Дабы не оффтопить в топике где данный вопрос возник, переедем сюда. Вопрос в следующем За и Против использования проверки капчи при ее вводе,а не при окончательной отправке всей формы. Также вопрос о реализации данного метода. 1.Храним md5 от капчи в JS и при изменении капчи проверяем совпадение. 2.При изменении капчи, AJAX запросом проверяем правильная она или нет. Я первый способ считаю потенциальной дырой для подбора капчи.С учетом современных мощностей подбор такой капчи не составляет труда.
1. Хранить md5 каптчи в js - вообще не вариант, ты совершенно прав. 2. Вариант правильный, только, естественно, при неверной попытке каптчу надо менять на новую, иначе это такая же дыра как и 1. 3. Такая каптча как на картинке сама по себе является дырой
Как только какая-то идея приходит в состояние подгонки значений, значит она скорее всего не верна изначально. Аргументируйте необходимость проверки правильности ввода капчи, а потом сформулируйте, зачем она применяется, и вы увидите только два решения - отказаться от капчи в угоду удобности пользователя или сделать ее в классическом виде для отсеивания спама.
это кстати, такая же дыра как и 1. я смогу менять капчу до тех пор, пока она не будет хорошо различима и я ее угадаю.
флоппик На себе испробовал что такое ввод капчи на гугле, минут 10 каждый раз вводя заново два раза пароль пытался ввести правильную капчу.Слишком она у них не угадываемая,даже если ты человек.
http://bash.org.ru/add самое оно правда при вводе на неверность оно не укажет. но если бы указывала - была бы слабой по защите.
время перебора не забываем. срабатывания жаба скрипта, его проверки гораздо меньше чем посылка данных на сервер и их обработка пэхой. + без аякса мы не сможем узнать, что кто-то пытается перебирать и заблочить. жабаскрипты можно и подправить. поэтому - фтопку. самое простое для использования - не значит самое надежное.
можно пример страницы? в каком виде выводится капча ??? Потому что мне кажется что это просто текст =) А это уже уязвимо... достаточно просто написать скрипт который просто подорвет тэки передкапчей и после капчи возьмет значение и вставит его в форму... если же это рисунок то все несколько сложнее: допустим капча у нас чисто циферная... берем 5 значное число перебираем 5 раз массив функцией rand впиндюриваем полученную строчку в форму... ждем 5 секунд -> проверяем значение которое находется между тегами где у нас поидее должно быть valid если нет функция повторяется... если да вуаля и спамим... скрипт довольно быстрый получается в обеих случаях...
vuzy Парень, я понимаю что тебя сейчас распирает и ты перечитываешь весь форум... Но поднятие тем годичной давности считается некропостингом и не слишком уж поощряется на форумах.
Кто сказал, что это надо делать на javascript? Суть такова, что верификация каптчи делается на сервере. Если каптча введена верно, то у клиента появляется зеленая галочка. Если неверно - выдается новая каптча и красный крестик.