Czy można zabezpieczyć się przed spambootami bez obrazków ?
Np. generuje klucz ,zapisuje go sesji do przeglądarki wysyłam formularz z ukrytym inputem poczym ajaxem pobieram klucz i dolaczam js-em do inputa. Po wysłanie formularza sprawdzam czy ukryty input ma pożądaną wartość jeśli tak to przepuszczam dalej jak nie to exit...

Czy takie podejście będzie skuteczne?

[PHP] pobierz, plaintext 
<?php
session_start();
if (!isset($_SESSION['captcha'])) {
    $znaki = 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890_+{}|:<>~?';
    $znaki = str_split($znaki);
    $ile   = 6;
    $str   = '';
    while ($ile) {
        --$ile;
        $str .= $znaki[array_rand($znaki)];
    }
    $str                 = sha1($str);
    $_SESSION['captcha'] = $str;
}
 
 
if (isset($_POST['sendme']) && $_POST['sendme'] === '1') {
    die($_SESSION['captcha']);
}
 
if (!empty($_POST['captcha']) && $_POST['captcha'] === $_SESSION['captcha'] && !empty($_POST['a']) && !empty($_POST['b'])) {
    unset($_SESSION['captcha']);
    //wykonanie dowolego kodu jeśli nie jesteś bootem
	//np:
	print_r($_POST);
}
 
 
?>
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<title>locale</title>
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.0/jquery.min.js"></script>
</script>
<script type="text/javascript">
$(document).ready(function(){
$.post('<?php
echo $_SERVER['PHP_SELF'];
?>',{sendme:1},function(data){$('input[name="captcha"]').val(data);
				})
 
})
</script>
</head>
<body>
<form action="" method="post" enctype="application/x-www-form-urlencoded">
<input name="a" type="text">
<input name="b" type="text">
<input name="captcha" type="hidden">
<input type="submit">
</form>
</body>
</html>
 
[PHP] pobierz, plaintext 

Jak ktoś ma przepisać tę captchę jak nigdzie jej nie wyświetlasz?

Nie ma jej pisać.
Ma to zrobić js.
Spambooty nie interpretują js a przeglądarka usera tak. (poprawić jeśli się mylę)

Nie sądzę, aby js był jakimkolwiek problemem dla spambotów

Nawet jeśli kod klucza nie jest umieszczony bezpośrednio w kodzie tylko pobierany w tle ajaxem i ładowany do inputa?

Dobra , skoro generowanie treści ajaxem i wstawianie automatyczne odpada to pozostaje :
1.filtrowanie popularnych ip spambotów
2.zbudowanie lub użycie gotowej catptchy w js np.z obsługą drag&drop - przykład ajax fancy captcha

Co myślicie o tych rozwiązaniach?
Znacie inne skuteczne?

Nie.

Jakiś czas temu jeszcze tego nie robiły (zwyczajnie nie było takiej potrzeby), ale nie sądzę, aby było to wielką przeszkodą, skoro jest to możliwe.

Nie kombinuj, poszukaj na forum, szczególnie w dziale PHP, było już wiele tematów odnośnie captchy. Twój sposób jest do obejścia i stwierdzenie bezpieczeństwa siedzi przy nim tylko w Twojej głowie, nigdzie więcej.

Już nie wspominając o tym że ludzie bez JS, zwyczajnie tego nie przejdą.

Zgadza się ,nie można zabezpieczyć sie przed botami w js w 100%.
Można tylko utrudnić spawę botowi przez js ale dla dedykowanego rozwiązania jest zawsze dedykowane obejście.
W sumie im więcej czytam o sposobach obrony przed bootami tym bardziej mam wrażenie że nie ma jednego w 100% działającego rozwiązania :|,można próbować utrudnić dostęp botom, lub co chyba lepsze skorzystać z paru rozwiązań naraz.

Masz utrudniać botowi dostęp do serwisu, a nie użytkownikowi. Stosuj reCaptche i po kłopocie, skoro pytasz o takie rzeczy na forum, to Twój serwis i tak nie będzie na tyle atrakcyjny, aby zaprzęgać pod niego jakiegokolwiek bota, chyba że automatycznego.

Doprawdy?
No jak dla mnie to właśnie obrazkowe captche są najbardziej utrudniające życie użytkownikowi.
Po za tym im bardziej są bezpieczniesze tym bardziej trudniejsze do odczytu .
Pora zapoznać sie z sblam!

Lepszego sposobu nie ma i nie będzie przez najbliższe 10-15lat, aż kamery nie staną się standardem i nie będzie bezpośredniej weryfikacji mordy przed monitorem, czy przypadkiem nie loguje się pies... ale do standardu który na to pozwala na razie w nowszych przeglądarkach, jeszcze daleko.

Kazde inne rozwiązanie, które nie jest "przepisaniem tekstu z obrazka" jest zwyczajnie marnej jakości i ma za dużo wad aby mogło przyjąć się w czymś większym.

Są inne sposoby, mianowicie captche niezawierające literek do przepisania tylko obrazki z kontekstem, które dla człowieka są trywialne, dla bota już nie.

Gdzieś widziałem captchę typu był sobie parking, 3 samochody, kilka wolnych miejsc parkingowych i tekst "przeciągnij sportowy samochód na wolne miejsce do zaparkowania". Oczywiście parafrazuję, ale chodzi o ideę. Problem jest taki, że takich captch nie można automatycznie tworzyć, ale mogą powstać (może już istnieje) serwis, który udostepnia dużą gamę takich captch.

Jak na razie całkiem dobra alternatywą jest KeyCaptcha.
Użytkownik ma za zadanie ułożyć obrazek. Działa we wszystkich przeglądarkach (na starszych potrzebny jest flash).

Ciekawe rozwiązanie tylko ma mały szkopuł , user wykonuje polecenie po czym funkcja w js podbindowana do odpowiednich zdarzeń sprawdza efekt, jeśli test wykonany poprawnie to wykonuje akcje (np. dodanie inputa z odpowiednią wartością do formy).
Skoro robot może wykonywać kod js to odpowiednio zaprogramowany robot może wykonać samą akcję omijając cały proces sprawdzania poczynań usera. Można by kod js odpowiedzialny z akcje skompresować czy pobierać ajaxem i wykonywać (brzydkim) evalem ale to żadne zabezpieczenie tylko chwilowe utrudnienie.

Więc jest to fajne rozwiązanie ale tylko do czasu aż ktoś napisze dedykowanego bota lub dane rozwiązanie będzie na tyle powszechne że obejście doczeka się implementacji w zautomatyzowanych botach.

Rowiązanie z obrazkowo-literkowymi captcha jest też nie wystarczające :
-mocno zniekształcony tekst (a tylko w ten sposób captcha może być w miarę skuteczna) utrudnia odczyt użytkownikowi
-w raz z rozwojem OCR-ów takie captche będą (jeśli nie są już) coraz słabszym rozwiązaniem


Są jeszcze jakieś propozycje?

Widziałem kiedyś captche typu "przeciągnij i upuść" zrobiona pod ajaxem:
- user podczas rejestracji wpisywał swoje dane, akceptował regulamin itp.
- na szarym końcu captcha, która po przeciągnięciu kółka do kosza i kwadratu do pudełka, generowała ajaxem unikalny klucz, który był podpinany do action formularza.
- jeżeli użytkownik pomylił się 3 razy blok na 15min.

Jak dla mnie fajna alternatywa dla standardowej captchy - z coraz bardziej powykręcanymi literami . Tym bardziej, że prawdopodobieństwo trafienia jest niewielkie i zmniejsza się wykładniczo z ilością elementów do przeciągnięcia

A o WSH słyszałeś?


Jeszcze 2 lata temu zwróciłbym na to uwagę. Teraz przestaje mieć to sens; nawet Opera Mini na Javę ma prowizoryczną obsługę JS, pod konsolą jest elinks.


Nic mnie tak nie denerwuje, jak reCaptcha...


Słusznie. [; Wg mnie skuteczne.

hehe, może najpierw zapoznasz się z działaniem, a dopiero potem będziesz pisać takie bzdury?

Walidacja wywoływana jest po stronie serwera, jeśli znasz sposób na obejście takiej captchy, pisz śmiało

A tak na marginesie to czy bot będzie potrafił tylko zinterpretować js który do niego dotrze czy może
także dowolnie dołączyć własny kod js do strony ? Pytam bo już jestem zdezorientowany...

Może. Może wszystko, co jesteś w stanie zrobić ze stroną w przeglądarce.