В данный момент для меня больная тема т.к. простые капчи ломаются очень легко, а не простые через какое то время). Очень сложные не все люди могут пройти или попросту не заморачиваются и уходят с сайта (не раз наблюдал в вебвизоре). Дак вот сам вопрос: Какие критерии или фишки в серверной части лучше, а какие хуже? Что нужно знать для создания идеальной капчи для защиты от роботов, но предельно (на сколько это возможно) простую!!!!!
Чтобы не создавали - создадут десять вариантов обходов.. в наше то время, удивительно? Я бы предложил разнообразить варианты капчи.. Понедельник текстовая Вторник - собрать картинку какую Среда - посчитать (умножить/разделить) цифры - написать верный ответ и все в том же варианте.
Это понятно, но как то надо бороться) Так, хорошее предложение! --- Добавлено --- А если задержку ввода капчи на несколько секунд сделать? Или это уже не актуально?
Где то на хабре читал про капчу на css. Идея такая что есть куча картинок с разным поворотом и отступами, на php генерируем css код позиционирования этих картинок в хаотичном порядке, и поворачиваем всё обратно через transform rotate что буквы были 90 градусов, в коде каша, а пользователь видит хорошо читающийся текст. Взлом такой капчи очень простой, делаем скриншот и кормим какому нибудь сервису для разгадывания текста на картинке. Кому надо тот любую капчу взломает, но эта отсекает всяких хацкеров которые по инструкции выдрали токен гугловской капчи и кормят его по api антигейту, тут немного подумать надо.
А такая мыслишка. Где то уже видел. Капча генерируется только после субмит и появляется в модальном окне. А поля держим например в сессии, после успешной проверки отправляем в обработчик формы и удаляем сессию.
Гуглокапча на днях в России (возможно, местами/провайдерами) не работала. Идеальная капча – ее отсутствие! Есть др. средства защиты от спамеров. --- Добавлено --- P.S. Гуглокапча – хрень еще та, годна только пользователей/клиентов отпугивать, если у них не хром.
А что двухфакторник – это тема! И не обязательно сразу код из смс. Часто достаточно обычного (повторного) клика --- Добавлено --- P.S. У нас еще обычно время учитывается между первым и вторым кликом.
Только обычно сначала пароль ещё просят и логин, мне кажется это не удобно, наверное логина достаточно
Вот полноценные формы и пугают, не чего по сути не надо кроме одной кнопки и одного поля для текста (email, номер телефона, номер карты сбербанка) не важно что в то поле писать это и есть логин, а потом сессию записать и вообще поле для ввода логина убрать и только кнопку одну и ниже ещё одну на всякий случай если пользователь захочет в другой аккаунт войти.
Не для всего подходит, я вот свой вк не хочу показывать, я там вроде как общаюсь с друзьями, а ещё раз в год выкладываю фоточки. Можно завести второй вк для того что бы показывать. Одноклассники меня попросят код из смс на номер который я понятия не имею куда дел. В остальных соц сетях не сижу. Для тематических сообществ обычно через github захожу. И самое интересное что у меня почти на половине аккаунтов стоит один старый номер телефона, который нельзя поменять.