Добрый день, соратники.
С некоторых пор на сайте под битрикс 15.6.8 стали появляться фейковые пользователи, генерируемые ботами. Просмотр результатов выявил неприятность, что стандартная captcha, похоже, имеет проблему с безопасностью. Достаточно один раз посмотреть на капчу и постоянно подставлять в форму captcha_word и captcha_code. Так как пароль не меняется для каждой капчи отдельно, то злоумышленник очень просто может быстро заспамить сайт подменяя эти два поля на заранее валидные.
Сейчас я просто меняю пароль на капчу раз в день, но хотелось бы, например, делать для каждой капчи свой пароль. Прибавляя например к текущему паролю капчи автогерененную "соль" (типа "QWERT"), которую передавать через параметр формы.
Может быть у кого есть соображения на данный счет?
Поделюсь своим решением. Сделал капчу из русских букв. И заменил шрифт на такой, чтобы трудно было распознать ботами, например Л и П выглядят почти одинаково.
пример
Нет, там проблема не в этом. Проблема в том, что можно бесконечно подставлять уже распознанную капчу!
Алгоритм такой:
1) забираем форму авторизации, на сервере генерируется session
2) забираем уже известную нам капчу с captcha_code, к которой мы просто глазками нашли captcha_word, сервер повторно генерирует запись в таблице для нашей старой капчи (при этом нам абсолютно все равно, какую капчу сгенерировал сервер при выдаче формы)
3) посылаем форму с нашим session и подменянными captcha_word и captcha_code
4) пользователь зарегистрирован, осталось сходить в почту и активировать аккауни
