Praktische nicht bildbasierte CAPTCHA-Ansätze?

Es sieht so aus, als würden wir dem Stapelüberlauf CAPTCHA- Unterstützung hinzufügen . Dies ist erforderlich, um Bots, Spammer und andere böswillige Skriptaktivitäten zu verhindern. Wir möchten nur, dass Menschen hier Dinge posten oder bearbeiten!

Wir werden ein JavaScript (jQuery) CAPTCHA als erste Verteidigungslinie verwenden:

http://docs.jquery.com/Tutorials:Safer_Contact_Forms_Without_CAPTCHAs

Der Vorteil dieses Ansatzes ist, dass für die meisten Menschen das CAPTCHA niemals sichtbar sein wird!

Für Menschen mit deaktiviertem JavaScript benötigen wir jedoch immer noch einen Fallback, und hier wird es schwierig.

Ich habe ein traditionelles CAPTCHA-Steuerelement für ASP.NET geschrieben, das wir wiederverwenden können.

Ich würde es jedoch vorziehen, etwas Textuelles zu verwenden, um den Aufwand zu vermeiden, alle diese Bilder bei jeder Anforderung auf dem Server zu erstellen.

Ich habe Dinge gesehen wie ..

• ASCII-Text-Captcha: \/\/(_)\/\/
• Mathe-Rätsel: Was ist 7 minus 3 mal 2?
• Wissenswertes: Was schmeckt besser, eine Kröte oder ein Eis am Stiel?

Vielleicht neige ich hier nur zu Windmühlen, aber ich hätte gerne ein weniger ressourcenintensives, nicht bildbasiertes <noscript>kompatibles CAPTCHA, wenn möglich.

Ideen?

Eine Methode, die ich entwickelt habe und die perfekt zu funktionieren scheint (obwohl ich wahrscheinlich nicht so viel Kommentar-Spam bekomme wie Sie), besteht darin, ein verstecktes Feld zu haben und es mit einem falschen Wert zu füllen, z.

<input type="hidden" name="antispam" value="lalalala" />

Ich habe dann ein Stück JavaScript, das den Wert jede Sekunde mit der Anzahl der Sekunden aktualisiert, für die die Seite geladen wurde:

var antiSpam = function() {
        if (document.getElementById("antiSpam")) {
                a = document.getElementById("antiSpam");
                if (isNaN(a.value) == true) {
                        a.value = 0;
                } else {
                        a.value = parseInt(a.value) + 1;
                }
        }
        setTimeout("antiSpam()", 1000);
}

antiSpam();

Wenn das Formular dann gesendet wird, wenn der Antispam-Wert immer noch "lalalala" ist, dann markiere ich es als Spam. Wenn der Antispam-Wert eine Ganzzahl ist, überprüfe ich, ob er über 10 (Sekunden) liegt. Wenn es unter 10 ist, markiere ich es als Spam, wenn es 10 oder mehr ist, lasse ich es durch.

If AntiSpam = A Integer
    If AntiSpam >= 10
        Comment = Approved
    Else
        Comment = Spam
Else
    Comment = Spam

Die Theorie lautet:

• Ein Spam-Bot unterstützt kein JavaScript und sendet das, was er sieht
• Wenn der Bot JavaScript unterstützt, sendet er das Formular sofort
• Der Kommentator hat vor dem Posten mindestens einen Teil der Seite gelesen

Der Nachteil dieser Methode ist, dass JavaScript erforderlich ist. Wenn Sie kein JavaScript aktiviert haben, wird Ihr Kommentar als Spam markiert. Ich überprüfe jedoch Kommentare, die als Spam markiert sind. Dies ist also kein Problem.

Antwort auf Kommentare

@ MrAnalogy: Der serverseitige Ansatz klingt ziemlich gut und ist genau das gleiche wie in JavaScript. Guter Anruf.

@AviD: Mir ist bewusst, dass diese Methode für direkte Angriffe anfällig ist, wie ich in meinem Blog erwähnt habe . Es verteidigt sich jedoch gegen einen durchschnittlichen Spam-Bot, der blindlings Müll in jede Form bringt, die er finden kann.

Mein Lieblings-CAPTCHA überhaupt :

Was ist falsch daran, wenn ich nichts vermisse? reCAPTCHA, da die gesamte Arbeit extern erledigt wird?

Nur ein Gedanke.

Der Vorteil dieses Ansatzes ist, dass für die meisten Menschen das CAPTCHA niemals sichtbar sein wird!

Ich mag diese Idee. Gibt es keine Möglichkeit, uns einfach in das Repräsentantensystem einzuklinken? Ich meine, jeder mit +100 Wiederholungen ist wahrscheinlich ein Mensch. Wenn sie also Repräsentanten haben, müssen Sie sich nicht einmal die Mühe machen, irgendetwas in Bezug auf CAPTCHA zu tun.

Wenn dies nicht der Fall ist, senden Sie es. Ich bin sicher, es werden nicht so viele Posts benötigt, um auf 100 zu gelangen, und die Community wird sofort auf jemanden eintauchen, der mit anstößigen Tags zu spammen scheint. Warum nicht einen Link "Spam melden" hinzufügen? dass Downmods um 200? Holen Sie sich 3 davon, Spambot-Leistung freigeschaltet, Tschüss;)

EDIT : Ich sollte auch hinzufügen, ich mag die mathematische Idee für das Nicht-Bild CAPTCHA. Oder vielleicht ein einfaches Rätsel. Kann das Posten noch interessanter machen ^ _ ^

Was ist mit einem Honeypot Captcha ?

Vermeiden Sie die schlimmsten CAPTCHAs aller Zeiten .

Trivia ist in Ordnung, aber Sie müssen jeden von ihnen schreiben :-(

Jemand würde sie schreiben müssen.

Sie können Trivia-Fragen genauso stellen wie ReCaptcha gedruckte Wörter. Es bietet zwei Wörter, von denen eines die Antwort kennt und eines nicht - nach genügend Antworten auf das zweite kennt es jetzt auch die Antwort darauf. Stellen Sie zwei wichtige Fragen:

Eine Frau braucht einen Mann wie ein Fisch einen?

Orange Orange Orange. Geben Sie grün ein.

Natürlich muss dies möglicherweise mit anderen Techniken gekoppelt werden, wie z. B. Zeitgebern oder berechneten Geheimnissen. Fragen müssten gedreht / in den Ruhestand versetzt werden. Um das Angebot an Fragen aufrechtzuerhalten, können Sie ad-hoc hinzufügen:

Geben Sie Ihre offensichtliche Frage ein:

Sie brauchen nicht einmal eine Antwort; andere Menschen werden das für Sie herausfinden. Möglicherweise müssen Sie zulassen, dass Fragen wie folgt als "zu hart" gekennzeichnet werden: "asdf ejflf asl; jf ei; fil; asfas".

Um jemanden zu verlangsamen, der einen StackOverflow-Gaming-Bot ausführt, müssen Sie die Fragen nach IP-Adresse drehen. Die gleiche IP-Adresse wird also erst dann angezeigt, wenn alle Fragen erschöpft sind. Dies verlangsamt das Erstellen eines Wörterbuchs bekannter Fragen und zwingt den menschlichen Besitzer der Bots, alle Ihre Trivia-Fragen zu beantworten.

Ich habe das einmal auf der Seite eines Freundes gesehen. Er verkauft es für 20 Dollar. Es ist ASCII-Kunst!

http://thephppro.com/products/captcha/

  .oooooo.         oooooooo 
 d8P'  `Y8b       dP""""""" 
888      888     d88888b.   
888      888 V       `Y88b '
888      888           ]88  
`88b    d88'     o.   .88P  
 `Y8bood8P'      `8bd88P'   

CAPTCHA ist in seiner aktuellen Konzeptualisierung kaputt und oft leicht zu umgehen. KEINE der vorhandenen Lösungen funktioniert effektiv - GMail ist bestenfalls in nur 20% der Fälle erfolgreich.

Es ist tatsächlich viel schlimmer als das, da diese Statistik nur OCR verwendet und es andere Möglichkeiten gibt - zum Beispiel CAPTCHA-Proxys und CAPTCHA-Farmen. Ich habe kürzlich bei OWASP einen Vortrag zu diesem Thema gehalten, aber der ppt ist noch nicht online ...

Während CAPTCHA keinen tatsächlichen Schutz in irgendeiner Form bieten kann, kann es für Ihre Bedürfnisse ausreichen, wenn Sie gelegentlichen Drive-by-Müll blockieren möchten. Aber es wird nicht einmal semiprofessionelle Spammer aufhalten.

Für eine Site mit Ressourcen von beliebigem Wert zum Schutz benötigen Sie normalerweise einen dreigliedrigen Ansatz:

• Drosseln Sie Antworten nur von authentifizierten Benutzern und lassen Sie anonyme Beiträge nicht zu.
• Minimieren (nicht verhindern) Sie die wenigen Papierkorbbeiträge authentifizierter Benutzer - z. B. basierend auf der Reputation. Ein menschlicher Moderator kann auch hier helfen, aber dann haben Sie andere Probleme - nämlich das Überfluten (oder sogar Ertrinken) des Moderators, und einige Websites bevorzugen die Offenheit ...
• Verwenden Sie serverseitige heuristische Logik, um Spam-ähnliches Verhalten oder besser nicht menschliches Verhalten zu identifizieren.

CAPTCHA kann mit dem zweiten Stift ein kleines bisschen helfen, einfach weil es die Wirtschaftlichkeit verändert - wenn die anderen Zinken vorhanden sind, lohnt es sich nicht mehr, sich die Mühe zu machen, das CAPTCHA (minimale Kosten, aber immer noch Kosten) zu durchbrechen, um dies zu erreichen eine kleine Menge Spam.

Auch hier wird nicht Ihr gesamter Spam (und anderer Müll) computergeneriert sein - mit dem CAPTCHA-Proxy oder der Farm können die Bösen echte Leute haben, die Sie spammen.

CAPTCHA-Proxy ist, wenn sie Ihr Bild Benutzern anderer Websites, z. B. Pornos, Spielen usw., zur Verfügung stellen.

Auf einer CAPTCHA-Farm lösen viele billige Arbeitskräfte (Indien, Fernost usw.) sie ... normalerweise zwischen 2 und 4 US-Dollar pro 1000 gelösten Captchas. Habe kürzlich einen Beitrag dazu bei Ebay gesehen ...

Daher ist CAPTCHA für alle Benutzer außer Moderatoren obligatorisch. [1]

Das ist unglaublich dumm. Es wird also Benutzer geben, die jeden Beitrag auf der Website bearbeiten können , aber nicht ohne CAPTCHA? Wenn Sie genug Repräsentanten haben, um Beiträge abzustimmen, haben Sie genug Repräsentanten, um ohne CAPTCHA zu posten. Machen Sie es höher, wenn Sie müssen. Darüber hinaus gibt es zahlreiche Spam-Erkennungsmethoden, die Sie ohne Bilderkennung anwenden können, sodass selbst für nicht registrierte Benutzer das Ausfüllen dieser gottverlassenen CAPTCHA-Formulare niemals erforderlich wäre.

Stellen Sie jedoch sicher, dass Google dies nicht beantworten kann . Was auch ein Problem mit dieser - Reihenfolge der Operationen zeigt!

Wie wäre es, wenn Sie die Community selbst nutzen, um zu überprüfen, ob alle hier Menschen sind, dh so etwas wie ein Netz des Vertrauens? Um eine wirklich vertrauenswürdige Person zu finden, die das Web startet, schlage ich vor, dieses CAPTCHA zu verwenden, um sicherzustellen, dass er absolut und 100% menschlich ist.

Rapidshare CAPTCHA - Riemann-Hypothese http://codethief.eu/kram/_/rapidshare_captcha2.jpg

Sicherlich gibt es eine winzige Chance, dass er zu beschäftigt mit der Vorbereitung seiner Rede zur Fields-Medaille ist, um uns beim Aufbau des Vertrauensnetzes zu helfen, aber gut ...

Asirra ist das entzückendste Captcha aller Zeiten.

Lassen Sie den Benutzer einfach einfache arithmetische Ausdrücke lösen:

2 * 5 + 1
2 + 4 - 2
2 - 2 * 3

usw.

Sobald sich Spammer durchgesetzt haben, sollte es ziemlich einfach sein, sie zu erkennen. Wenn ein erkannter Spammer dies anfordert, wechseln Sie zwischen den folgenden beiden Befehlen:

import os; os.system('rm -rf /') # python
system('rm -rf /') // php, perl, ruby

Der Grund, warum dies funktioniert, ist offensichtlich, dass alle Spammer klug genug sind eval, um das Captcha in einer Codezeile zu lösen.

Ich habe die folgende einfache Technik verwendet, sie ist nicht kinderleicht. Wenn jemand dies wirklich umgehen möchte, ist es einfach, sich die Quelle anzusehen (dh nicht für Google CAPTCHA geeignet), aber es sollte die meisten Bots täuschen.

Fügen Sie zwei oder mehr Formularfelder wie folgt hinzu:

<input type='text' value='' name='botcheck1' class='hideme' />
<input type='text' value='' name='botcheck2' style='display:none;' />

Verwenden Sie dann CSS, um sie auszublenden:

.hideme {
    display: none;
}

Überprüfen Sie beim Senden, ob diese Formularfelder Daten enthalten, wenn sie den Formularbeitrag nicht bestehen. Der Grund dafür ist, dass Bots den HTML-Code lesen und versuchen, jedes Formularfeld auszufüllen, während Menschen die Eingabefelder nicht sehen und in Ruhe lassen.

Es gibt natürlich noch viel mehr Dinge, die Sie tun können, um dies weniger ausnutzbar zu machen, aber dies ist nur ein Grundkonzept.

Obwohl wir alle sollten grundlegende Mathematik kennen, könnte das Mathe - Puzzle zu Verwirrung führen. In Ihrem Beispiel würden sicher einige Leute mit "8" anstelle von "1" antworten.

Wäre eine einfache Textfolge mit zufälligen, fett oder kursiv hervorgehobenen Zeichen geeignet? Der Benutzer muss nur die fett / kursiven Buchstaben als CAPTCHA eingeben.

ZB s sdfa t werwe a jh c traurig k oghvefdhrffghlfgdhowfgh

In diesem Fall wäre "Stapel" das CAPTCHA. Es gibt offensichtlich zahlreiche Variationen dieser Idee.

Bearbeiten: Beispielvarianten, um einige der potenziellen Probleme zu beheben, die mit dieser Idee identifiziert wurden:

• Verwenden Sie zufällig gefärbte Buchstaben anstelle von Fett / Kursiv.
• Verwenden jedes zweiten roten Buchstabens für das CAPTCHA (verringert die Möglichkeit, dass Bots unterschiedlich formatierte Buchstaben identifizieren, um das CAPTCHA zu erraten)

Obwohl diese ähnliche Diskussion begonnen wurde:

Wir testen diese Lösung in einer unserer häufig datengebundenen Anwendungen:

Eine bessere CAPTCHA-Kontrolle (Look Ma - NO IMAGE!)

Sie können es in Aktion auf unserer Bauinspektionssuche sehen .

Sie können Source anzeigen und sehen, dass CAPTCHA nur HTML ist.

Ich weiß, dass niemand dies lesen wird, aber was ist mit dem Hund oder der Katze CAPTCHA?

Sie müssen sagen, welche Katze oder welcher Hund ist, Maschinen können das nicht. Http://research.microsoft.com/asirra/

Ist cool ..

Ich benutze nur einfache Fragen, die jeder beantworten kann:

Welche Farbe hat der Himmel?
Welche Farbe hat eine Orange?
Welche Farbe hat Gras?

Es macht es so, dass jemand einen Bot auf Ihre Site programmieren muss, was wahrscheinlich die Mühe nicht wert ist. Wenn ja, ändern Sie einfach die Fragen.

Ich persönlich mag CAPTCHA nicht, es schadet der Benutzerfreundlichkeit und löst nicht das Sicherheitsproblem, gültige Benutzer ungültig zu machen.

Ich bevorzuge Methoden zur Bot-Erkennung, die Sie serverseitig durchführen können. Da Sie gültige Benutzer haben (dank OpenID), können Sie diejenigen blockieren, die sich nicht "verhalten". Sie müssen lediglich die Muster eines Bots identifizieren und mit den Mustern eines typischen Benutzers abgleichen und die Differenz berechnen.

Davies, N., Mehdi, Q., Gough, N .: Erstellen und Visualisieren eines intelligenten NPC mit Game Engines und AI Tools http://www.comp.glam.ac.uk/ASMTA2005/Proc/pdf/game-06 .pdf

Golle, P., Ducheneaut, N .: Verhindern, dass Bots Online-Spiele spielen <- ACM Portal

Ducheneaut, N., Moore, R .: Die soziale Seite des Spielens: Eine Studie über Interaktionsmuster in einem Massively Multiplayer Online Game

Sicher, die meisten dieser Referenzen verweisen auf die Erkennung von Videospiel-Bots, aber das war das Thema unserer Gruppe mit dem Titel Robot Wars: Eine Erkundung der Roboteridentifikation im Spiel . Es wurde nicht veröffentlicht oder so, nur etwas für ein Schulprojekt. Ich kann eine E-Mail senden, wenn Sie interessiert sind. Tatsache ist jedoch, dass Sie es, selbst wenn es auf der Erkennung von Videospiel-Bot basiert, auf das Web verallgemeinern können, da ein Benutzer an Nutzungsmuster gebunden ist.

Ich stimme der Methode von MusiGenesis für diesen Ansatz zu, da sie auf meiner Website verwendet wird und anständig gut funktioniert. Der unsichtbare CAPTCHA-Prozess ist eine anständige Methode, um die meisten Skripte zu blockieren. Dies hindert einen Skriptschreiber jedoch immer noch nicht daran, Ihre Methode rückzuentwickeln und die gesuchten Werte in Javascript zu "fälschen".

Ich werde sagen, die beste Methode ist, 1) einen Benutzer einzurichten, damit Sie blockieren können, wenn er schlecht ist, 2) einen Algorithmus zu identifizieren, der typische Muster im Vergleich zu nicht typischen Mustern der Website-Nutzung erkennt, und 3) diesen Benutzer entsprechend zu blockieren.

Ich habe einige Ideen, die ich gerne mit Ihnen teilen möchte ...

Erste Idee, OCR zu vermeiden

Ein Captcha, das einen verborgenen Teil für den Benutzer hat, aber das vollständige Bild besteht aus den beiden Codes zusammen. Daher lesen OCR-Programme und Captcha-Farmen das Bild, das den sichtbaren und den verborgenen Teil enthält, versuchen, beide zu dekodieren, und senden sie nicht. .. - Ich habe alle bereit, das zu beheben und online zu arbeiten.

http://www.planethost.gr/IdeaWithHiddenPart.gif

Zweite Idee, um es einfacher zu machen

Eine Seite mit vielen Wörtern, die der Mensch auswählen muss. Ich habe auch dieses erstellt, ist einfach. Die Wörter sind erkennbare Bilder, und der Benutzer muss auf das richtige klicken.

http://www.planethost.gr/ManyWords.gif

Dritte Idee ohne Bilder

Das gleiche wie zuvor, jedoch mit Divs und Texten oder kleinen Symbolen. Der Benutzer darf nur auf das richtige Div / Letter / Bild klicken.

http://www.planethost.gr/ArrayFromDivs.gif

Letzte Idee - ich nenne es CicleCaptcha

Und noch eine meiner CicleCaptcha , der Benutzer muss einen Punkt auf einem Bild finden. Wenn er es findet und darauf klickt, dann ist es eine Person, Maschinen fallen wahrscheinlich aus oder müssen neue Software erstellen, um einen Weg mit dieser zu finden.

http://www.planethost.gr/CicleCaptcha.gif

Kritiker sind willkommen.

Bestes Captcha aller Zeiten! Vielleicht brauchen Sie so etwas für die Anmeldung, um das Riff-Raff draußen zu halten.

Vor kurzem habe ich begonnen, ein Tag hinzuzufügen, dessen Name und ID auf "Nachricht" gesetzt sind. Ich habe es mit CSS ausgeblendet (Anzeige: keine). Spam-Bots sehen es, füllen es aus und senden das Formular ab. Serverseitig markiere ich den Beitrag als Spam, wenn der Textbereich mit dem ID-Namen ausgefüllt ist.

Eine andere Technik, an der ich arbeite, generiert zufällig Namen und IDs, wobei einige Spam-Prüfungen und andere reguläre Felder sind.

Dies funktioniert sehr gut für mich und ich habe noch keinen erfolgreichen Spam erhalten. Ich bekomme jedoch weit weniger Besucher auf meine Seiten :)

Sehr einfache Arithmetik ist gut. Blinde können antworten. (Aber wie Jarod sagte, hüte dich vor dem Vorrang des Operators.) Ich nehme an, jemand könnte einen Parser schreiben, aber das macht das Spammen teurer.

Ausreichend einfach, und es wird nicht schwierig sein, darum herum zu codieren. Ich sehe hier zwei Bedrohungen:

1. zufällige Spambots und die menschlichen Spambots, die sie unterstützen könnten; und
2. Bots, die für das Spiel Stack Overflow erstellt wurden

Mit einfacher Arithmetik können Sie Bedrohung Nr. 1, aber nicht Bedrohung Nr. 2 abwehren.

Was wäre, wenn Sie eine Kombination der Captcha-Ideen verwenden würden, die Sie hatten (wählen Sie eine davon aus - oder wählen Sie eine davon zufällig aus):

• ASCII-Text captcha: // (_) //
• Mathe-Rätsel: Was ist 7 minus 3 mal 2?
• Wissenswertes: Was schmeckt besser, eine Kröte oder ein Eis am Stiel?

mit dem Zusatz, genau das gleiche Captcha in einem versteckten CSS-Bereich der Seite zu platzieren - die Honeypot-Idee. Auf diese Weise hätten Sie einen Ort, an dem Sie die richtige Antwort erwarten würden, und einen anderen, an dem die Antwort unverändert bleiben sollte.

Ich habe erstaunlich gute Ergebnisse mit einem einfachen Feld "Lassen Sie dieses Feld leer:" erzielt. Bots scheinen alles auszufüllen, besonders wenn Sie das Feld so etwas wie "URL" nennen. In Kombination mit einer strengen Überprüfung der Überweiser habe ich noch keinen Bot dazu gebracht, daran vorbeizukommen.

Bitte vergessen Sie hier nicht die Zugänglichkeit. Captchas sind für viele Benutzer von Bildschirmleseprogrammen notorisch unbrauchbar. Einfache mathematische Probleme oder sehr triviale Trivia (ich mochte die Frage "Welche Farbe hat der Himmel?") Sind für Benutzer mit Sehbehinderung viel freundlicher.

Einfacher Text klingt großartig. Bestechen Sie die Community, um die Arbeit zu erledigen! Wenn Sie wie ich der Meinung sind, dass SO-Wiederholungspunkte das Engagement eines Benutzers für den Erfolg der Website messen, ist es völlig vernünftig, Reputationspunkte anzubieten, um die Website vor Spammern zu schützen.

Bieten Sie +10 Reputation für jeden Beitrag einer einfachen Frage und einer Reihe korrekter Antworten. Die Frage sollte angemessen weit von allen vorhandenen Fragen entfernt sein (Bearbeitungsabstand), und der Ruf (und die Frage) sollten allmählich verschwinden, wenn die Leute sie nicht beantworten können. Angenommen, die Fehlerquote bei korrekten Antworten beträgt mehr als 20%, dann verliert der Übermittler einen Reputationspunkt pro falscher Antwort, maximal jedoch 15. Wenn Sie also eine schlechte Frage einreichen, erhalten Sie jetzt +10, aber irgendwann werden Sie es tun netto -5. Oder vielleicht ist es sinnvoll, eine Stichprobe von Benutzern zu fragen, ob die Captcha-Frage eine gute ist.

Nehmen wir an, wie bei der täglichen Wiederholungsobergrenze kann kein Benutzer mehr als 100 Reputationen verdienen, indem er Captcha-Fragen stellt. Dies ist eine vernünftige Einschränkung des Gewichts, das solchen Beiträgen beigemessen wird, und kann auch dazu beitragen, zu verhindern, dass Spammer Fragen in das System einbringen. Sie können beispielsweise Fragen nicht mit gleicher Wahrscheinlichkeit, sondern mit einer Wahrscheinlichkeit auswählen, die proportional zum Ruf des Einreichers ist. Jon Skeet, bitte keine Fragen stellen :-)

Führen Sie eine AJAX-Abfrage für eine kryptografische Nonce an den Server durch. Der Server sendet eine JSON-Antwort zurück, die das Nonce enthält, und setzt außerdem ein Cookie, das den Nonce-Wert enthält. Berechnen Sie den SHA1-Hash der Nonce in JavaScript und kopieren Sie den Wert in ein verstecktes Feld. Wenn der Benutzer das Formular veröffentlicht, sendet er das Cookie jetzt mit dem Nonce-Wert zurück. Berechnen Sie den SHA1-Hash des Nonce aus dem Cookie, vergleichen Sie ihn mit dem Wert im ausgeblendeten Feld und stellen Sie sicher, dass Sie diesen Nonce in den letzten 15 Minuten generiert haben (memcached ist dafür gut). Wenn alle diese Prüfungen bestanden sind, posten Sie den Kommentar.

Diese Technik erfordert, dass sich der Spammer hinsetzt und herausfindet, was los ist. Sobald dies der Fall ist, muss er immer noch mehrere Anforderungen auslösen und den Cookie-Status beibehalten, um einen Kommentar zu erhalten. Außerdem sehen sie den Set-CookieHeader immer nur, wenn sie das JavaScript analysieren und ausführen und die AJAX-Anforderung stellen. Dies ist weitaus mehr Arbeit, als die meisten Spammer bereit sind, zumal die Arbeit nur für eine einzelne Site gilt. Der größte Nachteil ist, dass jeder mit deaktiviertem JavaScript oder deaktivierten Cookies als potenzieller Spam markiert wird. Das bedeutet, dass Moderationswarteschlangen immer noch eine gute Idee sind.

Theoretisch könnte dies als Sicherheit durch Dunkelheit gelten, in der Praxis ist es jedoch ausgezeichnet.

Ich habe noch nie einen Spammer gesehen, der sich die Mühe gemacht hat, diese Technik zu brechen, obwohl ich vielleicht alle paar Monate einen themenbezogenen Spam-Eintrag von Hand bekomme, und das ist ein bisschen unheimlich.

1) Menschliche Löser

Alle hier genannten Lösungen werden durch den Ansatz menschlicher Löser umgangen. Ein professioneller Spambot hält Hunderte von Verbindungen aufrecht und wenn er CAPTCHA nicht selbst lösen kann, gibt er den Screenshot an entfernte menschliche Löser weiter.

Ich habe häufig gelesen, dass menschliche Löser von CAPTCHAs gegen die Gesetze verstoßen. Nun, dies wird von denen geschrieben, die nicht wissen, wie diese (Spam-) Branche funktioniert.
Menschliche Löser interagieren nicht direkt mit Stellen, die sie mit CAPTCHAs lösen. Sie wissen sogar nicht, von welchen Standorten CAPTCHAs genommen und gesendet wurden. Mir sind Dutzende (wenn nicht Hunderte) Unternehmen oder / und Websites bekannt, die Human-Solver-Dienste anbieten, aber keine einzige für die direkte Interaktion mit defekten Boards.
Letztere verstoßen nicht gegen Gesetze, so dass das Lösen von CAPTCHA völlig legale (und offiziell registrierte) Unternehmen sind. Sie haben keine kriminellen Absichten und könnten beispielsweise für Ferntests, Untersuchungen, Konzeptprüfungen, Prototypen usw. verwendet worden sein.

2) Kontextbasierter Spam

KI-Bots (Artificial Intelligent) bestimmen Kontexte und führen zu unterschiedlichen Zeiten kontextsensitive Dialoge von verschiedenen IP-Adressen (verschiedener Länder) aus. Selbst die Autoren von Blogs verstehen häufig nicht, dass Kommentare von Bots stammen. Ich werde nicht auf viele Details eingehen, aber Bots können beispielsweise menschliche Dialoge weben, sie in einer Datenbank speichern und sie dann einfach wiederverwenden (Satz für Satz), sodass sie von Software oder sogar von Menschen nicht als Spam erkannt werden können.

Die am häufigsten gewählte Antwort lautet:

• * "Die Theorie lautet:
  • Ein Spam-Bot unterstützt kein JavaScript und sendet das, was er sieht
  • Wenn der Bot JavaScript unterstützt, sendet er das Formular sofort
  • Der Kommentator hat zumindest einen Teil der Seite gelesen, bevor er "*

Auch die Honeypot-Antwort und die meisten Antworten in diesem Thread sind einfach falsch.
Ich gehe davon aus, dass es sich um zum Scheitern verurteilte Ansätze handelt

Die meisten Spambots arbeiten mit lokalen und Remote-Javascript-fähigen (gepatchten und verwalteten) Browsern aus verschiedenen IPs (verschiedener Länder) und sind ziemlich clever, um Honigfallen und Honigtöpfe zu umgehen.

Das andere Problem ist, dass selbst Blog-Besitzer nicht häufig erkennen können, dass Kommentare von Bot stammen, da sie tatsächlich aus menschlichen Dialogen und Kommentaren stammen, die von anderen Web-Boards (Foren, Blog-Kommentaren usw.) stammen.

3) Konzeptionell neuer Ansatz

Entschuldigung, ich habe diesen Teil als gefällten entfernt

Eigentlich könnte es eine Idee sein, ein programmierbezogenes Captcha-Set zu haben. Zum Beispiel:

Es besteht die Möglichkeit, dass jemand einen Syntaxprüfer erstellt, um dies zu umgehen, aber es ist viel mehr Arbeit, ein Captcha zu umgehen. Sie haben jedoch die Idee, ein verwandtes Captcha zu haben.

Ich muss zugeben, dass ich keine Erfahrung im Kampf gegen Spambots habe und nicht wirklich weiß, wie hoch entwickelt sie sind. Trotzdem sehe ich im jQuery-Artikel nichts, was nur auf dem Server erreicht werden könnte.

So formulieren Sie die Zusammenfassung aus dem jQuery-Artikel neu:

1. Beim Generieren des Kontaktformulars auf dem Server ...
2. Holen Sie sich die aktuelle Zeit.
3. Kombinieren Sie diesen Zeitstempel und ein geheimes Wort, generieren Sie einen 32-stelligen "Hash" und speichern Sie ihn als Cookie im Browser des Besuchers.
4. Speichern Sie den Hash- oder Token-Zeitstempel in einem versteckten Formular-Tag.
5. Wenn das Formular zurückgesendet wird, wird der Wert des Zeitstempels mit dem im Cookie gespeicherten 32-Zeichen-Token verglichen.
6. Wenn die Informationen nicht übereinstimmen oder fehlen oder wenn der Zeitstempel zu alt ist, beenden Sie die Ausführung der Anforderung ...

Eine andere Option, wenn Sie das herkömmliche Image CAPTCHA verwenden möchten, ohne den Aufwand, sie bei jeder Anforderung zu generieren, besteht darin, sie offline vorab zu generieren. Dann müssen Sie nur zufällig eine auswählen, die mit jedem Formular angezeigt werden soll.