【问题标题】:CAPTCHA Alternatives: What can spambots do?验证码替代方案:垃圾邮件机器人可以做什么?
【发布时间】:2013-05-16 17:13:36
【问题描述】:

在决定不对我的网站使用 CAPTCHA 后,我在我的注册页面中添加了一个 [input=range] 来代替必须滑动到最大值才能提交的提交按钮。垃圾邮件机器人能否绕过此措施?如果有,还有其他好的选择吗?

【问题讨论】:

  • 垃圾邮件机器人可以绕过它们被编程识别的任何东西,这意味着任何受保护的东西都值得让机器人的牧民认为值得打败你的系统。所以......如果你运行一个极小的无人愿意关心的服务,那么它很可能是安全的。如果你构建的东西被证明是谷歌杀手,那么滑块在几微秒内不会受到太多保护。
  • 主要问题是在某些国家,人力成本太低,以至于您需要处理的不是垃圾邮件机器人本身,而是人工驱动的验证码识别。在这种情况下,您需要考虑如何使您的网站对垃圾邮件机器人不具吸引力(同时对合法用户具有吸引力)。

标签: security captcha spam


【解决方案1】:

即使垃圾邮件机器人可以绕过验证码,人类验证码求解器也可以绕过它。垃圾邮件没有完美的解决方案。 您可以在此处阅读有关此问题的信息:http://blog.minteye.com/2013/02/26/captcha-solving-human-labor/

【讨论】:

    【解决方案2】:

    垃圾邮件机器人通常可以击败任何需要向服务器提交可以通过检查代码来确定的值的东西。关键是要求价值是人类可以轻松识别但机器人无法识别的东西。

    例如,使用您的幻灯片创意(顺便说一句,还不错),而不是让他们将其滑动到最大(机器人很容易模仿),而是向他们展示 3 张图片并让他们将其滑动到“让他们感到寒冷”的那个。然后展示一张北极荒地、撒哈拉沙漠和一个熔炉的图片(这当然只是一个例子)。这些是最能抵抗垃圾邮件的控件。

    您需要注意的是可预测性和可重复性。如果您总是问同样的问题,或者您只有几个不同的问题,那么攻击者很容易将所有可能的结果枚举到攻击脚本中并击败您的控制。

    唯一的限制实际上是你的创造力和对代码的难易对人类的要求。

    【讨论】:

      【解决方案3】:

      这取决于物理滑动的结果在代码方面是什么。我已经看到了这个的 JavaScript 实现(不确定它是否相同),它根本不提供安全性,因为它所做的只是在幻灯片完成后发送一个带有预定令牌的请求。但是,没有什么可以阻止垃圾邮件机器人简单地获取页面上的令牌并将请求发送到服务器,服务器不知道“用户”是如何获得令牌的。

      在验证码的情况下,“令牌”在这个阶段很难被机器人破译,但对人类来说相对容易。

      我个人无法忍受任何此类机器人预防措施,我认为大多数用户都会同意。阻止机器人的唯一方法就是阻止用户。

      【讨论】:

      • 我只能选择一个答案,但感谢您的反馈!幻灯片是我制作的一些代码,只是简单的 jQuery 来检查 input=range 是否已滑动到正确的值,对自定义垃圾邮件机器人没有太大的阻碍,但无论如何,我不打算获得太多流量.
      猜你喜欢
      • 2013-09-07
      • 2014-05-19
      • 2012-03-06
      • 2011-03-22
      • 2011-08-03
      • 1970-01-01
      • 2012-09-24
      • 2016-11-28
      • 2011-04-16
      相关资源
      最近更新 更多