Думал-думал и придумал капчу без использования сессий на php.
Но сразу предупреждаю, что тема все равно флеймовая. 
Если интересно, покажу код. Думаю, бот будет бессилен. 
 

Студенты были бы тебе очень благодарны   

  Для проверки я использовал дату 


Предложение пользователю выглядит так: Введите текущий месяц (на английском), год, часы, минуты, секунды, наносекунды, кванты без пробелов     в поле  Подсказка наверху сайта 

А Вверху сайта указано время по серверу. 

Это сообщение отредактировал(а) BlackRu - 23.6.2014, 04:28

У меня вообще такое впечатление, что большинство создателей captch'ей руководствуются именно этим критерием. А то, что некоторые люди оказываются тоже не в состоянии расшифровать такие каракули, их не волнует. Давно ещё на exler.ru был баннизм на подобную тему, но это смешно до тех пор, пока не нужно воспользоваться чем-то, где такая captcha. Как и инструкции, переведённые на русский язык автоматически, смешны до тех пор, пока не требуется из подобной белиберды что-то понять.

А способен ли бот вообще разобрать даже саму простую капчу? И заморачивается хоть кто-то с написанием таких ботов?

Думаю мою систему проверки, основанную на серверном времени, бот просто не заметит. 

Кстати, еще вариант капчи без сессий, например, для отправки почтовой формы:

 Скрипт раз в 10 минут забирает из словаря рандомом слово, например, русское и английское - перевод.
английское становится ключом, а пользователь получает от системы русское слово с просьбой его перевести.  

Посетитель заполняет форму, потом читает условия капчи, нажимает "Узнать точное время", заполняет поле капчи и отправляет
В общем вот она реализация. 

Точное время открывается во всплывающем окне, окно обновляется раз в секунду

.

Это сообщение отредактировал(а) BlackRu - 23.6.2014, 22:44

Присоединённый файл ( Кол-во скачиваний: 12 )
 test.jpg 146,00 Kb

Ох.
Сколько лет прошло, а форум живет.

P.S. Флейм же. =)
P.P.S. ТоляМБА вот, опять же. Круто.
P.P.P.S. Перестаю тут флудить. Был очень удивлен.

megabist, Так-то, да.  Флейм, ничего не скажешь. 
Не лезть же с такой темой в PHP, по шапке быстро дадут 

BlackRu, если юзер не успел ввести капчу за минуту - его можно послать лесом?    

Это сообщение отредактировал(а) ksnk - 24.6.2014, 07:52

Точно по студенчески! Я тоже иногда думал, как сдать экзамены без сессий!   

И без зачетной книжки, конечно же. 

Можно протестировать. 
http://starina.myftp.org/test2/mail.php

ksnk, дополнил скрипт. Удалил месяц и год.

Разберем ситуацию с точки зрения human behavior.  Надеюсь, меня не оштрафуют за использование иностранных слов. 

• Посетитель заполняет форму. 
• Потом читает условия "капчи". 
• Жмет подсказку.
• И тут его сознание должно проснуться.

В подсказке время обновляется раз в 10 секунд, т.е. если даже он сначала откроет подсказку, вероятность промаха  снижается. Можно сделать обновление времени в подсказке раз в 5 секунд, тогда мы еще снижаем вероятность промаха, но нагружаем сервер лишними запросами. 

Посетитель может сам обновить время, нажав на кнопку "уточнить время". Само название этой кнопки уже как бэ (использую хоть раз молодежный стиль написания условного наклонения) намекает на то, что пользователю нужно что-то вдумчиво осознать для отправки письма. 

• Вопросы, конечно, остаются:
• Сколько нужно времени посетителю, чтобы он осознал, как работает система проверки?
• Сколько нужно времени в среднем, чтобы ввести 4 цифры (без пробелов). 
• Вопрос безопасности, сможет ли как-то бот определить систему проверки. 
• Какова вероятно, что кто-то будет писать такую функцию проверки, если такая форма используется на одном-двух сайтах?

Для наглядности скриншот последней версии программы:   

P.S. Человеческое поведение, конечно, можно проверить только на практике. 

Это сообщение отредактировал(а) BlackRu - 24.6.2014, 10:39

Присоединённый файл ( Кол-во скачиваний: 9 )
 check.jpg 63,91 Kb

Элементарно. По ключевым словам в условии "каптчи".



1) Т.к. данную систему разрабатывают для повышения защиты от ddos атак (так ведь?) и в качестве альтернативы существующим (которые чем то не устраивают по уровню защиты) то это означает, что есть необходимость защищаться. А если есть необходимость защищаться, значит есть угроза и те, кто эту угрозу создают. А значит те, кто создают эту угрозу, если им это действительно надо, заморочатся и напишут бота.
2) Если система будет действительно эффективна, то рано или поздно её начнут пользовать больше чем 1-2 сайта, что приведёт к повышению вероятности написания кем либо бота для проверки именно на такую систему защиты.

Добавим условие. Ключевые слова выводятся в изображении. Если ты про семантический анализ ботов условия капчи.



Это если говорить в общем. Но  я последнее время стараюсь избегать частых обобщений. 
Речь о конкретной ситуации.  

• Есть один сайт. Блог или сайт визитка или еще что-то. Т.е. при использовании такой защиты учитывается масштабность проекта, социальная и экономическая значимость. Может быть, политическая.  
• На сайте есть форма обратной связи с автором. Т.е. письмо отправляется только одному человеку. Скажем так, жесткая привязка, когда нельзя добавить адреса получателей в случае попытки использования формы для спам-рассылки.  Не рассматриваем взлом, так как для массовой рассылки есть и другие средства. Тот же сбор почтовых адресов и рассылка через всякие бесплатные почтовики. 
  Я думаю, эта технология у спамеров уже отработана.

В связи с вышесказанным зададим вопрос. В случае взлома этой простой защиты, что может сделать спамер с данной формой. Фактически, отправить письмо автору сайта, допустим какой-то спам. 

Из этого следует, что усилия затраченные на анализ работы скрипта и написание бота не коррелируют с результатом. Согласны. А спамеры люди, я думаю, достаточно прагматичны. 
Поэтому по первому пункту, думаю, вероятность написания такого бота критически низкая.
 


А вот это практически исключено. Т.е. чистая теория или даже фантастика. Почему?
Люди у нас любят готовые надежные решения,  т.е. все будут устанавливать чужие или 
писать свои навороченные капчи с кучей шифровок и перешифровок. 
Т.е., вероятность, использования такого скрипта на сайте ничтожна мала.  


P.S.
Я начал делать эту защиту, когда при регистрации на одном довольно известном 
форуме обнаружил интересный способ защиты от спам-бота. Выглядело это так: "Введите сумму чисел 56 и 9". Я не смог сразу составить пароль, так как требования на том сайте высокие, нужно кучу разного вида символов написать, поэтому страницу перезагружал несколько раз, какого же было мое удивление, что после перезагрузки страницы эта "капча" не изменилось. 

Из чего вытекает вопрос: если сайт не связан с платежными системами,
 военными разработками и сверхсоциальной значимостью, нужны ли такие капчи, которые нужно рассматривать под микроскопом?


Это сообщение отредактировал(а) BlackRu - 24.6.2014, 16:45

megabist,   

P.S.S. Поставил твою цитату в подпись.