Să luăm în considerare pe scurt algoritmul de verificare CAPTCHA-vizitator, cu accent pe protecția împotriva vulnerabilităților, nu au legătură cu recunoașterea efectivă a imaginii:
Utilizatorul vine la pagina protejată care vom crea o sesiune pentru el. Este cel mai bine dacă această sesiune se va crea CAPTCHA-imagine (sau, mai degrabă, un script pe care le produce).
Script-ul generează un text aleatoriu, scrie-l la sesiune și dă imaginea cu textul vizitatorului. Apoi, la verificarea vizitatorul de răspuns a intrat, în comparație cu o valoare de referință stocată în sesiune.
Dacă textul este generat aleator nu în emiterea unei imagini, iar emiterea paginii cu forma, există riscul ca barca va face mai multe cereri de la imagini de script pentru a obține mai multe versiuni ale aceluiași text (în cazul în care imaginea este emisă cu distorsiune aleatoare - care este diferit de timp în timp, deși cu același text codificat). Recunoască textul, în cazul în care există mai multe variante, este mult mai ușor.
Generarea imaginii este codul permite „obține un alt cod în cazul în care utilizatorul este dificil de citit“ - va fi suficient doar pentru a actualiza imaginea.
O greșeală comună este că, atunci când se verifică corectitudinea textului introdus, pur și simplu scoate din sesiune și comparat cu răspunsul vizitatorului. Problema este că un atacator ne poate aluneca numărul sesiunii inexistente și introduceți un text de validare goală. Și acest lucru va fi un text gol este un text necompletat din sesiunea defunctului - indiferent de barieră este trecut.
Este important să curățați după fiecare sesiune de inspecție (fie de succes sau nu). Nu vă bazați pe ceea ce pagina este imagini reîmprospătate script Generează text nou - bot poate cere pur și simplu pentru o imagine și introduceți același răspuns, care de la bun început am citit și a spus bot în sine atacator.
Dacă acorde o atenție la aceste puncte, CAPTCHA este protejata impotriva care nu utilizează OCR. Generarea de imagini, care sunt rezistente la recunoaștere automată, vom lua în considerare în articolul următor.
# 10097; Crearea de site-uri de design, doar de design fără aspect, aspect PSD - 5 - 10 TR
Portofoliu si probe de lucru. Designer: [email protected] Skype: tanditl Dragoste (Teolinka)