ugrás a tartalomhoz

Minimális időlimit form küldésnél

castaw · 2013. Május. 10. (P), 13.48
Sziasztok!

Használható elgondolás szerintetek robotok elleni védekezésként, hogy sessionben tárolom a form betöltésének idejét, majd ezt összevetem az elküldés idejével és ebből következtetek? (mivel pl nem életszerű, hogy 3 mp alatt tölti ki valaki a regisztrációs űrlapot)
‹ Worldpress Könyvtár tartalom listázása ›
 
1

captcha

mgergo90 · 2013. Május. 10. (P), 14.25
http://hu.wikipedia.org/wiki/Captcha
2

szerintem is

jgege · 2013. Május. 10. (P), 14.41
Bocsi péntek van, nem is ez volt a kérdésed, de ha már leírtam itt hagyom.
Ha nem akarsz captcházni akkor szerintem jó megoldás.
************************
A te elgondolásod szerintem - de akik régebben a szakmában vannak majd kijavítanak - azért "életképtelen", mivel a session azonosítót sütiben tárolják, sütit pedig bármikor törölhet a felhasználó/bot.
Tehát kitölti a lapot, törli a sütiket -> kap új sessiont, újra kitölti.
Pár botot lehet, hogy megfogsz vele, de nem nagy dolog egy (egyszerűbb) captcha megírása/beüzemelése. :)
3

Ezt az ellenőrzést nem látja

Sajtos · 2013. Május. 10. (P), 15.41
Ezt az ellenőrzést nem látja a bot, de a támadó sejtheti, hogy mindent logolnak. Következésképpen egy aggresszív támadás durva nyomot hagyhat az adatbázisban/logokban, és azt könnyebb is észlelni. A megoldás erre az, hogy ritkábban támad, és már át is ment a szűrőn.

Viszont szerintem ez nem elsődleges támadási felület, így inkább keresnék olyan biztonsági réseket, amelyek *tényleg* veszélyesek.
4

Ezzel vannak usability issue-k, de…

numen · 2013. Május. 12. (V), 11.47
… saját vendégkönyvemben a spamszűrés kétlépcsős:

- az űrlapban van egy mező, amit elég jó eséllyel kitöltenek a botok (URL), viszont elrejtettem (horrible dictu: JavaScripttel. Jó eséllyel CSS-sel is működne). A formnál azt ellenőrzöm, hogy ki van-e töltve az a mező, amit csak a botok látnak :-)

- minden üzeneten végigfuttatok egy függvényt, ami ad neki egy pontszámot. Ha túllép egy értéket, spamnek minősítem. Ezt a függvényt minden alkalommal frissítem, hó egy spam átjut a szűrőn.

… Az előbbi nem felhasználóbarát, az utóbbi nem skálázható. De egy kis forgalmú vendégkönyvnél működik…
5

Biztonság

Pepita · 2013. Május. 12. (V), 20.39
A captcha-nál én nem ismerek biztosabb megoldást, ezt meg lehet úgy csinálni (pl. egyszerű matek feladat), hogy aránylag felhasználóbarát legyen.

Időkorlátra inkább a login-nál van szükség, hogy ne lehessen pl. 3-nál többet próbálkozni 5 perc alatt. Ezt úgy tudod begoldani, hogy egy külön táblába vezeted az összes sikeres és sikertelen próbálkozást, IP-vel és felhasználónévvel együtt. Ebből jó statisztikát is csinálhatsz, csak ne felejtsd el néha kitörölni a régi rekordokat.