ГлавнаяБлогиAlek$'s blog

Антикапча с примерами

Alek$ вс, 30/11/2018 - 14:53

Предисловие для пришедших и поисковиков
Скорее всего, вы искали инвайты на антикапчу
или информацию о том, как ею пользоваться.
Указанные две ссылки вам помогут.
А эта статься немного о других вещах ;)

По ходу работы над RegSubmitter'ом мне довелось бодаться с самыми разными капчами и теперь хочется изложить наиболее типичные ошибки, которые делают веб-программисты, реализуя антиботовскую защиту. Почему антикапча? Потому, что капча подразумевает усложнение регистрации для ботов и легкость регистрации для людей. В приведенных ниже случаях капча лишь усложняет жизнь людям, но боты обходят ее с легкостью.

1) Передача секретного кода скрипту генерации картинки в виде части URL.
Почему так нельзя делать: проверочный код не должен ни в каком виде передаваться на сторону клиента. Спамеры не дураки и распарсить нужный фрагмент html страницы, чтобы извлечь код - секундное дело.
Пример: MyElect.ru
Решение: передавать проверочный код в качестве переменной сессии.

2) Передача эталонного кода в виде скрытого поля формы.
Почему так нельзя делать: по сути, это еще более грубый вариант предыдущей ошибки. При таком подходе спамер сможет передавать фальшивый эталонный код, который будет геренироваться не сайтом, а программой-спамером. Естественно, передавая в качестве введенного кода тот же самый код, спамер пройдет проверку.
Пример: Savelink.org.ua (о нем я, кстати, уже писал)
Решение: как и в прошлом случае, хранить эталонный код на сервере в качестве переменной сессии.

3) Использование ограниченного набора вопросов/заданий (или, что еще хуже, вообще только одного)
Почему так нельзя делать: спамер может заранее заготовить ответы на все вопросы и подставлять всякий раз один из них, в зависимости от вопроса.
Пример: Ru-Marks.net
Решение: генерировать случайное задание.

И напоследок другая крайность: капча непроходимая как для ботов, так и для людей:

Фраза "13+18=" угадывается только после длительного и вдумчивого изучения картинки.

ОК, с ошибками разобрались, а где взять нормальную капчу? Я пользуюсь KCaptcha. Для человека она вполне читабельна, но вместе с тем я ни разу не слышал, чтобы боты ее пробивали.

UPD 15.03.09
Сейвлинк.орг.юа загнулся. Сдох. Перестал существовать. Почему-то меня это не удивляет.

PS. Естественно, индусы пишут не только разнообразные антикапчи. Они пишут и много другого говнокода ;)



Trackback URL for this post:

/trackback/287
You are not watching this post, click to start watching
»
Пузат вт, 02/12/2018 - 03:23

Полностью согласен, что иногда с капчами на столько перегибают, что сами теряют реальных пользователей, которые просто не смогли ввести капчу, в силу плохого зрения или отсутствия времени на расшифровку.
onebaks.net ср, 03/12/2018 - 17:06

ну не вся капча одинаково полезна, я когда выбирал, то остановился на математической капче, та о которой вы пишете похожа на плагин wp yaCAPTCHA, если не одно и тоже
Тут первый вопрос возникает, зачем вам капча и как часто вы будете заставлять пользователей её вводить, один раз при регистрации допустимо, но если ставить допустим рекапчу для отправки комментариев, то считаю это откровенной параноей автора

п.с. странно, вы так замечательно расписали кейкапчу, почему же сами используете другую, я выкладывал ссылочки на штук пять плагинов для wordpress'a, которые добавляют капу, попробуйте якапчу
Alek$ ср, 03/12/2018 - 17:24

В том, что капчу нужно использовать только к месту (намек про комментарии, принят к сведению ;) ) полностью согласен. Сейчас, кстати, заметил тенденцию к разным JS капчам, которая мне вполне по душе, так как избавляет от необходимости вглядываться в кривые цифры.

Что касается kCaptcha, ее я использую в самописных скриптах, поскольку помимо всего прочего она легко в них интегрируется.

странно, вы так замечательно расписали кейкапчу, почему же сами используете другую, я выкладывал ссылочки на штук пять плагинов для wordpress'a, которые добавляют капу, попробуйте якапчу

У меня блог на Drupal, поэтому якапча мне не подойдет. Посему пользуюсь Captcha Pack для Drupal.
onebaks.net ср, 03/12/2018 - 17:32

на друпал не подскажу
джаваскриптовая тож обходится, робот "умнее" нужен
Alek$ ср, 03/12/2018 - 17:56

Обходится любая капча :)

А вообще, на мой взгляд, наиболее перспектвный подход - динамическое изменение структуры формы, которое сделает невозможным идентификацию полей формы. Нужно чтобы каждый экземпляр формы не был идентичен другим (например форма комментирования на одном wp блоге отличалась от фформы на другом) - тогда боты просто не поймут, что и куда писать.

Один из вариантов - динамическая генерация имен полей формы и случайным образом вставление между ними скрытого от человека поля. Если поле заполнено - значит это бот и он должен быть послан.
onebaks.net ср, 03/12/2018 - 18:28

тут тоже есть как по мне, немаловажный минус
пользователю постоянно придется заново вводить свои данные: имя, емайл, сайт
Alek$ ср, 03/12/2018 - 20:39

Эта проблема решаема, при чем довольно легко.

Более того, такая проблема даже возникает далеко не всегда. Например, она не стоит в случае формы регистрации.
DrNemo пн, 02/02/2019 - 13:34

Хотел уточнить по поводу первого и второго примера, не смотря на то что я целеком согласен. Его все же можно использовать, но хранить там не сам код а мд5 или аналог.
Alek$ вт, 03/02/2019 - 10:45

В какой-то мере это исправит ситуацию, но не на 100%.
Дело в том, что любая защита, основанная на незнании алгоритма ее работы, считается изначально ненадежной. Если спамер разберется, по какому алгоритму производилось получение конечного, он сможет обойти и такую капчу.
Стоит и рисковать всем этим, если можно попросту хранить ключи в переменных сессии?
avtoinstitut ср, 18/03/2019 - 06:25

кому нужен инвайт на антикапчу вот
сегодняшний,свежий 70712ae0c3

пишите,если “испортился”,выдам эксклюзивный avtoinstitut#yandex.ru
пальма пн, 11/05/2019 - 14:03

свежий инвайт на антикапчу 5f2c6c42d3
если нужны еще пишите в асю 61133862 дам
dringos вс, 24/05/2019 - 17:45

Регестрация на антикапче без всяких инвайтов http://soft4dle.ru/acreg/
Гость вс, 21/06/2019 - 00:21

Новый инвайт к сервису антикапча: e3d687fa7d
Гость пн, 06/07/2019 - 03:12

03c1a66434
Гость чт, 06/08/2019 - 16:02

очень достают каптчи, лучше мат задания или вопросы
Гость вс, 30/08/2019 - 19:42

на сайте _http://anti-captcha-invite.ru вы можете мгновенно получить anti-captcha.com инвайт, причем в автономном режиме и без задержек. получи anti-captcha.com код приглашения на сайте _http://anti-captcha-invite.ru
Пальмоед вс, 10/01/2020 - 21:45

Что касается KCaptcha, то anti-captcha.com очень успешно с ней справляется.
Alek$ вс, 10/01/2020 - 22:00

Они с чем угодно справляются, поскольку там сидят тысячи специально обученных обезьянок и за копейки распознают эти капчи :)
Alex вс, 07/03/2020 - 02:12

ВСЕГДА САМЫЕ СВЕЖИЕ ИНВАЙТЫ НА http://is.gd/9RN69
Denis ср, 11/08/2020 - 14:57

В связи с изменениями инвайтов на Antigete - стали платными -
предлагаю Вам инвайты для регистрации на сайте anticapcha
(http://antigate.com) совершенно бесплатно.
Аккаунты идут с возможностью бесплатной загрузки 10 тестовых капч.

e622088e30
adcbf3898b
ea4cfdf17f
a6c12201c8
94bc0adae3
148ec37a9e
d782fc5101
a8d835289a
d0c7ca29e9
df1175d451


Отправить комментарий

CAPTCHA
Вы точно не бот?
19 + 2 =
Without JavaScript you won't pass captcha test, sorry. Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.