что может использоваться вместо этого, если капча небезопасна?

• Captcha, включающая человеческое отражение (например, расчет, действительно простой вопрос и тому подобное).
• Токены сеанса
• случайно сгенерированный скрытый ввод, который должен быть нулевым, на стороне сервера генерируется случайный идентификатор, который некоторое время остается в сеансе. Если ввод заполнен, а не равен нулю, то он мог быть заполнен роботом, будут ли ваши пользователи заполнять скрытый ввод?

Я думаю, это действительно зависит от того, что вы пытаетесь контролировать при использовании капчи.

Дальнейшее объяснение предложения Бориса:

случайно сгенерированный скрытый ввод, который должен быть нулевым

Идея состоит в том, что ваша форма содержит несколько невидимых вводов, их тип, вероятно, не должен быть скрытыми, но они должны быть невидимы для человека (например, установить ширину или высоту равными 0). Первоначальное содержимое этих полей должно быть пустым. Если человек заполняет форму, поле будет пустым, потому что человек не может видеть поле, чтобы ввести в него что-либо, но если бот заполняет форму, поле (возможно) не будет пустым, потому что обычно боты просто слепо вводите что-нибудь в каждое поле.

Таким образом, вы можете отличить бота от человека в зависимости от того, является ли содержимое этого поля пустым.

В конечном итоге правительство могло бы использовать серверы openid в качестве цифровых паспортов для своих граждан. Это был бы чистый способ идентифицировать людей и предотвратить носки.

Хотя капчи могут быть взломаны, только Capthca добавляет безопасности reCapthca очень хорошо, а обученный OCR, такой как Tesseract , будет иметь очень ограниченный успех в его взломе. Однако есть компании, которые используют Human Computation , чтобы сломать их за гроши. Но это делает атаки на вашу систему более дорогими, и это лучшее, на что вы можете надеяться. Криптографию можно взломать с помощью грубой силы. Все хэши паролей можно взломать, но мы по-прежнему используем их, потому что это усложняет задачу злоумышленнику.

Большинство «решений» в этой ветке: « Безопасность, хотя и неясность », и вам следует опасаться этих быстрых исправлений очень сложной проблемы.

Капчи используются для определения того, что запрос выполняет реальный человек, а не машина. Системы Captcha и похожие на captcha будут обновляться, как и технология их взлома.

Так как же доказать, что вы разговариваете с человеком, а не с компьютером? Например, вы можете потребовать от пользователей участвовать в сеансе чата и вести небольшой разговор. В настоящее время нет ИИ, который прошел бы тест Тьюринга.

Итак, ответ таков: ни одна система не идеальна. Не пытайтесь решить эту проблему, но постарайтесь найти способ уменьшить ее влияние.

В настоящее время на моем сайте я выбрал простые вопросы. Некоторые вопросы, которые я использовал в прошлом:

• Сколько будет два в степени один?
• Что такое 2+2? (этот вопрос был взломан, так что не используйте его)
• Как называется домен этого сайта?
• Чему равна сумма двух и двух?

Другие хорошие варианты

• Введите "stuff" в это поле для проверки спама
• На что похоже 1337? (используя только буквы)
• текущий год?

Лучший способ, который я могу придумать, - это использовать что-то необычное, например, специальное скрытое поле, которое должно быть пустым (или другим специфическим value), с которым будут связываться роботы.

Если какой-нибудь производитель роботов настроит своего робота для вашего сайта, вам придется быстро изменить кодировку на что-то другое. Надеюсь, пройдет немало времени, прежде чем другой производитель роботов настроит своего робота для вашего сайта.

По сути, это безопасность через неизвестность, которая должна постоянно меняться, чтобы оставаться неясной.

Это не сработает, если кто-то специально нацелен на ваш сайт.