Captcha soluzione senza GD

**andr3a** · 01-12-2005, 14:35

Originariamente inviato da DMM
è una idea...
però se un utente ha i java disabilitati?

beh io ho sempre i java disabilitati, ma javascript, invece, lo lascio abilitato ( java non e' javascript

) .

Originariamente inviato da DMM
non può registrarsi?

avete optato per Flash ... ora dimmi quante possibilita' ci sono che uno che si installa Flash Player disabilita JavaScript ... volevo solo darvi un'alternativa ... e se ha JS disabilitato ... beh, che lo abiliti

P.S. per installarsi il Flash Player javascript e' necessario averlo abilitato

**mircov** · 01-12-2005, 14:57

Vabbè, alla fine è un'altra idea! Credo sia una scelta del programmatore che sistema utilizzare! Altrimenti i captcha che li facevano a fare?
Questa vuole essere un'alternativa testuale a quella grafica

**andr3a** · 01-12-2005, 15:11

Originariamente inviato da mircov
Vabbè, alla fine è un'altra idea! Credo sia una scelta del programmatore che sistema utilizzare! Altrimenti i captcha che li facevano a fare?
Questa vuole essere un'alternativa testuale a quella grafica

è più facile farsi un vocabolario da prima a trendaduesima in tante lingue che far leggere ad un robot che non vede javascript ... pero' come dici, sono solo alternative, meglio una in più che una in meno

**mircov** · 01-12-2005, 15:26

Per questo parlavo di linguaggi!
Tu dici primo, secondo , terzo, ecc.
Un altro può dire 1, 2, 3, 4, 5, ecc.
Un altro può dire in posizione alpha, beta, gamma, ecc.

I modi sono molti! Usando un metodo di indicazione non comune si renderebbe il processo molto più sicuro!

**Petro_suse91** · 11-02-2006, 14:47

Riporto up questa discussione per una domanda:

Originariamente inviato da andr3a
grazie per avermi ignorato

cmq io dicevo una cosa tipo questa:

codice:

<?php
if(
	isset($_POST['hideciapcia'], $_POST['ciapcia']) &&
	strlen(trim($_POST['hideciapcia'])) > 0 && 
	$_POST['ciapcia'] === $_POST['hideciapcia']
) {
	echo 'Bravo utente!';
}
?>
<script type="text/javascript">
var ciapcialength = 8;
var ciapciaid = 'ciapcia';
function createCiapcia() {
	if(!ciapciaid.innerHTML)
		ciapciaid = document.getElementById(ciapciaid);
	var chars = new Array();
	for(var a = 0; a < 26; a++)
		chars.push(String.fromCharCode(a+97));
	for(var a = 0; a < 10; a++)
		chars.push(String.fromCharCode(a+48));
	var extract = parseInt(Math.random() * chars.length);
	if(parseInt(Math.random() * 2) == 0)
		chars[extract] = chars[extract].toUpperCase();
	ciapciaid.innerHTML += chars[extract];
	if(ciapcialength-- > 1)
		setTimeout(createCiapcia, parseInt(Math.random() * 200));
	else {
		document.getElementById('sendinfo').disabled = false;
		document.getElementById('verify').value = ciapciaid.innerHTML;
	}
}
</script>
<body onload="createCiapcia();">
<form method="POST" action="<?php echo $_SERVER['PHP_SELF']; ?>">
	<span id="ciapcia"></span>

	<input id="verify" type="hidden" name="hideciapcia" />
	<input type="text" name="ciapcia" />  
	<input id="sendinfo" disabled="true" type="submit" value="enter" />
</form>
</body>

non ho mai capito se gli screenreader riescono a beccarsi anche il JavaScript me credo proprio di no ... che mi dite ?

Ma così allo spambot basta inviare uguali e non nulli i due campi $_POST['ciapcia'] e $_POST['hideciapcia'] per passare, no?
Non mi sembra che controlli che la stringa sia effettivamente quella generata dal js, o sbaglio?

**andr3a** · 11-02-2006, 14:52

Originariamente inviato da Petro_suse91
Ma così allo spambot basta inviare uguali e non nulli i due campi $_POST['ciapcia'] e $_POST['hideciapcia'] per passare, no?

io ho dato solo la base per una eventuale alternativa, ci sono tanti metodi per migliorarla o renderla veritiera

**Petro_suse91** · 11-02-2006, 15:00

Ma esiste la possibilità di controllare lato server cosa ha scritto il js?

**andr3a** · 11-02-2006, 15:02

Originariamente inviato da Petro_suse91
Ma esiste la possibilità di controllare lato server cosa ha scritto il js?

invii in ajax o cambi l' action della form con

pagina.php?jsciapcia=udah62JHIhd7

oppure salvi un cookie via JS e lo ricontrolli al submit via PHP

**Petro_suse91** · 11-02-2006, 15:06

Questa del cookie mi piace, è proprio carina e semplice come soluzione!

Alloraa si può fare anche una cosa trasparente all'utente: tramite js salvo un cookie con l'id di sessione (un echo lato server del sid nel codice javascript) e lo ricontrollo in php.

A questo punto emergono le mie lacune teoriche:
è sicuro usare un cookie con il session id?
Il bot può replicarlo, ovvero, sarebbe bucabile questo metodo?

**andr3a** · 11-02-2006, 15:08

non ho capito bene cosa vuoi fare ... che c'entra la sessione ? :master:

P.S. la sessione è già un cookie

Discussione: Captcha soluzione senza GD

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio