Как защитить форму от спама, но не капча, потому что атакуют напрямую скрипт?

Question

[Андрей Федоров]

Какие есть распространенные методики?

Answer 1

[Котик Антон]

Что значит "атакуют напрямую скрипт"? Защита от CSRF есть?

Comments

[Андрей Федоров]

В html коде формы указан сприпт, в параметре action. На него идет атака, подсовываются всякие значения в переменной $_GET

Что такое CSRF я не знаю пока...

[Андрей Федоров]

Аутентификация на сайте не реализована. Отправить заказ может любой. Куки в процессе не участвуют.

[Котик Антон]

Андрей Федоров: Ясно. Разберитесь с CSRF, должно помочь. В общих чертах идея хорошо описана тут https://learn.javascript.ru/csrf

Answer 2

[Родион Мун]

А как вы проверяете прошла ли каптча проверку на стороне скрипта? Нужны детали

Comments

[Андрей Федоров]

Капчи нет. Форма открыта. Валидация есть, js-ом налету и потом еще повторная, в php-скрипте.

[Родион Мун]

эм... А почему бы не сделать валюдацию капчи на стороне скрипта? И о защите от CSRF хорошо бы тоже подумать, как пишут выше.

[Андрей Федоров]

Родион Мун: Капчу буду внедрять в последнюю очередь, т.к. опасаюсь снижения конверсии.

Answer 3

[Робот]

Задать в скрипте проверку на реферера, куки, сессию, ip например. Надо видеть по идее что за скрипт.

Comments

[Андрей Федоров]

Это форма заказа, несколько полей - имя, телефон, почта, что заказываем. Все это шлется скрипту, который отсылает на административный e-mail значения полей. Если пользватель указал свою почту, письмо дублируется ему.

[Робот]

Андрей Федоров: капчу поставьте хотя бы простейшую и проверяйте её правильность в php, отдачу страницы с формой на html придётся переделать на php что бы капча работала

[Андрей Федоров]

Не Робот: Капчу буду внедрять в последнюю очередь, т.к. опасаюсь снижения конверсии.

[Робот]

Андрей Федоров: есть JS капчи которые отслеживают движение мышки и ввод букв при заполнении формы, пользователю ничего не придётся вводить и он даже не поймёт что она там есть, как на тостере тут типа галочку просто ставите и всё

[Андрей Федоров]

Не Робот: да, на js я проверю что пользователь не робот. Но у робота не будет работать js. Он даже страницу с формой не открывает. Просто стучится к скрипту site.com/action.php?bla=bla-bla или типа того...

[Робот]

Андрей Федоров: да скрипт action.php проверяет пришли ли данные от JS если нет никаких данных от антикапчи то просто завершает работу и всё

[Андрей Федоров]

Не Робот: А как передаются эти данные? И почему злоумышленник не сможет их подделать?

[Робот]

Андрей Федоров: ответы тут ruseller.com/lessons.php?id=442&rub=28 вот на JS programilla.com/blog/siteconstruction/205.html ruseller.com/lessons.php?id=815&rub=32 wmdn.ru/javascript/simple-invisible-javascript-cap...

Answer 4

[xmoonlight]

1. В форме при генерации на стороне сервера создайте поле hidden: key и запишите значение в сессию.
2. Через JS на стороне клиента (в браузере) поменяйте поле key: можно просто арифметическое действие сделать на основе цифр key.
3. При отправке формы - проверьте на сервере правильность расчёта параметра key:
Если неверно - верните 404 ошибку.

Answer 5

[Adamos]

Вам не нужны ни распространенные методы, ни капчи и скрипты.
У вас форма заказа. Что в ней должно быть - вам примерно известно.
Чего в ней не должно быть - тоже (тэгов, ссылок и прочего добра, которое туда будут пихать только боты).
Разбираете, что пришло, и определяете - текст вам пришел или мешанина из скриптов и ссылок. Первое обрабатываете, как положено, второе - ну, можно в лог записать на всякий пожарный...
И все.

У меня на сайте форма обратной связи защищена капчей от Битрикса. Ботам эта капча и защита самого Битрикса - "по хрену мороз". Но нормальный пользователь просто не будет заполнять форму такой хренью, которую шлют боты. Не спутаешь...

Comments

[Андрей Федоров]

Видите тут дело в чем, скрипт отправляет данные заявки на e-mail. Соответственно мы получаем в мыло туеву хучу треша, в котором нам нужно найти письмо с реальным заказом. Это напрягает.

Но суть вашего подхода я понимаю. Попробую усилить валидацию в скрипте.

[Adamos]

Андрей Федоров: То, что вы получаете - полбеды. Насколько я понимаю, используя ваш скрипт, можно послать кучу треша по любому адресу ("заказчику" ведь отсылается копия?).
Тогда вам явно надо срочно что-то делать, пока вы не в черном списке.