Gli spammer bypassano il reCaptcha

6

Sto usando recaptcha su una pagina di registrazione del forum molto semplice. Lo script controlla innanzitutto se il codice recaptcha è valido, quindi elabora. Appena ho messo in diretta il sito web, ha ottenuto molte registrazioni di spam (~ 30). Sono rimasto molto sorpreso dal modo in cui i bot spam potevano aggirare il reCaptcha.

In ogni caso, per renderlo più sicuro, ho implementato l'API stopforumspam.com. Quindi, prima il forum controlla il reCaptcha, quindi controlla lo stopforumspam.com per vedere se l'e-mail è spam o no. Tuttavia sto ancora ricevendo le registrazioni di spam (con le email che già esistono nel database di stopforumspam).

Ho provato a testare il mio sistema di registrazione registrandomi con una email di spam che esiste già nel database stopforumspam.com e il mio sistema non mi ha permesso di registrarmi.

Quindi, ora la mia domanda è questa, è questa debolezza nel mio codice di programmazione? Oppure gli spammer non usano la pagina di registrazione, alcuni come iniettare il codice nel database? È possibile controllarlo? Esiste la pratica della codifica per prevenire questo problema? Grazie.

    
posta cruz 14.11.2012 - 21:56
fonte

4 risposte

2

Ho notato problemi con ReCaptcha che non sono una buona fermata per le registrazioni di spam su alcuni dei miei siti personali. In molti casi, provo a utilizzare alcune informazioni che non sarebbero disponibili per lo spammer ma che sarebbero disponibili per i membri della comunità. Dal momento che la maggior parte dei siti che ho messo in gioco sono legati ai giochi, in genere si è trattato di una domanda sul gioco che è stata formulata in modo tale da non riuscire a trovare una semplice ricerca su Google. (Ad esempio, tralasciando il nome del gioco e facendo una domanda altrimenti generica o anche chiedendo a che gioco è.)

Mi rendo conto che questo potrebbe non funzionare in tutti i casi, ma non esiste nemmeno una soluzione valida per tutte le soluzioni per combattere le registrazioni di spam.

    
risposta data 14.11.2012 - 23:07
fonte
1

Immagino che non ci sia nulla di sbagliato nella tua programmazione, ma potresti aver lasciato aperto un ingresso per registrare gli account senza la pagina di registrazione effettiva. Ad esempio, se dopo un captcha riuscito la pagina ti reindirizza a link non c'è bisogno di controllo di accesso a tutti. Rende la pagina di registrazione un fronte che solo i "bravi ragazzi" usano ..

Ho anche un recaptcha fun: Nella foto, è solo la parte chiaramente generata dal computer che deve essere inserita. L'altro è scansionato da un libro e puoi scrivere qualunque cosa (incasinando qualche ebook da qualche parte credo).

    
risposta data 14.11.2012 - 22:23
fonte
1

In realtà penso che ci sia qualcosa di sbagliato nella programmazione, perché a mio parere stanno usando un altro modo per registrarsi sul tuo sito senza provenire dalla pagina che hai creato per la registrazione.

I motivi per cui pensi in questo modo:

  • hai provato a registrarti da solo con uno stopforumspam.com bloccato email e hai fallito, dopo aver ignorato captcha (il che significa che loro in qualche modo ignora il controllo dell'email non spam
  • Non sono sicuro che il tuo sito ne valga veramente la pena (senza offesa qui) pagare le persone per risolvere i captcha. Fino ad ora questo captcha è davvero strong e non ho sentito alcun incidente di aggirarlo senza pagare le persone. Quindi, se trovassi un modo per farlo, preferirei provare a usare questa conoscenza in un modo migliore.

Che cosa farei per testarlo:

  • elimina alcune registrazioni da e-mail di spam e prova a registrarti loro usando la tua pagina. (In questo modo sarò sicuro che le persone che registrato nel tuo sistema lo ha veramente bypassato, e questo non è solo un incidente con email casuali con stopforum)
  • se è davvero così, nel mio modulo di registrazione inserirò del codice che mi dirà da quale pagina è venuta esattamente la persona. Sono sicuro che stanno usando qualche altra pagina.
  • in retrospettiva al commento @ManuelFaux: assicurati di utilizzare la API solo per abbinare una email (non email, ip , nome utente o qualsiasi altra tupla)
risposta data 14.11.2012 - 22:37
fonte
0

Gli spammer usano spesso fattorie umane cinesi per inserire manualmente quei captcha. Non conosco il registro email di stopspam, ma puoi decodificare 1000 captcha per circa 1 USD.

    
risposta data 14.11.2012 - 22:24
fonte

Leggi altre domande sui tag