Как защитить данные сайта от распознавальщиков Captcha?

1 234 5
V1
На сайте с 14.03.2007
Offline
155
#21
webinfo #:
Умеют.

Какой-то же способ должен быть? Cloudflare?

SeVlad
На сайте с 03.11.2008
Offline
1609
#22
webinfo #:
Если прицепились целенаправленно, то ничего не поможет.
Но наверняка возможно сделать борьбу нецелесообразной ;). (вплоть до срисовки фингерпринта)
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
V1
На сайте с 14.03.2007
Offline
155
#23

Промежуточные итоги, если кому-то интересно.

Кратко в чем суть:

1) есть сайт на котором есть форма расчета (в ней основном выпадающие списки и нет input, textarea); html страница берется из кэша; расчет производится без перезагрузки страницы (отправка и получение через JS fetch() и другие).

2) Проблема: к одной странице постоянные обращение и получение расчетов с нескольких ай пи с периодичностью 30-60 сек на протяжении почти всех суток. Не известно или просто бот или парсинг результатов расчетов для другого сайта (если бот, то зачем разгадывает капчу). Этот бот почти 100% проходил капчи: а) сравнение рисунков; б) ввести текст со сгенерированной картинки; в) решить математический пример на сгенерированной картинке типа 3*3=? 1*?=11 и другие.

А в соседней ветке доказывают, что бот кнопку отправки не может найти на странице. Все они могут, а если целенаправленно, то неизвестно где предел.

Решил попробовать использовать вот этот совет.

SeVlad #:
И да, почитай всё же что за методы я показывал и как они работают, будет полезно даже в борьбе с людьми :)

В итоге сегодня утром запустил сайт с такими изменениями:

1) Использовал Nonce в форме (так как странице берется из кэша, то код вставлялся с помощью JS который получал из PHP файла)

2) При нажатии на кнопку отправки, данные отправляются с помощью JS и появляется еще урезанный вариант капчи - просто кнопка "Подтвердить отправку" без никаких вводов кода

3) После этого в PHP файл проходят проверки и формирование результата (результат в виде html, но теперь засунул его в оболочку json и уже JS вставляет результат на сайт), а также формируется новый Nonce

Результат пока неясный. С тех ай пи, с которых были заходы пока идут на удаленные файлы (captcha.php, index_js.php). Посмотрю что дальше будет. Если это целенаправленно делается кем-то, то наверное нужно алгоритм перестраивать, если типа браузерный бот, который действует как человек и будет переходить по кнопкам отправки, то наверное ничего не сделаешь.

Спасибо за участие в обсуждении.

SeVlad
На сайте с 03.11.2008
Offline
1609
#24
vitaliy11 #:
1) Использовал Nonce в форме

Если бот каждый раз запрашивает форму, то nonce не поможет. Он же его получит вместе с формой. nonce от ботов, POSTящих сразу, без загрузи страниц.

Против таких ботов стоит применять honeypot, таймуауты и различные js-ловушки (это если из простого).

V1
На сайте с 14.03.2007
Offline
155
#25
SeVlad #:
Если бот каждый раз запрашивает форму, то nonce не поможет. Он же его получит вместе с формой. nonce от ботов, POSTящих сразу, без загрузи страниц.

Здесь просто не известно какой код он получает со страницы. Если изначальный, то там сразу нет кода nonce, а подгружается после загрузки страницы через JS. Конечно можно сразу напрямую обратиться к файлу php, который генерирует этот код и записывает в сессию, а потом уже отправлять форму с этим кодом.

Посмотрю как будет. Этот же nonce можно и не в форме разместить, а где-то отдельно на странице. В JS потом идет обращение по id и добавить к отправляемым данным.

SeVlad #:
js-ловушки

Что это такое? Можно какой-то пример?

SeVlad
На сайте с 03.11.2008
Offline
1609
#26
vitaliy11 #:
там сразу нет кода nonce, а подгружается после загрузки страницы через JS

Ну если бот не будет дождаться наступления этого момента, то норм.

Но не будет ли.. (если и правда такой умный бот, что загружает форму. Но это вряд ли, судя по его скорострельности)


vitaliy11 #:
Что это такое? Можно какой-то пример?

А вот выше ты как раз и реализовал одну из таких ловушек :) Т.е. подрузка данных по таймауту/событию.

Но ещё в общих чертах самые очевидные - изменение DOM по событию, определение наличия мыши/тапа и тп.

V1
На сайте с 14.03.2007
Offline
155
#27
SeVlad #:

А вот выше ты как раз и реализовал одну из таких ловушек :) Т.е. подрузка данных по таймауту/событию.

Но ещё в общих чертах самые очевидные - изменение DOM по событию, определение наличия мыши/тапа и тп.

Спасибо за советы. Посмотрю что будет.

V1
На сайте с 14.03.2007
Offline
155
#28
SeVlad #:

Ну если бот не будет дождаться наступления этого момента, то норм.

Но не будет ли.. (если и правда такой умный бот, что загружает форму. Но это вряд ли, судя по его скорострельности)

Хотел спросить Вашего совета.

Сегодня есть запросы с одного ай пи (много запросов с самого утра) - человек на сайте не проводит столько времени.

Обращения только к: 1) nonce.php (в нем происходит генерация числа и отдается для вставки в форму через JS); 2) index_js.php (файл принимает данные пост запроса, проверяет и выдает результат).

Обращения к html файлу нет, как при заходе обычного пользователя.

Я правильно понимаю, что если этот скрипт настраивается человеком и обращается прямо к php файлам, то никакой защиты от этого нет? Он просто передает корректные данный пост запросом на управляющий файл и получает результат минуя страницы сайта.

В таком случает доступ к расчетам только после регистрации может помочь?

Кстати,  раньше когда расчеты были с перезагрузкой страницы и этот бот обращался к странице html, то по статистике среднее время пользователей на сайте было меньше. Теперь получается что бот заходит на php файлы, где нет гугл аналитики.

R
На сайте с 02.10.2007
Offline
127
#29
vitaliy11 #:

Да, на 1 страницу одной языковой версии.

Только сейчас дошло что нужно посмотреть а что он вообще передает в форме (параметры по умолчанию или другие значения).

Как Вы думаете, а если доступ к расчетам после регистрации сделать, то это остановит ботов или они и такое умеют - зарегистрироваться на сайте, войти в аккаунт и дальше продолжать?

База данных у меня однажды стала 10 гб за неделю, так как боты регистрировались, сообщение на форуме не могли оставить и регистрировали новый аккаунт.

V1
На сайте с 14.03.2007
Offline
155
#30
reds #:
База данных у меня однажды стала 10 гб за неделю, так как боты регистрировались, сообщение на форуме не могли оставить и регистрировали новый аккаунт.

Наверное нужно делать подтверждение регистрации с отправкой на имейл?

1 234 5

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий