Comments 26
Занятно, этак можно разорить владельца сайта, использующего эту капчу, запросив тонну смс на некий телефон. Ведь, судя по описанию, он покупает N смс, мы их исчерпываем, и вуаля — на его сайте нельзя регистироваться, пока он не закупит еще смс у вас, или не отключит эту капчу. Или я в чем-то ошибся, и вы это предусмотрели?
Ситуация на данный момент:
Если сайт атакуют, запрашивая большое количество смс, а ответа по ним нет (т.е. регистрация не завершена) аккаунт пользователя приостанавливается, чтобы исключить трату денег на спамеров.
Конечно, далеко не совершенный вариант. Но пока так.
Если сайт атакуют, запрашивая большое количество смс, а ответа по ним нет (т.е. регистрация не завершена) аккаунт пользователя приостанавливается, чтобы исключить трату денег на спамеров.
Конечно, далеко не совершенный вариант. Но пока так.
Спасибо за ответ, но получается, что в случае атаки владелец сайта либо теряет кучу денег, если не блокирует аакаунт, либо регистрация на его сайте становится недоступна. Оба варианта плохие, так что если и использовать вашу капчу, то только с возможностью мгновенно при атаке сменить ее на любую другую…
сделайте ограничение не более 3 смс на один номер в течении какого-то времени (ну часа). И если так 3 раза, то блокируется номер с возможностью хозяину сайта удалить его из своего черного списка
Спасибо за комментарий.
Мы пока рассматриваем ряд вариантов, в том числе и аналогичный Вашему.
Суть в том, что мы не храним все телефоны, на которые был отправлен код. Мы можем оперировать только номерами (предположительно спамерскими) от которых не был получен ответ.
Мы пока рассматриваем ряд вариантов, в том числе и аналогичный Вашему.
Суть в том, что мы не храним все телефоны, на которые был отправлен код. Мы можем оперировать только номерами (предположительно спамерскими) от которых не был получен ответ.
А толку? Можно и рандомные номера перебирать.
ИМХО разобрать SMS с кодом намного проще, чем разобрать изображение на картинке, так что особого усиления защиты я тут не вижу.
Добавлю еще, что нужно иметь доверие к сайту, чтоб вводить туда свой номер телефона. Понятное дело, что все действия происходят на Вашей стороне, но не всякий обычный пользователь не будет об этом знать или не сможет это проверить.
То есть вы действительно считаете, что получить SMS на модем, воткнутый в Linux-машинку, и почитать что там в ней — большая проблема?
Или даже ещё проще — цепляем Nokia N95 к машинке и выгружаем с неё смски по BT.
Или даже ещё проще — цепляем Nokia N95 к машинке и выгружаем с неё смски по BT.
цеплять можно любой телефон. как я понял ограничение должно быть «1 номер == 1 аккунт»
т.е на сайте помимо той информации, которую я захочу указать, в принудительном порядке будет храниться и мой телефонный номер? Нафиг нафиг.
это моё предположение, которое было бы эффективно в защиту от слива денег со счета. а в плане личной информации соглашусь с вами — нафиг нафиг.
Ваш номер телефона на сайте ни в коем случае не хранится.
Он обрабатывается исключительно нашим API.
Он обрабатывается исключительно нашим API.
Это было всего лишь предположение, как вариант развития ограничения «1 номер == 1 аккаунт».
Вобщем пока преимуществ мобильной капчи перед простой незаметно, разве что только против особо ленивых/глупых ботописцев. Хотя, если посылать не код подтверждения, а указатель на него (простая загадка, арифметическое выражение, записанное не цифрами а буквами) то может что-то и выйдет.
Вобщем пока преимуществ мобильной капчи перед простой незаметно, разве что только против особо ленивых/глупых ботописцев. Хотя, если посылать не код подтверждения, а указатель на него (простая загадка, арифметическое выражение, записанное не цифрами а буквами) то может что-то и выйдет.
С одного номера можно будет пройтись по нескольким сайтам.
Немного неприятно, но всё равно регистрироваться смогут там пачками — был бы спрос =)
Немного неприятно, но всё равно регистрироваться смогут там пачками — был бы спрос =)
Люди хорошо обожглись на СМС-подписках, которые работают ровно по такой же схеме: вводишь телефон, получаешь смс, вводишь код из смс на сайте и теряешь по 100 рублей в день. Будут ли люди регистрироваться на сайте, требующем подозрительно похожие действия.
кстати, да)) верно мыслите
К сожалению, это сложившийся стереотип. Снять деньги со счета пользователя сторонними сервисами, только лишь указав номер телефона, никак нельзя. Чтобы снялись деньги со счета, пользователю необходимо отправить смс на номер (обычно короткий), и только в этом случае с его номера снимутся деньги.
Привязка к номеру телефона это лишь альтернатива привязки к электронной почте. Причём тут вообще каптча? Каптча ставит целью отличить компьютер от человека не идентифицируя последнего. Грубо говоря, человек не обязан предъявлять паспорт для входа на сайт.
Sign up to leave a comment.
Мобильная каптча — mCaptcha