Прошу принять участие в обсуждении данной темы всех причастных и просто сочувствующих. Меня например достал спам по форумам, причем я уверен на 1000%, что он автоматический. Думаю поставить новую капчу, где нужно будет повернуть картинки на нужный угол, да никак не найду добротный пример — видел у кого-то в блоге да никак не могу вспомнить. Походу размышлений у меня родились вот какие идеи:
1) Вешать на body событие onmouseover функцию, которая будет создавать через dom скрытое поле с уникальным именем и значением которое мы проверяем уже после отправки сообщения. Благо выполнять js роботы еще не научились.
2) Тоже самое, но повесить данное событие на кнопку отправки сообщения, что будет еще правильней.
Этими двумя вещами мы во-первых не создаем неудобств пользователю, во-вторых создаем сложности роботам. возможно по этому принципу устроена проверка типа «поставьте галочку, если не робот», возможно, но эта идея пришла мне только что. Хотелось бы услышать комментарии соображения по этому поводу?!
Чтобы мысли за игрой в снукер приходили только правильные, нужно бильярдные столы покупать качественные.
я так делаю. не недавно на одном проекте пришлось поставить графическую, т.к. заказчик заказал потестировать сайт. первый заход обнаружил инъекции, позволившие логиниться под кем попало, второй раз легла как раз js (в скрытое поле скриптом записывалась сумма двух переменных), в итоге 80 спам-фидбеков отправил. но обычный, не заточенный, спам не проходит. ну и менять незначительно алгоритм для каждого проекта, чтобы не было закономерности.
dcaptcha — для wp, но попробуй прикрутить себе на форум, будет действительно круто..
меня бесят сайты в которых регистрация занимает более 5 секунд.
Здравствуйте!
Я, на одном из своих сайтов, используя JS, формировал кнопку SUBMIT. Полагаясь на то, что робот не сможет отправить форму по нажатию кнопки Enter, хотя последнее время мне это кажется глупым.
Написав все что выше, ко мне в голову пришла следующая идея. А что, если сделать следующим образом. В форме, указать ACTION на совершенно «левый» скрипт, а вместо кнопки SUBMIT поставить BUTTON. И при клике на этот самый BUTTON динамически менять значение ACTION на «правильное», и отправлять данные формы.
Как такая идея?
Я об этом думал тоже, но тут есть парочка сомнений:
— скрипт может и не считывать ваш action, т.к. он определяет тип движка и уже знает куда ему что слать
— Скрывать сабмит нет смысла, т.к. робот не жмет ни на какие кнопки, он просто вызывает нужный ему урл, передав туда параметры, сам такое делал с помощью perl библиотеки LWP::UserAgent, правда давно это было.
Нового ничего в этом нет. Все давно использую js для защиты.
Я понимаю, но я и не претендовал на лавры первооткрывателя, но такое в phpBB например я еще не видел.
Ночью пытался еще дальше развить эту идею, решил воспользоваться jquery, т.к. мой любимый prototype почему-то отпугивает всех и вся, но именно из-за того, что приходится разбираться с новым для меня фреймфорком торможу пока-что.
Думаю уже бы это сделали или уже, в данное время надо искать самый подходящий способ от спама, который уже есть
Использовать JS вообще, наверное, не очень правильно. У многих он выключен.
весьма спорное утверждение, судя по логам, не более чем у 5%, для них можно будет какую-нибудь супер капчу прикручивать 🙂
А как же с теми, у кого JavaScript отключен? Например у меня на сайте около 15-20% приходит без JS… думаю это не хорошее решение
тут каждый случай я думаю индивидуален, да и что мешает проверять включен js или нет. если отключен, то показывать простую капчу.
Хотя на мой взгляд серфиннг с отлюченный javascript это как секс в презервативе — если партнер надежный, то он и не нужен :).
ОБъясните мне смысл отключенного javascript? хотя к сожалению приходится предусматривать это каждый раз, когда рарабатываешь что либо
Любая капча будет взломана если:
— она используется на популярном движке;
— она используется на популярном сайте;
Туп я в js, поэтому возможно и не прав, но в чём проблема прочитать js и увидеть там onmouseover.function( тут где-то написано ‘hidden’ ‘name’, ‘element_name’ и др. )
// при использовании https://js-php.ru/web-development/javascript/dom-element-create-in-ie/ 🙂
проблем прочитать нет, увидеть функцию, найти её, глянуть что там да как, тоже, просто лишние палки в колеса, только вот если js еще захешировать?! над этим теперь кстати и бьюсь.
До тех пор пока JS-исходник сможет посмотреть любой пользователь, особо сильного алгоритма на нем не придумаешь. Но для защиты своих проектов, думаю, этот вариант подойдет как нельзя лучше. Удачи
Несколько месяцев назад сделал защиту для php-fusion, основанную на предположении «у робота нет мышки».
Везде где раньше был вал регистраций — мусор отсеялся полностью, регистрировались только люди, защита работает до сих пор, люди не жалуются.
Цель защиты была регистрация, можно развить тему. У кого есть опыт тестирования — предлагаю обсудить:)
дело хорошее, но тут несколько моментов, как и везде я думаю:
Последний год особо остро стоит вопрос со спамом хрумером. Как известно, он умеет регистрироваться, логиниться для переписки с самим собой, пробных записей и т.д..
Чтобы отличить скрипт-регистратор, от человека надо понимать в чем их отличие — у скрипта нет браузера (как правило), у скрипта нет мышки и все что с ней связано. События в окне браузера и анализ поведения на странице можно делать только при поддержке яваскриптов (?? это мое допущение). Соответственно дать возможность работать без скриптов — считай выключить защиту. Раньше было модно ходить с выключенными кукисами, но ведь без них залогиниться на большинство сайтов не получится, яваскрипт со временем станет таким же обязательным параметром, если уже не стал.
Еще один метод недавно где-то видел. Капча построенная из нескольких изображений, нагромождений стилями и т.д. Например, на картинке «123», на другой картинке «456», а при их рядом на фон — видно только «1346» — всякие антикапчи и авто-распознователи идут лесом на некоторое время:)
Попробовал такой вариант:
для того что бы оставить коммент нажимем на ссылку «оставить коммент», ссылка прямая на страницу через javascript далее открывается фрем в котором идет проверка на то что бы адрес страницы с которого мы пришли соотвествовал текущей — если не так то идем лесом ) пока ботов не было.
От этой борьбы со спамом простым пользователям только минусы.
Да, у меня на форуме просто напасть какая-то была сегодня.
Моя помощница-модератор замучилась удалять спам. Я присоединился. В админке деактивировал учетную запись, при этом удаляя все посты. А они тут же создавали новые.
Пришлось в админке установить разрешение администратора на регистрацию.
Но ведь это неудобство для пользователей.
У человека может желание пропасть регистрироваться.
В общем, пока не пришел к однозначному выводу, как действовать.
Тем более, что я не программист, а простой пользователь.