатель умрет или дворники перестанут работать, кто виноват?
Если двигатель умрет из-за того что вы залили д.т. вместо 97 то вы, так же если помялся капот когда вас занесло в дерево при несаблюдении скоростного режима. По идее при любом взаимодействии людей должен существовать свод правил по безопасности общения( УК РФ, ПДД), а в интернет пользователи выходят необученные, не умея общаться с компьютером и сетью(не пристегнутые ремнями беопасности не зная о ПДД). Правильно настроенный фаервол отсекает все лишние вызовы как извне так и изнутри. Пройдите ТО если сами не можете настроить, пусть отвечают специалисты настройщики :)
UFO just landed and posted this here
Я правильно понимаю, что Вы видите единственным решением проблемы спама капчу в том или ином виде?
Если это верно, то отмечу, что взломать капчу становится всё проще и проще. Я имею в виду те самые сайты, на которых «реши 10 капч и получи рубль».
Если бы мне надо было зарегистрировать 10К акков на каком-либо ресурсе со сложной капчей, я бы наверняка пошел на такой сайт, а не стал бы писать алгоритм распознавания.
Мне кажется, что в данный момент, при данных технологиях абсолютной защиты от спама не существует. Если Вы предложите метод, который нетривиально взламывается — слава Вам!
Предвосхищая целый ряд методов, напомню историю про столовую, соль и хакера.
Если это верно, то отмечу, что взломать капчу становится всё проще и проще. Я имею в виду те самые сайты, на которых «реши 10 капч и получи рубль».
Если бы мне надо было зарегистрировать 10К акков на каком-либо ресурсе со сложной капчей, я бы наверняка пошел на такой сайт, а не стал бы писать алгоритм распознавания.
Мне кажется, что в данный момент, при данных технологиях абсолютной защиты от спама не существует. Если Вы предложите метод, который нетривиально взламывается — слава Вам!
Предвосхищая целый ряд методов, напомню историю про столовую, соль и хакера.
Идея моей заметки в том, что до конца не разбираясь в теме НЕ НАДО писать заметки аля Гуру. А то я видел здесь много статей в стиле: а вот я надел четыре! марлевых повязки на лицо и спасся от болезней передающегося половым путем, только я не спал с девушкой, а только обмнимался :)
Вот то же, предлагаются куча никому не нужных методов, при отсутствии настоящей атаки со стороны спамботов. зачем делать мега якс если мой сайт никому не нужен и достаточно js ренейм формы?
Вот то же, предлагаются куча никому не нужных методов, при отсутствии настоящей атаки со стороны спамботов. зачем делать мега якс если мой сайт никому не нужен и достаточно js ренейм формы?
>Мне кажется, что в данный момент, при данных технологиях абсолютной защиты от спама не существует.
Обсолютно вас поддерживаю, только капча яндекса ломается за 2-3 дня(статистика, суммы не прокатывают), а методы предложенные на хабре за 15-20 минут. Почуствуйте разницу :)
Ну и про хакера, я не приводил примеров того, что могло бы быть, я привожу примеры того, что активно используется, только подвергаются этому крупные проекты а не уютные бложики :)
Обсолютно вас поддерживаю, только капча яндекса ломается за 2-3 дня(статистика, суммы не прокатывают), а методы предложенные на хабре за 15-20 минут. Почуствуйте разницу :)
Ну и про хакера, я не приводил примеров того, что могло бы быть, я привожу примеры того, что активно используется, только подвергаются этому крупные проекты а не уютные бложики :)
а можно просто выводить какой нибудь вопрос. (Столица тайланда?) ну тут ответ все знают=)))
для пущей безопасности выводить его в виде сгенерированной картинки.
для пущей безопасности выводить его в виде сгенерированной картинки.
извините, но либо вы невнимательно читали, либо не до конца понимаете методы защиты/атаки на капчу.
Капчу можно считать неустойчивой если:
1) она ограничена статистикой
2) она может быть распознана, в т.ч. накапливанием той же статистики.
я вижу пока решение действительно надежной капчи — картинка со случайными символами, которые расположены и трансформированы случайным образом, отрисованы шрифтом меняющимся каждую неделю а то и меньше с правильно наложенными помехами. Вот это озадачит робота, сожалению так же иногда это озадачивает и пользователя.
Капчу можно считать неустойчивой если:
1) она ограничена статистикой
2) она может быть распознана, в т.ч. накапливанием той же статистики.
я вижу пока решение действительно надежной капчи — картинка со случайными символами, которые расположены и трансформированы случайным образом, отрисованы шрифтом меняющимся каждую неделю а то и меньше с правильно наложенными помехами. Вот это озадачит робота, сожалению так же иногда это озадачивает и пользователя.
Честно? я не не знаю!
Мы уже беседовали с тобой о капчах и других спамозащитных механизмах.
Я продолжаю считать, что главный ПОЛЬЗОВАТЕЛЬ, которого мы заставляем вводить цифери и букеви. Потому капча сразу летит в тундру.
Можно придумать множество других способов, но если знаешь о том что ботов будут писать под тебя…
Нужно сделать пару десятков координально отличающихся друг от друга проверок на человечность и выдавать пользователю их рандомно. Написание ботов, да и изучение всех 20ти проверялок будет затруднено.
Вот несколько идей
alert('ваше сообщение отправлено'); после получить аяксом ключ добавить к нему соль, полученную при отправке сообщения, отправить обратно на сервер — только тогда сообщение из сессии перекочевывает в БД или sendmail
Hidden-поле с ключом, форма должна уйти пару-тройку раз, при этом ключ должен меняться клиентом в соответствии с некоторым алгоритмом. Завяжите в алгоритм IP-пользователя, ключ сессии, текущее время и т.д.
измените при помощи canvas картинку в 20Х20 пикселей, и засуньте ее в аяксовый пост ( пользователь с картинкой взаимодействовать не должен), проверьте на сервере — верные ли манипуляции произведены с картинкой (не прокатит в IE)
В общем-то идей можно нагенерить еще множество.
Я продолжаю считать, что главный ПОЛЬЗОВАТЕЛЬ, которого мы заставляем вводить цифери и букеви. Потому капча сразу летит в тундру.
Можно придумать множество других способов, но если знаешь о том что ботов будут писать под тебя…
Нужно сделать пару десятков координально отличающихся друг от друга проверок на человечность и выдавать пользователю их рандомно. Написание ботов, да и изучение всех 20ти проверялок будет затруднено.
Вот несколько идей
alert('ваше сообщение отправлено'); после получить аяксом ключ добавить к нему соль, полученную при отправке сообщения, отправить обратно на сервер — только тогда сообщение из сессии перекочевывает в БД или sendmail
Hidden-поле с ключом, форма должна уйти пару-тройку раз, при этом ключ должен меняться клиентом в соответствии с некоторым алгоритмом. Завяжите в алгоритм IP-пользователя, ключ сессии, текущее время и т.д.
измените при помощи canvas картинку в 20Х20 пикселей, и засуньте ее в аяксовый пост ( пользователь с картинкой взаимодействовать не должен), проверьте на сервере — верные ли манипуляции произведены с картинкой (не прокатит в IE)
В общем-то идей можно нагенерить еще множество.
Sign up to leave a comment.
Еще раз о капчах