Jump to content
  • 0

Нужна ли капча ?


Sergik+
 Share

Question

12 answers to this question

Recommended Posts

  • 0

ddos может быть не только на страницу с формой, а точнее чаще всего не на нее, а на любые, в т.ч. и главную.

от ddos только одна защита - защита на стороне сервера (vps,vds, облачные): фаервол, ip_tables, dmz и пр....

на форму как правило - спам, таким образом тоже забивается канал, были случаи, когда только чистым спамом валили сервера..., но это так, лирика.

на форму ставить желательно не только капчу, но и проверять/валидировать данные пришедшие от пользователя.

  • Like 1
Link to comment
Share on other sites

  • 0

Если нужна защита от спама, то я порекомендовал бы не ставить капчу, или поставить простенькую. И в дополнение к ней установить скрытй от глаз юзера чекбокс, с каким-нить хитрым именем типа important. Робот его увидит и чекнет, а юзер его не увидит и не чекнет, таким образом можно будет отсеять автоматический спам.

  • Like 1
Link to comment
Share on other sites

  • 0

rus, я более чем уверен, что дос атака на почтовый сервер может быть намного мощнее чем просто на сайт

Кстати уже доказано что нормальный робот распознает капчу на 99% и этот показатель выше чем у человека.

Link to comment
Share on other sites

  • 0

Проблемма в том, что капча разная бывает и меняется. робот нормально будет распознавать капчу только с появлением искусственного интеллекта. 

И кстати виды капчи тоже разные бывают, не обязательно что то смотреть и что то куда то вводить

Link to comment
Share on other sites

  • 0

rus, я более чем уверен, что дос атака на почтовый сервер может быть намного мощнее чем просто на сайт

не dos, а ddos - это две большие разницы, и типы атак тоже разные бывают, это и по http протоколу и по icmp и tcp/ip и udp, к стати, по udp даже проще кулхацкерам ддосить, ибо ответа от пакетов не обязательно дожидаться, хотя есть засада в том, что они могли просто не дойти, да и используется udp вроде как только в звуке и видео, типа скайп, потоковое видео, всякие ip-call (в остальных не слыхал).

на счет мощнее, или слабее - не могу сказать, я не спец в таких вещах, но распространеннее все же ddos на сайт (или слабенький flud) и принцип у таких атак - либо забить интернет канал, либо вальнуть железо, путем посылания пакетов, содержание которых непонятно серверу.

в данный момент я сталкиваюсь почти ежемесячно с подобными проблемами, и решить их на уровне обычного хостинга мне не под силу, а заказчику этого не объяснить.

бодаться с т.п. уже устал, они то конечно говорят что у них стоит защита на шаредах, но во-первых, кто его знает так ли это? а во-вторых, их главная отмазка - это дырявые скрипты и их оптимизация, и в чем-то они в принципе правы, но опять же, править популярные cms, которые написаны не одним человеком за смешную з/п - это тоже перебор...

P.S. чет я накатал много лишнего походу )))

Link to comment
Share on other sites

  • 0

а ведь ТС спрашивал про спам, а вы все про ддос про ддос. Ддос денег стоит а у ТС 100 человек в день на сайте :)

 

 

Самая лучшая капча это ее отсутствие + ловушки для ботов. Как только возникает подозрение или странная активность - включаем капчу.
Цель чтобы нормальный пользователь капчу не видел вообще.

Это не пользователи должны проходить проверку на ботов, а боты на проверку человека

  • Like 2
Link to comment
Share on other sites

  • 0

. Как только возникает подозрение или странная активность - включаем капчу.

Цель чтобы нормальный пользователь капчу не видел вообще.

 

Отличная идея, но как диагностировать подозрение или странную активность?

Хотя бы пару примеров, чтобы понять, в каком направлении думать?

Link to comment
Share on other sites

  • 0

Легко. Предположим у нас форма регистрации с 5-ю обязательными полями и еще с несколькими пожеланию. Сколько потребуется человеку на ее заполнение? Верно не меньше 15 секунд. А сколько для бота? Верно не более 1 секунд. Вот первая ловушка для бота - форма регистрации не может быть отправлена раньше 15 секунд. Если человек или бот нажимает кнопку, то к 15 секундам добавляются еще + прогрессия.

Link to comment
Share on other sites

  • 0

1 маленький нюанс, робота могут запрограммировать на то, чтобы выдерживать паузу перед отправкой формы, так же бота можно подготовить под любую стандартную форму.

Способов обломать бота очень много, но ботов пишут люди и те могут сделать бота который обломает эту защиту.
Боты как правило не скачивают доп файлы: картинки, скрипты, стили. Можно сделать файл ключ, запрос которого включает форму

Можно сделать скрипт, который изменяет определенным образом некоторые данные в форме, например меняет местами или шифрует их.

но все это обходится при обычном анализе формы человеком и дописыванием нескольких функций, которые по сути копируются из скриптов сайта.
так что + к любым вашим виртуозным защитам формы нужно защищать скрипт, но эта тема о том: "Как запретить копировать текст и сохранять картинки с сайта"

PS: форма подключаемая через аякс: запрос данной формы включает механизм ее регистрации по idsession и адресу куда она была вставлена.
Бот не увидит форму, что защитит от ряда простых ботов. Если бот все таки найдет форму по ее адресу, запросы с этого адреса приниматься не будут, только с страниц на которые форма была встроена. - ряд более умных ботов.
Ну и можно сделать дополнительную защиту на самой форме для защиты от специально написанных под вашу форму ботов - она должна быть динамической, т.е. периодически менять ключ.

 

как правило последнего способа достаточно, но любой алгоритм предсказуем.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy