Plovoucí opisovací kód

Tak jo. :-)
No na té nové captche se mi nelíbí, že je tak dlouhá. V tom je ta první lepší. Ta stará sice lépe zapadá do celkového designu stránky, ale zase hrozí, že ji někdo přehlédne.

Trochu mimo: Zatím vždycky, když jsem dumal nad captchou, vyřešil jsem to přes skryté políčko formuláře, je to snazší.

Darker:
„a tak jsem vymyslel trochu jiný princip.“

Proč? Session je uložená na serveru a čistý kód nikdo nepřečte, pokud to neumožníš.
Já mám svou 3D captchu, která funguje právě přes sessions. Vygeneruje se náhodný kód a ten se přes sessions může JEN JEDNOU vykreslit a JEN JEDNOU validovat, jinak se jedná o neplatný pokus a generuje se nová captcha. Také mám omezený počet neplatných pokusů z jedné IP adresy za určitou dobu.

Darker:
„zní to trochu spíš jako chlubění se, než jako rada“
O to tu nejde. Mě jen přišlo divné to neřešit přes sessions a vymýšlet nějaké šílenosti přes hashovací funkce, navíc když samotná captcha je dost slabá. Hlavní text je jednou barvou.. dál už není moc co řešit. On by se takový robot asi nezabýval několika malými weby se slabou captchou, ale když už se dělá captcha, tak proč ji nedělat pořádně?

„Protože závisí na funkčnosti SESSION. (a navíc session zasírá daty, která mě matou při debugování jiných věcí)“
A captcha bývá stejně u registrace nebo zasílání příspěvku na dynamické stránce, která se necachuje.
To není argument proti použití SESSION. Že zasírá daty? Nesmysl. Stačí 1 proměnná.

„Mohl bys upřesnit, co myslíš tím 3D?“
Prostě text vykreslený v lineární perspektivě, např:

(původní základ samotného vykreslovacího kódu je z doublethink.cleverweb.cz, který už neběží delší dobu)

Lze to rotovat, posouvat, měnit kopce na důlky a opačně, přidávat šum... A když se to spojí s podmínkou, že jednu generovanou captchu lze vykreslit a validovat pouze jednou, tak to může být docela odolné.

Darker:

„Vypadá to luxusně, ten základ ještě máš?“
Ano mám, později to uploadnu a dám tu link (teď nejsem na svém pc).
edit: zde ke stažení .. není to úplně původní verze (tu už nemám), ale nejsou tam žádné funkční změny - pouze byl celý skript sloučen do 1 souboru + font
Není nic moc čitelná, ale po úpravě kamery a zmenšení výstupu je to lepší (viz má verze).

„Problém je jednoznačně v tom, že kdo má vyplé cookies, dohrál.“

Citace mojich reakcí na tohle téma z jiného topicu:

Nesouhlasím. Kolik lidí ze tisíce? 1? Nejsme snad v 90tých letech, kdy to bylo běžné.
Mám svůj jednoduchý redakční systém který pro přihlášení používá cookies (přes sessions). Používají jej stovky stránek a za dobu asi 4 let jsem neviděl jedinou zmínku o tom, že by si někdo stěžoval na "nefunkční přihlášení kvůli vypnutým cookies". I když bez cookies skutečně přihlášení nefunguje.

A to byl jen příklad.. spousta stránek cookies používá a nefunguje bez nich správně a nikdo se tomu nediví, protože všichni mají cookies zapnuté :)

Chamurappi:
„současné prohlížeče jsou schopné běžet v ‚privátním režimu‘, takže stát se bezsušenkovým brouzdalem je mnohem snazší než v devadesátých letech.“

ShiraNai7: Ano.. ale to nejsou cookies vypnuté, nýbrž jsou po vypnutí toho režimu či celého prohlížeče akorát smazány. Takže přihlášení a podobné věci používající cookies normálně fungují i v "privátním režimu". Já tu řeším hlavně tvrzení „Cookies nedoporučuji! Ne každý je má povoleny.“, které je nepravdivé.. a to je celé.

Darker:
„Aktuální verze je již OCR vzdorná.“
A uživatelsky taky, nepřečtu to ani náhodou. Nechápu, proč se všichni honí za tím, udělat CAPTCHU nečitelnou.

Reaguji na ShiraNaiho7:
Když cituješ, odkazuj na zdroj a nevybírej si jen to, co se ti hodí do krámu.

„Já tu řeším hlavně tvrzení ‚Cookies nedoporučuji! Ne každý je má povoleny.‘, které je nepravdivé.“
Nijak jsi ho nevyvrátil ani tam, ani tady. To, že ne každý má povoleny cookies, je fakt.
Pokud není závislost na cookies nutná (v tomto případě není), tak bych se jí vyhnul (bez obtíží). Krom toho u návštěvníka s funkčními cookies už je docela velká pravděpodobnost, že je to člověk (i když tedy jsou i chytří spamboti).

Chamurappi:
Není nutná.. ale aby byla captcha skutečně náhodná, tak se ten vygenerovaný kód musí někam na serveru uložit. Dělat to bez ukládání daných dat na serveru by umožnilo manipulaci s captchou. A nejjednodušší to je přes sessions. Vaše argumenty o vypnutých cookies jsou sice validní, ale takových uživatelů je zanedbatelné minimum (méně než uživatelů s vypnutým javascriptem).

Reaguji na ShiraNaiho7:
„Dělat to bez ukládání daných dat na serveru by umožnilo manipulaci s captchou.“
Omezuješ-li počet pokusů z jedné IP adresy, tak už si stejně musíš něco ukládat i mimo session. Stačí, aby to něco nebyl jen pouhý počet, ale seznam tokenů a k nim příslušných textů.

„takových uživatelů je zanedbatelné minimum (méně než uživatelů s vypnutým javascriptem)“
Máš na to nějaká skutečná data, nebo se opíráš jen o zkušenosti s malým hloučkem lidí, se kterými jsi přišel do styku?
Příště místo své citace rovnou dodej odkaz na nějakou autoritativní statistiku a to, jaké množství lidí už je zanedbatelné ve vztahu k pracnosti vývoje alternativního postupu, nech na individuálním posouzení tazatele.

Darker:
Člověče ty s tím antispamem vyvádíš jako by Ti na stránky chodila spamovat celá Čína i s Indií a Ruskem ;-)
Řešení s captcha je obecně špatné proto, že prudí mnohem víc lidi než roboty. Pokud by to šlo, určitě bych se mu vyhnul. Elegantní řešení je např. to, které se používá v této diskusi. A mám důvod se domnívat, že je i maximálně účinné. Provozuju totiž také jedno poměrně navštěvované fórum na miniBB. A dříve jsem měl denně několik set až několik tisíc pokusů o registraci spamerských účtů. Po nasazení řešení z fóra JPW jsem za několik měsíců nezaznamenal ani jediný úspěšný pokus.

Chamurappi:
„Máš na to nějaká skutečná data, nebo se opíráš jen o zkušenosti s malým hloučkem lidí, se kterými jsi přišel do styku?“

0.68% - http://17799-news.the-hamster.com/issue02-news8.htm
3.7% - http://smorgasbork.com/component/content/article/84-a-study-of-internet-users-cookie-and-javascript-settings
2.5% - http://tech.groups.yahoo.com/group/webanalytics/message/18027

„tak už si stejně musíš něco ukládat i mimo session“
Ukládám, je to redakční systém. Nebudu kvůli kódu a stavu vykreslení dělat tabulku v databázi, jen aby to exotům s vypnutými cookies fungovalo (těm nefunguje prakticky žádná webová služba která není jen "ke čtení").

Darker:
Uvědomuju. V jednoduchosti je síla - pro jednoduché případy. Tady to je a funguje jen protože to je jen tady. Kdyby to bylo v celém miniBB, tak by to bylo celkem k ničemu. A to je moje pointa. Stejně jako můžeš mít slabou captchu na pár webech - roboti se nebudou přispůsobovat pár individuálním případům.

Reaguji na ShiraNaiho7:
„0.68% - http://17799-news.the-hamster.com/issue02-news8.htm“
Připadá ti deset let starý průzkum relevantní? Chápu, chci statistiky, vygoogluješ mi nějaké statistiky, když už to musí být :-)

„Ukládám, je to redakční systém.“
U redakčního systému bych těch jeden a čtvrt procenta také obětoval. Darker dělá jen CAPTCHu, nepotřebuje redukovat cílovou skupinu.

„aby to exotům s vypnutými cookies fungovalo“
Třeba zrovna DJPW jim funguje.

Darker:
Nechám, žádný problém. Nemám žádný důvod někomu vnucovat svoje řešení. Konec konců na mém webu tvůj výtvor nebude.

Darker:
V čem nemám pravdu? Netvrdím, že vaše řešení jsou špatně. Tvrdím, že nejsou použitelné v globálnějším (= systém nasazený na více webech) měřítku (třeba redakční systémy, fóra).

Darker:
Jste tak nechápaví nebo to jen děláte? Když uděláte primitivní ochranu proti spamu založenou na vyplňování pořád stejného čísla a nasadíte to do redakčního systému/fóra co je globálně nasazován (nebo hodně známý třeba), tak se to roboti naučí a budou spamovat. Netvrdím, že to není účinné pro pár individuálních případů.

„Dolož, prosím.“
Proč je všude ve větších redakčních systémech/fórech a na stránkách (gmail, seznam, yahoo a statisíce dalších) obrázková captcha a ne tyhle vaše "řešení"?

Reaguji na ShiraNaiho7:
Teď tedy nechápu doopravdy. Bavíte se tu o CAPTCHe, která by odolala cílenému útoku, ne?