[PHP][JS][AJAX] - Captcha?, Zasątpić captche "przeciągnij upuść" Opcje

[Adi32]

Witam,

temat dość prosty, jak i wykonanie owego skryptu. Chciałbym jednak zapytać o bezpieczeństwo.
Z tego co mi wiadomo bot nie może wykonać akcji przeciągnij upuść ale czy potrafi ją pominąć? Jeśli tak to czy można napisać to w taki sposób aby było to bezpieczne?

Pisząc w prost - zamiast przepisywać kod z obrazka użytkownik musiałby przeciągnąć coś gdzieś po czym ajaxowo mógłby wykonywać się skrypt który dodałby do sesji informacje o zdarzeniu a dodatkowo mógłby sprawdzić (o ile to potrzebne) czy nie ma żadnych podejrzeń co do logującego, np. czas trwania sesji (jeśli mniej niż sekunda to na pewno coś nie tak )

Mniej ciekawe byłoby rozwiązanie typu "przeciągnij żelazko/piłkę/falę mózgową do żółtego/zielonego pola", chodzi o jedną rzecz do jednego pola.

[!*!]

Bez sensu.

- w przypadku braku JS, nie zadziała
- daltoniści też niewiele zwojują (wersja z piłką)

Temat był już wiele razy poruszany, captcha nie ma być utrudnieniem dla człowieka, to akurat jedna z tych rzeczy w których już nic nowego wymyślić nie można. Zrób proste generowanie obrazu, falowane litery i to będzie trudniejsze do obejscia niż jakieś bzdury przeciągnij i upuść (co zresztą też można ominąć jakby ktoś bardzo się uparł).

[Adi32]

Temat był już wiele razy poruszany, captcha nie ma być utrudnieniem dla człowieka, to akurat jedna z tych rzeczy w których już nic nowego wymyślić nie można. Zrób proste generowanie obrazu, falowane litery i to będzie trudniejsze do obejscia niż jakieś bzdury przeciągnij i upuść (co zresztą też można ominąć jakby ktoś bardzo się uparł).

Właśnie dlatego pytałem, o taką prostą odpowiedź mi chodziło.

Bez sensu.

- w przypadku braku JS, nie zadziała
- daltoniści też niewiele zwojują (wersja z piłką)

To akurat można sprawdzić, czy JS jest włączone czy nie.

Wiem, że temat był wałkowany ale zależy mi żeby coś wymyślić, sam nie lubię przepisywać tych kodów jak i wielu użytkowników.
Przeciągnij upuść "bzdurne" jak dla nas, większość użytkowników patrzy na to jednak z innej strony - wszystko ma być szybkie łatwe i proste.

Teoretycznie mnie przekonałeś jednak upieram się, żeby jeszcze się nad tym (lub czymś innym, prostszym niż "przepisywanie") zastanowić.

[!*!]

Tak, to prawda, większość krew zalewa gdy ma coś przepisać i jeszcze są jakieś wymogi np. "przepisz tylko to gdzie jest kotek", ale innego sposobu nie ma. Zresztą, opieranie czegoś na JS za bardzo ogranicza, chociażby to że musielibyśmy klikać myszą, a nie każdy się nią posługuje. Jak sprawdzisz czy JS jest wyłączone to co wtedy? Kod z obrazka? To jakie to zabezpieczenie, skoro standardowe boty nie mają JS w ogóle?

[Adi32]

Tak, to prawda, większość krew zalewa gdy ma coś przepisać i jeszcze są jakieś wymogi np. "przepisz tylko to gdzie jest kotek", ale innego sposobu nie ma. Zresztą, opieranie czegoś na JS za bardzo ogranicza, chociażby to że musielibyśmy klikać myszą, a nie każdy się nią posługuje. Jak sprawdzisz czy JS jest wyłączone to co wtedy? Kod z obrazka? To jakie to zabezpieczenie, skoro standardowe boty nie mają JS w ogóle?

Masz w zupełności rację. Nie przyszły mi do głowy te dwie kwestie które pogrubiłem.
Teoretycznie się poddaje, praktycznie odchodzę od zabezpieczeń związanych z myszką i JS ale pokombinuje jeszcze na pewno.

Dzięki !*! za objaśnienie sprawy.

Temat nie błysną i jest moim zdaniem nieprzydatny także proszę o skasowanie.

[Mephistofeles]

Peb używa takich captchy. Imho lepsze z punktu widzenia użytkownika rozwiązanie niż przepisywanie.
Jeśli jednak używasz tekstowej, to zamiast własnej lepiej użyj reCaptchy.

[Adi32]

Peb używa takich captchy. Imho lepsze z punktu widzenia użytkownika rozwiązanie niż przepisywanie.
Jeśli jednak używasz tekstowej, to zamiast własnej lepiej użyj reCaptchy.

Nie wiem czy jestem jakiś nie zorientowany ale przez kila dni kląłem peba że linki zakropkowane i myślałem, że to błąd aż zobaczyłem tą captche...

Swoją drogą zastanawiam się nad capthą typu - proste działanie matematyczne na obrazku.
Ewentualnie fajnie byłoby, gdyby tę nudną captche zamienić na coś ciekawego/śmiesznego ale do dobrego efektu potrzebna była by baza jakichś tekstów czy pytań...

[!*!]

Swoją drogą zastanawiam się nad capthą typu - proste działanie matematyczne na obrazku.
Ewentualnie fajnie byłoby, gdyby tę nudną captche zamienić na coś ciekawego/śmiesznego ale do dobrego efektu potrzebna była by baza jakichś tekstów czy pytań...

Też odpada, captche ma zrozumieć człowiek, szympans i Amerykanin. Obliczenia matematyczne mogą dyskwalifikować tego ostatniego pytania? Odpada, przy przenośności dla serwisów wielojęzykowych. Słowa? Już lepiej, łatwo jest się domyśleć jak nie wszystkie litery są czytelne, ale to działa też w 2 stronę. Jesli np. obrazki będą generowane w ten sam sposób, to bot może je porównywać słownikowo, przez co szybciej je złamać.