Нужна ли капча ?

[Sergik+]

Друзья, нужна форма обратной связи на сайте, думаю делать на php, возможно ли это сделать

на js и нужна ли капча ? Я насколько знаю сейчас спам фильтры очень хороши.

[Николя223]

если дос атаки на тебя через эту форму исключаешь, то нет

[rus]

ddos может быть не только на страницу с формой, а точнее чаще всего не на нее, а на любые, в т.ч. и главную.

от ddos только одна защита - защита на стороне сервера (vps,vds, облачные): фаервол, ip_tables, dmz и пр....

на форму как правило - спам, таким образом тоже забивается канал, были случаи, когда только чистым спамом валили сервера..., но это так, лирика.

на форму ставить желательно не только капчу, но и проверять/валидировать данные пришедшие от пользователя.

[Great Rash]

Если нужна защита от спама, то я порекомендовал бы не ставить капчу, или поставить простенькую. И в дополнение к ней установить скрытй от глаз юзера чекбокс, с каким-нить хитрым именем типа important. Робот его увидит и чекнет, а юзер его не увидит и не чекнет, таким образом можно будет отсеять автоматический спам.

[Николя223]

rus, я более чем уверен, что дос атака на почтовый сервер может быть намного мощнее чем просто на сайт

Edited October 1, 2014 by Николя223

[Sergik+]

rus, я более чем уверен, что дос атака на почтовый сервер может быть намного мощнее чем просто на сайт

Кстати уже доказано что нормальный робот распознает капчу на 99% и этот показатель выше чем у человека.

[Николя223]

Проблемма в том, что капча разная бывает и меняется. робот нормально будет распознавать капчу только с появлением искусственного интеллекта. 

И кстати виды капчи тоже разные бывают, не обязательно что то смотреть и что то куда то вводить

[rus]

rus, я более чем уверен, что дос атака на почтовый сервер может быть намного мощнее чем просто на сайт

не dos, а ddos - это две большие разницы, и типы атак тоже разные бывают, это и по http протоколу и по icmp и tcp/ip и udp, к стати, по udp даже проще кулхацкерам ддосить, ибо ответа от пакетов не обязательно дожидаться, хотя есть засада в том, что они могли просто не дойти, да и используется udp вроде как только в звуке и видео, типа скайп, потоковое видео, всякие ip-call (в остальных не слыхал).

на счет мощнее, или слабее - не могу сказать, я не спец в таких вещах, но распространеннее все же ddos на сайт (или слабенький flud) и принцип у таких атак - либо забить интернет канал, либо вальнуть железо, путем посылания пакетов, содержание которых непонятно серверу.

в данный момент я сталкиваюсь почти ежемесячно с подобными проблемами, и решить их на уровне обычного хостинга мне не под силу, а заказчику этого не объяснить.

бодаться с т.п. уже устал, они то конечно говорят что у них стоит защита на шаредах, но во-первых, кто его знает так ли это? а во-вторых, их главная отмазка - это дырявые скрипты и их оптимизация, и в чем-то они в принципе правы, но опять же, править популярные cms, которые написаны не одним человеком за смешную з/п - это тоже перебор...

P.S. чет я накатал много лишнего походу )))

[Николя223]

Да не, ниче - в тему. ))

кто то из знакомых мне рассказывал, что оборудование, которое напрямую предназначено для защиты от дос стоит много денег

[ShumNo]

а ведь ТС спрашивал про спам, а вы все про ддос про ддос. Ддос денег стоит а у ТС 100 человек в день на сайте

 

 

Самая лучшая капча это ее отсутствие + ловушки для ботов. Как только возникает подозрение или странная активность - включаем капчу.
Цель чтобы нормальный пользователь капчу не видел вообще.

Это не пользователи должны проходить проверку на ботов, а боты на проверку человека

[boond]

. Как только возникает подозрение или странная активность - включаем капчу.

Цель чтобы нормальный пользователь капчу не видел вообще.

 

Отличная идея, но как диагностировать подозрение или странную активность?

Хотя бы пару примеров, чтобы понять, в каком направлении думать?

[ShumNo]

Легко. Предположим у нас форма регистрации с 5-ю обязательными полями и еще с несколькими пожеланию. Сколько потребуется человеку на ее заполнение? Верно не меньше 15 секунд. А сколько для бота? Верно не более 1 секунд. Вот первая ловушка для бота - форма регистрации не может быть отправлена раньше 15 секунд. Если человек или бот нажимает кнопку, то к 15 секундам добавляются еще + прогрессия.

[Switch74]

1 маленький нюанс, робота могут запрограммировать на то, чтобы выдерживать паузу перед отправкой формы, так же бота можно подготовить под любую стандартную форму.

Способов обломать бота очень много, но ботов пишут люди и те могут сделать бота который обломает эту защиту.
Боты как правило не скачивают доп файлы: картинки, скрипты, стили. Можно сделать файл ключ, запрос которого включает форму

Можно сделать скрипт, который изменяет определенным образом некоторые данные в форме, например меняет местами или шифрует их.

но все это обходится при обычном анализе формы человеком и дописыванием нескольких функций, которые по сути копируются из скриптов сайта.
так что + к любым вашим виртуозным защитам формы нужно защищать скрипт, но эта тема о том: "Как запретить копировать текст и сохранять картинки с сайта"

PS: форма подключаемая через аякс: запрос данной формы включает механизм ее регистрации по idsession и адресу куда она была вставлена.
Бот не увидит форму, что защитит от ряда простых ботов. Если бот все таки найдет форму по ее адресу, запросы с этого адреса приниматься не будут, только с страниц на которые форма была встроена. - ряд более умных ботов.
Ну и можно сделать дополнительную защиту на самой форме для защиты от специально написанных под вашу форму ботов - она должна быть динамической, т.е. периодически менять ключ.

 

как правило последнего способа достаточно, но любой алгоритм предсказуем.