Re: Про спам

>Откуда столько спама, не верю что обычные боты (без спец. оптимизации) считают пределы и детерминанты.
Ставишь ответ 0 и ждешь когда он выпадет.

Re: Про спам

> Ставишь ответ 0 и ждешь когда он выпадет.
Ну так отфильтровывать такие капчи. И ещё все простые числа. Пора переходить на дробные/ирациональные/трансцендентные.

Re: Про спам

Ставишь любой ответ и ждешь когда он выпадет.

Re: Про спам

Так надо воспретить попытку с одинаковым ответом более N раз.

Re: Про спам

Не более N раз по всем юзерам? Спамер может сбрасывать кукисы (капча без них не работает), кроме того скорее всего он использует новые айпишники каждый раз, предполагая что его могут забанить по айпи. Т.е. каждый постинг не зависит от предыдущего состояния.

Надо капчу как-то усложнять:

0. Сбрасывать капчу после неудачного ответа. Сейчас можно сделать несколько попыток угадывания одной и той же капчи. Или лучше сбрасывать после 3-5 попыток. Что бы облегчить жизнь человекам. Например я не всегда обращаю внимание на знак в выражении и ввожу ответ два, а то и три раза.

1. Убедиться что пользователь считывал капчу - выставлять флажок в сессии о том, что картинка отдана - ведь спамеру возможно важен трафик и он не считывает картинки: наверняка же он флудит не только на трёх с половиной человек на этом форуме и если на каждый запрос ему придётся считывать десятки и сотни килобайтов, то с перебором значений это превратится в мегабайты и сотни мегабайт. Этот пункт в основном служит для экономии вычислительных ресурсов и отсечения наиболее дешёвых попыток спама.

2. Поднимем стоимость спама. Надо увеличить формат картинки. Никто не мешает сделать её размерами 640х480 например. Во-первых увеличится размер файла, что не так сильно ударит по обычным пользователям, кто считывает капчу лишь несколько раз в день, сколько по спамеру, вынужденному перезапрашивать капчу десятки и сотни раз подбирая ответ.

3. Убрать кнопку подтверждения и сделать сабмит по клику на картинке капчи ( < input type="image" ... >), при этом, при клике на картинко форма будет субмититься и на сервер будут передаваться Х- и У-координаты точки, где было кликнуто. Соответственно сервер должен произвольно перемещать маркер активной области по имеющейся площади капчи и нужно будет не только ввести правильный ответ, но и кликнуть в правильном месте, что будет проверено сервером. После этого сложность капчи можно считать возведённой в куб.

В принципе этого должно быть и достаточно. Допустим поле, в которое нужно ткнуть мышкой что бы засабмитить форму, имеет размеры 10х10 пикселов - следовательно только диапазон координат будет распределён в 60Х40 позициях картинки 600х400, плюс распределение ответов, скажем, в диапазоне 0..100 - всё это в сумме даст 240К комбинаций, следовательно при равномерном распределении всех значений спамеру придётся произвести в средем 240К/2 обращений, скачав при этом 4.5 Гб капчи. Если ещё добавить гарантированную задержку = 1 сек в генератор капчи, то даже при мгноаенной передаче данных спамеру потребуется 33.3 часа на подбор одного значения.

4. Ну и я бы предпочёл сделать функционал не зависимым от сессии. Сейчас легитимный пользователь с выключенными кукисам не сможет ничего запостить на форум и сообщение об ошибке во вводе капчи ему ничем не поможет. Никто ведь не мешает тот же айдишник совать в hidden поле формы. На безопасность это не влияет, но нам, параноикам, будет приятнее.