• Главная
• О блоге
• Подписаться
• Карта сайта
• Архив
• Стили танцев
• Старая версия
  • Cha cha cha
  • Foxtrot
  • Pasodoble
  • Tango
  • Старая версия

   

Долгое время я думал над альтернативой CAPCHA без всякой дополнительной фигни, цифер, кодов, картинок, перетаскиваний и т.п. и тут в голову что-то сильно стукнуло, в тот момент я понял важный принцип, о котором сейчас вам расскажу.

Невидимая CAPCHA работает за счет того что SPAM боты не могут разобрать JavaScript, и тем более уязвимы для наших експлоитов, если уж на то пойдет.

Посмотрите, comment spam боты безгранично любят поля форм. Когда они их находят, то они приходят в неистовый восторг заполняя на автомате поле за полем. Как будто бросили кусок мяса пираньям.

В то же самое время, spam боты имеют хорошую тенденцию - игнорировать CSS. Например, если вы скрываете форму из CSS подгруженного отдельным файлом, то будет намного сложнее предположить видимость.

Чтобы использовать это на всю катушку.. создадим honeypot (обманную) форму и скроем средствами CSS от глаз людских подставные поля, но не от ботов ! А когда форму засабмитят, вы проверите, мол типа а заполнено ли обменное поле ?

Тут автор привел строчку кода на китайском языке:

if(!String.IsNullOrEmpty(Request.Form)) IgnoreComment();

Естессно, что после обнаружения врага вы можете его порезать, но лучше будет, если вы тихонечко его проигнорируете, сделав вид, что данные отправлены.

Ну естественно я не первый кто это придумал, неее.. и другие умные тощие и очкастые мужики делали это. Но к счастью я сделал это открытие сам, а уже потом понял что где-то это уже есть.

Дальше автор вдарился в ASP.NET, который я в глаза не видывал а посему закрываю книжицу и предлагаю всем встать и выйти. А от себя добавлю, что не все боты ищут поля ввода, есть еще и такие, которые по тупому отсылают POST или даже GET запросы, т.е. форма изначально изучена. т.е. пофигу на поля, отсылаем нужный запрос и коментарий есть. Это и быстрее и прощще для спамеров. Однако Заполнятель форм - конечно более универсальное средство, как тот же AllSubmitter, такие вот и поймаются.

И вообще людям давно пора понять, спамить нужно только по теме, и тогда это будет и релевантно и выгодно и полезно и может быть даже интересно. И борьба по сути идет именно за контекст, а не против роботов. Ну а пока платят за нетематическую рекламу, PRасы будут работать по тупому.. с помощью тех же AllSubmitter

Honeypot Capcha (обманка для спамеров) Автор: Phil Haack