Comments on: CAPTCHA

By: Martin

Martin — Mon, 07 Jan 2008 14:10:01 +0000

Nei, s� enkelt er det heldigvis ikke, Petter.

By: Petter

Petter — Sun, 06 Jan 2008 01:09:19 +0000

S� Martin, for � spamme deg i fillebiter s� trenger man bare � bruke epost/url til en av de kommentat�rene som du allerede har godkjent?

By: Martin

Martin — Tue, 30 Oct 2007 12:05:24 +0000

Veldig bra poeng, Bj�rn!

Jeg er forresten i gang med � skrive en post om hvordan CAPTCHA egentlig b�r fungere, og hvordan man l�ser det rent teknisk.

By: Bj�rn Johansen

Bj�rn Johansen — Tue, 30 Oct 2007 09:43:07 +0000

Det er ikke n�dvendigvis s� vanskelig for spammere � omg� CAPTCHA heller. Du legger bare ut en �honeypot� og f�r massevis av mennesker til � taste de inn for deg.

Seth Godin har en liten artikkel om det her:
http://sethgodin.typepad.com/seths_blog/2007/10/diabolical.html

By: Martin

Martin — Thu, 25 Oct 2007 07:40:22 +0000

Fungerer l�sningen din uten st�tte for JavaScript, Svenn? Ikke at jeg ser det som et problem, men er bare nysgjerrig.

At jeg ikke omtaler de to punktene betyr ikke at jeg har glemt eller oversett de, Andreas. Kan jo ikke omtale alt som bruker skjemaer heller. Da ville lista blitt laaang.

By: H�vard Pedersen

H�vard Pedersen — Thu, 25 Oct 2007 07:31:17 +0000

Jeg er 110% enig med deg i at spamfiltre ikke b�r plage brukeren, CAPTCHA er et teknologisk blindspor i mine �yne. Det eneste unntaket jeg kan se for meg er hvis brukeren mangler st�tte for teknologier som spamfilteret beh�ver(og som er “vanlige”, slik som cookies eller javascript). Jeg har implementert en slik l�sning for min arbeidsgiver (debatter p� iTromso.no) hvor det kun er brukere uten javascript som merker spamfilteret, og da i form av et enkelt regnestykke som m� fylles ut.

N� skal det sies at slike filter er veldig lette for spammere � bryte seg gjennom, men s� lenge man bruker en selvlaget l�sning og ikke en standardisert en er det relativt trygt. Men jeg m� tilst� jeg likte cookies-l�sningen din ogs�.

By: Andreas

Andreas — Wed, 24 Oct 2007 21:54:08 +0000

Det er to ting du glemmer her Martin

1. Det finnes brukere som ikke har anledning til CAPTCHA i det hele tatt, rett og slett fordi dem ikke kan se bilder, jeg tenker selvf�lgelig p� sterkt svaksynte eller blinde brukere, uansett hvor vant jeg er til CAPTCHA i dag, vil det v�re umulig for meg � benytte om jeg skulle miste det lille jeg har igjen av syn.

2. Du har skrevet innlegget ditt kun for bloggkomentarer, men hva med nettsider, som krever registrering, som f.eks. gmail.com diskusjonsforumet til The Gathering (og andre). osv. Der vil ikke l�sningene du skiserer v�re s� enkle…

By: Svenn R. Mathisen

Svenn R. Mathisen — Wed, 24 Oct 2007 18:44:42 +0000

Hvis alle webmastere lager litt plunder og heft for spammerne ved � lage forskjellige l�sninger, blir det mer jobb for dem. For manuell hacking er derimot metoden du skisserer best.

Jeg misliker ogs� CAPTCHA veldig. Derfor gj�r jeg, litt forenklet, f�lgende:

- I det brukeren begynner � skrive i et textarea- eller inputfelt, gj�r AJAX et kall i bakgrunnen og returnerer et ID-nummer til et skjult form-felt (jeg kj�rer alts� en INSERT). Samtidig registrerer jeg klokkeslettet dette skjer. Jeg har alts� en “tom” rad i databasen med kun ID og dato/klokkeslett.
- N�r brukeren s� submiter, sjekker jeg at klokkeslettet er mindre enn en time, men mer enn 5 sekunder siden. Hvis ikke, kommer CAPTCHA opp som en mellomside. Deretter kj�rer jeg en UPDATE p� den tidligere opprettede raden.

Ingen perfekt l�sning, men perfekt for min del s� langt. Den fungerer vel p� sett og vis fordi ikke s� mange har akkurat denne implementasjonen. Oppfordrer derfor utviklere til � finne p� “rare ting”.