WordPress-Captcha-and-Anti-Spam-Plugin-by-Captcha-Bank.jpg' alt='Recaptcha Только Цифры' title='Recaptcha Только Цифры' />Как это работает CAPTCHA Хабрахабр. Сколько лет существует Хабр столько лет на нм регулярно появляются посты про очередную капчу будь то скрипт генерации картинки, новая идея капчи с котиками и тому подобное. Captcha Только Цифры' title='Captcha Только Цифры' />В таком случае можно обходиться без капчи, но только если у вас. Предположим, картинка с цифрами 1234 вызывается кодом. Решетка у этой капчи фиксированной формы и цвета На капче используются только цифры и они одинакового размера и шрифта. Самый свежий пример того, что человек не совсем понимает как же вс таки должна работать капча см. Складывается ощущение, что капча это такая terra incognita для большинства разработчиков как для тех, кто просто прикручивает е к очередной форме в надежде на то, что она будет работать из коробки, так и для тех кто придумывает капчи вроде тех, на которых надо выбрать картинку с котиком из нескольких фото. Статья содержит полезную информацию для тех, кто использует капчу на свом сервере, вместо того чтобы довериться стороннему сервису вроде re. Captcha. А для затравки если вы считаете, что такая проверка капчи будет работать if. Captcha. Согласно своему определению, captcha это автоматизированный публичный тест Тьюринга тест который может пройти человек, но не компьютер. В статье я буду рассматривать свойтсва капчи на примере самого распространненого е вида текста на картинке, хотя почти все написанное одинаково применимо к любому виду капчи. Два главных свойства капчи. Любая капча должна обладать двумя свойствами, без которых она не будет работать Устойчивость к распознаванию свойство, защищающее капчу от распознавания алгоритмом например системой распознавания текста. Гарантирует то, что человек сможет прочитать текст на картинке, а компьютер нет. Антипример стандартная капча форумов php. Выбор Будущей Профессии Презентация. BB 2. x таким свойством не обладала из за относительной простоты распознавания появились скрипты, которые спамили все подряд форумы вынуждая веб мастеров менять капчу на более стойкую. Устойчивость к угадыванию свойство капчи, не позволяющее угадать е значение за небольшое число попыток менее 1. Если набор возможных значений капчи невелик, программе не составит труда угадать е подбором вместо распознавания. Антипример арифметическая капча вроде 12 перебор чисел от 1 до 2. Антипример выбрать из нескольких картинок ту, на которой изображн котик. Проверка капчи. Значение для проверки должно храниться на сервере, а не передаваться вместе с картинкой в браузер. Для сопоставления посетителя и правильного значения капчи необходимо использовать некий ключ, который передатся вместе с капчей идентификатор сессии, номер капчи и т. Антипример если передавать саму капчу и значение для ее проверки в том числе зашифрованное, то человеку достаточно один раз распознать такую капчу и далее использовать комбинацию ответ значение для проверки в свом скрипте по ссылке в начале поста как раз такой случайПеред проверкой ответа надо убедиться, что он не пустой. В противном случае, злоумышленник может не загружая картинку или удалив идентификатор текущей сессии, передать пустое значение и пройти капчу, т. Если не сделать этого, злоумышленник сможет использовать данное значение снова неограниченное число раз. Да, при обновлении страницы с формой обновляется и капча либо при генерации формы, либо при генерации картинки, вот только скрипт может не загружать форму снова надо упомянуть, что это не актуально если на сайте используются одноразовые csrf токены для форм. Captcha Только Цифры' title='Captcha Только Цифры' />Антипример гипотетическая форма логина, в которой достаточно один раз ввести капчу правильно, и далее подбирать пароль скриптом, избегая перегенерации капчи на сервере. Пуленепробиваемая капча. Защита от перебора. Если ваша капча устойчива к распознаванию, но не очень устойчива к перебору например на ней надо прочитать всего 3 4 цифры, желательно ограничить число неправильных ответов с одного ip для одного логина etc. Такие ограничения необходимо проверять ДО проверки самой капчи то есть даже в случае правильно введенной капчи, при наличии ограничения она не должна считаться пройденной иначе оно не будет препятствовать перебору. Защита от Do. S. При генерации капчи на своем сервере, надо понимать что это удобный вектор проведения Do. S атак которую, в отличие от DDo. S, может устроить любой школьник. Для защиты можно ограничить число генерации капчи для одного ip, кэшированием капч и т. Подробнее про это. Защита от распознавания. Если вы выбираете капчу, или вдруг собираетесь написать е сами, желательно понимать какая капча более защищена от распознавания. Существуют готовые универсальные скрипты распознавания капчи, работающие по принципу OCR, а в случае если ваш сайт заинтересует спамеров есть риск, что будут использовать писать скрипт конкретно под вашу капчу. Последнее правда относится больше к сайтам уровня Яндекс или vk, а вот вариант с защитой от банальных OCR желательно предусмотреть. Защита от антигейтов. Если говорить формально, то капча как тест Тьюринга не обязана защищать вас от антигейтов, так как в этом случае е будет распознавать человек. С практической же точки зрения, этот вопрос весьма актуален и защищаться как то надо. Тут нет и не может быть золотого стандарта ибо в таком случае антигейты внедрят его поддержку, поэтому вы вольны дополнять капчу любыми ухищрениями, чтобы сделать е распознавание через антигейт невозможным. Например нестандартная капча сбор паззла, поворот изображения, клик по области на фото и т. Юзабилити. Не просите ввести капчу, если вы уже убедились, что перед вами человек. Тут однако, надо быть осторожным, чтобы форму нельзя было использовать скриптом неограниченное число раз после однократного ввода капчи человеком. Если я где то регистрируюсь, и забыл ввести поле почтовый индекс, но правильно ввл капчу не надо показывать мне новую. Потратьте 1. 0 минут на то, чтобы сохранить где то у себя, что вот эту конкретную форму сейчас пытается заполнить живой человек. Для облегчения распознавания человеком не используйте в капче одновременно буквы и цифры, не используйте одновременно прописные и строчные буквы, исключите похожие символы. Отказ от использования капчи. Лучшая капча отсутствие капчи. Там где можно отказаться от е использования это надо сделать. Возможно для этого придется реализовать дополнительные лимиты и проверки, но пользователи скажут вам спасибо. Например форма регистрации без капчи, с полем email на который приходит письмо с активацией. Без дополнительных средств защиты такую форму могут завалить левыми адресами, и ваш сайт включат в черные списки почтовые службы. В таком случае можно обходиться без капчи, но только если у вас есть другой рубеж защиты, вроде лимита по ip. Кому то информация в этом топике покажется очевидной, но если бы я не сталкивался с примерами непонимания этих простых принципов в жизни, в том числе у опытных коллег разработчиков, я бы не стал тратить время на написание этого текста.