Защита от ботов или проверка на человечность?)
 

У кого есть какие предложения?) Вопрос не относится к javascript) Но капча уже не то) Сервисы стороние тоже нето)
Давайте подискутируем) Может прийдем к истине как отличить ботов от людей?)

Способов куча) У меня щас появилась мысль мозайки из деталей) от 0 до 9 кусков мозайки) То есть перетаскививая в квадраты) Собирается комбинация цифр) Ее и сравниваем) Картинка каждый раз одна и таже, а присваемые ей значения разные) Как такой вариант? Хочу еще от Вас услышать)

Почему капча не то?
Можно например в капчу помещать вопросы из "Кто хочет стать миллионером" за 100р. (там простенькие вопросы) и на сервере проверять ответ написанный пользователем. Так и от ботов защищаться можно и от тех, кому в детсад/школу надо.

Бот от человека неотличим, при проверке через компьютер. 100% защиты нет, только способы усложнить работу бота:

1. время повторной проверки.
2. вариативность ответа.

Бот написанный под конкретный сайт, может пройти любую проверку. Поэтому проверять не нужно, нужно усложнить работу боту, чтобы стало невыгодно.

Мне часто помогал элементарный трюк: делаем поле ввода, потом скрываем его стилями. Юзер-человек это поле не увидит и не заполнит, а бот отправит форму с заполненным полем. Но в целом согласен с MakeMeFeel.

бот, дающий рандомный ответ, пройдет эту капчу с вероятностью 25% =)

50% - либо пройдет, либо нет

ну так надо скрывать варианты ответов. Пускай бот сам придумывает правильный ответ. Это конечно заморочка, но определённо это должно работать

EmperioAf, таким способом можно не только боту насолить, а и людям тоже - проще простого отбить желание сделать "действие".

там будут простые вопросы. Например: в каком месяце начинается учебный год в РФ ?

ну и будут писать синтябрь, в сентябре и пр
:lol:

Тут еще такая фишка, представим что сессий нет) То есть как узнать что именно тот юзер)

значит нужно написать: "Примечание: в графе ответ напишите название месяца в именительном падеже."

Если человек настолько необразован, что не знает как правильно пишется название месяца, то может ему не стоит писать сообщения на javascript-форуме и оставаться гостем?!

EmperioAf, я так понимаю, топик просто о задаче отличить ботов от людей, не применительно к этому форуму/технологии
. А так-то да, тут еще матановую капчу предлагали ввести.

Что касается обычных людей, то imho какие примечания не пиши, всегда найдутся короли выдумывания новых слов, для которых ранее описанный способ будет близок к оптимальному. И потом не исключайте, что русский язык может быть просто не родным языком комментирующего.

Мысль то чужая, принцип "собери пазл" давно уже реализуется.

да и многоступенчатая усложниловка тоже:

3 раза не привильный логин, баним на 1 минуту. еще 5 на 10 минут и т.д.
нет еверкуки, совсем не пускаем тоже самое и с ip.

Нубы в программировании всегда выискивают способ как забанить всех пользователей с помощью капчи :)

Самая лучшая капча - это отсутствие капчи.

А такой вопрос, по идее:
1. Если не генерить специальный браузер, Бот наверно не сможет нажать клавишу отправки с предварительным наведением курсора на кнопку ?
2. Отслеживать mousemove, к примеру провести курсор по картинке лабиринта к кнопке
3. Описать имя птички на картинке. Или иных животных, хрюндель, ежик, авто, хомяк

Типичный Вариант - 5 раз - 1 час отдыхаем, пароль из более 9 символов подбирается около 700 лет

Против бутфорсов предпринимаются совершенно иные меры обычно, не связанные с длиной пароля. Но опять же, все обходится, при желании. Можно долбить через миллионы проксей.

Вот я щас пишу авторизацию и регистрацию) Все делается с мышки или в несколько кликов) Планирую избавиться от использования клавы в сервисе, и обезличивать максимально данные, и как можно чаще убирать активность людей) В левом верхнем еглу шифруется логин) остальные 3 угла проверочные) То есть если хакер получил доступ к файлу то ппц) А так я думаю практический получить доступ к аккаунту не возможно) ЭТо надо генерировать картинки) Логин 32 символа) остальные 3 квадрата проверочных по 32 символа) А Тему поднял потому, что после нажатия клавиши зарегаться в базе появляется новый юзер и сразу пользователю выдается картинка на сохранение) т. к. хочу сделать потом API сессии не подойдут) Вот я и думаю, как избавится от кликеров наугад) В принципе я могу после регистрации выдавать все что угодно) Оно будет помещаться в отдельную базу данных) После подтверждения будет ждать сутки первой авторизации) а каждые сутки все не авторизованные коды удалять) Пока писал сам придумал что сделать) Опять же написать скрипт который будет регистрировать бота и автоматический его авторизовать пока, что легко)

Но и на некоторых людях может не сработать. У тачскринов нету hover'ов.
Также многие формы можно отправить вообще без участия мыши - ввел коммент и хлопнул ентер.

Кстати у меня гениальная идея - вызывать у себя на сайте чужую капчу. И боты у себя отсеиваются, и платный сервис по разгадыванию чужих капчей можно по-тихому прикрутить :haha:

Чем тебе гугловская капча не понравилась?)

тред не читал: recaptcha2

KupueIIIKo, ну можно ее например. Но только ставить не себе, а тащить у кого-нибудь. Например у нас популярные сайты. У вас сайт с рекапчей, а я на своем сайте тащу картинки с вашего и подсовываю юзерам при добавлении комментариев (например). Мои юзеры заполняют капчу, корректность ответа я проверяю отправкой запроса к вашей капче =)
Таким образом и у меня будет капча, а на ваш популярный сайт я могу постить комменты (например) с любым спамом, за который мне заплатят. Или регить пользователей-ботов если капча там. И т.д.