Zabezpieczenie formularza obrazkiem przed SPAMem

[mathie]

Witam!

Mam na stronię formularz kontaktowy i teraz pora go zabezpieczyć, bo dziennie otrzymuje kilka ofert "powiększenia penisa" itp.;]

Chodzi mi o zabezpiecznie go obrazkiem, któr trzeba przepisać żeby wysłać maila.

Podejrzewam że są gotowe skrypty które takie coś oferują czy mogłby ktos mi podac link lub napisać jak takie coś się robi ?

Byłbym wdzięczny.

[papieros]

Pierwsza podpowiedź: robi się nadzwyczaj prosto.

Reszta podpowiedzi:

1) generacja ciągu

2) wyrysowanie go na obrazku (funkcje php "image...")

3) zakodowanie ciągu np. md5(ciag)

4) zakodowany ciąg przesyłasz na stronę np. do <input type='hidden' ...

5) przesyłasz formularz z tym co wprowadził user i zakodowanym ciągiem

6) sprawdzasz zgodność zakodowanego i wprowadzonego przez user'a

Jeśli masz wprawę w php to da się to zrobic w 20min.

PS. powyższe to oczywiście jedna z możliwości rozwiązania problemu, zwróć uwagę, że kodować ciąg warto

[Mar]

Można też prościej, np. pytać o imię Małysza

Mar.

[yavaho]

W mniej niz 20 min można to złamać

1) generacja ciągu

2) wyrysowanie go na obrazku (funkcje php "image...")

3) zakodowanie ciągu np. md5(ciag)

4) zakodowany ciąg przesyłasz na stronę np. do <input type='hidden' ...

5) przesyłasz formularz z tym co wprowadził user i zakodowanym ciągiem

6) sprawdzasz zgodność zakodowanego i wprowadzonego przez user'a

1) generacja ciągu

2) zakodowanie ciągu np. md5(ciag)

3) zakodowany ciąg przesyłasz na stronę w <input type='hidden' ...

4) niezakodowany ciąg przesyłasz na stronę w <input type='text' ...

5) sprawdzasz zgodność i wszystko sie zgadza

[papieros]

W mniej niz 20 min można to złamać

Nie mówię, że nie. Ale z ciekawości, jak miałby działać program łamiący? Chodzi mi o zasadę. Oprócz md5 i grafiki nie ma tu innych zabezpieczeń ale wydaje mi się, że nie tak łatwo to zhakować bez rozpoznawania obrazka ....

Hmmm, .... zastanowiłem się, rzeczywiście jest pewna luka, ale pytanie, czy warto łamać takie zabezpieczenie dla 'byle strony'

UWAGA: W bankach i podobnych instytucjach nie należy stostować tego zabezpieczenia

Wersja nieco lepsza, czytaj: bardziej bezpieczna:

3a) zakodowany ciąg zapisujesz po stronie serwera z timestampem

6a) sprawdzasz, czy w ostatnich kilku minutach był wygenerowany podany ciąg.

Jeśli stosujesz np. sesje to możesz podpiąć wygenerowany ciąg pod sesje - wariacji tego dodatkowego zabezpieczenia może być sporo.

lub jeszcze prościej: ciąg, który kodujesz jest wybrany z dozwolonej, małej w stosunku do możliwości puli, tak żeby można było sprawdzić czy ciąg jest 'twój'

[b2rt0sz]

Ja takie rzeczy zapisuje w sesji.

IMHO <input type="hidden" name=""> to samobójstwo.

[kadzielawski]

...i tak dalej i tak dalej a osoby niedowidzące sobie będą mogły nadmuchać w kontakt.

Nie tędy droga Panowie. Gdy widzę witrynę agencji interaktywnej z tokenem w formularzu to na dzień dobry odrzucam jakąkolwiek współpracę z taką agencją ponieważ nie szanuje ona wszystkich klientów równo.

Wystarczy dać podstronę z wynikiem formularza z pytaniem: sprawdź poprawność danych i przyciskami "popraw" i "wyślij".

Roboty już nie wiedzą w którą stroną pójść a wszyscy będą mogli spokojnie napisać via formularz do Ciebie.

[papieros]

Ja takie rzeczy zapisuje w sesji.

Toś się bratku rozpisał. Jakie rzeczy?

...sprawdź poprawność danych i przyciskami "popraw" i "wyślij".

dobrze zrobiony (bo ja nie najlepiej podpowiedziałem na początku) obrazek jest nadal mocny i nie ma, według mnie, co kombinować - Twoje rozwiązanie jest nienajlepsze na roboty, które będą próbować 'wciskać' losowy klawisz.

[kadzielawski]

rozwiązanie jest nienajlepsze na roboty, które będą próbować 'wciskać' losowy klawisz.

Tylko robot musiałby wiedzieć, że musi wcisnąć 2 x na 2 podstronach a tego nie wie 99% robotów spamujących.

Dodatkowo pomijasz wcześniejszy fragment dotyczący dostępności takiego formularza. Jak zrobisz powiększanie obrazka z tokena i zrobisz go tak aby osoba niewidząca potrafiła go odczytać to OK. W przeciwnym przypadku wszelkie tokeny uważam za nieużyteczne dla usera.

Nie możemy zapominać w ochronie przed spamem o userach bo to dla nich robimy witryny.

[b2rt0sz]

Ja takie rzeczy zapisuje w sesji.

Toś się bratku rozpisał. Jakie rzeczy?

Np. treść tokena (cyfry/litery) - zamiast przechowywać to w oddzielnym inpucie typu hidden.