Форум PHP программистов > вместо капчи ипользовать поля hidden

[ Поиск ] - [ Пользователи ] - [ Календарь ]

Полная Версия: вместо капчи ипользовать поля hidden

olgatcpip

24.05.2010 - 13:07

Здравствуйте.

Меня тут спросили можно ли обойти бота без капчи след образом. Создаем хиденные поля, если бот, то поля будут заполнены.

КТО знает так али нет. Я не уверена, но по-моему бред. Потому как я в работе использую очень часто хиденный поля, и что получается, после такого бота они будут изменены?? странно и не понятно. Прошу высказаться.

Спустя 2 минуты, 17 секунд (24.05.2010 - 12:09) zarafar написал(а):

Интересно, что же за бот такой, с манией заполнять hidden поля

Спустя 12 секунд (24.05.2010 - 12:09) DedMorozzz написал(а):

Да мона, но лишь пока сам "бото-писатель" не посетит сайт. В противном случае эта "уловка" обходиться в момент

Спустя 15 минут, 25 секунд (24.05.2010 - 12:25) jetistyum написал(а):

Бугагашеньки

если создают ботов, котроые и каптчи парсить умеют, то уж создать бота, который не будет заполнять hidden поля .. проще простого )))))

Спустя 5 минут, 27 секунд (24.05.2010 - 12:30) waldicom написал(а):

Если я не ошибаюсь, FatCat рассказывал о его способе защиты от ботов, и что-то там насчет скрытых полей было. Меня можно/нужно поправить, если я не прав.

Спустя 1 минута, 18 секунд (24.05.2010 - 12:32) olgatcpip написал(а):

FatCat, где та тема? найти не могём

Спустя 3 минуты, 23 секунды (24.05.2010 - 12:35) glock18 написал(а):

я видел подобное у vasa_c. когда-то давно ссылку где-то на него здесь видел и решил заглянуть. там смотреть

Спустя 11 минут, 43 секунды (24.05.2010 - 12:47) twin написал(а):

Хиддены боты обычно не заполняют. А вот простые текстовые поля, скрытые с помощью стилей, те да - запросто.

Спустя 5 минут, 8 секунд (24.05.2010 - 12:52) DedMorozzz написал(а):

FatCat писал, что мол сделать поле, с надписью "опасно, не заполняй", для обычных юзверей. Что они и не должны делать, а бот сие действие выполнит и не удержиться, заполнит. А далее проверка. Если поле заполнено - не пускать. Как-то так.

Спустя 27 минут, 3 секунды (24.05.2010 - 13:19) Rand написал(а):

Да, давно в каком-то блоге читал об этом способе защиты - работало. Но боты тоже на месте не стоят, наверняка уже есть, которые не заполняют скрытые поля ))

Спустя 5 минут, 13 секунд (24.05.2010 - 13:24) Kuliev написал(а):

От банды студентов готовые спамить за чашку риса не что не СПАСЕТ!!!

Спустя 19 минут, 40 секунд (24.05.2010 - 13:44) ApuktaChehov написал(а):

А что если создать поле с помощью JS. Боты ведь JS не исполняют?
Правда тогда народ без JS не сможет пройти.

Спустя 26 минут, 10 секунд (24.05.2010 - 14:10) olgatcpip написал(а):

Вот что мне прокомментировали

Цитата

Сейчас расскажу. На сайт заходят 2 вида ботов: злые и добрые. Добрые это
от всяких поисковых систем,
которые залазиют только туда, куда можно, ничего не заполняют и довольно
добросовестно обходят сайт.
А злые боты как раз и направляются с целью таких вот формочек. Они
заполняют все поля, которые только возможно
и отправляют все формы (ну или только одну).
Соответственно, если мы возьмем и создадим hidden-поле: <input
type='hidden' name='email' value=''>
То боты с удовольствием будут такое заполнять и отправлять форму, а
человек даже не заметит этого поля в принципе.
Соответственно, на стороне сервера достаточно будет проверить, заполнено
ли это поле. И если заполнено, значит это бот.
Этим отсечется множество ботов. Далее, я ручаюсь, что 99% ботов работают
без поддержки js. Соответственно, мы можем
создавать это hidden-поле с помощью js, а затем полагать, что если поле
email определено и не заполнено, то это человек.
Далее, пятисекундный интервал отправки сообщений не даст никому
разгуляться. Можно поставить лимит сообщений в час и в день,
чем свести эффективность спама практически к нулю.
Вот такая вот защита.

Спустя 4 минуты, 25 секунд (24.05.2010 - 14:14) Basili4 написал(а):

А ботов наверно по пояс деревянные пишут ? Трудно что ли инпуты с type='hidden' пропускать ??

Спустя 6 минут, 11 секунд (24.05.2010 - 14:21) Семён написал(а):

Цитата (Basili4 @ 24.05.2010 - 15:14)

А ботов наверно по пояс деревянные пишут ? Трудно что ли инпуты с type='hidden' пропускать ??

Согласен, но если hide делать средставами JS

Спустя 3 минуты, 14 секунд (24.05.2010 - 14:24) zarafar написал(а):

Цитата (olgatcpip @ 24.05.2010 - 11:10)

Вот что мне прокомментировали

Цитата

Прикольный способ. Но эта защита сработает хорошо от залетного бота. Если ресурс более менее посещаемый, он заинтересует спамеров, которые обратят внимание, что нет капчи, и натравят своих ботов с обходом этой защиты. Через 10 минут сайт будет лежать на лопатках... А вот капчу уже не получится обойти так просто.

Спустя 35 минут, 39 секунд (24.05.2010 - 14:59) ApuktaChehov написал(а):

А если так. Сгенерировать случайную строку, потом средствами JS, поместить ее в созданное же JS поле и отправить на сервер. Если строка не пришла - бот.
Даже если спамер вскроет JS код и узнает что за поле создается, он не сможет узнать, что за строка туда помещается.

Вроде так, хотя могу и ошибаться.

Спустя 5 минут, 11 секунд (24.05.2010 - 15:05) Basili4 написал(а):

Семён Тогда уж лучше средвами CSS

Спустя 2 минуты, 34 секунды (24.05.2010 - 15:07) olgatcpip написал(а):

Цитата

Сгенерировать случайную строку, потом средствами JS, поместить ее в созданное же JS поле и отправить на сервер. Если строка не пришла - бот.
Даже если спамер вскроет JS код и узнает что за поле создается, он не сможет узнать, что за строка туда помещается.

вот что ответил:

Цитата

Но javascript:alert($('#domeField').attr('value')) в строке браузера еще никто не отменял.

Спустя 37 секунд (24.05.2010 - 15:08) jetistyum написал(а):

Да здравствуют изобретатели велосипедов

случайную строку создавать??? отправлять на сервер? делать скрытые поля? зачем всё это?
ну назови ты поле e-mail не email-ом, а field23 и все.. это поможет не больше чем вся остальная ерунда с наворотами джаваскриптовыми.
да и не знаю, есть ли боты которые все подряд заполняют всем подряд в надежде что что-нибудь отправится куда-нибудь

Спустя 3 минуты, 29 секунд (24.05.2010 - 15:11) Basili4 написал(а):

Если говорить о способах защиты то кроме капчи можно использовать сгенерированый вапрос на который легко ответит человек Как наывается третья планета от солнца?

Спустя 55 секунд (24.05.2010 - 15:12) ApuktaChehov написал(а):

Это да, я сам это понял некоторое время спустя. Тогда хз.

Быть может анализ действия поможет. Ведь люди ведут себя на сайте не так как боты.

Спустя 49 минут, 45 секунд (24.05.2010 - 16:02) FatCat написал(а):

Цитата (olgatcpip @ 24.05.2010 - 13:07)

но по-моему бред.

Этот "бред" отлично защищает наш форум от ботов.

Цитата (olgatcpip @ 24.05.2010 - 15:10)

На сайт заходят 2 вида ботов: злые и добрые.

На сайт заходят 3 вида ботов как минимум: поисковые боты, парсеры контента (воровайки) и флудильные боты (постеры рекламы).
И речь нужно вести о ДВУХ разных защитах как минимум. В этом форуме защиты продублированы; на круг 4 разных механизма.
В открытом доступе раскрывать все хитрости не буду, в личку могу подкинуть несколько идей.

Спустя 3 часа, 42 минуты, 55 секунд (24.05.2010 - 19:45) glock18 написал(а):

Цитата

Далее, я ручаюсь, что 99% ботов работают
без поддержки js

мне вот этот пункт понравился.

Спустя 6 минут, 49 секунд (24.05.2010 - 19:52) glock18 написал(а):

Цитата

да ладно )) узнать элементарно. более того если станет понятно, что генерится случайная строка на клиенте, то укайтайка хацкеру обеспечена

ибо как ты поймешь какая строка сгенерировалась, когда будешь ее проверять на сервере?

_____________
Ласковое слово и кошке приятно... Плюсик в карму сойдет wink.gif
*smarty дока - новая любовь
Моё рукотворение ругайте, хвалите smile.gif
Веду маленький блог
в этом блоге публикую новые работы
WMR217126627282 wink.gif

Быстрый ответ:

Здесь расположена полная версия этой страницы.