Screen reader e spambot

[saibal]

Originariamente inviato da daniele_dll
ok ... di conseguenza prendo greenseamonkey (si chiama cosi?) e mi scrivo 10 righe di codice che mi leggono la variabile tramite o dom o da js stesso e ho aggirato instantaneamente il problema

ok, grazie

[chris]

Originariamente inviato da daniele_dll
perché nel thread si cerca un sistema alternativo a chaptha, altrettanto valido, e accessibile

Ma tu usi il captcha per un sistema di login?
Che te ne fai di un sistema del genere in un form di login che tanto non verrà passato per mancanza di credenziali (username e password corrette)?

Secondo me l'uso di uno qualsiasi di questi sistemi ha senso solamente nel caso di form "one-shot" come può essere il post libero su un forum/blog, un formmail, un modulo di registrazione o comunque un contenuto dinamico accessibile senza il bisogno di un login e che produce un output da qualche parte (mail o database e quindi online).

[saibal]

Originariamente inviato da chris
Ma tu usi il captcha per un sistema di login?
Che te ne fai di un sistema del genere in un form di login che tanto non verrà passato per mancanza di credenziali (username e password corrette)?

credo lo faccia per evitare il bruteforcing con 1000 prove al secondo

[skidx]

ok, così no, credevo che generassi il numero random sul server e lo facessi scrivere a javascript tramite document.write().

A quel punto, non ho capito l'utilità di far copincollare all'utente il valore. :master:
Se la discriminante per l'accesso è la presenza o meno di javascript attivo, fai fare qualcosa a javascript, in maniera invisibile, senza scomodare l'utente, no?

[saibal]

Originariamente inviato da skidx
ok, così no, credevo che generassi il numero random sul server e lo facessi scrivere a javascript tramite document.write().

A quel punto, non ho capito l'utilità di far copincollare all'utente il valore. :master:

bhè... ti è mai capitato di metterci 10 minuti a scrivere un codice di questo tipo (con maiuscole e minuscole)? Yf44Mz7

l'ho fatto per abbreviare il lavoro all'utente ma dare una parvenza di sicurezza sul bruteforcing

poi ovviamente i codici devono coincidere. ecco perchè è richiesto il lavoro "umano"

[chris]

Originariamente inviato da saibal
credo lo faccia per evitare il bruteforcing con 1000 prove al secondo

ma se tanto dopo tre tentativi falliti banna l'ip per 24 ore, hai voglia a tentare di bruteforcing tra password al giorno :E

[skidx]

Originariamente inviato da saibal
credo lo faccia per evitare il bruteforcing con 1000 prove al secondo

Basta bloccare l'account come fanno i sistemi operativi, no?

Il captcha ti espone meno ad attacchi DOS, questo è vero, ma io proprio non lo digerisco.

[daniele_dll]

Originariamente inviato da saibal
credo lo faccia per evitare il bruteforcing con 1000 prove al secondo

esatto

[daniele_dll]

Originariamente inviato da skidx
Basta bloccare l'account come fanno i sistemi operativi, no?

Il captcha ti espone meno ad attacchi DOS, questo è vero, ma io proprio non lo digerisco.

si certo

ma metti che il sistema automatizzato ti becca la password al 2° tentativo (caso surreale) o metti che non puoi bannare l'ip ... il captcha è una soluzione + affidabile

diciamo che nel 95% dei casi rimanenti (esclusa l'autenticazione) il captcha è estremamente sovradimensionato e una soluzione tipo quella di saibal è + che sufficente

nota: tutti i miei discorsi erano riferiti a questo

[skidx]

Originariamente inviato da saibal
poi ovviamente i codici devono coincidere. ecco perchè è richiesto il lavoro "umano"

Scusami, forse mi sfugge ancora come funziona il tuo sistema.
Quando il form viene inviato al server, come avviene la verifica che quelli siano dati "validi" e non da bloccare?

Non mi dire che controlli se i due campi inviati contengono lo stesso valore, qualunque esso sia, che sono debole di cuore e potrei morire dalle risate