Работал у меня как-то один интересный проект на Битриксе с кучей пользователей и интересными топиками, но как говорится большая сила — большая ответственность. В один прекрасный момент начал замечать, что больно много пользователей начало регистрироваться на сайте с одного домена. Причем пользователей совершенно неадекватных. Проверка домена выявила явное намерение его хозяина рассылать спам ботов и заниматься другими мерзкими вещами.
Удивляет вопрос как же они все-таки регистрируются на сайте? Ведь CAPTCHA работает.
Вспомним основные способы обхождения CAPTCHA:
Использование уязвимостей
При недостаточной квалификации веб-программиста робот может выдать ответ, не проходя тест. Например, по какой-либо информации, содержащейся на странице, компьютер сам, без вмешательства человека, способен правильно ответить на вопрос, на который предположительно мог бы ответить только человек. Либо человек проходит тест один раз, а компьютер фабрикует множество запросов с тем же ответом.
Угадывание
Применяется в первую очередь для «нетрадиционных» капчей с небольшим количеством вариантов ответа (1000 и меньше). Робот посылает случайные ответы; некоторые из них оказываются верными.
Использование баз данных
Существуют программы (к примеру, PWNtcha), распознающие конкретные реализации капчи. Кроме того, существует возможность подключать модули из программ распознавания текста общего назначения (например, FineReader, OmniPage) в программы сторонних разработчиков для распознавания картинок капчи.
По отношению к автоматизированному распознаванию существуют понятия «слабая капча» и «сильная капча». В числе «слабостей» — фиксированный шрифт, фиксированное положение символов, отсутствие искажений, отделение символов от фона с использованием цветового ключа или размытия по Гауссу, лёгкое отделение символов друг от друга и т. д. Впрочем, иногда бывает, что сильная капча оказывается труднораспознаваемой и для человека. Изредка встречается капча, легко прочитываемая компьютером и с большими трудностями — человеком (например, с неконтрастной картинкой).
Если сгенерированная картинка оказалась нечитаемой, пользователь, как правило, имеет возможность получить новую. Прочная капча должна выдавать картинку с другим ответом.
Многие нетрадиционные варианты капчи также на поверку оказались слабыми.
После довольно продолжительных по времени изысканий выявил «универсальный рецепт» невскрываемой CAPTCHA для 1С Битрикс:
Для того чтобы настроить CAPTCHA в Битрикс необходимо зайти в панель управления Рабочий стол→Настройки→Настройки продукта→CAPTCHA.
CAPTCHA необходимо настраивать так, чтобы исключить, по возможности, автоматическое распознавание.
Рекомендуемые параметры настроек CAPTCHA: Прозрачность текста в процентах — 40-50%,
В Битриксе также есть возможность установить свои пользовательские шрифты для кода CAPTCHA.
Для этого необходимо залить файл со шрифтом в папку /bitrix/modules/main/fonts/. После чего данный шрифт станет доступным в настройках используемых шрифтов CAPTCHA.
Поддерживаются файлы шрифтов только в формате *.ttf.
Внимание! Некоторые шрифты могут отображаться некорректно!
Удивляет вопрос как же они все-таки регистрируются на сайте? Ведь CAPTCHA работает.
Вспомним основные способы обхождения CAPTCHA:
Использование уязвимостей
При недостаточной квалификации веб-программиста робот может выдать ответ, не проходя тест. Например, по какой-либо информации, содержащейся на странице, компьютер сам, без вмешательства человека, способен правильно ответить на вопрос, на который предположительно мог бы ответить только человек. Либо человек проходит тест один раз, а компьютер фабрикует множество запросов с тем же ответом.
Угадывание
Применяется в первую очередь для «нетрадиционных» капчей с небольшим количеством вариантов ответа (1000 и меньше). Робот посылает случайные ответы; некоторые из них оказываются верными.
Использование баз данных
Существуют программы (к примеру, PWNtcha), распознающие конкретные реализации капчи. Кроме того, существует возможность подключать модули из программ распознавания текста общего назначения (например, FineReader, OmniPage) в программы сторонних разработчиков для распознавания картинок капчи.
По отношению к автоматизированному распознаванию существуют понятия «слабая капча» и «сильная капча». В числе «слабостей» — фиксированный шрифт, фиксированное положение символов, отсутствие искажений, отделение символов от фона с использованием цветового ключа или размытия по Гауссу, лёгкое отделение символов друг от друга и т. д. Впрочем, иногда бывает, что сильная капча оказывается труднораспознаваемой и для человека. Изредка встречается капча, легко прочитываемая компьютером и с большими трудностями — человеком (например, с неконтрастной картинкой).
Если сгенерированная картинка оказалась нечитаемой, пользователь, как правило, имеет возможность получить новую. Прочная капча должна выдавать картинку с другим ответом.
Многие нетрадиционные варианты капчи также на поверку оказались слабыми.
После довольно продолжительных по времени изысканий выявил «универсальный рецепт» невскрываемой CAPTCHA для 1С Битрикс:
Для того чтобы настроить CAPTCHA в Битрикс необходимо зайти в панель управления Рабочий стол→Настройки→Настройки продукта→CAPTCHA.
CAPTCHA необходимо настраивать так, чтобы исключить, по возможности, автоматическое распознавание.
Рекомендуемые параметры настроек CAPTCHA: Прозрачность текста в процентах — 40-50%,
- угол отклонения от вертикали — от -30 до 30,
- добавить нелинейные искажения,
- шрифт лучше поменять на bitrix_captcha.ttf или какой-то другой не очень распространенный.
В Битриксе также есть возможность установить свои пользовательские шрифты для кода CAPTCHA.
Для этого необходимо залить файл со шрифтом в папку /bitrix/modules/main/fonts/. После чего данный шрифт станет доступным в настройках используемых шрифтов CAPTCHA.
Поддерживаются файлы шрифтов только в формате *.ttf.
Внимание! Некоторые шрифты могут отображаться некорректно!