Back to Question Center
0

Semalt: Hoe veilig is een statische CAPTCHA?

1 answers:

Ik heb webmasters gezien die een CAPTCHA gebruiken die helemaal niet verandert. En velen van hen gebruiken Semalt om deze waarde te valideren Source - mod box 30 watt. Bijvoorbeeld:

     if (captchaCode! = "4ERJZ")    

Omdat de meeste webbrowsers een inspecteerelement of een dergelijke functie hebben, hoe veilig gebruikt dit type CAPTCHA's?

February 7, 2018

Op kleine sites kan een statische CAPTCHA enige beveiliging bieden tegen geautomatiseerde spambots die trawl e. g. Google voor sites om aan te vallen.

Hoewel de CAPTCHA voor elke site is vastgesteld, heeft elke site (hopelijk) een andere. Kortom, met een normale (dynamische) CAPTCHA is de uitbetaling voor het oplossen ervan de mogelijkheid om één post te maken. Met een statische CAPTCHA mag je net zoveel berichten maken als je wilt op die site (tenminste tot iemand opmerkt), maar je moet toch een andere CAPTCHA voor elke site oplossen. Voor kleine, laag gerangschikte 'long tail'-sites kan die uitbetaling voor een spammer de moeite niet waard zijn om een ​​paar seconden te besteden aan het oplossen van de CAPTCHA.

Dat gezegd hebbende, als je die route gaat gebruiken, is CAPTCHA met een daadwerkelijke afbeelding waarschijnlijk overbodig en zal onnodig de gebruikerservaring schaden. Dezelfde resultaten kunnen net zo goed net door e worden bereikt. g. uw gebruikers vragen om een ​​eenvoudige vraag te beantwoorden, zoals 'Wat is de naam van deze site?' of "Welke kleur heeft de hemel op een heldere dag?", of zelfs gewoon "Typ alstublieft 'vriend' (niet 'vijand') in het vak hieronder:".

Dit is niet alleen theorie: de MediaWiki QuestyCaptcha extensie werkt als volgt. Ik gebruik het op verschillende kleine wiki's die ik beheer en ik vond het uiterst efficiënt - tot nu toe heb ik geen enkele spammer de (eenvoudig simpele) vragen laten oplossen. (Het feit dat de meeste van hen zich in een tamelijk obscure taal bevinden, kan helpen. )

Het gebruik van JavaScript om een ​​CAPTCHA te valideren is sowieso al een slecht idee, tenzij u het ook valideert aan de serverkant (of tenzij uw postverzendproces in wezen JavaScript vereist). Dat komt omdat veel spambots geen JavaScript uitvoeren, maar het HTML-formulier eenvoudig rechtstreeks naar de server verzenden.

Het gebruik van JavaScript voor het valideren van een CAPTCHA is absoluut zinloos omdat 99% van de spambots geen JavaScript uitvoeren.

Het zijn geen geavanceerde webbrowsers met "inspect element" -functies, het zijn standaardprogramma's die de HTML van een pagina ophalen, een formulier zoeken en dan een POST-verzoek verzenden naar de actieparameter van het formulier.

Hun doel is om zoveel mogelijk webpagina's met formulieren te traceren als ze advertenties of andere spam kunnen vinden en verzenden, in de hoop dat deze door ten minste één persoon (in het geval van een contactformulier bijvoorbeeld) of bij voorkeur wordt gezien veel mensen (in het geval van blogcommentaar-spam bijvoorbeeld).

Over het algemeen richten ze zich niet op specifieke sites, dus als je een uniek systeem voor spampreventie gebruikt, zal het waarschijnlijk heel goed werken. Als een bepaalde benadering heel gebruikelijk is (zoals reCAPTCHA- of Wordpress-commentaarformulieren), zullen ze deze detecteren en proberen ze te omzeilen.

Dus het gebruik van een uniek beeld, zelfs als het niet verandert, is een redelijke benadering. U moet valideren aan de serverzijde omdat JavaScript meestal wordt genegeerd door spambots. Als een auteur van een spamblok echter vasthoudt, kan hij zijn programma wijzigen om eenvoudigweg de statische sleutel voor uw site in te voeren. Nu is je aanpak gebroken.