Witam
Dzisiaj napisałem taki mały skrypt PHP do kodów captcha, którego nazwałem anyBotKod, demko tutaj http://karol-drag.eu/demo/anyBotKod/.
Chciałbym byście ocenili czy taki skrypt nadaje się przeciw botom do formularzy?
Bardzo prosta do złamania ta capcha http://luq10.wordpress.com/2010/01/28/niecaptcha-jak-zlamac-captche-a-jak-napisac-swoja/
Te kody nie są generowane dynamicznie? Przecież do tylko 5 kodów stałych = 5 obrazków. Botowi daje te wszystkie kody i już może Ci spamić.
Już lepiej wykorzystać gotowe rozwiązania lub inne zabezpieczenia niż captcha.
Co masz na myśli pisząc inne niż captcha?
Oj, sposobów jest cała masa, że wymienię kilka:
- wstawiamy jakieś pole formularza o kuszącej nazwie, np username, dajemy mu klasę ukrytą, żeby user go nie widział - bot się skusi, wypełni i tym samym się zdradzi;
- mierzymy czas od wyświetlenia formularza do jego wysłania - bot wypełnia znacznie szybciej, niż człowiek;
- wstawiamy skrypt js (najlepiej autorski), który po wciśnięciu przycisku 'wyślij' uzupełnia ukryte pole w formularzu o określoną wartość i dopiero wtedy wysyła go. Boty nie wchodza fizycznie na stronę i nie klikają, tylko one mielą kod html i wysyłają własne POSTy. A z obsługą JS u nich beznadziejnie.
- sprawdzanie formularza na obecność słów oznaczonych jako spam, np. 'przedłużanie penisa', 'kredyty hipoteczne' etc.
Same CAPTHa można stosować na wiele innych sposobów, niż klepanie liter. Można stosować przeciąganie/łączenie elementów, pytania (wpisz wynik działania: 2+2), zaznaczanie elementów itd.
Twoja captcha jest mało skuteczna, wystarczy zerknąć do źródła strony i przypisać odpowiednim obrazkom odpowiedni kod (bo widzę, że obrazki są już gotowe, a nie generowane), proszę:
http://karol-drag.eu/demo/anyBotKod/kody/3.png
Już wiem, że gdy img src="3.png" to kod do wpisania to 20ks4, tym sposobem można szybko wszystkie kody poznać.
Generuj kody za pomocą biblioteki PHP (losowe ciągi znaków, nie na sztywno, z różnym kątem nachylenia, odległością, itp.), a nie samemu w paincie czy PS.
hehe, dobre
A moge zrobić tak, że dodam ten kod, taki jak mam teraz i dodatkowo to ukryte pole w formularzu?
Mozesz... tylko po co? Po co zwyklym uzytkownikom chcesz uprzykrzac zycie?
Nie wiem (pomyśle).
Dodałem to ukryte pole.
Możecie jakoś sprawdzić czy bot da radę teraz, jeśli tak, to wyskoczy komunikat "Jesteś BOT-em..." i nie wyśle formularza.
http://karol-drag.eu/demo/anyBotKod/
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)