Hej!

När man registrerar sig på olika websidor får man numera ofta fylla i en text som slumpmässigt genererats på en bild för att säkerställa att man är en människa och inte en maskin. Någon som vet vart man kan få tag på sådana program och kommer hackarna verkligen inte runt dem? (Försökte söka efter det på google och då kom det upp några hackerdiskussioner om hur man ska göra för att komma runt funktionen.)

Jag har verkligen inte lust att lägga ner någon tid eller energi på funktionen men om den finns enkelt tillgänglig på internet för gratis nerladdning tar jag mig gärna en titt på det.

Tack på förhand!

Har ingen erfarenhet av att sjäva sätta upp såna men däremot deltagit i ett projekt i att knäcka just såna. Tekniken för att knäcka dem består till stor del i samma teknik som används av t.ex. väggtullarna i sthlm för att känna igen nummerplåtarna.

Då många använder samma generatorer (fanns då ett 20-tal standards) så utvecklades givetvis en igenkänning för deras sätt att generera bilder.

Cirka 3/4 av de vi gav oss på var inga större problem och resten gick man bett på. Hela utvecklingen var stängd och endast i utbildningssyfte, programvaran finns inte att ladda ner eller spridd. Tror dock att en bevissida ligger kvar uppe någonstans.

Du får bort säkert 95% av allt skit genom att använda en bildgenerator så det är klart värt det.

Det finns en hel del system som du kan använda gratis,

http://www.google.se/search?q=captcha

Själv funderar jag litet på att utvärdera

HOTCaptcha ;-)

pwntcha, en liten kuf som påstår sig ha knäckt de flesta redan: http://sam.zoy.org/pwntcha/ sen har du det här lilla blogg-inlägget som tar upp en del annat roligt http://scottonwriting.net/sowblog/posts/3154.aspx

Och kanske det viktigaste i debatten: http://www.w3.org/TR/turingtest/

W3C ställer sig ruskigt negativa till CAPTCHA, eftersom det ingjuter en falsk känsla av säkerhet och ställer till problem med tillgängligheten. Många CAPTCHAs funger tvärtom mot sitt syfte och låser ute vissa människor som inte klarar av att tyda CAPTCHAn. Och det finns en hel bunt sätt att undvika duplicates, spam och fejk konton, på serversidan.

En annan, mycket simpel, lösning för spammarna har ju också varit att använda människor för att lösa det. Och i vissa fall räcker det ju med att en människa knäcker CAPTCHAn för att han/hon skall kunna komma in och börja spamma.

Jag skulle inte lägga ner någon större energi på att implementera en CAPTCHA, med andra ord.

Tack för alla inlägg!

Alla nyregistreringar kommer ändå kontrolleras av människor i äkta wn manér, grundtanken med sådan bildgenerator (catchpa som det tydligen heter :)) var att försöka förhindra hackers från att skicka onödiga konto förfrågningar bara för att jävlas. Förmodligen behöver jag inte oroa mig särskilt mycket för det?

Nu när jag vet att det helt klart är möjligt att komma förbi ett sådant skydd kommer jag helt klart akta mig för det eftersom någon hacker kanske kan se det som en utmaning vilket skulle ge motsatt effekt.

Har ni något annat råd till mig för att slippa vakna en dag och vara tvungen att rensa bort 10 miljoner människor som heter "pwnd!!1!111!!"? Eller har alla hackers bättre saker för sig?

"Hackers" är nog inte det du ska vara så rädd för. Största problemen brukar vara spammare som använder vanlig klicka-bara-vidare-programvara som uppsöker de vanligaste sätten att posta på för att sprida sin samhällsinformation om viagra och flickor som vill ha sex.

Har aldrig haft problem med en medlemssida med 25.000 medlemar utan någon verifikation. Däremot blev en liten blog terroriserad av automatiska spamsystem trots commentfunktion var avstängd, gick inte stänga av postfunktionen som användes i serverprogramvaran utan bara så det inte syntes på sidan.

Var bara att byta programvara :-s

Testa utan någon komplicerad catchpa eller liknande, får du problem så börja titta på lösningar.

De gamla vanliga metoderna. Godkänn via e-mail. Se till att verifiera eventuella dubletter av e-mail, etc, etc.

Väl inne kan du sätta begränsningar, begränsa antalet länkar per inlägg/kommentar/etc, etc. Begränsa antalet kommentarer som kan skickas per dag/timme/etc, etc. Finns blacklists att tillgå för att spärra domäner och dylikt. Ordfilter, etc, etc. Alla möjliga, tänkbara filter utom en CAPTCHA, helt enkelt :).

En annan tanke som även funkar bra ur användarvänlighetsperspektiv skulle ju vara att ha en vanlig text fråga. t.ex. "Vad heter Göran Persson i förnamn?" och be användaren skriva det. Om man sedan roterar mellan några olika frågor så kommer man ju säkerligen slippa de flesta automatiska spammen.

Och om "någon" skulle svara "Göran" på en helt annan fråga kan man slänga in det i en spärrlista :)

Tack för alla svar!

E-mail verifiering är nog det bästa alternativet, tack för den Kaffe.

Någon som har någon bra länk till mer info om det?

Ingen som har någon bra länk till en tutorial eller liknande på nätet om hur man gör detta på bästa sätt med PHP?

Jag har googlat ett bra tag nu men hittar inget vettigt : /

Tack på förhand.

Om du har lite aning om php så borde väl inte vara så svårt?

Låt användare ange användarnamn, slumpa fram ett password och skicka det med email. När avändaren loggar in nästa gång så kräv lösenordet.

CAPTCHA är störande, frustrerande och opålitligt. Inget att rekommendera, hack-algoritmerna är i allmänhet mer träffsäkra än människor...!

Allmänt tips, kontrollera noga vad som kommer in: ett namn bör inte innehålla annat än vanliga bokstäver, inga radbrytningar; en epostadress som innehåller html-taggar är uppenbarligen någon form av spam; ett telefonnummer innehåller siffror och lite annat men aldrig t ex @. På så sätt kan man slippa en hel del skräp eftersom spambottar ofta vräker på allvärldens massa skumt.

Det var ju en jättebra och enkel lösning! Jättesmart!

Jag hade låst mig i helt andra tankar om att jag var tvungen att godkänna kontot "separat" från lösenordet genom att skicka en verifieringslänk, men ovanstående borde fungera minst lika bra om inte bättre!

Bra tips, jag ska vara noggrann med det.

Tack Martine!

Vill bara tillägga att det är inte jag som ska programmera det här utan en vän som har bra mycket bättre koll på programmering än jag. Men jag gillar ändå att ha lite koll på vad som händer i grova drag :)

Själv tycker jag det är smidigare att få välja lösenord vid registreringen och sedan få ett registreringslänk att klicka på. Stör mig enormt på sidor där man inte får välja lösenord själv (även om det går att ändra i efterhand)

Ha aktiveringslänk lösningen är inte mycket svårare det ha bara två fält till i user tabellen, activation_code och activated. Vid inloggning kollar man att activated==1 && user_pass == submitted_pass

sen har man ett script som får en query sträng med user och activation_code. Slår upp user i tabellen och jämför activation_code. Stämmer dessa sätter man activated till 1.

Finns ju naturligtvis andra tekniska lösningar men ovanstående borde fungera.