Quanto può essere valido questo captcha?

[beta_persei]

Salve, per limitare il problema dello spamming eseguito da boot nel compilare moduli elettronici, ho pensato di implementare un semplice captcha, che sembra funzionare, pero' volevo chiedere, a qualcuno, magari più esperto, se la logica di implementazione è giusta...

Ecco come ho fatto :

Codice PHP:

// Recupero una stringa alphanumerica con la funzione md5(microtime())
// Poi con la funzione substr ne prendo la parte che mi serve (5,6... o più caratteri)
// Attraverso le funzioni php per la realizzazione di jpeg, scrivo la stringa trovata su un file
// jpg e lo stampo a video.
// Metto la stringa alfanumerica trovata in una variabile di sessione
// --------------
// CONTROLLO  -
// --------------
// Per quanto riguarda il controllo, ho un campo di testo, con vicino l'immagine con la
// stringa stampata su. Per controllare verfico la condizione :
// campo_di_testo == variabile_di_sessione (che corrisponde alla stringa alphanumerica) 


Ecco, mi chiedevo, questo metodo è in grado di filtrare i boot?
La logica è giusta? Che probabilità c'e' che un boot recuperi il corretto valore della variabile stringa memorizzata in variabile di sessione ed eluda il controllo captcha?

• Inoltre, se l'immagine è disturbata da sfondo o caratteri obliqui o di differenti misure, è più difficile superare il controllo o non c'e' differenza con una immagine dove il codice si legge molto bene?

Grazie a tutti...
buona giornata.

[beta_persei]

up

[piero.mac]

puo' essere utile dare un'occhiata a questo articolo:

http://php.html.it/articoli/leggi/2276/captcha-con-php/

[zacca94]

secondo me la tua idea è scartabile già dalla prima riga...

// Recupero una stringa alphanumerica con la funzione md5(microtime())
// Poi con la funzione substr ne prendo la parte che mi serve (5,6... o più caratteri)

E se lo fa pure il bot?

[beta_persei]

Questo è fuori discussione...

Sai calcolare la probabilità di ottenere un codice, anche di solo 5 cifre, identico, considerando questi valori ? (0123456789abcdefghilmnopqrstuvzyw...)

E' una probabilità veramente bassissima... anche se potenzialmente intercettabile...

Come fare 6 al superenalotto!!! (più o meno....)

Io mi concentravo più che altro nel mettere la stringa nella variabile di sessione...
Per il resto credo non ci siano problemi...

Il captcha è in funzione da una decina di giorni e finora nessuno spam...

Solo volevo dei chiarimenti tecnici da qualcuno un po' più esperto tutto qua.

---------
@piero mac
Ho letto anche l'articolo di G. Farina, che mi hai segnalato. Lì però viene usato un db per memorizzare la "chiave". Invece il mio captcha deve funzionare senza db.

Comunque grazie per il suggerimento...

[zacca94]

Un ( esempio )"substr(md5(microtime()), 0, 5)" eseguito nello stesso momento della pagina, se l'ora del server è configurata in egual modo, ottiene lo stesso valore.

[piero.mac]

Originariamente inviato da beta_persei
Sai calcolare la probabilità di ottenere un codice, anche di solo 5 cifre, identico, considerando questi valori ? (0123456789abcdefghilmnopqrstuvzyw...)

veramente MD5 rende 32 digit che rappresentano 128 bit in exadecimale....

quindi "solo" 0123456789abcdef

Originariamente inviato da beta_persei
Ho letto anche l'articolo di G. Farina, che mi hai segnalato. Lì però viene usato un db per memorizzare la "chiave". Invece il mio captcha deve funzionare senza db.

puoi sempre memorizzare il valore che ti interessa in una variabile di sessione.

[beta_persei]

si scusami confondevo... termina con la "effe"...

Lo so che posso memorizzarlo in sessione...
chiedevo solo informazioni sull'affidabilità di quello fatto da me, almeno dal punto di vista logico...

Comunque grazie lo stesso.