Witam,

Proste pytanie: czy captcha przy logowaniu jest niezbędna, lub potrzebna? Rozumiem, że przy rejestracji powinna być, ale czy przy logowaniu? Jeżeli jest niezbędna, lub potrzebna, to dlaczego?

Pozdrawiam!

Przy logowaniu nie trzeba dodawać captchy, z prostego i logicznego powodu - tylko zarejestrowany użytkownik ma po co się logować, a ty teoretycznie przesiałeś boty od realnych userów na etapie rejestracji.

Na logowanie, ewentualnie, założyłbym jakieś ograniczenie na ilość prób, coby nikt nie chciał się bruteforcem włamać.

Możesz zastosować podobną filozofię jak Gmail - po parokrotnym (2, 3 razy) błędnym podaniu danych z danego IP wymagają podania captcha. Prawdopodobnie zabezpiecza ich to przed atakiem brute-force.

no i zacznijmy od tego po co w ogóle captcha? Jest tyle innych przyjemnych metod, niektóre nawet nie inwazyjne dla uzytkownika

Jakie np. ~nospor?

~everth - tak wiem, ale nie wpadłem na to by to u siebie zastosować

Choćby liczenie, czy rozpoznawanie zwierzęcia. Mi się podobało też coś na zasadzie przepisz wspak, albo wpisz co drugą literę, gdzie tekst był wyraźny

Ja kiedyś zrobiłem zabezpieczenie polegające na dodaniu do formularza jednego pola js'em, które było wymagane przy walidacji i tyle.

Tutaj właśnie trzeba rozróżniać. Czy zabezpieczamy się przed masowymi botami spamującymi, czy może przed botem pisanym konkretnie na naszą aplikację Bo z tym drugim chyba też walczyć bezpośrednio obrazkami.

Jeżeli ktoś pisze bota pod naszą aplikację a jest doświadczony w tym co robi nie mamy ŻADNYCH ale to ŻADNYCH szans, aby obronić się przed takim atakiem.
Na nic tutaj zabezpieczenia etc.

Wystarczy, że zaloguję się w przeglądarce, cookie skopiuję do skryptu, wszystkie nagłówki i sesję utrzymam. Musiałbyś to captcha walić co przeładowanie strony.

@fifi209 przy założeniu że znasz hasło i login (czyli właściwie jesteś uwierzytelniony) to żadne zabezpieczenia (poza czasową ważnością) nie mają sensu. Chyba że chcesz zniechęcić każdego do korzystania z usług serwisu. Tu chodzi o przełamanie zabezpieczeń za pomocą brute-force, czy ataku słownikowego. Bot może przeprowadzić na niezabezpieczonej stronie logowania tysiące takich ataków, aż w końcu je przełamie (biorąc pod uwagę idiotyzm niektórych haseł jest to prawie pewne).
Poza tym co do sesji - można próbować się zabezpieczyć dokładając ciasteczko z sumą kontrolną po IP i konfiguracji przeglądarki (browser fingerprint). Ale to też da się to ominąć.

@strife - fajne, ma tylko jedną zasadniczą wadę - odrzuca przeglądarki z wyłączonym JSem, lub takie które ten skrypt zablokowały (nie wspominam Lynxa, bo kto go jeszcze dzisiaj stosuje )

@bim2 - metoda z liczeniem jest także łatwa do obejścia, zwłaszcza jeśli bot został dostosowany do naszej strony.

Dobra captcha nie jest zła . Wszystkie pomysły żeby nie stosować tekstu w obrazku również mają zasadniczą wadę - treść powinna być maksymalnie jednoznaczna dla człowieka. Czyli ty rozpoznasz na obrazku żółwia, ktoś inny żółwika a jeszcze ktoś h*ja. Obrazki są też zależne od kontekstu kulturowego w jakim dana osoba się obraca.
Dlatego stosuje się przekształcone ciągi tekstowe - analfabetów w internecie raczej nie uświadczysz (może poza wtórnymi ). Fajny artykuł o technikach captcha popełnił kiedyś porneL.