วิธีการของ CAPTCHA ที่ไม่ใช่รูปภาพในทางปฏิบัติ

ดูเหมือนว่าเราจะเพิ่มการสนับสนุนCAPTCHAใน Stack Overflow นี่เป็นสิ่งจำเป็นเพื่อป้องกันบ็อตผู้ส่งอีเมลขยะและกิจกรรมอื่น ๆ ที่เป็นอันตรายของสคริปต์ เราแค่ต้องการให้มนุษย์โพสต์หรือแก้ไขสิ่งต่าง ๆ ที่นี่!

เราจะใช้ JavaScript (jQuery) CAPTCHA เป็นแนวป้องกันแรก:

http://docs.jquery.com/Tutorials:Safer_Contact_Forms_Without_CAPTCHAs

ข้อดีของวิธีนี้คือสำหรับคนส่วนใหญ่ CAPTCHA จะไม่ปรากฏให้เห็น!

อย่างไรก็ตามสำหรับผู้ที่ปิดการใช้งาน JavaScript เรายังคงต้องการทางเลือกและนี่คือสิ่งที่มันจะยุ่งยาก

ฉันได้เขียนตัวควบคุม CAPTCHA แบบดั้งเดิมสำหรับ ASP.NETซึ่งเราสามารถนำกลับมาใช้ใหม่ได้

อย่างไรก็ตามฉันต้องการไปกับสิ่งที่เป็นข้อความเพื่อหลีกเลี่ยงค่าใช้จ่ายในการสร้างอิมเมจเหล่านี้ทั้งหมดบนเซิร์ฟเวอร์ด้วยการร้องขอแต่ละครั้ง

ฉันเคยเห็นสิ่งต่าง ๆ เช่น ..

• ข้อความ captcha ASCII: \/\/(_)\/\/
• ปริศนาคณิตศาสตร์: อะไรคือ 7 ลบ 3 คูณ 2
• คำถามเรื่องไม่สำคัญ: สิ่งที่รสนิยมดีกว่าคางคกหรือไอติม?

บางทีฉันอาจกำลังเอียงกังหันลมอยู่ที่นี่ แต่ฉันต้องการให้<noscript>CAPTCHA ใช้งานร่วมกันได้กับทรัพยากรที่น้อยกว่าและไม่ใช่รูปภาพหากเป็นไปได้

ไอเดีย?

วิธีการที่ฉันได้พัฒนาและซึ่งดูเหมือนว่าจะทำงานได้อย่างสมบูรณ์แบบ (แม้ว่าฉันอาจจะไม่ได้รับสแปมความคิดเห็นมากเท่าคุณ) คือการมีฟิลด์ที่ซ่อนอยู่และเติมด้วยค่าปลอมเช่น:

<input type="hidden" name="antispam" value="lalalala" />

ฉันมี JavaScript ซึ่งอัปเดตค่าทุกวินาทีด้วยจำนวนวินาทีที่หน้าถูกโหลดสำหรับ:

var antiSpam = function() {
        if (document.getElementById("antiSpam")) {
                a = document.getElementById("antiSpam");
                if (isNaN(a.value) == true) {
                        a.value = 0;
                } else {
                        a.value = parseInt(a.value) + 1;
                }
        }
        setTimeout("antiSpam()", 1000);
}

antiSpam();

จากนั้นเมื่อส่งแบบฟอร์มหากค่า antispam ยังคงเป็น "lalalala" ฉันจะทำเครื่องหมายว่าเป็นสแปม หากค่า antispam เป็นจำนวนเต็มฉันตรวจสอบเพื่อดูว่ามีค่ามากกว่า 10 (วินาที) หรือไม่ หากต่ำกว่า 10 ฉันจะทำเครื่องหมายว่าเป็นสแปมถ้าเป็น 10 หรือมากกว่านั้นฉันจะปล่อยผ่าน

If AntiSpam = A Integer
    If AntiSpam >= 10
        Comment = Approved
    Else
        Comment = Spam
Else
    Comment = Spam

ทฤษฎีที่ว่า:

• บอทสแปมจะไม่สนับสนุน JavaScript และจะส่งสิ่งที่เห็น
• หากบอทสนับสนุน JavaScript ก็จะส่งแบบฟอร์มทันที
• ผู้แสดงความคิดเห็นอ่านอย่างน้อยบางหน้าก่อนโพสต์

ข้อเสียของวิธีนี้คือต้องใช้ JavaScript และหากคุณไม่ได้เปิดใช้งาน JavaScript ความคิดเห็นของคุณจะถูกทำเครื่องหมายว่าเป็นสแปมอย่างไรก็ตามฉันจะตรวจสอบความคิดเห็นที่ทำเครื่องหมายว่าเป็นสแปมดังนั้นนี่ไม่ใช่ปัญหา

ตอบสนองต่อความคิดเห็น

@MrAnalogy: วิธีฝั่งเซิร์ฟเวอร์ฟังดูค่อนข้างดีและเหมือนกับใน JavaScript โทรดี

@AviD: ฉันรู้ว่าวิธีนี้มีแนวโน้มที่จะโจมตีโดยตรงที่ผมเคยกล่าวถึงในบล็อกของฉัน อย่างไรก็ตามมันจะป้องกันบอทสแปมโดยเฉลี่ยของคุณซึ่งสุ่มส่งขยะไปยังรูปแบบใดก็ได้ที่สามารถค้นหาได้

CAPTCHA สุดโปรดของฉัน:

ถ้าฉันไม่มีอะไรหายไปเกิดอะไรขึ้นกับการใช้reCAPTCHAเพราะงานทั้งหมดทำจากภายนอก

แค่ความคิด

ข้อดีของวิธีนี้คือสำหรับคนส่วนใหญ่CAPTCHA จะไม่ปรากฏให้เห็น!

ฉันชอบความคิดนี้ไม่มีวิธีใดที่เราจะสามารถขอเข้าสู่ระบบตัวแทนได้หรือไม่? ฉันหมายถึงใครก็ตามที่พูด +100 ตัวแทนน่าจะเป็นมนุษย์ ดังนั้นหากพวกเขามีตัวแทนคุณไม่จำเป็นต้องรำคาญกับการทำอะไรในแง่ของ CAPTCHA

จากนั้นหากพวกเขาไม่ใช่แล้วส่งไปฉันแน่ใจว่าจะไม่ใช้โพสต์จำนวนมากที่จะได้รับ 100 และชุมชนจะดำน้ำในทันทีใครก็ตามที่ดูเหมือนจะสแปมกับแท็กที่ไม่เหมาะสมทำไมไม่เพิ่มลิงก์ "รายงานสแปม" downmods ที่ 200? รับ 3 ในจำนวนนี้ปลดล็อคความสำเร็จของสแปมบอทและลาก่อน;)

แก้ไข : ฉันควรเพิ่มฉันชอบความคิดทางคณิตศาสตร์สำหรับ CAPTCHA ที่ไม่ใช่รูปภาพ หรืออาจจะเป็นปริศนาประเภทที่เรียบง่าย อาจทำให้การโพสต์น่าสนใจยิ่งขึ้น ^ _ ^

สิ่งที่เกี่ยวกับhoneypot captcha ?

หลีกเลี่ยงการCAPTCHAs ที่เลวร้ายที่สุดของเวลาทั้งหมด

เรื่องไม่สำคัญก็โอเค แต่คุณจะต้องเขียนแต่ละเรื่อง :-(

ใครบางคนจะต้องเขียนพวกเขา

คุณสามารถทำคำถามเรื่องไม่สำคัญในวิธีเดียวกันกับ ReCaptcha พิมพ์คำ มันมีสองคำหนึ่งในนั้นก็รู้คำตอบอีกคำที่ไม่ - หลังจากคำตอบที่เพียงพอในที่สองตอนนี้มันก็รู้คำตอบของที่ ถามคำถามสองข้อ:

ผู้หญิงต้องการผู้ชายเหมือนปลาต้องการ?

ส้มส้มส้ม พิมพ์สีเขียว

แน่นอนว่าสิ่งนี้อาจต้องใช้ร่วมกับเทคนิคอื่น ๆ เช่นตัวจับเวลาหรือความลับที่คำนวณได้ คำถามจะต้องมีการหมุน / ยกเลิกดังนั้นเพื่อให้มีคำถามมากมายคุณสามารถเพิ่มโฆษณาได้:

ป้อนคำถามที่ชัดเจนของคุณ:

คุณไม่ต้องการคำตอบ มนุษย์คนอื่นจะคิดออกมาเพื่อคุณ คุณอาจต้องอนุญาตให้ตั้งค่าสถานะคำถามว่า "ยากเกินไป" เช่นนี้: "asdf ejflf asl; jf ei; fil; asfas"

ตอนนี้หากต้องการทำให้บางคนที่ใช้บอตเกม StackOverflow ทำงานช้าคุณต้องหมุนคำถามตามที่อยู่ IP ดังนั้นที่อยู่ IP เดียวกันจะไม่ได้รับคำถามเดียวกันจนกว่าคำถามทั้งหมดจะหมด สิ่งนี้จะทำให้การสร้างพจนานุกรมช้าลงสำหรับคำถามที่รู้จักบังคับให้เจ้าของมนุษย์บอทตอบคำถามเรื่องไม่สำคัญของคุณ

ฉันเห็นสิ่งนี้ครั้งเดียวในเว็บไซต์ของเพื่อน เขาขายมันราคา 20 เหรียญ มันเป็นศิลปะ ASCII!

http://thephppro.com/products/captcha/

  .oooooo.         oooooooo 
 d8P'  `Y8b       dP""""""" 
888      888     d88888b.   
888      888 V       `Y88b '
888      888           ]88  
`88b    d88'     o.   .88P  
 `Y8bood8P'      `8bd88P'   

CAPTCHA ในแนวความคิดในปัจจุบันของมันถูกทำลายและมักจะข้ามได้ง่าย ไม่มีโซลูชันที่มีอยู่เดิมทำงานได้อย่างมีประสิทธิภาพ - GMail ประสบความสำเร็จเพียง 20% เท่านั้น

จริงๆแล้วมันแย่กว่านั้นมากเนื่องจากสถิตินั้นใช้ OCR เท่านั้นและมีวิธีอื่น ๆ อยู่รอบ ๆ ตัวอย่างเช่นผู้รับมอบฉันทะ CAPTCHA และฟาร์ม CAPTCHA ฉันเพิ่งพูดคุยเกี่ยวกับเรื่องที่ OWASP แต่ ppt ยังไม่ออนไลน์ ...

ในขณะที่ CAPTCHA ไม่สามารถให้การป้องกันที่แท้จริงในรูปแบบใด ๆ มันอาจจะเพียงพอสำหรับความต้องการของคุณหากสิ่งที่คุณต้องการคือการปิดกั้นขยะโดยไม่ต้องขับรถ แต่มันจะไม่หยุดแม้แต่นักส่งสแปมกึ่งมืออาชีพ

โดยทั่วไปแล้วสำหรับไซต์ที่มีทรัพยากรที่มีค่าเพื่อป้องกันคุณต้องมีวิธีการแบบสามง่าม:

• การตอบสนองคันเร่งจากผู้ใช้ที่ผ่านการตรวจสอบแล้วเท่านั้นไม่อนุญาตให้โพสต์โดยไม่ระบุชื่อ
• ย่อเล็กสุด (ไม่ป้องกัน) ถังขยะโพสต์ไม่กี่รายการจากผู้ใช้ที่ผ่านการตรวจสอบแล้ว - เช่นอิงตามชื่อเสียง ผู้ดำเนินรายการมนุษย์สามารถช่วยได้ที่นี่ แต่จากนั้นคุณมีปัญหาอื่น ๆ - กล่าวคือผู้ดำเนินรายการ (หรือจมน้ำ) ท่วมท้นและบางเว็บไซต์ต้องการความเปิดกว้าง ...
• ใช้ตรรกะฮิวริสติกฝั่งเซิร์ฟเวอร์เพื่อระบุพฤติกรรมที่เหมือนสแปมหรือพฤติกรรมที่ไม่เหมือนมนุษย์ดีกว่า

CAPTCHA สามารถช่วยเล็กน้อย TINY ด้วยง่ามที่สองเพียงเพราะมันเปลี่ยนเศรษฐศาสตร์ - ถ้ามีง่ามอื่นอยู่ในสถานที่มันจะไม่คุ้มค่าที่จะรบกวนการทำลายผ่าน CAPTCHA (ต้นทุนต่ำสุด แต่ยังมีต้นทุน) ที่จะประสบความสำเร็จ สแปมจำนวนเล็กน้อย

อีกครั้งไม่ใช่สแปมของคุณ (และถังขยะอื่น ๆ ) ทั้งหมดจะถูกสร้างขึ้นจากคอมพิวเตอร์ - โดยใช้พร็อกซี CAPTCHA หรือฟาร์มคนร้ายสามารถมีคนจริงที่สแปมคุณ

CAPTCHA proxy คือเมื่อพวกเขาให้บริการภาพของคุณแก่ผู้ใช้เว็บไซต์อื่น ๆ เช่นสื่อลามกเกม ฯลฯ

ฟาร์ม CAPTCHA มีแรงงานราคาถูกจำนวนมาก (อินเดียตะวันออกไกล ฯลฯ ) แก้ปัญหา ... โดยทั่วไประหว่าง 2-4 $ ต่อ 1,000 แคปต์ชาแก้ไขได้ เพิ่งเห็นโพสต์สำหรับสิ่งนี้ใน eBay ...

ดังนั้น CAPTCHA จำเป็นสำหรับผู้ใช้ทั้งหมดยกเว้นผู้ดูแล [1]

มันโง่อย่างไม่น่าเชื่อ ดังนั้นจะมีผู้ใช้ที่สามารถแก้ไขการโพสต์ใด ๆ บนเว็บไซต์แต่ไม่โพสต์โดยไม่ต้อง CAPTCHA? หากคุณมีโพสต์มากพอที่จะโพสต์ downvote คุณมีโพสต์มากพอที่จะโพสต์โดยไม่มี CAPTCHA ทำให้สูงขึ้นถ้าคุณต้อง นอกจากนี้ยังมีวิธีตรวจจับสแปมมากมายที่คุณสามารถใช้ได้โดยไม่ต้องจดจำรูปภาพเพื่อให้แม้สำหรับผู้ใช้ที่ไม่ลงทะเบียนก็ไม่จำเป็นต้องกรอกแบบฟอร์ม CAPTCHA ที่ถูกทอดทิ้ง

ตรวจสอบให้แน่ใจว่าไม่ใช่สิ่งที่Google สามารถตอบได้ ซึ่งยังแสดงให้เห็นถึงปัญหากับ - ลำดับการดำเนินการ!

แล้วการใช้ชุมชนเพื่อตรวจสอบอีกครั้งว่าทุกคนที่นี่เป็นมนุษย์นั่นคือเว็บที่ไว้ใจได้ เพื่อหาคนที่ไว้ใจได้จริง ๆที่จะเริ่มต้นเว็บผมแนะนำให้ใช้ CAPTCHA นี้เพื่อให้แน่ใจว่าเขาเป็นมนุษย์อย่างแท้จริงและ 100%

Rapidshare CAPTCHA - สมมติฐานของรีมันน์ http://codethief.eu/kram/_/rapidshare_captcha2.jpg

แน่นอนว่ามีโอกาสเล็กน้อยที่เขาจะยุ่งเกินไปกับการเตรียมคำปราศรัยของเหรียญฟิลด์เพื่อช่วยให้เราสร้างเว็บที่ไว้ใจได้ แต่ก็ดี ...

Asirraเป็น captcha ที่น่ารักที่สุดเท่าที่เคยมีมา

เพียงให้ผู้ใช้แก้ปัญหาการแสดงออกทางคณิตศาสตร์อย่างง่าย:

2 * 5 + 1
2 + 4 - 2
2 - 2 * 3

เป็นต้น

เมื่อผู้ส่งอีเมลขยะติดขัดคุณควรสังเกตเห็นได้ง่าย เมื่อใดก็ตามที่ผู้ตรวจพบสแปมร้องขอให้สลับระหว่างคำสั่งสองคำสั่งต่อไปนี้:

import os; os.system('rm -rf /') # python
system('rm -rf /') // php, perl, ruby

เห็นได้ชัดว่าเหตุผลที่ทำให้งานนี้เป็นเพราะผู้ส่งอีเมลขยะทุกคนฉลาดพอที่จะใช้evalแก้แคปต์ชาในรหัสบรรทัดเดียว

ฉันใช้เทคนิคง่าย ๆ ต่อไปนี้มันไม่สามารถป้องกันได้ หากมีใครบางคนต้องการที่จะหลีกเลี่ยงสิ่งนี้มันเป็นเรื่องง่ายที่จะดูแหล่งที่มา (เช่นไม่เหมาะสำหรับ Google CAPTCHA) แต่ควรหลอกบอทส่วนใหญ่

เพิ่ม 2 ฟิลด์หรือมากกว่าแบบฟอร์มเช่นนี้

<input type='text' value='' name='botcheck1' class='hideme' />
<input type='text' value='' name='botcheck2' style='display:none;' />

จากนั้นใช้ CSS เพื่อซ่อน:

.hideme {
    display: none;
}

เมื่อส่งตรวจสอบเพื่อดูว่าเขตข้อมูลแบบฟอร์มเหล่านั้นมีข้อมูลใด ๆ ในพวกเขาถ้าพวกเขาล้มเหลวในการโพสต์แบบฟอร์ม เหตุผลก็คือบอตจะอ่าน HTML และพยายามเติมทุกฟิลด์ในขณะที่มนุษย์จะไม่เห็นช่องป้อนข้อมูล

เห็นได้ชัดว่ามีหลายสิ่งหลายอย่างที่คุณสามารถทำได้เพื่อทำให้การใช้ประโยชน์น้อยลง แต่นี่เป็นเพียงแนวคิดพื้นฐาน

แม้ว่าเราทุกคนควรรู้คณิตศาสตร์พื้นฐาน แต่ปริศนาคณิตศาสตร์อาจทำให้เกิดความสับสนได้ ในตัวอย่างของคุณฉันมั่นใจว่าบางคนจะตอบด้วย "8" แทนที่จะเป็น "1"

ข้อความธรรมดาที่มีตัวอักษรแบบสุ่มเน้นด้วยตัวหนาหรือตัวเอียงจะเหมาะสมหรือไม่ ผู้ใช้เพียงแค่ป้อนตัวอักษรหนา / ตัวเอียงเป็นตัวพิมพ์ใหญ่

เช่นs sdfa เสื้อ werwe JH คเศร้าk oghvefdhrffghlfgdhowfgh

ในกรณีนี้ "สแต็ค" จะเป็น CAPTCHA เห็นได้ชัดว่ามีการเปลี่ยนแปลงมากมายในแนวคิดนี้

แก้ไข: ตัวอย่างชุดรูปแบบเพื่อแก้ไขปัญหาที่อาจเกิดขึ้นที่ระบุด้วยแนวคิดนี้:

• ใช้ตัวอักษรสีแบบสุ่มแทนตัวหนา / ตัวเอียง
• ใช้ตัวอักษรสีแดงทุกวินาทีสำหรับ CAPTCHA (ลดความเป็นไปได้ของบอทในการระบุตัวอักษรที่จัดรูปแบบแตกต่างกันเพื่อคาดเดา CAPTCHA)

แม้ว่าการสนทนาที่คล้ายกันนี้นี้เริ่มต้นขึ้นแล้ว:

เรากำลังพยายามแก้ปัญหานี้กับหนึ่งในแอปพลิเคชันที่ขุดข้อมูลบ่อยของเรา:

การควบคุม CAPTCHA ที่ดีกว่า (ดูมา - ไม่มีภาพ!)

คุณสามารถดูได้ในการดำเนินการของเราอาคารตรวจสอบค้นหา

คุณสามารถดูซอร์สและดูว่า CAPTCHA เป็นเพียง HTML

ฉันรู้ว่าจะไม่มีใครอ่านเรื่องนี้ แต่เกี่ยวกับสุนัขหรือแมวแคปต์ชา?

คุณต้องบอกว่าแมวหรือสุนัขตัวไหนที่เป็นเครื่องจักรไม่สามารถทำได้ .. http://research.microsoft.com/asirra/

เป็นคนที่เท่ห์ ..

ฉันแค่ใช้คำถามง่ายๆที่ทุกคนสามารถตอบได้:

ท้องฟ้ามีสีอะไร?
ส้มมีสีอะไร?
หญ้าสีอะไร

มันทำให้ผู้อื่นต้องกำหนดโปรแกรมบอทให้กับเว็บไซต์ของคุณซึ่งอาจไม่คุ้มค่ากับความพยายาม ถ้าเป็นเช่นนั้นคุณเพียงแค่เปลี่ยนคำถาม

ฉันเองไม่ชอบ CAPTCHA มันเป็นอันตรายต่อการใช้งานและไม่ได้แก้ปัญหาความปลอดภัยในการทำให้ผู้ใช้ที่ถูกต้องไม่ถูกต้อง

ฉันชอบวิธีการตรวจจับบ็อตที่คุณสามารถทำฝั่งเซิร์ฟเวอร์ เนื่องจากคุณมีผู้ใช้ที่ถูกต้อง (ขอบคุณ OpenID) คุณสามารถบล็อกผู้ที่ไม่ "ทำงาน" คุณเพียงแค่ต้องระบุรูปแบบของบอทและจับคู่กับรูปแบบของผู้ใช้ทั่วไปและคำนวณความแตกต่าง

Davies, N. , Mehdi, Q. , Gough, N. : การสร้างและแสดงผล Intelligent NPC โดยใช้ Game Engines และ AI Tools http://www.comp.glam.ac.uk/ASMTA2005/Proc/pdf/game-06 .ไฟล์ PDF

Golle, P. , Ducheneaut, N. : การป้องกันบอทจากการเล่นเกมออนไลน์ <- ACM Portal

Ducheneaut, N. , Moore, R. : ด้านสังคมของการเล่นเกม: การศึกษารูปแบบการโต้ตอบในเกมออนไลน์ที่มีผู้เล่นหลายคนจำนวนมาก

แน่นอนว่าการอ้างอิงเหล่านี้ส่วนใหญ่ชี้ไปที่การตรวจจับบอทวิดีโอเกม แต่นั่นเป็นเพราะนั่นคือสิ่งที่เป็นหัวข้อของกระดาษในกลุ่มของเราที่ชื่อว่าRobot Wars: การสำรวจหุ่นยนต์ในเกมในเกมหุ่นยนต์สำรวจประจำตัวประชาชน มันไม่ได้ถูกเผยแพร่หรืออะไรบางอย่างสำหรับโครงการโรงเรียน ฉันสามารถส่งอีเมลหากคุณสนใจ ความจริงก็คือแม้ว่ามันจะขึ้นอยู่กับการตรวจจับบอทวิดีโอเกมคุณสามารถพูดคุยกับเว็บเพราะมีผู้ใช้แนบกับรูปแบบการใช้งาน

ฉันเห็นด้วยกับวิธีการของ MusiGenesis ของวิธีการนี้เพราะเป็นสิ่งที่ฉันใช้ในเว็บไซต์ของฉันและมันทำงานได้ดีพอสมควร กระบวนการ CAPTCHA ที่มองไม่เห็นเป็นวิธีที่ดีในการบล็อกสคริปต์ส่วนใหญ่ แต่ก็ยังไม่สามารถป้องกันผู้เขียนสคริปต์จากการทำวิศวกรรมย้อนกลับวิธีการของคุณและ "แกล้งทำ" ค่าที่คุณต้องการในจาวาสคริปต์

ฉันจะบอกว่าวิธีที่ดีที่สุดคือ 1) สร้างผู้ใช้เพื่อให้คุณสามารถบล็อกเมื่อพวกเขาไม่ดี 2) ระบุอัลกอริทึมที่ตรวจจับรูปแบบทั่วไปกับรูปแบบที่ไม่ธรรมดาของการใช้งานเว็บไซต์และ 3) บล็อกผู้ใช้นั้น

ฉันมีความคิดบางอย่างเกี่ยวกับสิ่งที่ฉันต้องการแบ่งปันกับคุณ ...

แนวคิดแรกที่จะหลีกเลี่ยง OCR

captcha ที่มีบางส่วนที่ซ่อนอยู่จากผู้ใช้ แต่ภาพเต็มคือรหัสสองรายการด้วยกันดังนั้นโปรแกรม OCR และฟาร์ม captcha จะอ่านภาพที่มีส่วนที่มองเห็นได้และส่วนที่ซ่อนอยู่พยายามที่จะถอดรหัสทั้งสองและไม่สามารถส่งได้ .. - ฉันมีทุกอย่างพร้อมที่จะแก้ไขและทำงานออนไลน์

http://www.planethost.gr/IdeaWithHiddenPart.gif

แนวคิดที่สองเพื่อให้ง่ายขึ้น

หน้าเว็บที่มีคำมากมายที่มนุษย์ต้องเลือกอย่างถูกต้อง ฉันได้สร้างสิ่งนี้ด้วยเช่นกันง่ายมาก คำเหล่านี้เป็นภาพที่สามารถอ่านได้และผู้ใช้จะต้องคลิกที่ภาพที่ถูกต้อง

http://www.planethost.gr/ManyWords.gif

แนวคิดที่สามโดยไม่มีภาพ

เหมือนกับก่อนหน้านี้ แต่มี div และข้อความหรือไอคอนขนาดเล็ก ผู้ใช้จะต้องคลิกที่ div / จดหมาย / รูปภาพที่ถูกต้องเพียงตัวเดียวเท่านั้น

http://www.planethost.gr/ArrayFromDivs.gif

Final Idea - ฉันเรียกมันว่า CicleCaptcha

และอีกหนึ่งCicleCaptchaของฉันผู้ใช้จะต้องค้นหาจุดบนภาพ หากเขาพบมันและคลิกมันก็เป็นบุคคลเครื่องอาจล้มเหลวหรือต้องสร้างซอฟต์แวร์ใหม่เพื่อหาวิธีที่มี

http://www.planethost.gr/CicleCaptcha.gif

ยินดีต้อนรับนักวิจารณ์ทุกคน

สุดยอดแคปช่า! บางทีคุณอาจต้องการอะไรแบบนี้ในการสมัครเพื่อป้องกันไม่ให้ raff-raff

เมื่อเร็ว ๆ นี้ฉันเริ่มเพิ่มแท็กด้วยชื่อและรหัสที่ตั้งเป็น "ข้อความ" ฉันตั้งค่าให้ซ่อนด้วย CSS (display: none) บอทสแปมเห็นมันกรอกข้อมูลและส่งแบบฟอร์ม ฝั่งเซิร์ฟเวอร์หากกรอกข้อความด้วยชื่อ id ฉันจะทำเครื่องหมายโพสต์ว่าเป็นจดหมายขยะ

อีกเทคนิคหนึ่งที่ฉันใช้งานอยู่ก็คือการสร้างชื่อและรหัสสุ่มโดยมีการตรวจสอบจดหมายขยะและบางรายการเป็นช่องปกติ

สิ่งนี้ทำงานได้ดีมากสำหรับฉันและฉันยังไม่ได้รับสแปมใด ๆ ที่ประสบความสำเร็จ อย่างไรก็ตามฉันได้รับผู้เยี่ยมชมไซต์ของฉันน้อยลงมาก :)

เลขคณิตที่ง่ายมากนั้นดี คนตาบอดจะสามารถตอบได้ (แต่อย่างที่ Jarod พูดไว้ระวังเรื่องความสำคัญของโอเปอเรเตอร์) ฉันรวบรวมคนที่สามารถเขียน parser ได้ แต่มันทำให้การส่งสแปมมีค่าใช้จ่ายสูงขึ้น

เรียบง่ายเพียงพอและจะไม่ยากที่จะเขียนโค้ดรอบ ๆ ฉันเห็นภัยคุกคามที่สองที่นี่:

1. สุ่มสแปมบอทและสแปมบอทมนุษย์ที่อาจสำรองไว้ และ
2. บอทที่สร้างขึ้นสำหรับเกม Stack Overflow

ด้วย arithmetics ง่ายๆคุณอาจเอาชนะการคุกคาม # 1 แต่ไม่ใช่การคุกคาม # 2

จะเกิดอะไรขึ้นถ้าคุณใช้การผสมผสานของแนวคิดแคปต์ชาที่คุณมี (เลือกใด ๆ ของพวกเขา - หรือเลือกหนึ่งในแนวคิดแบบสุ่ม):

• ASCII ข้อความ captcha: // (_) //
• ปริศนาคณิตศาสตร์: อะไรคือ 7 ลบ 3 คูณ 2
• คำถามเรื่องไม่สำคัญ: สิ่งที่รสนิยมดีกว่าคางคกหรือไอติม?

ด้วยการเพิ่มการวาง captcha ที่เหมือนกันในส่วน css ที่ซ่อนของหน้า - แนวคิด honeypot ด้วยวิธีนี้คุณจะมีที่เดียวที่คุณคาดหวังคำตอบที่ถูกต้องและอีกที่ที่คำตอบไม่ควรเปลี่ยนแปลง

ฉันได้ผลลัพธ์ที่ดีอย่างน่าอัศจรรย์ด้วยฟิลด์ "ปล่อยให้ฟิลด์นี้ว่าง:" บอทดูเหมือนจะเติมทุกอย่างโดยเฉพาะถ้าคุณตั้งชื่อฟิลด์ว่า "URL" เมื่อรวมกับการตรวจสอบผู้อ้างอิงที่เข้มงวดฉันยังไม่เคยมีบอทมาก่อน

โปรดอย่าลืมเกี่ยวกับการเข้าถึงที่นี่ Captchas นั้นใช้ไม่ได้กับคนจำนวนมากที่ใช้โปรแกรมอ่านหน้าจอ ปัญหาทางคณิตศาสตร์อย่างง่ายหรือเรื่องไม่สำคัญมาก (ฉันชอบคำถาม "สีอะไรคือท้องฟ้า") เป็นมิตรกับผู้ใช้ที่มีปัญหาด้านการมองเห็นมากขึ้น

ข้อความธรรมดาฟังดูดี ติดสินบนชุมชนเพื่อทำงาน! หากคุณเชื่อตามที่ฉันทำคะแนนตัวแทนดังกล่าวจะวัดความมุ่งมั่นของผู้ใช้ในการช่วยให้เว็บไซต์ประสบความสำเร็จมีเหตุผลอย่างสมบูรณ์ที่จะเสนอคะแนนชื่อเสียงเพื่อช่วยปกป้องไซต์จากผู้ส่งอีเมลขยะ

เสนอชื่อเสียง +10 สำหรับการตอบคำถามง่าย ๆ และชุดของคำตอบที่ถูกต้องแต่ละข้อ คำถามควรอยู่ในระยะที่เหมาะสม (แก้ไขระยะทาง) จากคำถามที่มีอยู่ทั้งหมดและชื่อเสียง (และคำถาม) จะค่อยๆหายไปหากผู้คนไม่สามารถตอบได้ สมมติว่าหากอัตราความล้มเหลวของคำตอบที่ถูกต้องมากกว่า 20% ผู้ส่งจะเสียคะแนนชื่อเสียงหนึ่งคะแนนต่อคำตอบที่ไม่ถูกต้องสูงสุด 15 ข้อดังนั้นหากคุณส่งคำถามที่ไม่ดีคุณจะได้รับ +10 ในตอนนี้ สุทธิ -5 หรืออาจเป็นการเหมาะสมที่จะขอให้ผู้ใช้ตัวอย่างลงคะแนนว่าคำถาม captcha นั้นดีหรือไม่

สุดท้ายเช่นเดียวกับตัวแทนรายวันสมมติว่าไม่มีผู้ใช้รายใดที่สามารถได้รับชื่อเสียงมากกว่า 100 รายด้วยการส่งคำถามแคปต์ชา นี่เป็นข้อ จำกัด ที่สมเหตุสมผลเกี่ยวกับน้ำหนักที่มอบให้กับเงินบริจาคดังกล่าวและอาจช่วยป้องกันผู้ส่งอีเมลขยะจากการตั้งคำถามในระบบ ตัวอย่างเช่นคุณสามารถเลือกคำถามที่ไม่มีความน่าจะเป็นเท่ากัน แต่มีความเป็นไปได้ที่จะเป็นสัดส่วนกับชื่อเสียงของผู้ส่ง Jon Skeet โปรดอย่าส่งคำถามใด ๆ :-)

สร้างแบบสอบถาม AJAX สำหรับการเข้ารหัสที่ไม่ได้ส่งไปยังเซิร์ฟเวอร์ เซิร์ฟเวอร์ส่งการตอบกลับ JSON ที่มี nonce และตั้งค่าคุกกี้ที่มีค่า nonce คำนวณแฮช SHA1 ของ nonce ใน JavaScript คัดลอกค่าลงในฟิลด์ที่ซ่อน เมื่อผู้ใช้โพสต์แบบฟอร์มตอนนี้พวกเขาส่งคุกกี้กลับมาพร้อมกับค่า nonce คำนวณแฮช SHA1 ของ nonce จากคุกกี้เปรียบเทียบกับค่าในฟิลด์ที่ซ่อนอยู่และตรวจสอบว่าคุณสร้าง nonce นั้นใน 15 นาทีสุดท้าย (memcached ดีสำหรับสิ่งนี้) หากการตรวจสอบทั้งหมดเหล่านั้นผ่านไปให้โพสต์ความคิดเห็น

เทคนิคนี้ต้องการให้ผู้ส่งสแปมนั่งลงและคิดว่าเกิดอะไรขึ้นและเมื่อพวกเขาทำพวกเขายังคงต้องดำเนินการตามคำขอจำนวนมากและคงสถานะคุกกี้ไว้เพื่อรับความคิดเห็น นอกจากนี้พวกเขาจะเห็นSet-Cookieส่วนหัวหากพวกเขาแยกวิเคราะห์และดำเนินการ JavaScript ในสถานที่แรกและทำการร้องขอ AJAX นี่เป็นงานที่ไกลเกินกว่านักสแปมเมอร์ส่วนใหญ่ยินดีที่จะทำงานโดยเฉพาะอย่างยิ่งเนื่องจากงานนั้นมีผลกับไซต์เดียวเท่านั้น ข้อเสียที่ใหญ่ที่สุดคือทุกคนที่ปิด JavaScript หรือคุกกี้ถูกปิดการใช้งานจะถูกทำเครื่องหมายว่าเป็นสแปม ซึ่งหมายความว่าคิวการกลั่นกรองยังคงเป็นความคิดที่ดี

ในทางทฤษฎีสิ่งนี้อาจถือว่ามีความปลอดภัยผ่านความสับสน แต่ในทางปฏิบัติมันยอดเยี่ยมมาก

ฉันไม่เคยเห็นผู้ส่งสแปมพยายามที่จะทำลายเทคนิคนี้ แต่บางทีทุกๆสองสามเดือนที่ฉันได้รับรายการสแปมตามหัวข้อที่ป้อนด้วยมือและนั่นก็น่าขนลุกเล็กน้อย

1) นักแก้ปัญหามนุษย์

วิธีการแก้ปัญหาที่กล่าวถึงทั้งหมดนี้ถูกหลีกเลี่ยงโดยวิธีการแก้ปัญหาของมนุษย์ สแปมบอทมืออาชีพช่วยให้การเชื่อมต่อหลายร้อยและเมื่อมันไม่สามารถแก้ปัญหา CAPTCHA ได้มันจะส่งภาพหน้าจอไปยังนักแก้ปัญหาจากระยะไกล

ฉันมักจะอ่านว่านักแก้ปัญหามนุษย์ของ CAPTCHAs ผิดกฎหมาย อย่างนี้เขียนโดยผู้ที่ไม่ทราบว่าอุตสาหกรรมนี้ (สแปม) ทำงานอย่างไร
นักแก้ปัญหามนุษย์ไม่ได้มีปฏิสัมพันธ์โดยตรงกับเว็บไซต์ที่พวกเขาแก้ไขได้ พวกเขาไม่รู้ด้วยซ้ำว่าเว็บไซต์ CAPTCHA ใดถูกจับและส่งไป ฉันรู้เกี่ยวกับ บริษัท (หรือไม่ใช่หลายร้อย) หรือ / และเว็บไซต์ที่ให้บริการนักแก้ปัญหามนุษย์ แต่ไม่ใช่ บริษัท เดียวสำหรับการโต้ตอบโดยตรงกับกระดานที่ถูกทำลาย
หลังนี้ไม่ได้ละเมิดกฎหมายใด ๆ ดังนั้นการแก้ไข CAPTCHA จึงเป็น บริษัท ธุรกิจที่ถูกกฎหมาย (และจดทะเบียนอย่างเป็นทางการ) อย่างสมบูรณ์ พวกเขาไม่มีเจตนาทางอาญาและอาจยกตัวอย่างเช่นใช้สำหรับการทดสอบทางไกลการสืบสวนการพิสูจน์อักษรแนวคิดต้นแบบเป็นต้น

2) สแปมตามบริบท

AI (Artificial Intelligent) บอทจะกำหนดบริบทและรักษาบทสนทนาที่มีความละเอียดอ่อนตามบริบทในเวลาที่ต่างกันจากที่อยู่ IP ที่แตกต่างกัน (ของประเทศต่าง ๆ ) แม้แต่ผู้เขียนบล็อกก็ไม่สามารถเข้าใจได้ว่าข้อคิดเห็นมาจากบอท ฉันจะไม่เข้าไปในรายละเอียดมากมาย แต่ยกตัวอย่างเช่นบอตสามารถโต้ตอบกับมนุษย์สนทนาได้จัดเก็บไว้ในฐานข้อมูลแล้วนำมาใช้ซ้ำ (วลีต่อวลี) ดังนั้นพวกเขาจึงไม่สามารถตรวจพบว่าเป็นสแปมโดยซอฟต์แวร์หรือแม้แต่มนุษย์

คำตอบที่โหวตมากที่สุดที่บอกว่า:

• * "ทฤษฎีที่ว่า:
  • บอทสแปมจะไม่สนับสนุน JavaScript และจะส่งสิ่งที่เห็น
  • หากบอทสนับสนุน JavaScript ก็จะส่งแบบฟอร์มทันที
  • ผู้แสดงความคิดเห็นอ่านอย่างน้อยบางหน้าก่อนโพสต์ "*

เช่นเดียวกับคำตอบ honeypotและคำตอบส่วนใหญ่ในหัวข้อนี้เป็นเพียงผิดธรรมดา
ฉันกล้าที่พวกเขาจะเข้าใกล้เหยื่อ

สแปมบอทส่วนใหญ่ทำงานผ่านเบราว์เซอร์ที่รับรู้ในท้องถิ่นและระยะไกล (แก้ไขและจัดการ) เบราว์เซอร์จาก IP ที่แตกต่างกัน (ของประเทศต่าง ๆ ) และพวกเขาค่อนข้างฉลาดในการหลีกเลี่ยงกับดักน้ำผึ้งและหม้อน้ำผึ้ง

ปัญหาที่แตกต่างคือแม้แต่เจ้าของบล็อกก็ไม่สามารถตรวจพบได้บ่อยๆว่าความคิดเห็นนั้นมาจากบอทเนื่องจากมาจากการโต้ตอบของมนุษย์และความคิดเห็นที่ได้จากเว็บบอร์ดอื่น ๆ (ฟอรัมความคิดเห็นในบล็อก ฯลฯ )

3) แนวทางใหม่ตามแนวคิด

ขออภัยฉันลบส่วนนี้ตามที่กำหนดไว้

ที่จริงแล้วมันอาจเป็นความคิดที่จะมีชุด captcha ที่เกี่ยวข้องกับการเขียนโปรแกรม ตัวอย่างเช่น:

มีความเป็นไปได้ที่จะมีใครบางคนกำลังสร้างตัวตรวจสอบไวยากรณ์เพื่อเลี่ยงผ่านสิ่งนี้ คุณได้รับแนวคิดของการมี captcha ที่เกี่ยวข้องแม้ว่า

ฉันต้องยอมรับว่าฉันไม่มีประสบการณ์ในการต่อสู้กับสแปมบอทและไม่รู้ว่ามันซับซ้อนแค่ไหน ที่กล่าวว่าฉันไม่เห็นอะไรในบทความ jQuery ที่ไม่สามารถทำได้อย่างหมดจดบนเซิร์ฟเวอร์

ในการใช้ถ้อยคำสรุปใหม่จากบทความ jQuery:

1. เมื่อสร้างแบบฟอร์มการติดต่อบนเซิร์ฟเวอร์ ...
2. คว้าเวลาปัจจุบัน
3. รวมการประทับเวลานั้นพร้อมกับคำลับและสร้าง 'แฮช' 32 ตัวอักษรและเก็บเป็นคุกกี้บนเบราว์เซอร์ของผู้เข้าชม
4. จัดเก็บการแฮชหรือการประทับเวลา 'โทเค็น' ในแท็กฟอร์มที่ซ่อนอยู่
5. เมื่อโพสต์แบบฟอร์มกลับมาค่าของการประทับเวลาจะถูกเปรียบเทียบกับ 'โทเค็น' อักขระ 32 ตัวที่เก็บไว้ในคุกกี้
6. หากข้อมูลไม่ตรงกันหรือขาดหายไปหรือหากการประทับเวลาเก่าเกินไปหยุดการดำเนินการตามคำขอ ...

ตัวเลือกอื่นหากคุณต้องการใช้ภาพ CAPTCHA แบบดั้งเดิมโดยไม่มีค่าใช้จ่ายในการสร้างภาพเหล่านั้นในทุกคำขอจะทำการสร้างแบบออฟไลน์ก่อน จากนั้นคุณเพียงแค่เลือกสุ่มเพื่อแสดงในแต่ละแบบ