На данный момент для предотвращения автоматической регистрации используются капчи но генерация капчи занимает серверный ресурс,
Спамеры в процессе подбора капч используют ПО которое распознает их с небольшими вероятностями, что компенсируется большим количеством запросов.
В итоге спамер в процессе подбора капчи нагрузит наш сервер до предела.
Предлагаю ответить симметричным ответом, а именно, нагрузить клиента до такой степени чтобы он физически не смог регистрировать несколько акаунтов одновременно.
Нагрузить можно например так:
1. Передаем клиенту «x» который равен например md5(md5(y)+z+md5(a))
(также передаем «a» из предидущей формулы которая выбирается случайно и служит для противодействия созданию баз пар x, yz на стороне клиента)
2. Передаем клиенту яваскрипт или флеш для расчета искомых y и z методом брутфорса.
3. Отдаем ему капчу с адреса мойсайт/cap/?c=yzax (в случае непопадания 404)
Плюсы данного метода вижу в том что в отличие от капчи пар xa,yz на сервере можно сохранить больше по причине их относительно малого размера (а сам скрипт можно поместить в кеше т.к. он неизменен).
В итоге нагрузка сервера при подборе капчи должна упасть.
Буду рад дополнениям и исправлениям.
upd: Данный метод не отменяет использование других методов, а только дополняет их в случае его актуальности.
Спамеры в процессе подбора капч используют ПО которое распознает их с небольшими вероятностями, что компенсируется большим количеством запросов.
В итоге спамер в процессе подбора капчи нагрузит наш сервер до предела.
Предлагаю ответить симметричным ответом, а именно, нагрузить клиента до такой степени чтобы он физически не смог регистрировать несколько акаунтов одновременно.
Нагрузить можно например так:
1. Передаем клиенту «x» который равен например md5(md5(y)+z+md5(a))
(также передаем «a» из предидущей формулы которая выбирается случайно и служит для противодействия созданию баз пар x, yz на стороне клиента)
2. Передаем клиенту яваскрипт или флеш для расчета искомых y и z методом брутфорса.
3. Отдаем ему капчу с адреса мойсайт/cap/?c=yzax (в случае непопадания 404)
Плюсы данного метода вижу в том что в отличие от капчи пар xa,yz на сервере можно сохранить больше по причине их относительно малого размера (а сам скрипт можно поместить в кеше т.к. он неизменен).
В итоге нагрузка сервера при подборе капчи должна упасть.
Буду рад дополнениям и исправлениям.
upd: Данный метод не отменяет использование других методов, а только дополняет их в случае его актуальности.
