Forum PHP.pl

Chciałbym zapytać Was o Wasze pomysły alternatywnego rozwiązania mechanizmu CAPTCHA. Otóż zazwyczaj identyfikację użytkownika (jako człowieka) przeprowadza się z użyciem obrazka, na którym umieszczony jest najczęściej trudny w odczytaniu kod, który należy wpisać w odpowiednie pole formularza. Jeśli kod przepisany z obrazka jest prawidłowy aplikacja "uznaje" użytkownika za człowieka (a nie jakiegoś szkodliwego robota).

Rozwiązanie to ma oczywiście wady. Największy problem z tego typu rozwiązaniem mają osoby słabowidzące.

I teraz pytanie: Jaką mielibyście alternatywną propozycję identyfikacji użytkownika jako człowieka a nie robota, która będzie przyjazna dla osób słabowidzących?

Z oczywistych nasuwa mi się:

1. Możliwość odsłuchania tego co jest napisane na obrazku (albo wogóle odsłuchanie czegoś co trzeba wstukać w formularzu)
wady:
- nie każdy komp ma głośniki
- gdzieś czytałem, że odsłuchanie ze zrozumieniem z takiego odtwarzacza też wcale do najprostszych nie należy

2. Odpowiedź na pytanie pochądzące z wcześniej zdefiniowanej puli pytań (np. stolica danego kraju)
wady:
- cóż, istnieje niezerowe prawdopodobieństwo że ktoś nie będzie znał odpowiedzi na pytanie
- chyba dość proste do złamania

3. Rozwiązanie jakiegoś prostego równania z wcześniej zdefiniowanej puli równań (typu: 2 + 2 = ?, albo lepiej tekstowo "dwa plus dwa równa się")
wady:
- zdaje się, że takie zabezpieczenie jest najprostsze do złamania


Jakieś inne propozycje?

Rozumiem - radosc tworzenia wlasnego rozwiazania ale czasami po prostu nie warto wynajdowac kola na nowo. reCaptcha jest naprawde dobra i funkcjonalna dlaczego jej nie uzyc?

@jakisdziad - dlatego, że jest uciążliwa i w wielu przypadkach można zastosować coś przyjemniejszego.

A co do tematu: to trochę mało konkretne i puste pytanie, bo przede wszystkim najpierw trzeba się zastanowić w jakiej sytuacji walczymy z robotami.

Przykładowo: jeżeli nie chcemy, żeby roboty wysyłały nam spam przez formularz kontaktowy to z mojego osobistego doświadczenia skuteczne jest dodanie pola

[HTML] pobierz, plaintext 
<input type=hidden name=email/>
[HTML] pobierz, plaintext 

które po przesłaniu ma pozostać puste, przeważnie takie roboty wypełniają wszystkie pola.

Ponadto, jeżeli byłaby to sytuacja gdzie serwis do poprawnego działania wymaga obsługi js, to bez przeszkód można by zastosować jakieś przyjemne zabezpieczenie w js.

Z ciekawszych alternatyw widziałem to: http://www.wozia.pt/blog/wcaptcha-a-better...captcha-plugin/

Co do Twoich alternatyw, to:
1. jak dla mnie to beznadzieja, miałbym specjalnie wyłączać muzykę do rejestracji na jakiejś stronce? a załóżmy, że wchodzę z laptopa z badziewnymi głośnikami, albo z komórki i jest problem.
2, 3. Łatwe do złamania, ale mimo wszystko ktoś musi napisać robota specjalnie do obejścia tego zabezpieczenia, więc dla mniejszych serwisów może to być wystarczające rozwiązanie.

Wiesz, taki trick to mozna bylo stosowac pare grubych lat wstecz.

reCaptcha jest uciazliwa? W czym uciazliwa jesli mozna wiedziec, uciazliwa w implementacji czy moze uciazliwa dla uzytkownika?

każde rozwiązanie inne niż dostępne publicznie i popularne jest dobre.

trochę nie rozumiem Twojego konserwatywnego podejścia, ja nie pisze, że re-captcha jest zła, oczywiście jest bardzo dobra i sam ją używam, ale są sytuacje, gdzie jest po prostu nie wygodna dla użytkownika i można rozważyć rozwiązanie alternatywne.

- chodzi o zabezpieczenie formularza rejestracyjnego dla nowych użytkowników
- serwis, w którym jest formularz posiada duży ruch i jest dość wysokie prawdopodobieństwo ataków
- do prawidłowej pracy pozostałej części serwisu wymagany jest JS więc myślę, że w nowym mechanizmie CAPTCHA można by go użyć, aczkolwiek nie chciałbym zamykać się tylko na takie podejście - chciałbym przeczytać jeszcze jakieś propozycje bez użycia JS

Coś niezwykle prostego nasunęło mi się na myśl, a jakbyś tworzył obrazki z równaniami typu 2+2 ?
A odnośnie odsłuchiwania tego co napisane reCaptcha ma przycisk do tego, spróbój zrozumieć cokolwiek

@Mackos - takie rozwiązanie będzie skuteczne, dopóki ktoś nie uprze się, żeby go złamać
@pszpiler - jeżeli masz już potwierdzenie adresu e-mail linkiem aktywacyjnym, to na chwilę obecną nie ma sensu implementować kolejnych utrudnień dopóki nie będzie to faktycznie potrzebne, poza tym co to znaczy "ataków"? to Tobie chodzi o zabezpieczenie przed atakami np. flood, czy przed tworzeniem fikcyjnych kont, bo coś zaczynasz mieszać?

Od samego początku pisałem, że chodzi o "alternatywną propozycję identyfikacji użytkownika jako człowieka a nie robota" - więc jasne jest, że chodzi o uchronienie się przed flood'owaniem.

tylko, że captcha Cię przed flood'em nie uchroni...więc dokładnie precyzuj o co Ci chodzi.

Captcha służy do tego, żeby się upewnić, że to użytkownik wprowadza treść a nie automat. Natomiast jeżeli chcesz się bronić przed flood'em to musisz sprawdzać czas pomiędzy wysyłanymi żądaniami i blokować IP, które robią z większa częstotliwością niż jest to fizycznie możliwe dla użytkownika.

Why? Jak rozumiem flood'y dodawane są przecież przez automaty, więc jeżeli automat nie poradzi sobie z CAPTCHA to nie doda żadnych danych, nie zarejestruje się - zatem jest ochrona.


To jest przecież jasne. Właśnie dzięki temu, że uda się odróżnić człowieka od automatu będzie nie będzie syfu (flood'ów) w bazie.


To co piszesz jest całkiem sensowne.

Powiem tak... Najlepiej stosować kilka sposobów, które stopniowo coraz wymyślniejsze roboty eliminują. Mimo że rozwiązanie ma przykładowo kilka lat, to zastosowanie podanego przez tehaha ukrytego pola daje kapitalny odsiew. Pod warunkiem, że NIE damy pola jako hidden na pałę, ale jest ono w kodzie bez duperelek, a z dodatkową klasą w arkuszu zewnętrznym, która ma display:none Dzięki temu boty analizujące kod po napotkaniu uzupełnią, bo nie analizują zazwyczaj arkuszy css i nie wiedzą, że nie jest pole widoczne dla usera.

Inna rzecz to spotkana przez mojego kumpla fajna captcha, ale już oparta o canvas, gdzie nie jest ważny wynik, ale rysunek
http://www.josscrowcroft.com/projects/moti...-jquery-plugin/
Dostajesz do narysowania kształt i od tego jak to zrobisz może Cię uznaćza bota lub nie. Wejdźcie i się pobawcie. To naprawdę proste i fajne rozwiązanie.