Доброго времени суток, увидел тут обсуждение нашего сервиса, решил откомментировaть все по порядку
Сообщение от
M_script
M_script said:
Недостаток подобных капч - конечное число картинок, что позволяет собрать полную базу и обходить капчу с вероятностью 100%
(в теории =))
Число картинок практически не имеет значения, так как достать картинки из капчи получится только если полностью сэмулировать браузер, включая все JS события и таймеры, а это сильно затратно по ресурсам для любого спам-бота... Картинки все летят в зашифрованном виде, поэтому достать их "напрямую" не получится, можете посмотреть используя вкладочку "сеть" в FireBug на то, какие они "красивые". Плюс у нас существует возможность создавать капчи для своего сайта из своих картинок, пока правда мы переделываем ToS'ы, но в июне снова можно будет оплатить такую услугу.
+KeyCAPTCHA грузится всегда по https, что убирает возможность использования большинства анонимных прокси
+KeyCAPTCHA отсеивает не только спамеров, но и троллей, использующих веб-анонимайзеры
+KeyCAPTCHA в любой момент может задействовать механизм контроля IP посетителя хитрым методом и ГЕО-контроль по странам...
(это если кто-то попытается сделать что-то типа antigate для KeyCAPTCHA)
+наши сервера собирают постоянно анонимные прокси с многих публичных и закрытых источников, в любой момент, для любого сайта, можно приминить фильтрацию анонимных прокси
Сообщение от
XAMEHA
XAMEHA said:
Конечно можно. Посмотрев сайт, я увидел, что воспользоваться Charles не получиться, поскольку на сайте поддерживается только SLL соединение.
Но Tamper Data меня ещё никогда не подводил. Тогда я поставил перехватку данных и принялся распознавать капчу. Оказалось, что без вмешательства сервера, проверка капчи осуществляется на стороне клиента:
Вы не внимательно смотрели Валидация капчи проходит на нашем сервере, никакой информации о правильном решении на клиенте нет. Капча встраивается в веб-форму с помощью перехвата onclick кнопки или ссылки по которой просходит постинг. Когда пользователь нажимает на "отправить" идет запрос на наш сервер для проверки капчи, результатом является строка содержащая подписанные MD5 ответ от нашего сервера для сервера на котором установлена KeyCAPTCHA. Ответ также содрежит флажок (0 или 1) по которому JS определяет надо обновлять капчу или отправить пост на сервер, когда пост прилетает на защищаемый сервер, там происходит проверка MD5 подписей и запрос на KeyCAPTCHA backend о том, действительно-ли капча была собрана правильно Так что никакие "вмешивания" в JS ни к чему не приведут, браузер посетителя не отвечает за проверку капчи вообще никак, он только пересылает информацию от нашего сервера на защищаемый веб-сервер, ну и если флажок взведен в 0, то обновляет капчу...
Сообщение от
Devvver
Devvver said:
Мне вот интересно, зачем капча такая на сайте? Я себе на сайт поставил флеш капчу с поворотами картинок - количество комментариев упало в 3 раза.
А тут какое желание комменты оставлять?
В этом-то и дело, что вы ставили Flash капчу, а у МНОГИХ пользователей стоит блокировка Flash, основной режим работы нашей капчи это HTML5, Flash используется только в IE и Opera, так как у первого нет HTML5, а у второго не совсем стандартный JS движок, который не понимает некоторых наших "завихрений кода"
Ну и хочется еще отметить что наш сервис, это не просто капчи конкретных видов, это платформа для создания любого интерактива с пользователем, разработать новый вид капчи для нас это 3-4 дня работы вместе с тестированием...
Ну вот вобщем-то всем ответил....