Предисловие для пришедших и поисковиков
Скорее всего, вы искали инвайты на антикапчу
или информацию о том, как ею пользоваться.
Указанные две ссылки вам помогут.
А эта статься немного о других вещах ;)
По ходу работы над RegSubmitter'ом мне довелось бодаться с самыми разными капчами и теперь хочется изложить наиболее типичные ошибки, которые делают веб-программисты, реализуя антиботовскую защиту. Почему антикапча? Потому, что капча подразумевает усложнение регистрации для ботов и легкость регистрации для людей. В приведенных ниже случаях капча лишь усложняет жизнь людям, но боты обходят ее с легкостью.
1) Передача секретного кода скрипту генерации картинки в виде части URL.
Почему так нельзя делать: проверочный код не должен ни в каком виде передаваться на сторону клиента. Спамеры не дураки и распарсить нужный фрагмент html страницы, чтобы извлечь код - секундное дело.
Пример: MyElect.ru
Решение: передавать проверочный код в качестве переменной сессии.
2) Передача эталонного кода в виде скрытого поля формы.
Почему так нельзя делать: по сути, это еще более грубый вариант предыдущей ошибки. При таком подходе спамер сможет передавать фальшивый эталонный код, который будет геренироваться не сайтом, а программой-спамером. Естественно, передавая в качестве введенного кода тот же самый код, спамер пройдет проверку.
Пример: Savelink.org.ua (о нем я, кстати, уже писал)
Решение: как и в прошлом случае, хранить эталонный код на сервере в качестве переменной сессии.
3) Использование ограниченного набора вопросов/заданий (или, что еще хуже, вообще только одного)
Почему так нельзя делать: спамер может заранее заготовить ответы на все вопросы и подставлять всякий раз один из них, в зависимости от вопроса.
Пример: Ru-Marks.net
Решение: генерировать случайное задание.
И напоследок другая крайность: капча непроходимая как для ботов, так и для людей:
Фраза "13+18=" угадывается только после длительного и вдумчивого изучения картинки.
ОК, с ошибками разобрались, а где взять нормальную капчу? Я пользуюсь KCaptcha. Для человека она вполне читабельна, но вместе с тем я ни разу не слышал, чтобы боты ее пробивали.
UPD 15.03.09
Сейвлинк.орг.юа загнулся. Сдох. Перестал существовать. Почему-то меня это не удивляет.
PS. Естественно, индусы пишут не только разнообразные антикапчи. Они пишут и много другого говнокода ;)
Полностью согласен, что иногда с капчами на столько перегибают, что сами теряют реальных пользователей, которые просто не смогли ввести капчу, в силу плохого зрения или отсутствия времени на расшифровку.
ну не вся капча одинаково полезна, я когда выбирал, то остановился на математической капче, та о которой вы пишете похожа на плагин wp yaCAPTCHA, если не одно и тоже
Тут первый вопрос возникает, зачем вам капча и как часто вы будете заставлять пользователей её вводить, один раз при регистрации допустимо, но если ставить допустим рекапчу для отправки комментариев, то считаю это откровенной параноей автора
п.с. странно, вы так замечательно расписали кейкапчу, почему же сами используете другую, я выкладывал ссылочки на штук пять плагинов для wordpress'a, которые добавляют капу, попробуйте якапчу
В том, что капчу нужно использовать только к месту (намек про комментарии, принят к сведению ;) ) полностью согласен. Сейчас, кстати, заметил тенденцию к разным JS капчам, которая мне вполне по душе, так как избавляет от необходимости вглядываться в кривые цифры.
Что касается kCaptcha, ее я использую в самописных скриптах, поскольку помимо всего прочего она легко в них интегрируется.
странно, вы так замечательно расписали кейкапчу, почему же сами используете другую, я выкладывал ссылочки на штук пять плагинов для wordpress'a, которые добавляют капу, попробуйте якапчу
У меня блог на Drupal, поэтому якапча мне не подойдет. Посему пользуюсь Captcha Pack для Drupal.
на друпал не подскажу
джаваскриптовая тож обходится, робот "умнее" нужен
Обходится любая капча :)
А вообще, на мой взгляд, наиболее перспектвный подход - динамическое изменение структуры формы, которое сделает невозможным идентификацию полей формы. Нужно чтобы каждый экземпляр формы не был идентичен другим (например форма комментирования на одном wp блоге отличалась от фформы на другом) - тогда боты просто не поймут, что и куда писать.
Один из вариантов - динамическая генерация имен полей формы и случайным образом вставление между ними скрытого от человека поля. Если поле заполнено - значит это бот и он должен быть послан.
тут тоже есть как по мне, немаловажный минус
пользователю постоянно придется заново вводить свои данные: имя, емайл, сайт
Эта проблема решаема, при чем довольно легко.
Более того, такая проблема даже возникает далеко не всегда. Например, она не стоит в случае формы регистрации.
Хотел уточнить по поводу первого и второго примера, не смотря на то что я целеком согласен. Его все же можно использовать, но хранить там не сам код а мд5 или аналог.
В какой-то мере это исправит ситуацию, но не на 100%.
Дело в том, что любая защита, основанная на незнании алгоритма ее работы, считается изначально ненадежной. Если спамер разберется, по какому алгоритму производилось получение конечного, он сможет обойти и такую капчу.
Стоит и рисковать всем этим, если можно попросту хранить ключи в переменных сессии?
кому нужен инвайт на антикапчу вот
сегодняшний,свежий 70712ae0c3
пишите,если “испортился”,выдам эксклюзивный avtoinstitut#yandex.ru
свежий инвайт на антикапчу 5f2c6c42d3
если нужны еще пишите в асю 61133862 дам
Регестрация на антикапче без всяких инвайтов http://soft4dle.ru/acreg/
Новый инвайт к сервису антикапча: e3d687fa7d
03c1a66434
очень достают каптчи, лучше мат задания или вопросы
на сайте _http://anti-captcha-invite.ru вы можете мгновенно получить anti-captcha.com инвайт, причем в автономном режиме и без задержек. получи anti-captcha.com код приглашения на сайте _http://anti-captcha-invite.ru
Что касается KCaptcha, то anti-captcha.com очень успешно с ней справляется.
Они с чем угодно справляются, поскольку там сидят тысячи специально обученных обезьянок и за копейки распознают эти капчи :)
ВСЕГДА САМЫЕ СВЕЖИЕ ИНВАЙТЫ НА http://is.gd/9RN69
В связи с изменениями инвайтов на Antigete - стали платными -
предлагаю Вам инвайты для регистрации на сайте anticapcha
(http://antigate.com) совершенно бесплатно.
Аккаунты идут с возможностью бесплатной загрузки 10 тестовых капч.
e622088e30
adcbf3898b
ea4cfdf17f
a6c12201c8
94bc0adae3
148ec37a9e
d782fc5101
a8d835289a
d0c7ca29e9
df1175d451
Отправить комментарий