Esperto di captcha

Visualizzazione Stampabile

17-10-2008, 10:22
atomico

Esperto di captcha

Sto cercando di realizzare un captcha, ma non sono un esperto di bot (per fregare i bot, bisogna prima conoscerli).

Diciamo che io produco dinamicamente un codice nella pagina (variabile CODICE) e lo faccio visualizzare, in modo che l'utente lo veda e possa ricopiarlo identico (variabile CODICE_COPIATO).
Penso di aver fatto in modo che un bot non possa mai ricopiare esattamente il codice.

Le variabili CODICE e CODICE_COPIATO li metto in sessione (o in alternativa posso passarli con una query string) e li faccio leggere da una pagina successiva, dove vengono confrontati, e se sono identici, capisco che l'utente è umano e non un bot.

Volevo sapere se un bot può entrare nella pagina in cui mi creo e visualizzo il codice, e mettere nella variabile CODICE il valore che vuole, sovrascrivendo quello che mi creo dinamicamente.
Perchè se può, allora mette in CODICE un valore a sua scelta, poi dove c'è da inserire CODICE_COPIATO, rimette lo stesso valore, e supera il mio controllo.

P.S.
C'è da qualche parte un manuale (possibilmente in italiano), che mi spieghi come si programmano i bot, in modo da sapere come aggirarli?
17-10-2008, 13:00
y2ksw

Non esistono manuali che spiegano come sono fatti i robot - se sai programmare, saprai anche come crearne uno.

Al momento stanno lavorando molti tecnici per risolvere il problema delle intrusioni, soprattutto perché google, hotmail e vbulletin sono "libri aperti". Io sto lavorando su un sistema di autenticazione email che non ha precedenti, con tanto database e condivisione di indirizzi usati dagli spammer.

Se c'è una soluzione tecnica per eliminare gli spambot, bisogna anche aggirare gli umani, per cui investo il mio tempo in soluzioni praticabili. Il Captcha è stata un'idea buona ma non ha retto. E quindi è inutile insistere con Captcha migliori, perché qualunque Captcha sarà vulnerabile, tranne quelli che non sono leggibili neanche a noi ;)

Ho la fortuna che 2 dei miei siti è attualmente sotto attacco e quindi posso provare tutte le varianti del mio sistema. Appena pronto, sarà possibile scaricare un plugin che accede a questa risorsa. Ma a differenza degli altri sistemi non racconto come funziona, per cui sarà pressoché impossibile che gli spammer imparino come aggirare questo fenomeno :D
17-10-2008, 17:33
Beho

Citazione:

Originariamente Scritto da y2ksw

Ho la fortuna che 2 dei miei siti è attualmente sotto attacco e quindi posso provare tutte le varianti del mio sistema. Appena pronto, sarà possibile scaricare un plugin che accede a questa risorsa. Ma a differenza degli altri sistemi non racconto come funziona, per cui sarà pressoché impossibile che gli spammer imparino come aggirare questo fenomeno :D

Non che sia necessario rendere per forza pubblico il codice per vederlo bypassare dai bot.
Se lo pubblichi come plug-in, essendo codice non compilato qualcuno si metterà a leggerlo e troverà un giusto workaround. Se pure fosse compilato, "basterebbe" fare del reverse engineering per capire come aggirarlo.

Insomma, non esiste un sistema sicuro al 100%, solo uno che ancora non è stato bucato ;)

Ad ogni modo, con il sistema dei Re-Captcha o con la Human Interface (la domanda personale) si riescono a limitare molto bene gli attuali spambot.
17-10-2008, 19:34
y2ksw

Guarda che il codice vero è sul mio server e il plugin si interfaccia soltanto per ottenere il risultato :D

Però al punto di ora possono anche vedere come faccio, solo se possibile vorrei fare qualche spicciolo extra ;)