Насколько хорошей может быть данный вид капчи?

Question

[maksam07]

Несколько часов думал о том, как же сделать капчу максимально непроходимой для антигейта и подобных, и при этом не пользоваться сторонними сервисами капчи.
Написал такой вот вариант:
В полный размер
Все сделано исключительно в картинках. Даже узнав число на первой картинке бот не узнает, какой radiobutton выбрать т.к. там совершенно никаких зацепок к числам нет. Получается что придется сверять все картинки с первой, и выбирать только ту, которая совпадает с ней. То есть каждый вариант отправлять в антигейт, но кто будет этим заниматься?
Так же, конечно же, не будут совпадать размеры изображений, ведь они все генерируются заново, и у самой капчи, и ответов к ней разный алгоритм генерации.

Что вы скажете по поводу этого варианта и что можете посоветовать в случае, если все же разгадать капчу легко?

Comments

[Алекс Глебов]

Что будет, если бот 10 раз отправит форму выбирая рандомно капчу?)

[maksam07]

Алекс Глебов: числа каждый раз перемешиваются. Вполне может быть, что и попадет. Поэтому я в конце и написал, что можете дать советы по улучшению защиты.
Так же в настройках я добавил неограниченное количество ответов (не написал об этом в самом посте). То есть 4 это стандарт, но их может быть и 10, что значительно усложнит перебор.

Можно будет попробовать сделать чекбоксами, и тогда нужно будет выбрать не одну кнопку, например 68, а две кнопки - 6 и 8.
Пока просто перебираю варианты, а лучший уж потом постараюсь воплатить

[riot26]

Максим Компаниец: бот угадает в ~25% случаев. Плохая защита. Возьмиту гугловую рекапчу.

[maksam07]

riot26: я не хочу пользоваться сторонней капчей. Предложи вариант улучшения капчи или вариант другой капчи вообще. Только не как у гугла, там механизм посложнее, сделать за 5 минут не получится ее.

Как на счет такой капчи: ruseller.com/lessons.php?id=442&rub=28

[Extremum]

Сделайте скрытое поле с проверкой на заполнение, пользователь с фронта не увидит и не заполнит, а бот заполнит. Я еще если проект не предполагает отправки ссылок в сообщении ставлю регулярку на текстовое поле с отсеиванием любых сообщений со ссылками. Типа /^(?:(?!\w+\.\w+).)*$/

[maksam07]

Extremum: скрытое поле с каким name? Типа: <input type="hidden" name="captcha" value="" />
Я когда-то давно что-то такое слышал, но ни разу не использовал.
И на сколько оно эффективно? Ведь если, например, пользователь будет сам настраивать бота на antigate, то пользователь и так не увидит скрытое поле и бот туда ничего и так не запишет, верно?

[Ankhena]

Максим Компаниец: type="hidden" не надо, его боты не станут заполнять. Сделайте похожим на настоящее и скройте стилями.

[Zhainar]

Ankhena W: стили тоже могут распознать

[Extremum]

Да через :nth-child(...) скрыть его любым способом. Я обычно ставлю его с типом email сразу после поля где треюуется email, что близко по логике с подтверждением email. Вообще решение очень эффективное, практикую не первый год.

[maksam07]

Extremum: спасибо.
Придумал доработку к капче. Как писал riot26: бот может рандомно тыкать на ответы и вероятнее всего в ближайшее время угадает верный. А что, если сделать блокировку капчи, если 3 раза она была не правильно введена? Ну и к примеру, нужно будет подождать 5 минут, чтобы капча снова заработала. Как такой вариант еще? Это уже скорее всего придется делать в связке с JS, чтобы работало получше. То бишь обновление капчи без перезагрузки страницы.

Не буду говорить, что проект прям капец как защитить надо, просто хочу сделать защиту посильнее, чем стандартные капчи :)

[maksam07]

Extremum: кстати, только вот недавно освободился и дошел до форм. А зачем использовать :nth-child(...), если можно скрыть просто, к примеру, по [name=email]? Я же не буду вставлять 2 одинаковых элемента в форму. Или буду? Может я что-то недопонял

[Ankhena]

Zhainar: могут, но делают очень редко.
Скрывать тоже можно не банальными способами.

Лет пять использую такую защиту, вполне работает для среднестатистических сайтов.

[Extremum]

Максим Компаниец: Да как угодно можно скрыть, я просто пример привел чтобы не перечислять кучу способов.

Answer 1

[Boris Köln]

Хорошо: нетиповая кэпча.

Фигово: Даже человеку без подсказки сложно разобраться, что надо делать.

Плохо: Числа очень легко распознать и прикрутить обход. Ваша защита - Неуловимый Джо

Очень плохо: вероятность угадывания с одной попытки 25%, с двух - 44%, с трех - 58%, с четырех - 69% и т.д. Ее даже никто взламывать не будет. Достаточно брутфорса за тысячную долю секунды.