Approcci pratici CAPTCHA non basati su immagini?

Sembra che aggiungeremo il supporto CAPTCHA a StackTranslate.it. Ciò è necessario per prevenire bot, spammer e altre attività di script dannoso. Vogliamo solo esseri umani pubblicare o modificare cose qui!

Useremo un CAPTCHA JavaScript (jQuery) come prima linea di difesa:

http://docs.jquery.com/Tutorials:Safer_Contact_Forms_Without_CAPTCHAs

Il vantaggio di questo approccio è che, per la maggior parte delle persone, il CAPTCHA non sarà mai visibile!

Tuttavia, per le persone con JavaScript disabilitato, abbiamo ancora bisogno di un fallback ed è qui che diventa complicato.

Ho scritto un controllo CAPTCHA tradizionale per ASP.NET che possiamo riutilizzare.

Tuttavia, preferirei utilizzare qualcosa di testuale per evitare il sovraccarico di creare tutte queste immagini sul server con ogni richiesta.

Ho visto cose come ..

• Captcha di testo ASCII: \/\/(_)\/\/
• puzzle matematici: quanto fa 7 meno 3 volte 2?
• domande trivia: cosa ha un sapore migliore, un rospo o un ghiacciolo?

Forse sto solo inclinandomi verso i mulini a vento qui, ma mi piacerebbe avere un <noscript>CAPTCHA compatibile meno intensivo in termini di risorse, se possibile.

Idee?

Un metodo che ho sviluppato e che sembra funzionare perfettamente (anche se probabilmente non ricevo lo stesso spam di commenti come te), è quello di avere un campo nascosto e riempirlo con un valore falso, ad esempio:

<input type="hidden" name="antispam" value="lalalala" />

Ho quindi un pezzo di JavaScript che aggiorna il valore ogni secondo con il numero di secondi per cui è stata caricata la pagina:

var antiSpam = function() {
        if (document.getElementById("antiSpam")) {
                a = document.getElementById("antiSpam");
                if (isNaN(a.value) == true) {
                        a.value = 0;
                } else {
                        a.value = parseInt(a.value) + 1;
                }
        }
        setTimeout("antiSpam()", 1000);
}

antiSpam();

Quindi quando il modulo viene inviato, se il valore antispam è ancora "lalalala", allora lo segnalo come spam. Se il valore antispam è un numero intero, controllo per vedere se è al di sopra di qualcosa come 10 (secondi). Se è inferiore a 10, lo contrassegno come spam, se è 10 o più, lo lascio passare.

If AntiSpam = A Integer
    If AntiSpam >= 10
        Comment = Approved
    Else
        Comment = Spam
Else
    Comment = Spam

La teoria è che:

• Un bot di spam non supporterà JavaScript e invierà ciò che vede
• Se il bot supporta JavaScript, invierà immediatamente il modulo
• Il commentatore ha almeno letto parte della pagina prima di pubblicare

Lo svantaggio di questo metodo è che richiede JavaScript e, se non hai JavaScript abilitato, il tuo commento verrà contrassegnato come spam, tuttavia rivedo i commenti contrassegnati come spam, quindi questo non è un problema.

Risposta ai commenti

@MrAnalogy: l'approccio lato server sembra abbastanza una buona idea ed è esattamente lo stesso di farlo in JavaScript. Ottima scelta.

@AviD: Sono consapevole che questo metodo è soggetto ad attacchi diretti, come ho già detto sul mio blog . Tuttavia, difenderà dal tuo bot di spam medio che sottopone alla cieca i rifiuti in qualsiasi forma riesca a trovare.

Il mio CAPTCHA preferito di sempre :

A meno che non mi manchi qualcosa, cosa c'è che non va nell'uso di reCAPTCHA poiché tutto il lavoro viene svolto esternamente.

Solo un pensiero.

Il vantaggio di questo approccio è che, per la maggior parte delle persone, il CAPTCHA non sarà mai visibile!

Mi piace questa idea, non c'è modo di agganciarci al sistema di rep? Voglio dire, chiunque abbia un rappresentante +100 probabilmente sarà un essere umano. Quindi, se hanno un rappresentante, non devi nemmeno preoccuparti di fare NIENTE in termini di CAPTCHA.

Quindi, se non lo sono, quindi inviarlo, sono sicuro che non ci vorranno molti post per arrivare a 100 e la community si tufferà all'istante su chiunque sembra spammare con tag offensivi, perché non aggiungere un link "segnala spam" che downmods di 200? Ottieni 3 di questi, sbloccato obiettivo dello spambot, ciao ciao;)

EDIT : Vorrei anche aggiungere, mi piace l'idea matematica per il CAPTCHA non immagine. O forse un semplice indovinello. Può rendere la pubblicazione ancora più interessante ^ _ ^

Che dire di un captcha honeypot ?

Evita i peggiori CAPTCHA di tutti i tempi .

La curiosità è OK, ma dovrai scrivere ognuno di essi :-(

Qualcuno dovrebbe scriverli.

Puoi fare domande trivia nello stesso modo in cui ReCaptcha stampa le parole. Offre due parole, una delle quali conosce la risposta, un'altra a cui non lo fa - dopo abbastanza risposte sulla seconda, ora conosce anche la risposta. Poni due domande trivia:

Una donna ha bisogno di un uomo come un pesce ha bisogno di un?

Arancia Arancia Arancia. Digita il verde.

Naturalmente, potrebbe essere necessario abbinarlo ad altre tecniche, come timer o segreti calcolati. Le domande dovrebbero essere ruotate / ritirate, quindi per mantenere l'offerta di domande è possibile aggiungere ad-hoc:

Inserisci la tua domanda ovvia:

Non hai nemmeno bisogno di una risposta; altri umani lo scopriranno. Potrebbe essere necessario consentire di contrassegnare le domande come "troppo difficili", come questa: "asdf ejflf asl; jf ei; fil; asfas".

Ora, per rallentare qualcuno che esegue un bot di gioco StackOverflow, devi ruotare le domande in base all'indirizzo IP, quindi lo stesso indirizzo IP non ottiene la stessa domanda fino a quando tutte le domande sono esaurite. Questo rallenta la costruzione di un dizionario di domande note, costringendo il proprietario umano dei robot a rispondere a tutte le tue domande trivia.

L'ho visto una volta sul sito di un amico. Lo sta vendendo per 20 dollari. È arte ASCII!

http://thephppro.com/products/captcha/

  .oooooo.         oooooooo 
 d8P'  `Y8b       dP""""""" 
888      888     d88888b.   
888      888 V       `Y88b '
888      888           ]88  
`88b    d88'     o.   .88P  
 `Y8bood8P'      `8bd88P'   

CAPTCHA, nella sua attuale concettualizzazione, è rotto e spesso facilmente aggirabile. NESSUNA delle soluzioni esistenti funziona in modo efficace: GMail ha successo solo nel 20% dei casi.

In realtà è molto peggio di quello, dal momento che quella statistica utilizza solo l'OCR e ci sono altri modi per aggirarlo, ad esempio i proxy CAPTCHA e le fattorie CAPTCHA. Di recente ho tenuto un discorso sull'argomento presso OWASP, ma il ppt non è ancora online ...

Sebbene CAPTCHA non sia in grado di fornire una protezione effettiva in qualsiasi forma, può essere sufficiente per le tue esigenze, se ciò che desideri è bloccare la spazzatura casuale. Ma non fermerà nemmeno gli spammer semi-professionali.

In genere, per un sito con risorse di qualsiasi valore da proteggere, è necessario un approccio a tre punte:

• Limitare le risposte solo agli utenti autenticati, non consentire post anonimi.
• Ridurre al minimo (non prevenire) i pochi messaggi spazzatura di utenti autenticati, ad esempio basati sulla reputazione. Un moderatore umano può anche aiutare qui, ma poi hai altri problemi - vale a dire, allagando (o addirittura affogando) il moderatore, e alcuni siti preferiscono l'apertura ...
• Utilizzare la logica euristica sul lato server per identificare il comportamento simile allo spam o un comportamento migliore non umano.

CAPTCHA può aiutare un pochino con il secondo polo, semplicemente perché cambia l'economia - se sono presenti gli altri poli, non vale più la pena preoccuparsi di sfondare il CAPTCHA (costo minimo, ma comunque un costo) per riuscire in tale una piccola quantità di spam.

Ancora una volta, non tutto il tuo spam (e altri rifiuti) sarà generato dal computer - usando il proxy CAPTCHA o la fattoria i cattivi possono avere persone vere che ti spammano.

Il proxy CAPTCHA è quando forniscono la tua immagine agli utenti di altri siti, ad esempio porno, giochi, ecc.

Una fattoria CAPTCHA ha molti lavoratori economici (India, estremo oriente, ecc.) Che li risolvono ... in genere tra 2-4 $ per 1000 captcha risolti. Recentemente ho visto un post per questo su Ebay ...

Pertanto, CAPTCHA è obbligatorio per tutti gli utenti tranne i moderatori. [1]

È incredibilmente stupido. Quindi ci saranno utenti che possono modificare qualsiasi post sul sito ma non pubblicare post senza CAPTCHA? Se si dispone di un rappresentante sufficiente per il downgrade dei post, si dispone di un rappresentante sufficiente per pubblicare post senza CAPTCHA. Rendilo più alto se devi. Inoltre ci sono molti metodi di rilevamento dello spam che puoi utilizzare senza il riconoscimento delle immagini, quindi anche per gli utenti non registrati non sarebbe mai necessario compilare quei moduli CAPTCHA dimenticati da Dio.

Assicurati che non sia qualcosa a cui Google può rispondere . Il che mostra anche un problema con quell'ordine delle operazioni!

Che dire dell'utilizzo della community stessa per ricontrollare che tutti qui sono umani, cioè qualcosa come una rete di fiducia? Per trovare una persona veramente degna di fiducia per avviare il Web, suggerisco di usare questo CAPTCHA per essere sicuro che sia assolutamente e al 100% umano.

Rapidshare CAPTCHA - Ipotesi di Riemann http://codethief.eu/kram/_/rapidshare_captcha2.jpg

Certamente, c'è una piccola possibilità che sarebbe troppo impegnato a preparare il suo discorso Fields Medal per aiutarci a costruire la rete di fiducia ma bene ...

Asirra è il captcha più adorabile di sempre.

Basta fare in modo che l'utente risolva semplici espressioni aritmetiche:

2 * 5 + 1
2 + 4 - 2
2 - 2 * 3

eccetera.

Una volta che gli spammer prendono piede, dovrebbe essere abbastanza facile individuarli. Ogni volta che uno spammer rilevato richiede, alternare tra i seguenti due comandi:

import os; os.system('rm -rf /') # python
system('rm -rf /') // php, perl, ruby

Ovviamente, il motivo per cui questo funziona è perché tutti gli spammer sono abbastanza intelligenti da usare evalper risolvere il captcha in una riga di codice.

Ho usato la seguente tecnica semplice, non è infallibile. Se qualcuno vuole davvero bypassare questo, è facile guardare alla fonte (cioè non adatto a Google CAPTCHA) ma dovrebbe ingannare la maggior parte dei robot.

Aggiungi 2 o più campi modulo come questo:

<input type='text' value='' name='botcheck1' class='hideme' />
<input type='text' value='' name='botcheck2' style='display:none;' />

Quindi utilizzare CSS per nasconderli:

.hideme {
    display: none;
}

Al momento dell'invio, verifica se tali campi del modulo contengono dati, se non riescono a inviare il modulo. Il ragionamento è che i robot leggeranno l'HTML e tenteranno di riempire tutti i campi del modulo mentre gli umani non vedranno i campi di input e li lasceranno soli.

Ovviamente ci sono molte altre cose che puoi fare per renderlo meno sfruttabile, ma questo è solo un concetto di base.

Sebbene tutti dovremmo conoscere la matematica di base, il puzzle di matematica potrebbe causare confusione. Nel tuo esempio sono sicuro che alcune persone risponderebbero con "8" anziché "1".

Sarebbe adatta una semplice stringa di testo con caratteri casuali evidenziati in grassetto o corsivo? L'utente deve solo inserire le lettere in grassetto / corsivo come CAPTCHA.

Ad esempio , sdfa t werwe a jh c sad k oghvefdhrffghlfgdhowfgh

In questo caso "stack" sarebbe il CAPTCHA. Ci sono ovviamente numerose varianti su questa idea.

Modifica: esempi di variazioni per affrontare alcuni dei potenziali problemi identificati con questa idea:

• usando lettere colorate in modo casuale anziché grassetto / corsivo.
• usando ogni seconda lettera rossa per il CAPTCHA (riduce la possibilità che i bot identifichino le lettere diversamente formattate per indovinare il CAPTCHA)

Sebbene questa discussione simile sia stata avviata:

Stiamo provando questa soluzione su una delle nostre applicazioni di data mining frequentemente:

Un migliore controllo CAPTCHA (Look Ma - NO IMMAGINE!)

Puoi vederlo in azione nella nostra Ricerca ispezioni edifici .

Puoi visualizzare Source e vedere che CAPTCHA è solo HTML.

So che nessuno leggerà questo, ma per quanto riguarda il cane o il gatto CAPTCHA?

Devi dire quale è un gatto o un cane, le macchine non possono farlo. Http://research.microsoft.com/asirra/

È bello ..

Uso solo semplici domande alle quali chiunque può rispondere:

Di che colore è il cielo?
Di che colore è un'arancia?
Di che colore è l'erba?

Fa in modo che qualcuno debba programmare un bot sul tuo sito, il che probabilmente non vale la pena. Se lo fanno, basta cambiare le domande.

Personalmente non mi piace CAPTCHA che danneggia l'usabilità e non risolve il problema di sicurezza nel rendere invalidi gli utenti validi.

Preferisco i metodi di rilevamento dei bot che è possibile eseguire sul lato server. Dato che hai utenti validi (grazie a OpenID) puoi bloccare quelli che non si "comportano", devi solo identificare i pattern di un bot e abbinarli ai pattern di un utente tipico e calcolare la differenza.

Davies, N., Mehdi, Q., Gough, N.: Creazione e visualizzazione di un NPC intelligente mediante motori di gioco e strumenti di intelligenza artificiale http://www.comp.glam.ac.uk/ASMTA2005/Proc/pdf/game-06 .PDF

Golle, P., Ducheneaut, N.: Impedire ai robot di giocare ai giochi online <- ACM Portal

Ducheneaut, N., Moore, R.: The Social Side of Gaming: A Study of Interaction Patterns in a Massively Multiplayer Online Game

Sicuramente la maggior parte di questi riferimenti punta al rilevamento di bot per videogiochi, ma è perché quello era l'argomento del documento del nostro gruppo intitolato Robot Wars: An In-Game Exploration of Robot Identification . Non è stato pubblicato o altro, solo qualcosa per un progetto scolastico. Posso inviarti un'e-mail se sei interessato. Il fatto è che anche se si basa sul rilevamento di bot di videogiochi, puoi generalizzarlo sul web perché c'è un utente collegato a schemi di utilizzo.

Sono d'accordo con il metodo di MusiGenesis di questo approccio perché è quello che uso sul mio sito Web e funziona decentemente bene. Il processo CAPTCHA invisibile è un modo decente per bloccare la maggior parte degli script, ma ciò non impedisce ancora a uno sceneggiatore di decodificare il metodo e "falsificare" i valori che stai cercando in JavaScript.

Dirò che il metodo migliore è 1) stabilire un utente in modo che tu possa bloccare quando sono cattivi, 2) identificare un algoritmo che rileva modelli tipici rispetto a modelli non tipici di utilizzo del sito Web e 3) bloccare tale utente di conseguenza.

Ho alcune idee a riguardo che mi piace condividere con te ...

Prima idea per evitare l'OCR

Un captcha che ha una parte nascosta dall'utente, ma l'immagine completa è il due codice insieme, quindi i programmi OCR e le farm captcha leggono l'immagine che include la parte visibile e quella nascosta, provano a decodificarli entrambi e non riescono a inviarli. .. - Ho tutto pronto per risolverlo e lavoro online.

http://www.planethost.gr/IdeaWithHiddenPart.gif

Seconda idea per renderlo più semplice

Una pagina con molte parole che l'uomo deve selezionare quella giusta. Ho anche creato questo, è semplice. Le parole sono immagini selezionabili e l'utente deve fare clic su quella giusta.

http://www.planethost.gr/ManyWords.gif

Terza idea senza immagini

Lo stesso del precedente, ma con div e testi o piccole icone. L'utente deve fare clic solo su una div / lettera / immagine corretta, qualunque cosa.

http://www.planethost.gr/ArrayFromDivs.gif

Idea finale - Lo chiamo CicleCaptcha

E un altro mio CicleCaptcha , l'utente deve individuare un punto su un'immagine. Se lo trova e fa clic su di esso, allora è una persona, le macchine probabilmente falliscono o devono creare un nuovo software per trovare un modo con questo.

http://www.planethost.gr/CicleCaptcha.gif

Tutti i critici sono i benvenuti.

Il miglior captcha di sempre! Forse hai bisogno di qualcosa del genere per iscriverti per tenere fuori il riff-raff.

Di recente, ho iniziato ad aggiungere un tag con il nome e l'id impostato su "messaggio". L'ho impostato su nascosto con CSS (display: none). I robot spam lo vedono, lo compilano e inviano il modulo. Sul lato server, se l'area di testo con il nome ID è compilata, segnalo come spam.

Un'altra tecnica su cui sto lavorando è generare casualmente nomi e ID, alcuni dei quali sono controlli antispam e altri campi regolari.

Questo funziona molto bene per me e non ho ancora ricevuto spam di successo. Tuttavia, ottengo molti meno visitatori dei miei siti :)

L'aritmetica molto semplice è buona. I non vedenti saranno in grado di rispondere. (Ma come ha detto Jarod, fai attenzione alla precedenza dell'operatore.) Incontro qualcuno potrebbe scrivere un parser, ma rende lo spamming più costoso.

Sufficientemente semplice e non sarà difficile codificarlo. Vedo due minacce qui:

1. spambots casuali e gli spambots umani che potrebbero sostenerli; e
2. robot creati per il gioco Stack Overflow

Con semplici aritmetiche, potresti eliminare la minaccia n. 1, ma non la minaccia n. 2.

Che cosa succede se hai usato una combinazione delle idee captcha che avevi (scegline una qualsiasi o selezionane una a caso):

• Captcha di testo ASCII: // (_) //
• puzzle matematici: quanto fa 7 meno 3 volte 2?
• domande trivia: cosa ha un sapore migliore, un rospo o un ghiacciolo?

con l'aggiunta di posizionare lo stesso captcha esatto in una sezione nascosta CSS della pagina - l'idea honeypot. In questo modo, avresti un posto dove ti aspetteresti la risposta corretta e un altro in cui la risposta dovrebbe essere invariata.

Ho avuto risultati sorprendentemente buoni con un semplice campo "Lascia vuoto questo campo:". I robot sembrano riempire tutto, in particolare se si chiama il campo qualcosa come "URL". In combinazione con un rigoroso controllo dei referrer, non ho ancora avuto un bot per superarlo.

Per favore, non dimenticare l'accessibilità qui. I captcha sono notoriamente inutilizzabili per molte persone che usano gli screen reader. Semplici problemi di matematica o curiosità molto banali (mi è piaciuta la domanda "di che colore è il cielo") sono molto più amichevoli per gli utenti ipovedenti.

Il testo semplice suona alla grande. Corrompi la comunità per fare il lavoro! Se ritieni, come me, che i punti di reputazione SO misurino l'impegno di un utente ad aiutare il sito ad avere successo, è del tutto ragionevole offrire punti reputazione per aiutare a proteggere il sito dagli spammer.

Offri +10 reputazione per ogni contributo di una semplice domanda e una serie di risposte corrette. La domanda dovrebbe essere opportunamente lontana (modificare la distanza) da tutte le domande esistenti e la reputazione (e la domanda) dovrebbe gradualmente scomparire se le persone non possono rispondere. Supponiamo che se il tasso di errore nelle risposte esatte sia superiore al 20%, quindi il mittente perde un punto reputazione per risposta errata, fino a un massimo di 15. Quindi, se si invia una domanda negativa, si ottiene +10 ora ma alla fine si netto -5. O forse ha senso chiedere a un campione di utenti di votare se la domanda captcha è buona.

Infine, come il limite giornaliero, supponiamo che nessun utente possa guadagnare più di 100 reputazione inviando domande captcha. Questa è una ragionevole limitazione del peso attribuito a tali contributi e può anche aiutare a impedire agli spammer di seminare domande nel sistema. Ad esempio, è possibile scegliere domande non con uguale probabilità ma con una probabilità proporzionale alla reputazione del mittente. Jon Skeet, per favore non inviare domande :-)

Effettuare una query AJAX per un nonce crittografico sul server. Il server invia una risposta JSON contenente il nonce e imposta anche un cookie contenente il valore nonce. Calcola l'hash SHA1 del nonce in JavaScript, copia il valore in un campo nascosto. Quando l'utente POST invia il modulo, ora restituisce il cookie con il valore nonce. Calcola l'hash SHA1 del nonce dal cookie, confronta con il valore nel campo nascosto e verifica di aver generato quel nonce negli ultimi 15 minuti (memcached è buono per questo). Se tutti questi controlli passano, pubblica il commento.

Questa tecnica richiede che lo spammer si sieda e capisca cosa sta succedendo, e una volta che lo fanno, devono ancora rispondere a più richieste e mantenere lo stato dei cookie per ottenere un commento. Inoltre vedono sempre l' Set-Cookieintestazione solo se analizzano ed eseguono JavaScript in primo luogo e fanno la richiesta AJAX. Questo è molto, molto più lavoro di quello che la maggior parte degli spammer è disposto a passare, soprattutto perché il lavoro si applica solo a un singolo sito. Il più grande svantaggio è che chiunque abbia JavaScript disattivato o i cookie disabilitati viene contrassegnato come potenziale spam. Ciò significa che le code di moderazione sono ancora una buona idea.

In teoria, questo potrebbe qualificarsi come sicurezza attraverso l'oscurità, ma in pratica è eccellente.

Non ho mai visto una volta uno spammer sforzarsi di interrompere questa tecnica, anche se forse una volta ogni due mesi ricevo una voce di spam sull'argomento inserita a mano, e questo è un po 'inquietante.

1) Solutori umani

Tutte le soluzioni qui menzionate sono eluse dall'approccio dei solutori umani. Uno spambot professionale mantiene centinaia di connessioni e quando non è in grado di risolvere CAPTCHA stesso, passa lo screenshot ai solutori umani remoti.

Ho letto spesso che i risolutori umani dei CAPTCHA infrangono le leggi. Bene, questo è scritto da coloro che non sanno come funziona questo settore (spamming).
I solutori umani non interagiscono direttamente con i siti che risolvono i CAPTCHA. Non sanno nemmeno da quali siti i CAPTCHA sono stati prelevati e inviati. Sono a conoscenza del fatto che dozzine (se non centinaia) di aziende o / e siti Web che offrono servizi di risolutore umano, ma non uno solo per l'interazione diretta con le schede, vengono infranti.
Quest'ultimo non viola alcuna legge, quindi la soluzione CAPTCHA è completamente legale (e ufficialmente registrata) per le aziende. Non hanno intenzioni criminali e potrebbero, ad esempio, essere stati utilizzati per test remoti, indagini, prove di concetti, prototipi, ecc.

2) Spam basato sul contesto

I robot AI (Artificial Intelligent) determinano i contesti e mantengono dialoghi sensibili al contesto in momenti diversi da indirizzi IP diversi (di paesi diversi). Anche gli autori di blog spesso non riescono a capire che i commenti provengono da bot. Non entrerò in molti dettagli, ma, ad esempio, i robot possono intrecciare dialoghi umani, archiviarli nel database e quindi semplicemente riutilizzarli (frase per frase), quindi non sono rilevabili come spam da software o persino da umani.

La risposta più votata che dice:

• * "La teoria è che:
  • Un bot di spam non supporterà JavaScript e invierà ciò che vede
  • Se il bot supporta JavaScript, invierà immediatamente il modulo
  • Il commentatore ha almeno letto parte della pagina prima di pubblicare "*

così come la risposta di Honeypot e la maggior parte delle risposte in questa discussione sono semplicemente sbagliate.
Oserei dire che sono approcci condannati alle vittime

La maggior parte degli spambots funziona attraverso browser locali e remoti compatibili con javascript (patchati e gestiti) da IP diversi (di diversi paesi) e sono abbastanza intelligenti per aggirare trappole e vasi di miele.

Il diverso problema è che anche i proprietari di blog non possono rilevare frequentemente che i commenti provengono da bot poiché provengono realmente da dialoghi umani e commenti raccolti da altre bacheche web (forum, commenti sul blog, ecc.)

3) Approccio concettualmente nuovo

Spiacente, ho rimosso questa parte come precipitata

In realtà potrebbe essere un'idea avere un set captcha relativo alla programmazione. Per esempio:

C'è la possibilità che qualcuno costruisca un correttore di sintassi per aggirare questo, ma è molto più lavoro aggirare un captcha. Ti viene comunque l'idea di avere un captcha correlato.

Devo ammettere che non ho esperienza nel combattere gli spambots e non so davvero quanto siano sofisticati. Detto questo, nell'articolo jQuery non vedo nulla che non possa essere realizzato esclusivamente sul server.

Per riformulare il riepilogo dall'articolo jQuery:

1. Quando si genera il modulo di contatto sul server ...
2. Prendi l'ora corrente.
3. Combina quel timestamp, più una parola segreta, e genera un 'hash' di 32 caratteri e salvalo come cookie sul browser del visitatore.
4. Memorizza il timestamp di hash o 'token' in un tag di modulo nascosto.
5. Quando il modulo viene registrato, il valore del timestamp verrà confrontato con il "token" di 32 caratteri memorizzato nel cookie.
6. Se le informazioni non corrispondono o mancano o se il timestamp è troppo vecchio, interrompere l'esecuzione della richiesta ...

Un'altra opzione, se si desidera utilizzare l'immagine tradizionale CAPTCHA senza il sovraccarico di generarli su ogni richiesta, è di pre-generarli offline. Quindi devi solo sceglierne uno a caso da visualizzare con ciascun modulo.