Я подключаю его как картинку через html:
echo "<img src='captcha.php'... >";
Проблема в том как безопастно и надежно передать в него саму переменную случайных символов:
Если так:
echo "<img src='captcha.php?var=H5gt1'... >";
то уж сильно "прозрачно" получается.
А как можно еще?
Спустя 9 минут, 37 секунд (11.01.2011 - 09:19) Hoodzon написал(а):
Через сессию.
Спустя 10 минут, 39 секунд (11.01.2011 - 09:30) LRCenter написал(а):
Это понятно, а еще как можно?
Спустя 37 минут, 16 секунд (11.01.2011 - 10:07) LRCenter написал(а):
а ну ее в баню, эту каптчу, лажовый метод какой-то. арифметический вариант теста Тьюринга и надежнее и проще в реализации и для пользователей понятнее - и памяти меньше жрет.
И можно кстати без сессий обойтись
И можно кстати без сессий обойтись
Спустя 31 минута, 27 секунд (11.01.2011 - 10:39) Hoodzon написал(а):
Прежде чем прикручивать защиту от ботов / парсинга, определитесь с задачей, которую она должна выполнять. Арифмитеческая защита при парсинге / спаме, обходится очень быстро в отличии от графической капчи.
Спустя 6 минут, 59 секунд (11.01.2011 - 10:46) LRCenter написал(а):
если вербализировать числа и знаки, и менять операции, а не только использовать банальное сложение, а так же менять структуру предложения, то думаю арифметический тест приближается по надежности к каптче.
На некоторых посещаемых сайтах видел - и ничего: спама нет))
Единственная проблема: нуждается в более сложной локализации такой метод, при создании языковых версий.
На некоторых посещаемых сайтах видел - и ничего: спама нет))
Единственная проблема: нуждается в более сложной локализации такой метод, при создании языковых версий.
Спустя 50 минут, 32 секунды (11.01.2011 - 11:36) Guest написал(а):
recaptha
Спустя 10 минут, 22 секунды (11.01.2011 - 11:47) Hoodzon написал(а):
| Цитата (LRCenter @ 11.01.2011 - 07:46) |
| если вербализировать числа и знаки, и менять операции, а не только использовать банальное сложение, а так же менять структуру предложения, то думаю арифметический тест приближается по надежности к каптче. На некоторых посещаемых сайтах видел - и ничего: спама нет)) Единственная проблема: нуждается в более сложной локализации такой метод, при создании языковых версий. |
Сомневаюсь. если программист не сможет написать сценарий для решения вашей мат. операции, значит и рядовой пользователь не сможет это решить. Если всё же уверены в своей правоте, заключим пари. На "том" ресурсе, который ты ставишь в пример, не нашлось людей, которые хотели бы его целенаправленно проспамить.
Спустя 7 минут, 47 секунд (11.01.2011 - 11:54) Michael написал(а):
javascript-ом еще толково защищаются. Пример.
Спрограммировать сложнее, но и боту тоже нелегко придется.
Спрограммировать сложнее, но и боту тоже нелегко придется.
Спустя 16 минут, 24 секунды (11.01.2011 - 12:11) LRCenter написал(а):
| Цитата |
| Сомневаюсь. если программист не сможет написать сценарий для решения вашей мат. операции, значит и рядовой пользователь не сможет это решить. Если всё же уверены в своей правоте, заключим пари. На "том" ресурсе, который ты ставишь в пример, не нашлось людей, которые хотели бы его целенаправленно проспамить. |
хм.. целенаправлено, целенаправлено и каптчу любую можно крякнуть)
каптча вообще нужна только для защиты от случайных бродячих спам-роботов, если защита серьезней нужна, надо и методы более селективные использовать, регистрация юзеров, или там премодерация какая-нибудь.
--
Michael
А где там защита? То что форма ajax-ом отправляется?
Спустя 1 час, 6 минут, 28 секунд (11.01.2011 - 13:17) LRCenter написал(а):
Hoodzon, понимаете, эффективность каптчи основана главным образом на коллизии машинного зрения распознающего алгоритма. Проблема в том что и человек зачастую не может разобрать символы с каптчи. Некоторые даже считают что это в своей массе наносит ущерб сайтам(убыль активных посетителей) - http://ruseller.com/lessons.php?rub=28&id=794
Так зачем напрягать лишний раз сервер и глаза пользователя? Почему бы не использовать например недостатки машинной логики, пользуясь информационной энтропией?
Так зачем напрягать лишний раз сервер и глаза пользователя? Почему бы не использовать например недостатки машинной логики, пользуясь информационной энтропией?
Спустя 1 час, 25 минут, 54 секунды (11.01.2011 - 14:43) Michael написал(а):
LRCenter, нет, то что в форме секретный ключ присутствует.
Спустя 6 минут, 15 секунд (11.01.2011 - 14:49) LRCenter написал(а):
Michael, а, тогда понятно.
Спустя 48 минут, 20 секунд (11.01.2011 - 15:38) ИНСИ написал(а):
я сделал недавно, небольшой тест:
1. Есть функция генерации случайного числа (сделана twin-ом)
2. При нажатии на Зарегистрироваться, открывается ajax-ом окошко, где создается случайны защитный код и отправляется на почту. Также все данные, которые пользователь ввел, сохраняются в сесиию
3. Если пользователь ввел пароль, который выслан был на почту, то все данные из сессии, записываются в БД.
4. При этом, я отключил возможность использовать cUrl и fsockopen
Думаю такую конструкцию, навряд ли бот сможет обойти. НОООО. Есть минус, если пользователь закрыл браузер, то сессия уничтожается и регистрация потеряна получается.
Но думаю, если пользователи решил зарегистрироваться, то проверить почту и ввести защитный код ему не составит труда.
1. Есть функция генерации случайного числа (сделана twin-ом)
2. При нажатии на Зарегистрироваться, открывается ajax-ом окошко, где создается случайны защитный код и отправляется на почту. Также все данные, которые пользователь ввел, сохраняются в сесиию
3. Если пользователь ввел пароль, который выслан был на почту, то все данные из сессии, записываются в БД.
4. При этом, я отключил возможность использовать cUrl и fsockopen
Думаю такую конструкцию, навряд ли бот сможет обойти. НОООО. Есть минус, если пользователь закрыл браузер, то сессия уничтожается и регистрация потеряна получается.
Но думаю, если пользователи решил зарегистрироваться, то проверить почту и ввести защитный код ему не составит труда.
_____________
Меньше кода - меньше багов ©