問題タブ [captcha]

わかりました、ここに問題があります。私が取り組んでいるプロジェクトでは、機能についてサーバー側のセッションに依存することはできません。

問題は、ロボットによる送信を防止する一般的なキャプチャ ソリューションでは、キャプチャと照合する文字列を保存するセッションが必要になることです。

問題は、セッションを使用せずに問題を解決する方法はありますか? 私の頭に浮かぶのは、ハッシュを含む非表示のフォームフィールドとキャプチャ入力フィールドを提供しているため、サーバーはこれら2つの値を一緒に一致させることができます. しかし、キャプチャを簡単に破ることができないように、この方法を安全​​にするにはどうすればよいでしょうか。

このページをフォローしましたが、プロジェクトでコードが正常に機能しません。必要なものを実行する方法に関する他のチュートリアルを見つけようとしましたが、私のプロジェクトでもうまくいきません。CodeIgniter で Captcha プラグインを適切に使用する方法を詳細に説明するチュートリアルに誘導できる人はいますか?

コントローラー：

ビュー:

キャプチャ:

キャプチャ コントロールを ap タグでラップしました。右に約 50 ピクセル移動するにはどうすればよいですか?

編集 .net コントロールを使用して reCaptcha を使用しています。私の入力要素は、ページの右側に約 50 px あります。

私のレパクタは左揃えでレンダリングされます (ずっと左にあるため、他の入力フィールドと比較すると配置がずれています)。

完全に悪意のない目的、特に機械学習のために、CAPTCHA 画像の膨大なデータセットをダウンロードしたいと考えています。ただし、CAPTCHA は常に難読化された JavaScript を使用して実装されているため、ブラウザーなしで実際の画像を取得することは、少なくとも JavaScript の初心者である私にとっては簡単なことではありません。

では、完全にブラウザの外部でスクリプトを使用して、あいまいな単語の画像をダウンロードする方法について、役立つヒントを誰か教えてもらえますか? また、すでに収集されたあいまいな単語のデータセットを教えてはいけません。この特定の実験のために、特定の Web サイトから画像を収集する必要があります。

ありがとう！

編集：この質問をする別の方法は非常に簡単です。複雑な JavaScript を使った Web サイトで「ソースを表示」をクリックすると、スクリプトの参照が表示されますが、それだけです。ただし、[Web ページを名前を付けて保存] (Firefox の場合) をクリックして、保存されたWeb ページのソースを表示すると、JavaScript が解決され、新しい html と画像 (少なくとも ASIRRA と reCAPTCHA の場合) が表示されます。ソースで。スクリプトを使用して、この「Web ページを名前を付けて保存」の動作を模倣するにはどうすればよいですか? これは一般的に重要な Web コーディングの質問なので、私の動機について私に質問するのはやめてください! これは、これからスクリプトを含むすべての Web 開発で使用できる知識であり、他のスタック オーバーフローの訪問者も同様に使用できると確信しています!

captcha.ashx ページが要求されるたびに、ユーザーに Captcha イメージを生成する HTTPHandler があります。そのためのコードは簡単です:

次に、通常のWebサイトで、次の情報を取得しました。

これは完全に機能し、画像が生成され、captcha.ashx ページが要求されるたびにユーザーに送り返されます。私の問題は、HTTPHandler がセッションを保存しないことですか? 通常のページからセッションを取り戻そうとしましたが、存在しないという例外しか得られなかったので、トレースをオンにしてアクティブなセッションを確認しましたが、HTTPHandler が作成したセッションはリストされません (キャプチャ）。

HTTPHandler は IReadOnlySessionState を使用してセッションと対話します。HTTPHandler には読み取りアクセスしかなく、セッションを保存していませんか?

コメントのスパムをブロックするためのキャプチャ以外の方法にはどのようなものがありますか?

GMail は SMTP サーバーとして使用できます。私はそれを行うコードを書きました。しかし、ご存知のように、GMail は時々キャプチャを使用して認証する場合があります (画像検証と呼ばれます)。SMTP 認証を拒否する原因として、同じことが考えられます。

私が見たように、あるマシンから初めてログインしようとすると、Google がイメージ検証を表示します。同じマシンから (同じアカウントへ) 連続してログインする場合はすべて、通常のログインが使用されます。私が制御できない他の理由で、このキャプチャが再び表示される可能性があることを少し心配しています.

そう。特別な措置が必要な場合でも認証することは可能ですか? そしてどうやって？

また、マシンから Web ブラウザー経由でログインすると、プログラムによる SMTP 認証も有効になることにも言及しておく必要があります。

私は apply.php (ランディング ページ) と mail.php の 2 つのページを持っています。これは、私が取り組んできたオンライン アプリケーション プロジェクトのコードの大部分です。

私は re-captcha アカウントを持っていますが、2 ページのシナリオに re-captcha コードを適用する方法を理解していないようです。

すべてのコードを 1 ページにまとめたら、単純に「mail();」と入力しました。キャプチャ コードの条件にコードを追加します。

しかし、キャプチャを投稿として使用する方法、またはページデータを投稿しない方法については不明だと思います。

必要に応じてコードを投稿できますが、キャプチャを派手な条件文として表示するだけです。作成方法を混乱させているだけです。

私の会社の CRM システムは、特定の管理機能を利用するために、ログインのたびにキャプチャ システムを利用しています。元の実装では、現在のキャプチャ値がサーバー側のセッション変数に格納されていました。

これを再開発して、必要なすべてのキャプチャ検証情報をハッシュされたクライアント側 Cookie に保存する必要があります。これは、アプリケーションに対してまだ認証されていないユーザーのセッションの使用を許可しないことでオーバーヘッドを削減することを目的とした親 IT ポリシーによるものです。したがって、認証プロセス自体は、サーバー側のストレージまたはセッションを使用できません。

このデザインはちょっとしたグループ作業でしたが、全体的な有効性については疑問があります. 私の質問は、以下に示す実装で明らかなセキュリティ上の問題を誰でも見ることができますか?それは過剰または不十分ですか?

編集: さらなる議論が更新された実装につながったので、元のコードを新しいバージョンに置き換え、このリビジョンに対応するように説明を編集しました。

(以下のコードは一種の疑似コードです。元のコードでは、読みにくい独特のレガシー ライブラリと構造が使用されています。うまくいけば、このスタイルで十分に理解しやすくなります。)

概念：

1. 「session_hash」は、同じ Cookie が複数のマシンで使用されるのを防ぐことを目的としており、無効になるまでの期間を強制します。
2. 「session_hash」と「captcha_hash」の両方に独自の秘密ソルト キーがあります。
3. これらの BASE64_8192BIT_SECRET_A および _B ソルト キーは、サーバーに格納されている RSA 秘密キーの一部です。
4. 「captcha_hash」は、シークレットと「session_hash」の両方でソルトされます。
5. スプライシング攻撃を回避するために、クライアント提供のデータが使用される場所に区切り文字が追加されます。
6. 「captcha_hash」と「session_hash」はどちらもクライアント側の Cookie に保存されます。

編集: re:Kobi フィードバックありがとうございます!

（コメントで返信しますが、質問で機能するフォーマットを受け入れないようですか？）

ログイン ページにアクセスするたびに、キャプチャが置き換えられます。ただし、これは、ログイン フォーム ページをリロードせずに単純に再送信しないことを前提としています。セッションベースの実装では、有効期限を使用してこの問題を回避します。ログイン ページに nonce を追加することもできますが、そのためにもサーバー側のセッション ストレージが必要になります。

Kobi の提案によると、ハッシュ化されたデータに有効期限の時間枠が含まれるようになりましたが、セッションにタイムアウトがあることは直感的であるため、代わりにそれを session_hash に追加することがコンセンサスです。

一部のデータをハッシュし、そのデータに別のハッシュを含めるというこの考えは、私には疑わしいようです。それとも、関連するすべてのデータ (時間、IP、ユーザー エージェント、Captcha 値、および秘密鍵) を含む単一のハッシュを使用する方がよいのでしょうか。この実装では、基本的にハッシュ化された平文の一部をユーザーに伝えています。

質問:

1. 明らかな欠陥はありますか？
2. 微妙な欠点はありますか？
3. より堅牢なアプローチはありますか？
4. ハッシュを別のハッシュでソルトすることは何かを助けていますか?
5. よりシンプルで同等に堅牢なアプローチはありますか?

新しい質問:

個人的には、サーバー側のセッションのままにしておく方がよいと思います。すべての検証データをクライアント側のみに送信することの固有のリスクを証明または反証する論文または記事を誰か教えてもらえますか?

私はこれについて間違った方法で行っている可能性があります

フォームのあるランディングページがあります。そのページを投稿すると、fromの値がmail.phpというページに移動します

求人応募サイトにスパムが送信されないように、最初のページにキャプチャ（この場合はre-captcha.com）を追加したいと思いました。

phpキャプチャを使用して他の人が投稿できないようにする方法がわかりませんが、天気を通知するか、実際に仕事を送信しないかを通知するブール変数をmail.phpページに送信するために使用できると考えていました。申請者は電子メールを送信します。

1）あるphpページから別のphpページに変数を渡すにはどうすればよいですか？

2）キャプチャを使用するためのより良い方法はありますか（私はまだphpとWebプログラミングに慣れていないので、簡単な質問を大いに回っています）

ありがとう