هدف استفاده از CAPTCHA و چگونگی پیاده سازی

390

شنبه، 10 آذر 1386

هدف استفاده از CAPTCHA و چگونگی پیاده سازی

در برنامه ی تحت وب که نیاز به وارد شدن اطلاعات توسط کاربران هست برای اینکه اطلاعات توسط ماشین و روبات وارد نشه از CAPTCHA استفاده می کنیم. به عنوان مثال یک تصویر شامل یک کد میذاریم و از کاربر می خوایم که کد موجود در تصویر رو به صورت نوشته وارد کنه تا فیلتری باشه برای جلوگیری از ارسال اطلاعات توسط ماشین.
حالا دو بحث در این مورد وجود داره یکی اینکه چه فیلتر و با چه کیفتی قرار داده بشه در حال حاضر به صورت رایج از تصویر و گاهی از صدا و نوشته استفاده میشه که کاربر بعد از دیدن عکس یا شنیدن صدا توسط پر کردن ورودی به صورت نوشته در فرم و ارسال اون از فیلتر رد میشه که در این پست قصد بررسی اون رو ندارم و اما بحث دوم اینه که این فیلتر به چه صورت پیاده سازی شه.

فرض می کنیم از تصویر استفاده شده که این تصویر نشان دهنده عددی است و کاربر باید عدد رو به صورت نوشته برای احراز هویت انسانی(هوشمندی!) وارد کنه؛ حال چطور باید این فیلتر را پیاده کرد که قابل دور زدن نباشه؛

سه نکته اصلی وجود داره:

۱- عدد باید در سمت سرور تعیین شه و هنگام درخواست تصویر یا در هنگام تعیین عدد عکس تولید شه (این تولید عکس بستگی به شرایط داره و البته برنامه نویس)

۲- نحوه تولید تصویر عدد نباید به نحوی باشه که عدد در خروجی که برای کلاینت ارسال می شه باشه
مثلاً در صورتی که برای نمایش تصویر با عدد مورد نظر داشته باشیم:

<img src="captcha.php?code=1234" />

در این حالت استفاده از تصویر زیر سوال میره!

۳- در هر بار درخواست و ارسال فرم عدد باید دوباره تعیین شه؛ در بعضی موارد این به روز رسانی عدد به عهده تولید کننده عدد گذاشته میشه که در این حالت در صورتی که محدودیتی برای ارسال درخواست برای کاربر وجود نداشته باشه وقتی تقاضایی برای مشاهده تصویر به سمت سرور ارسال نشه عدد به روز نمیشه و در صورتی که به نحوی ماشین به عدد موجود به تصویر برای یک بار برسه به هر تعدادی می تونه درخواست ارسال کنه

قطعاً باید موارد دیگه در برنامه از جمله محدودیت ارسال یا محدودیت تلاش های ناموفق و ... در نظر گرفته شه تا کارآیی به حد ایده آل قابل دسترس برسه.

ارسال شده توسط آرمین در امنیت نظر ها (7) دنبالک ها (0)

دنبالک ها

یک آدرس دنبالک برای ارسال

هیچ دنبالکی وجود ندارد

نظر ها

نمایش نظرات به صورت (خطی | بند کشی شده)

سلام
قالب جدید سایتت قشنگه!
نظرم باید رنج مخاطبین وبلاگت رو بسنجی بعد نسبت به اونها مطلب بریزی. اینی که گذاشتی حداقل به درد من و امثال من نمیخوره!!!

#1 - آرش 1386-09-12 06:58 - (پاسخ)

آرش جان مطالب وب عمومی هست و با یک جستجو می شود به مطالب دست یافت،من این صفحه را از گوگل پیدا کردم.
ممنون از توضیحات خوبتان،آرمین جان

#1.1 - محمد امین شریفی 1388-07-22 03:41 - (پاسخ)

خواهش می‌کنم.

#1.1.1 - آرمین 1388-07-22 06:41 - (پاسخ)

سلام
مرسی آرش جان
این پست یک دلیلش این بود که در طول یک مدت محدود با چند تا از موارد مشابه (پیاده سازی غلط) برخورد داشتم؛ دیدم سوژه بدی نیست

#2 - آرمین 1386-09-13 04:30 - (پاسخ)

در مورد شماره سه ، بستگي داره کجا داره استفاده ميشه. در اغلب موارد اين چيزي که شما گفتيد اشتباهه ! چون يکي از اهداف تصوير امنيتي دور از دسترس بودن روبوت هاست که شما اشاره کرديد و شايد دليل مهمتر جلوگيري از تکرار در ارسالهاي متواليست (مخصوصاً در مورد فرم هاي تماس با ما) پس چه بهتره که در هر بار چک کردن کد امنيتي، چه صحيح و چه غلط، آن را fix کنيم ! (خيلي سعي کردم پارسي رو پاس بدارم اما نشد )
موفق باشي

#3 - نبی 1386-09-25 06:52 - (پاسخ)

کجاش اشتباهه؟!! و در کدوم موارد که غالبن؟
با دقت بخون چی نوشتم:
>>*در هر بار درخواست و ارسال فرم* عدد باید دوباره تعیین شه؛
که گفته ات رو پوشش میده:
>>جلوگيري از تکرار در ارسالهاي متواليست (مخصوصاً در مورد فرم هاي تماس با ما) پس چه بهتره که در هر بار چک کردن کد امنيتي، چه صحيح و چه غلط، آن را fix کنيم !

موفق باشی

#3.1 - آرمین 1386-09-25 07:01 - (پاسخ)

سلام بسیار ممنون از این مطلب

اما ای کاش توضیحات بیشتری میدادید اما بازم بسیار مفید بود

#4 - مهدی 1390-07-25 01:51 - (پاسخ)

ارسال نظر

نام
پست الکترونیکی
سایت
در پاسخ به
نظر	Enclosing asterisks marks text as bold (word), underscore are made via _word_. Standard emoticons like :-) and ;-) are converted to images. E-Mail addresses will not be displayed and will only be used for E-Mail notifications. To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly. Enter the string from the spam-prevention image above:
	آیا اطلاعات را به یاد داشته باشم؟
نظرات ارسال شده قبل از نمایش داده شدن، باید مدیریت شوند.