« ((T)) Un modo nuovo per dire Abbraccio | Main | Politici ignoranti »
Un CAPTCHA senza javascript matematica o immagini
By Merlinox | November 29, 2007
Come fare un captcha facile senza javascript, un po’ di css e un po’ di server side (coldfusion): un gioco da ragazzi.
Procediamo!
Ipotizziamo che il nostro modulo (form) sia fatto nel seguente modo:
<form name="frm_xxx" action="reg.cfm" method="post">
Nome <input type="text" name="nome"><br />
Sito <input type="text" name="sito"><br />
Mail <input type="text" name="mail"><br />
Commento<br>
<textarea name="commento"></textarea>
</form>
Mi sembra abbastanza standard, ok?
Mettiamoci nei panni dello spider che invia i moduli di spam: entra dentro, legge gli input, invia il modulo simulando http.referer e tutti i campi input con le sue parole si spam (cattivo…). Perfetto: facciamo il suo gioco, inseriamogli un bel campo input… che però lo vede solo lui e non gli utenti.
<!— SISTEMA CON CAPTHA NON TRADIZIONALE —>
<div style=”visibility:hidden”>
Non inserire testo nel campo sotto. Altrimenti non riuscire più a commentare.<br />
<input type=”text” name=”campoNascosto” value=”" style=”width:1px;height:1px;font-size:1px;” />
</div>
Come nasconderlo, semplice un po’ di CSS, in questo caso scritto nel codice HTML, ma possiamo usare benissimo delle classi, oppure dichiarare nel DIV contenitore di nascondere tutti gli input etc.
Attenzione! Non usare display:none altrimenti il campo input nascosto non viene inviato alla pagina destinataria (reg.cfm).
Ultimo pezzettino di fatica, facciamo un controllo nella pagina di registrazione del modulo, in modo che l’esito sia positivo solamente se il campoNascosto esiste ed ha valore “” (vuoto).
<cfif not(isDefined(”form.campoNascosto”) and form.campoNascosto is “”)>
Attenzione. Modulo non registrabile!
<cfabort>
</cfif>
La versione in php invece “fà” così (by DvD):
if ( (array_key_exists("campoNascosto",$_POST)))
{
if ($_POST["campoNascosto"]<>”")
{
die (”Attenzione. Modulo non registrabile!”);
}
La versione in asp:
<%
function existsFormParam(name)
existsFormParam = (Request.Form(name).Count = 1)
end function
if (existsFormParam(”captcha”) and Request.Form(”captcha”) = “”) then
Response.write(”ok”)
else
Response.write(”no”)
end if
%>
Et violà il gioco è fatto. Finora il sistema (qualche settimana) sembra tenere senza problemi, è chiaro che se qualcuno fa un “auto-commentatore” ad hoc buca facilmente il sito, al più di fare random il nome del campoNascosto, e memorizzarlo in una variabile di sessione o una variabile client.
Il sistema javascript-less permette l’utilizzo dei moduli anche da parte dei signori con js disabilitato.
***
Attenzione, il futuro di questa soluzione ha un nome e un plugin per Wordpress: HIDDY!
***
Tags: coldfusion, HTML
Post simili
April 26th, 2007 at 7:14 pm
Carina come idea, anche se… reggerà solo finchè gli spammer non mangeranno la foglia
April 26th, 2007 at 10:25 pm
In un mese e mezzo per ora non l’hanno ancora bucata. Speriamo bene - altrimenti troveremo un’altra soluzione, no?
May 25th, 2007 at 9:38 am
secondo me è piuttosto inattaccabile
May 25th, 2007 at 9:42 am
Ti dirò certezze ce ne sono poche, però fino adesso ha tenuto bene e ha filtrato tutto quanto.
June 21st, 2007 at 4:42 pm
Idea stupenda!
June 21st, 2007 at 4:47 pm
Addirittura stupenda. Grazie mille.
Mi fai arrossire.
July 29th, 2007 at 11:30 pm
Ottima soluzione, qui viene premiata l’originalità cioè la capacità di distinguersi dalla massa.
Lo SPAM vuole la massa
xkè di fatto è vero…è facilmente scavalcabile…xò chi si prende la briga di modificare i bot di spam solo per i 3/4 utenti che usano questa soluzione? nessuno (x ora).
Grande Merlinox!
July 30th, 2007 at 9:24 am
Purtroppo questa soluzione non ha fatto il successo che speravo. Come dice il buon Napolùx è perchè non l’ho standardizzata.
Sono comunque mesi che la uso con zero spam.
In compenso in 2 giorni ho ricevuto oltre 150 trackback di spam!
July 30th, 2007 at 10:19 am
Eh si, per i trackback-spam con quella soluzione non combini niente…ma non avresti combinato niente nemmeno con il CAPTCHA
July 30th, 2007 at 10:24 am
Infatti. Non volevo dire quello. Volevo solo dire che è un’altra rottura di palle
September 10th, 2007 at 10:55 pm
Ciao, nella ricerca di come bloccare lo spam nella mia sezione link, questa è l’idea più originale che abbia mai trovato.
Vorrei inserirla nella mia sezione ma sarà l’ora sarà che sono un pò ottuso mi mancano alcuni passaggi.
Puoi per cortesia contattarmi per aiutarmi passo passo o quanto meno dirmi se posso usare anch io questa tecnica nella mia sezione link?
Ti ringrazio anticipatamente.
September 11th, 2007 at 9:27 am
@gianni: grazie mille. ti ho mandato una mail all’indirizzo che hai indicato. ti confermo che funziona alla grande.
September 13th, 2007 at 6:54 pm
Ed ecco qui ora lo proviamo anche su meemi ;o) grazie guagliò http://www.meemi.com/buzzz/meme/282
September 15th, 2007 at 12:35 pm
Salve a tutti, ho appena trovato questo utilissimo blog che potrebbe risultare utile alla soluzione del problema Spam.
Purtroppo non sono molto pratico e mi servirebbe una guida passo passo o in altrnativa un esempio di form ( in modo da adattare il form del mio sito) nel quale è implementato lo script!
Un saluto e grazie
September 16th, 2007 at 11:10 pm
@capobecchino: Miticissimo. Sono onorato!
@baglieri: hai praticamente tutto scritto, cmq se hai dei dubbi scrivi pure che vediamo come risolvere il problema
September 17th, 2007 at 9:02 am
Buongiorno Merlinox,
in pratica non so dove inserire il seguente codice:
”
Attenzione. Modulo non registrabile!
”
Saluti e grazie
September 17th, 2007 at 9:44 am
Lo devi inserire all’inizio della pagina che riceve il form.
Purtroppo sono le basi del funzionamento server side. Bisogna che ci diamo una ripassata per mettere le mani sulle pagine, non vorrei altrimenti che nascessero casini nei vostri siti.
October 23rd, 2007 at 8:11 pm
Ottima idea… la proverò
October 23rd, 2007 at 8:17 pm
Un sistema per migliorarlo è creare un numero variabile (magari random) di campi nascosti
da far apparire
In questo modo c’è maggiore probabilità di far saltare gli spider ….
October 24th, 2007 at 9:20 am
Ciao ragazzi, vi segnalo che è uscito il plugin per Wordpress fatto da k76 su questa base.
http://hiddy.etechs.it
November 27th, 2007 at 3:21 pm
Si’ e’ carina come idea, l’ho vista utilizzare anche io su alcuni forum.
Pero’ e’ ancora piu’ interessante sapere quanto ci metteranno gli spammer a scoprire il trucco..
November 27th, 2007 at 3:26 pm
Grazie Giovanni. L’idea è stata notevolmente sviluppata nel progetto Hiddy: se ne parla parecchio in giro nella blogosfera e soprattutto nell’ambiente WordPress.
http://hiddy.etechs.it
http://tinyurl.com/399dpa
November 29th, 2007 at 2:10 pm
Ottima idea!
Ho effettuato una piccola variazione, ovvero ho tenuto solo l’input nel seguente modo:
Ovviamente lo script php è rimasto identico….secondo voi senza il tag funziona lo stesso? Io penso di si.
Grazie mille!
November 29th, 2007 at 2:18 pm
@inchiostro: purtroppo non si vede il codice che hai postato. Se sei un WP user usa http://hiddy.etechs.it
Altrimenti ci sentiamo per mail, magari hai una ottima soluzione alternativa!
November 29th, 2007 at 2:27 pm
Ho notato…in soldoni ho tolto il tag DIV ed utilizzato solo il tag INPUT NAME=”…” utilizzando TYPE=”hidden”.
In questo modo credo di ottenere lo stesso risultato utilizzando un generico tag DIV per tutto il mio form.
November 29th, 2007 at 2:36 pm
Al 90% penso funzioni. Ma se uno spider è un pelo più evoluto sa che deve lasciare stare gli hidden, che solitamente sono di servizio!
io manterrei text con style visibility:none;width:0;height:0;font-size:0;
December 21st, 2007 at 10:47 am
premesso che l’idea non e’ tua, coglione, ci vuole molto a istruire un bot a non riempire i campi che hanno “display:none” nel css?
sei proprio un coglion
December 21st, 2007 at 10:57 am
@pino: non meriti risposte. tecnicamente comunque puoi creare chiaramente un bot per qualsiasi cosa. in molti mesi di test nemmeno più un bot ha colpito questo blog. al più dei bot della gente con poco cervello… ma quello è inevitabile.
evoluzione della mia idea hiddy, con molti più controlli variabili, che i bot non prevedono!
December 21st, 2007 at 11:01 am
cha isa una questione di gelosia?
dai va su su. hiddy funziona, e per ora gli spambot non sono stati sitruiti a tal riguardo.
il discreto successo di hiddy, il plugin per wordpress, sta proprio sul fatto che abbiamo evoluto il concetto che sta su qeusto post.
January 29th, 2008 at 10:35 am
[...] Based on Merlinox’s idea: hidden captcha [...]
February 17th, 2008 at 2:54 pm
A me non funziona, nel senso che non va’ propio.
Uso php e ho copiato il relativo codiche che non funge…
Da ignorante mi salta all’occhio questo doppio “if” ma presumo che la sintassi sia corretta cosi come l’hai scritta tu:
IF ( (array_key_exists(”campoNascosto”,$_POST)))
{
IF ($_POST["campoNascosto"]“”)
{
die (”Attenzione. Modulo non registrabile!”);
}
Il codice mio della pagina di inserimento è:
<?php
include (”includes/config.php”);
$email=$_POST["email"];
$message=$_POST["message"];
$query=”INSERT INTO table(email, message) VALUES(’$email’,'$message’, now())”;
if (!mysql_query($query, $db))
{
print (”commento non inserito”);
}
else
{
echo (”commento inserito! HOME“);
}
mysql_close($db);
?>
Ho provato a inserire il tuo codice prima di config.php e dopo ma da sempre un errore ad una linea del testo che va oltre la fine del codice…
puoi aiutarmi?
February 17th, 2008 at 4:57 pm
Ciao Edonista, se lavori su piattaforma Wordpress salta ogni problema e usa direttamente http://hiddy.etechs.it
Se invece il problema è in un sito PHP ho inoltrato la tua segnalazione all’autore della traduzione in PHP, il mitico DVD!
February 18th, 2008 at 9:38 am
@Edonista: Senza errore diventa veramente difficile capire di cosa si potrebbe trattare. Cmq il doppio if serve per verificare che effettivamente esista il campo ‘Hiddy’ prima di valutarne il contenuto in modo da non sollevare problemi.
Se ti risulta più facile da capire puoi modificare il codice in questo tratto da quello che ha fatto Enrico per Hiddy:
if (isset($_POST[$val]) && empty($_POST[$val])) {
$found=1;
}
La funzione isset sostituisce array_key_exists(”campoNascosto”,$_POST)
Byez
February 18th, 2008 at 10:20 am
Grazie mille DVD! Ora mi “suona” tutto piu’ chiaro :))
February 28th, 2008 at 9:21 am
[...] tutti gli altri rimando al post preciso con gli esempi e la base del flusso logico di controllo! Tags: captcha, coldfusion, gmail, google, hiddy, [...]
February 29th, 2008 at 7:47 pm
Sono alquanto noob in queste cose, ma mi domando a cosa serve il tag style nell’input, se non è necessario non sarebbe meglio toglierlo, per renderlo più anonimo possibile? e ancora, descrivere le caratteristiche del div (visibility:hidden;) in un file css esterno aiuta a migliorare la protezione, o è esattamente la stessa cosa?
Scusate se queste domande sono stupide o se hanno risposte ovvie ma sono solo agli inizi… grazie 1000 per l’attenzione
March 1st, 2008 at 5:13 pm
Hai ragione. E’ solo per destabilizzare un po’ il codice e/o eventuale lettore
May 29th, 2008 at 10:51 pm
Ritengo che Hiddy sia tanto semplice quanto geniale. A quando un plugin per joomla?
May 30th, 2008 at 7:50 am
Grazie Fabrizio, troppo buono. Per quanto riguarda Hiddy, io ci ho solo messo l’idea e la versione “manuale” in coldfusion. Il resto è opera di quel genio di k76. Per quanto riguarda Joomla temo che qualcun’altro dovrebbe proporsi. K76 la vedo dura, e io ho un pessimissimo rapporto con quel “coso” chiamato joomla
July 3rd, 2008 at 8:55 pm
[...] cosa si cela dietro questo straordianrio quanto semplice plugin è necessaria una lettura di “Un CAPTCHA senza javascript matematica o immagini“. Per quelli che hanno Wordpress, l’utilizzo è il solito di ogni plugin e la sua [...]
July 30th, 2008 at 3:37 pm
[...] l’idea che sta alla base di Hiddy, mi sono fatto il mio personale [...]
November 14th, 2008 at 4:11 pm
[...] post di cui sei più fiero? Sicuramente l’idea di Hiddy realizzata quindi come wordpress [...]