Jesli zmienimy typ zagadek z matematycznych, to musimy sie borykac z kolejnym klopotem… uniwersalnoscia, co w tym przypadku jest to wada z dwoch powodow:
- Kazdy z uzytkownikow bedzie musial znac odpowiedz na ta zagadke, nie zaleznie od statusu spolecznego, posiadanej wiedzy, czy chocby tak prozaicznego przypadku, jak kraj zamieszkania. Bo np. dla nas znany jest gest Kozakiewicza, ale czy taki Wietnamczyk bedzie to wiedzial?
- Jesli operujemy na zunifikowanym zestawie zagadek, to problemem pozostaje ilosc tych zagadek, czyli baza wiedzy. Zbyt duza, to klopot dla inzyniera wiedzy (ktory zwykle jest programista danego systemu), jesli jest zbyt mala, to losowane pytanie z zestawu moze dac spory odsetek trafnosci dla jednej odpowiedzi, a to wystarczy dla spambota, aby zalac strony spamem.

Dodatkowo jest to kolejna przeszkoda, po samym wprowadzeniu weryfikacji kodu.

Moim zdaniem (podkreslam „moim”), lepiej zastosowac kompilacje ponizszych metod:
- Przytoczony sposob przez Łukasza Więceka (nie pisze jego sposob, bo nie tylko on wpadl na ten pomysl. Rowniez ja juz kilka lat temu, jak i inni, ale jak to z kolem, takie pomysly powstaja niezaleznie od siebie w roznym czasie i miejscu). Uwaga a teraz bedzie bolesne, bo to wymaga myslenia ;) Logicznym jest, ze w ciagu kilku (nie muszi to byc akurat 5s) sekund od zaladowania strony user nie klepie posta :]
Jesli juz klepie, bo chce i zeby go nie dolowac mozna np. zablokowac za pomoca JS przycisk i zaraz zeby uciszyc podnoszace sie krzyki, przez uzytkowniow nie korzystajacych z JS… Zablokowac i odblokowac za pomoca JS, wiec jesli ktos ma wylaczone JS, to domyslnie ma odblokowany przycisk submit. W dodatku to ma byc male zabezpieczenie dla uzytkownikow, ktorzy klepia za szybko, i ktore znika po krotkim czasie. Jesli ktos to oleje, to i tak skrypt obslugujacy formularz odrzuci go, wiec obchodzenie tego nie bedzie mialo sensu :]
Dodatkowo zabezpieczy to strone przed FLOOD’em :] Nie jest to spuer skuteczna w 100% bezpieczna metoda, bo wystarczy nie wiele dluzszy kawalek kody, do bota, aby ten odczekal zadana ilosc sekund i dopiero potem wyslal formularz, ale nie kosztuje nas ona wysilku i jak na razie boty na niej sie wywalaja.
- Stosowanie dodatkowych pol input w komentarzach. Metoda, a raczej metody sa opisane w necie (Wujek Google sie klania), wiec ogranicze sie jedynie do stwierdzenia, ze 99.99% botow nie zwraca uwagi podczas parsowania formularzy, czy dane pola sa zakomentowane, czy nie i wysyla to jak leci. Metoda jak na razie skuteczna, bo wiekszosc botow jest po prostu glupia, a samo zaimplementowanie tej metody jest banalne i blyskawiczne, oraz wiekszosc wysilkow spamerow koncentruje sie na odczytywaniu znakow z obrazkow, a nie na udokonalaniu parserow :] Wraz ze wzrostem popularnosci tej metody na pewno znajda sie sposoby na zlamanie tego zabezpieczenia, ale jak w poprzednim wypadku, koszt implementacji jest znikomy i jak na razie skutecznosc co najmniej 99% :]
- Odrzucac posty krotsze niz X znakow. Wpis to wpis, musi iles wazyc, nie? :) Dodatkowo poleca dzieci neo ze swoja gra „Pierwszy!” :]
- Troche bardziej (w stosunku do poprzednich) skomplikowany sposob: Przekazywanie do moderacji wszystkich postow z linkami (lub postow z liczba wieksza niz 1-2 linki). Zadko Uzytkownicy daja wiecej jak 1-2 linki w poscie, wiec wielkiego utrudnienia nie bedzie. Oczywiscie nie wolno zapomniec o informacji dla uzytkownikow, ze taki system dziala.
- Jesli mozna sobie na to pozwolic, to udostepnic mozliwosc dodawania informacji tylko dla zarejestrowanych. Podkreslam, jesli to mozliwe. Jesli zalezy nam na uzytkownikach, ktorzy nie chca sie rejestrowac, to oczywiscie ten sposob odpada. Zastosowanie tego sposobu ma dwa plusy. Bot ma dodatkowy formularz do przejscia - czyli znowy klopot z zabezpieczeniami. Poprawia sie ogolna polityka bezpieczenstwa aplikacji. :] Dla tych, co zaraz by krzyczeli, ze posty w moderacji beda lezaly i lezaly, az sie komus zachce je przejrzec… to chyba powinniscie sami na siebie krzyczec ;) Odpowiedzialny i aktywny administrator, to taki co dba o strone, wiec odwiedza ja kilka razy na dzien. Jesli nie zlaezy wam na moderacji, to nie zalezy wam na stronie, a tym samym na uzytkownikach, wiec po co te zabezpieczenia? ;) W dodatku postawienie takiej przypominajki wysylajacej chocby na maila info o komentarzach do moderacji, to nie wielki problem :]
Dodatkowuym atutem, tym razem marketingowym mamy juz bardziej zdecydowanych uzytkownikow, ktorzy sa przywiazani do naszej strony i nadaja sie jako material lepszej jakosci dla potencjalnych klientow, niz wpadajacy na strone przypadkowi uzytkownicy. Oczywiscie, sama polityka bezpieczenistwa nie moze byc i nie jest motorem napedzajacym nam klientow, ale tu polecam zapoznawanie sie juz z tekstami odpowiednimi tla tej materii ;)
- Unikanie niektorych funkcji (np. blokowanie funkcji mail() w PHP), ktore maja dobrze znane luki, czesto wykorzystywane przez spamboty i wykorzystywanie innych, np. dla mail uzywanie chocby funkcji mailingowej z forum PHPBB ;)
- Jesli stosujemy jakies systemy weryfikacji za pomoca kluczy (np. linki aktywacyjne), to zmieniac takie systemy co jakis czas.
- Bardzo trudne: Zastosowanie „kontr-bota” opartego na sztucznej inteligencji, ktory bedzie sprawdzal np. posty pod katem dodawanych linkow na calym systemie komentarzy/forum/etc. Cos w rodzaju „Zwalczaj ogien ogniem” Jesli np. wyszlo, ze juz na jednej stronie padl post, o innej tresci, to taki komentarz zostanie przekazany do moderacji. Oczywiscie mozliwosci takiego kontr-bota zaleza od mozliwosci programisty :]
- I chyba najwazniejsze: Stale miec swiadomosc, ze nie ma zabezpieczenia idealnego i na kazde zabezpieczenie znajdzie sie sposob.

Jak widzicie wiekszosc z tego to banalne zabezpieczenia, latwe do implementacji. Beda dzialac jakis czas, az ktos w koncu dojdzie do wniosku, ze tyle ludzi z tego korzysta, ze to trza zlamac, ale zanim do tego dojdzie, my juz bedziemy mieli obmyslony system kolejnych zabezpieczen, doskonalszych, bo mielismy czas zeby je obmyslec ;)

Powstaje jeszcze pytanie jak szybko wprowadzac nowe zabezpieczenia.. Jesli stare sprawdzaja sie doskonale, to polecam zachowac nowe w rezerwie, w razie przelamania starych, jesli nie sa to krytyczne zabezpieczenia. W przypadku spamu nie musi byc tak, bo dane uzytkownikow sa wazniejsze. Na niektorych serwisach sprawa moze wygladac inaczej - np. duza liczba odwiedzin, ktore moga wazyc na naszej marce lub finansach - wtedy priorytet ochrony przed spamem moze byc rowny z ochrona danych uzytkownikow. Pozwoli to nam na blyskawiczna reakcje i dzieki temu nie odkryjemy wszystkich kart, bo jesli sie okarze, ze nowe zabezpieczenie padlo nadzwyczaj szybko, to zostajemy na cienkim lodzie, ktory w dodatku topi sie z kazda sekunda, a my tu goraczkowo wymyslamy nowe zabezpieczenie. Z doswiadczenia wlasnego i innych wiem, ze tak nie da sie sworzyc dobrego zabezpieczenia. To wymaga czasu i spokoju, do dokladnego przemyslenia i przetestowania. Mozna jedynie stworzyc juz zapasowe srodowisko, jesli nie korzystamy z modularnej budowy systemu, dla natychmiastowej podmiany shackowanych plikow i utrzymywanie go w obwodzie w stanie uzywalnosci. Powod opisany chwileczke wczesniej. Jesli dbamy o to, zeby dane zabezpieczenia zadzialaly od razu po podmianie ze starymi, to nie tracimy czasu (, uzytkownikow i pieniedzy) na przestoje w celu dostosowania zabezpieczen do aktualnie dzialajacego systemu.
Oczywiscie nie musze chyba, mowic, ze zabezpieczenia jak i inne rzeczy maja byc testowane na innym, testowym srodowisku, a nie robic opeacje na otwartym sercu, czyli na dzialajacej w Necie aplikacji :]

Ech.. i znow z kolejnego komentsa wyszedl mini-artykul :]

Sam webmasterką zajmuję się raczej hobbystycznie, ale właśnie pracuję nad projektem strony dla pewnego ośrodka dla niepełnosprawnych. Podczas tworzenia, oprócz zleceniodawcy (czyt. dyrektorki ośrodka), chcę zapytać o zdanie również ludzi tam przebywających i na codzień korzystających z internetu. Internet jest dla wszystkich, dlatego już dawno powiedziałem CAPTCHY stanowcze NIE! (:

P.S. Mimochodem wyłapałem w akapicie „Skuteczność CAPTCHA” dwie literówki - zdażają na zdarzają oraz iminięcia na ominięcia.

Pozdrawiam!