Что мешает людям использовать чужую CAPTCHA как свою собственную?

Получение капчи. Предположим, что можно легко получить точную визуальную информацию о капче с иностранного хоста. Для этого вы должны пройти проверку рефералов (большинство браузеров (управляемых людьми) позволяют отправлять http_referer). Вам также придется сохранить session_id и secret из hidden input. Проверка результата. Внешний хост должен связать сохраненные переменные с переменными, связанными с сеансом вашего первого запроса, что требует от вас реализации хитрых cURL методов. Вам придется обрабатывать несколько параллельных запросов, все с вашего единственного IP-адреса.

Ваш сервер, вероятно, будет использовать больше ресурсов при взломе капчи на чужом хосте, чем если бы он сам генерировал капчу.

Предотвращает

1. http_referer проверка
2. ограничить запросы для одного IP, например, 5 минут
3. хорошая обработка сеанса и хитрые куки
4. это не невозможно реконструировать javascript, но чем сложнее ваш javascript, ...
5. вы должны найти образец, который распознает результат на чужом хосте. самой простой подписью может быть поле заголовка Location, ведущее либо к /path/success.html, либо к /path/tryagain.php

Задача:

Я нашел время, чтобы подготовить пример: http://woisteinebank.de/test/

В этом примере я прикрепляю ключи к session_id(); и сохраняю их в базе данных. Через session_regenerate_id(); у меня на каждый запрос идет свежая сессия. В check.php я сравниваю значения базы данных со значениями $_GET.

Попробуй найти способ получить эту капчу пиявкой, попробую защитить. Каждый раз, когда вы успешно используете мою капчу на своем сайте, я стараюсь ее защитить.