Un CAPTCHA senza javascript matematica o immagini

Come fare un captcha facile senza javascript, un po’ di css e un po’ di server side (coldfusion): un gioco da ragazzi. Procediamo! Ipotizziamo che il nostro modulo (form) sia fatto nel seguente modo: <form name="frm_xxx" action="reg.cfm" method="post"> Nome <input type="text" name="nome"><br /> Sito <input type="text" name="sito"><br /> Mail <input type="text" name="mail"><br /> Commento<br> <textarea name="commento"></textarea> </form> Mi sembra abbastanza standard, ok? Mettiamoci nei panni dello spider che invia i moduli di spam: entra dentro, legge gli input, invia il modulo simulando http.referer e tutti i campi input con le sue parole si spam (cattivo…). Perfetto: facciamo il suo gioco, inseriamogli un bel campo input… che però lo vede solo lui e non gli utenti.

<!— SISTEMA CON CAPTHA NON TRADIZIONALE —> <div style="visibility:hidden"> Non inserire testo nel campo sotto. Altrimenti non riuscire più a commentare.<br /> <input type="text" name="campoNascosto" value="" style="width:1px;height:1px;font-size:1px;" /> </div> Come nasconderlo, semplice un po’ di CSS, in questo caso scritto nel codice HTML, ma possiamo usare benissimo delle classi, oppure dichiarare nel DIV contenitore di nascondere tutti gli input etc. Attenzione! Non usare display:none altrimenti il campo input nascosto non viene inviato alla pagina destinataria (reg.cfm). Ultimo pezzettino di fatica, facciamo un controllo nella pagina di registrazione del modulo, in modo che l’esito sia positivo solamente se il campoNascosto esiste ed ha valore "" (vuoto).

<cfif not(isDefined("form.campoNascosto") and form.campoNascosto is "")>

Attenzione. Modulo non registrabile! <cfabort>

</cfif> La versione in php invece "fà" così (by DvD): if ( (array_key_exists("campoNascosto",$_POST))) { if ($_POST["campoNascosto"]<>"") { die ("Attenzione. Modulo non registrabile!"); } La versione in asp: <% function existsFormParam(name) existsFormParam = (Request.Form(name).Count = 1) end function if (existsFormParam("captcha") and Request.Form("captcha") = "") then Response.write("ok") else Response.write("no") end if %> Et violà il gioco è fatto. Finora il sistema (qualche settimana) sembra tenere senza problemi, è chiaro che se qualcuno fa un "auto-commentatore" ad hoc buca facilmente il sito, al più di fare random il nome del campoNascosto, e memorizzarlo in una variabile di sessione o una variabile client. Il sistema javascript-less permette l’utilizzo dei moduli anche da parte dei signori con js disabilitato. *** Attenzione, il futuro di questa soluzione ha un nome e un plugin per WordPress: HIDDY! ***

Loading Facebook Comments ...

50 pensieri su “Un CAPTCHA senza javascript matematica o immagini

  1. Daniele Simonin

    Ottima soluzione, qui viene premiata l’originalità cioè la capacità di distinguersi dalla massa.

    Lo SPAM vuole la massa 😉 xkè di fatto è vero…è facilmente scavalcabile…xò chi si prende la briga di modificare i bot di spam solo per i 3/4 utenti che usano questa soluzione? nessuno (x ora).

    Grande Merlinox!

    Rispondi
  2. Merlinox

    Purtroppo questa soluzione non ha fatto il successo che speravo. Come dice il buon Napolùx è perchè non l’ho standardizzata.
    Sono comunque mesi che la uso con zero spam.

    In compenso in 2 giorni ho ricevuto oltre 150 trackback di spam!

    Rispondi
  3. Gianni

    Ciao, nella ricerca di come bloccare lo spam nella mia sezione link, questa è l’idea più originale che abbia mai trovato.
    Vorrei inserirla nella mia sezione ma sarà l’ora sarà che sono un pò ottuso mi mancano alcuni passaggi.

    Puoi per cortesia contattarmi per aiutarmi passo passo o quanto meno dirmi se posso usare anch io questa tecnica nella mia sezione link?

    Ti ringrazio anticipatamente.

    Rispondi
  4. baglieri

    Salve a tutti, ho appena trovato questo utilissimo blog che potrebbe risultare utile alla soluzione del problema Spam.
    Purtroppo non sono molto pratico e mi servirebbe una guida passo passo o in altrnativa un esempio di form ( in modo da adattare il form del mio sito) nel quale è implementato lo script!

    Un saluto e grazie

    Rispondi
  5. Merlinox

    @capobecchino: Miticissimo. Sono onorato!
    @baglieri: hai praticamente tutto scritto, cmq se hai dei dubbi scrivi pure che vediamo come risolvere il problema 🙂

    Rispondi
  6. Merlinox

    Lo devi inserire all’inizio della pagina che riceve il form.
    Purtroppo sono le basi del funzionamento server side. Bisogna che ci diamo una ripassata per mettere le mani sulle pagine, non vorrei altrimenti che nascessero casini nei vostri siti.

    Rispondi
  7. Luca

    Un sistema per migliorarlo è creare un numero variabile (magari random) di campi nascosti
    da far apparire

    In questo modo c’è maggiore probabilità di far saltare gli spider ….

    Rispondi
  8. giovanni

    Si’ e’ carina come idea, l’ho vista utilizzare anche io su alcuni forum.
    Pero’ e’ ancora piu’ interessante sapere quanto ci metteranno gli spammer a scoprire il trucco.. 🙂

    Rispondi
  9. Inchiostro Simpatico

    Ottima idea!

    Ho effettuato una piccola variazione, ovvero ho tenuto solo l’input nel seguente modo:

    Ovviamente lo script php è rimasto identico….secondo voi senza il tag funziona lo stesso? Io penso di si.

    Grazie mille!

    Rispondi
  10. Inchiostro Simpatico

    Ho notato…in soldoni ho tolto il tag DIV ed utilizzato solo il tag INPUT NAME=”…” utilizzando TYPE=”hidden”.

    In questo modo credo di ottenere lo stesso risultato utilizzando un generico tag DIV per tutto il mio form.

    Rispondi
  11. Merlinox

    Al 90% penso funzioni. Ma se uno spider è un pelo più evoluto sa che deve lasciare stare gli hidden, che solitamente sono di servizio!

    io manterrei text con style visibility:none;width:0;height:0;font-size:0;

    Rispondi
  12. pino

    premesso che l’idea non e’ tua, coglione, ci vuole molto a istruire un bot a non riempire i campi che hanno “display:none” nel css?

    sei proprio un coglion

    Rispondi
  13. Merlinox

    @pino: non meriti risposte. tecnicamente comunque puoi creare chiaramente un bot per qualsiasi cosa. in molti mesi di test nemmeno più un bot ha colpito questo blog. al più dei bot della gente con poco cervello… ma quello è inevitabile.

    evoluzione della mia idea hiddy, con molti più controlli variabili, che i bot non prevedono!

    Rispondi
  14. k76

    cha isa una questione di gelosia?

    dai va su su. hiddy funziona, e per ora gli spambot non sono stati sitruiti a tal riguardo.

    il discreto successo di hiddy, il plugin per wordpress, sta proprio sul fatto che abbiamo evoluto il concetto che sta su qeusto post.

    Rispondi
  15. Pingback: Hiddy plugin » » Hiddy wordpress plugin (captcha like)

  16. edonista

    A me non funziona, nel senso che non va’ propio.
    Uso php e ho copiato il relativo codiche che non funge…

    Da ignorante mi salta all’occhio questo doppio “if” ma presumo che la sintassi sia corretta cosi come l’hai scritta tu:

    IF ( (array_key_exists(“campoNascosto”,$_POST)))
    {
    IF ($_POST[“campoNascosto”]””)
    {
    die (“Attenzione. Modulo non registrabile!”);
    }

    Il codice mio della pagina di inserimento è:

    <?php

    include (“includes/config.php”);

    $email=$_POST[“email”];
    $message=$_POST[“message”];

    $query=”INSERT INTO table(email, message) VALUES(‘$email’,’$message’, now())”;

    if (!mysql_query($query, $db))
    {
    print (“commento non inserito”);
    }
    else
    {
    echo (“commento inserito! HOME“);
    }
    mysql_close($db);
    ?>

    Ho provato a inserire il tuo codice prima di config.php e dopo ma da sempre un errore ad una linea del testo che va oltre la fine del codice…
    puoi aiutarmi?

    Rispondi
  17. Merlinox Autore articolo

    Ciao Edonista, se lavori su piattaforma WordPress salta ogni problema e usa direttamente http://hiddy.etechs.it

    Se invece il problema è in un sito PHP ho inoltrato la tua segnalazione all’autore della traduzione in PHP, il mitico DVD!

    Rispondi
  18. DvD

    @Edonista: Senza errore diventa veramente difficile capire di cosa si potrebbe trattare. Cmq il doppio if serve per verificare che effettivamente esista il campo ‘Hiddy’ prima di valutarne il contenuto in modo da non sollevare problemi.

    Se ti risulta più facile da capire puoi modificare il codice in questo tratto da quello che ha fatto Enrico per Hiddy:

    if (isset($_POST[$val]) && empty($_POST[$val])) {
    $found=1;
    }

    La funzione isset sostituisce array_key_exists(”campoNascosto”,$_POST)

    Byez

    Rispondi
  19. Pingback: PI: Gli spammer assalgono Gmail | MrX

  20. Leo

    Sono alquanto noob in queste cose, ma mi domando a cosa serve il tag style nell’input, se non è necessario non sarebbe meglio toglierlo, per renderlo più anonimo possibile? e ancora, descrivere le caratteristiche del div (visibility:hidden;) in un file css esterno aiuta a migliorare la protezione, o è esattamente la stessa cosa?
    Scusate se queste domande sono stupide o se hanno risposte ovvie ma sono solo agli inizi… grazie 1000 per l’attenzione

    Rispondi
  21. Merlinox Autore articolo

    Grazie Fabrizio, troppo buono. Per quanto riguarda Hiddy, io ci ho solo messo l’idea e la versione “manuale” in coldfusion. Il resto è opera di quel genio di k76. Per quanto riguarda Joomla temo che qualcun’altro dovrebbe proporsi. K76 la vedo dura, e io ho un pessimissimo rapporto con quel “coso” chiamato joomla 🙂

    Rispondi
  22. Pingback: Come ho ridotto del 99,9% lo spam sul mio blog | Sergejpinka

  23. Pingback: » Come integrare un antispam nei nostri form php | DoZ-log |

  24. Pingback: Una blogger carriera | MrX

  25. Pingback: Aggiornamenti PageRank | MrX

  26. Pingback: Easy captcha without javascript images and math | MrX

  27. nemo

    Per chi come è già vittima di spam e aggiunge solo dopo questa utile funzionalità faccio presente che il seguente codice (PHP) non risolve interamente il problema:

    if ( (array_key_exists(“campoNascosto”,$_POST))) { if ($_POST[“campoNascosto”]””) { die (“Attenzione. Modulo non registrabile!”); }

    infatti tutte le chiamate che non includono “campoNascosto” passano via lisce. Questo è dovuto al doppio IF che considera SPAM solo le chiamate in cui il campo esiste ed è valorizzato e non quelle in cui il campo proprio non viene inviato. Ho fatto questa piccola modifica:

    if ( (array_key_exists(“campoNascosto”,$_POST))) {
    if ($_POST[“campoNascosto”]””) {
    die (“Attenzione. Modulo non registrabile!”);
    }
    } else die (“Attenzione. Modulo non registrabile!”);

    nemo

    Rispondi
  28. Pingback: Merlinox's Blog

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *