让验证码暂时对用户具有粘性？

Question

我有一个允许匿名发帖的论坛，并受验证码保护。为了方便用户，我为这样的用户设置了一个持续一个月左右的Cookie，这样用户就不会一遍又一遍地获取验证码。最简单的 Cookie 称为 no_captcha_for_one_month，其值为 1。当用户返回并匿名发帖时，他不会得到验证码。

有人看到缺陷了吗？论坛垃圾邮件发送者只需正确填写一次验证码并为其机器人使用 cookie 信息即可。

我想过发挥创意并使用服务器端哈希，其中包括例如用户 IP 地址和一些秘密盐来生成 cookie 值，但当然，它对于该 IP 地址仍然有效。

有人给我的印象是这个问题很愚蠢，我试图解决一些无法解决的问题。

Answer 1

我建议实施您的 cookie 值 + salt 实施不是为了解决您的问题，而是出于安全原因。正如这篇博客文章所解释的，wordpress 已经由于 cookie 安全性差，存在类似的问题，尽管它更严重。在您的情况下，即使 cookie 已过期，顽固的垃圾邮件发送者也始终可以绕过您的验证码。

为了解决所提出的问题，我想到的唯一解决方案是实施强制验证码算法，如果它认为用户正在发送垃圾邮件，该算法将覆盖您新保护的 cookie。我会立即使用一些属性，例如自上次发布以来的时间、今天的帖子数量、在表单上撰写消息所需的时间长度等。

编辑：我还应该提到，您可以让您的论坛更少首先通过在用户提交的链接上实施 rel="nofollow" 属性来吸引垃圾邮件发送者。请参阅维基百科。

Answer 2

通过这样的解决方案，机器人始终可以使用 cookie。无论你尝试什么。

Answer 3

如下所述，可以轻松地从浏览器获取 cookie 并将其粘贴到机器人代码中，因此该解决方案并不可靠。

其他解决方案：

• 找到一些在论坛上发帖较多的用户，询问他们是否自愿担任版主。像 AutoHotkey 这样的论坛就使用这个系统，而且效果很好。垃圾邮件发送者倾向于避开审核快速且高效的活跃论坛。他们更喜欢死论坛...
• 限制每个 IP 地址的匿名帖子数量。可能会让用户烦恼，但可以避免垃圾邮件泛滥。仅当您遇到此类洪水时才应设置。

Answer 4

更糟糕的是，因为您使用的是 cookie，垃圾邮件发送者甚至不需要执行一次验证码。 Cookie 可以由客户端更改，它们由浏览器随页面请求发送，因此客户端可以发送任何它想要的内容。事实上，垃圾邮件请求可能来自脚本，因此伪造 cookie 更加容易。

存储变量服务器端解决了我提到的问题；您设置一个随机散列作为 cookie，并在服务器上有一个存储验证码状态的表。为了使垃圾邮件发送者无法获得验证码，他们必须猜测具有存储在服务器端的正确变量的哈希值，这是很难做到的。

您提到的问题；事实上，每月一次可能不足以阻止垃圾邮件发送者，这是您无法回避的。您必须向每个真实用户显示验证码，就像您希望垃圾邮件发送者也输入验证码一样。请记住，验证码是必要的，因为您无法区分垃圾邮件发送者和普通用户。

您应该经常显示验证码，无论如何它都会说服人们注册。

Answer 5

加密时间（以皮秒或纳秒为单位）将其设置为输入值 () &将其设置在数据库中，并

在每个页面中设置 列名称“哈希”看看它是否与数据库匹配。