Какво пречи на хората да използват CAPTCHA на някой друг като свой?

Извличане на captcha. Ако приемем, че човек може лесно да извлече точното изображение на captcha от чуждия хост. За да направите това, трябва да преминете проверката за реферали (повечето браузъри (навигирани от хора) позволяват изпращането на http_referer). Вие също ще трябва да запазите session_id и secret от hidden input. Проверка на резултата. Чуждият хост трябва да свърже запазените променливи с тези, свързани със сесията на първата ви заявка, което изисква да приложите трудни cURL методи. Ще трябва да обработвате множество паралелни заявки, всички от вашия един IP.

Вашият сървър вероятно ще използва повече ресурси, когато хаква captcha на чужд хост, отколкото ако генерира captcha сам.

Предотвратява

1. http_referer проверка
2. ограничаване на заявките за един IP до напр. 5 / минута
3. добра обработка на сесията и трудни бисквитки
4. не е невъзможно да се направи обратно инженерство на javascript, но колкото по-сложен е вашият javascript, ...
5. трябва да намерите модел, който разпознава резултата на чуждия хост. най-лесният подпис може да бъде полето за заглавка Location, което води до /path/success.html или /path/tryagain.php

Предизвикателство:

Отделих малко време, за да подготвя пример: http://woisteinebank.de/test/

В този пример прикачвам ключове към session_id(); и го записвам в базата данни. Чрез session_regenerate_id(); имам нова сесия за всяка заявка. В check.php сравнявам стойностите на базата данни със стойностите на $_GET.

Опитайте се да намерите начин да получите пиявица тази captcha, ще се опитам да защитя. Всеки път, когато използвате успешно моята captcha на вашия сайт, аз се опитвам да го защитя.