Не для кого не секрет что после того как Google опубликовал свой новый алгоритм распознавания знаков на изображениях, изначально задуманного для определения номеров и улиц на фотографиях со спутника, спамерские роботы и программы активно используют его для корыстных целей, к тому же весьма успешно. На данный момент применяемые в системе CMS графические защиты типа KCaptcha, SlaedCaptcha не приносят необходимого результата.

На сколько мне известно, максимально сложной для распознавания роботами, на сегодняшний день является разработка от того же Google, под названием ReCaptcha. Один из минусов, для использования ReCaptcha, обязательна регистрация и получение необходимых ключей. Так же необходимо постоянное соединение с интернетом.

Хотелось бы заметить, добавление вопросов, скрытых полей и прочих хитростей глобально не спасут ситуацию, как только разработчики спамерских программ типа XRumer, увидят подобные хаки, с лёгкостью модифицируют свой алгоритм.

• Соответственно вопрос, какие защиты известны вам?
• Стоит ли интегрировать в систему ReCaptcha от Google?

Ну не знаю. Вот мой вариант со сменным именем скрытого поля не катит? Их же можно много сделать - собирать замучаются. К тому же можно сделать генерацию новых на каждый день (кстати - тема).

Далее - всегда использовал реКапчу. Многие интегрируют и в настройках предлагается ввести ключи её ключи. Т.е. - если есть ключи - есть возможность использовать реКапчу, нет - стандартная капча.

Да, в слаеде 4 была капча - там я внес небольшую правку. Ни разу её еще не сломали. Может просто везло )

Допустим XRumer используется умный, самообучающийся алгоритм, скрытое поля для него не вопрос, будет просто игнорировать/не заполнять независимо от названия, допустим определять по стилю скрытия. Вариант для одного, двух проектов, но не решение для официального релиза, как только он выйдет, сразу это дело распилят.

Я не знаю как действуют алгоритмы, поэтому моя идея может показаться наивной, но озвучу. пусть будет:
почему бы для проверочного слова не использовать элементы страницы.
Например, буквы на логотипе, или текст в шапке. Т.е. в обычном режиме там одно написано/нарисовано, а при капче другое.
Ну как-то так.
Или например: появляется пословица. Задание: ввести по первой букве из первых пяти слов.

есть такое. Хм.
Тогда может сделать систему обязательного/необязательного поля?
Так в моей системе и стиль так же сменный. А в купе с генерацией файла стилей - стили тоже каждый раз могут быть новыми (ну на каждый день).
с таким подходом система взлома будет на авсось заполнять или не заполнять это поле.

В системе рекапчи есть тоже интересное решение - скрытая капча. сам еще не пробовал, но система сама определяет кто перед ней... Надо поискать инфу - может есть принцип её действия в их доках...

Во всех внешних капчах меня одно беспокоит - гугл нам ничего не должен и если им в один день придет в голову просто закрыть этот проект, то все в одночасье останутся уязвимыми... Надеюсь этого не произойдет )

За отсутствием серьёзной альтернативы всё таки склоняюсь к использованию ReCaptcha от Google. Услуга предлагается с 2012 года, проверено временем, что радует, популярность постоянно растёт. Интеграция не сложная, единственный нюанс, это регистрация и получение ключей, но это всё бесплатно на сайте ReCaptcha.

Пример работы ReCaptcha от Google можно посмотреть уже сейчас на нашем проекте, допустим в отделе обратной связи. На интеграцию в систему ушло около пяти минут. Сейчас в стадии тестирования, позже постараюсь описать результаты.

ды я не против )

В процессе работ, произведя детальный анализ действий спамерских роботов по лог файлам, выяснил что в некоторых случаях (афишировать по понятным причинам не буду) возможна удалённая передача пост запросов в обход графической защиты (капчи).

Решил полностью переписать логику подключения и проверки стандартной Captcha, а так же подключил дополнительную ReCaptcha от Гоогле. Настроек стало больше, поэтому планирую их сгруппировать и вынести в отдельную закладку "Капча" основных конфигураций CMS.

P.S.: Для усложнения жизни спамерских роботов можно было бы реализовать функцию генерации и проверки капчи на Ajax в фоновом режиме, но думаю это уже слишком

Интересно, что за случаи такие )

Ну не знаю. Вот мой вариант со сменным именем скрытого поля не катит? Их же можно много сделать - собирать замучаются. К тому же можно сделать генерацию новых на каждый день (кстати - тема).

Далее - всегда использовал реКапчу. Многие интегрируют и в настройках предлагается ввести ключи её ключи. Т.е. - если есть ключи - есть возможность использовать реКапчу, нет - стандартная капча.

Да, в слаеде 4 была капча - там я внес небольшую правку. Ни разу её еще не сломали. Может просто везло )

Скорей вам просто везло, вообще я считаю на данный момент самый лучший вариант это каптча от Google.