Comment protéger un formulaire de contact sans captcha?

Sur mon site web, j'ai un couple de formes où quelqu'un (sans enregistrement) peut envoyer le message spécifié, l'utilisateur inscrit. La forme est simple, et je veux garder de cette façon. Quelle est la meilleure façon de protéger un formulaire de contact contre le spam et les robots si je ne veux pas utiliser tout captcha?

Your message:...
Your e-mail:...
[Send]
Vérifier clair validation du serveur ainsi que du côté client, et de faire de la fonctionnalité de messagerie,,ne pas enregistrer dans la bd
Protéger de quoi? Si c'est des bots de spam alors le but de CAPTCHA est-à-dire les robots des humains, si toutes les bot les mécanismes de protection de venir sous ce terme générique.
Connexes: stackoverflow.com/questions/2603363/...
Double Possible de la Bonne Forme de Sécurité - pas de CAPTCHA

OriginalL'auteur Lucas | 2012-03-01

  1. 7

    Donc les options:

    1. Maximiser la requête/IP
    2. Ajouter à la question de sécurité
    3. Captcha (même si vous ne l'aimez pas)
    4. L'envoi d'e-mail pour valider
    5. De la soumission des données via JavaScript

    De détails sur ces et mon opinion sur eux.

    1. Il fonctionne bien pour éviter d'envoyer de nombreux messages, mais quelques copies d'entre eux seront encore entrer. Si vous pensez que c'est abordable, ce qui pourrait fonctionner. Remarque: un spammeur peut utiliser des proxys ou dinamic la propriété intellectuelle, mais qui peut être lente. Peut-être envisager de ne pas bloquer l'utilisateur, mais l'ajout d'un captcha si l'on envoie trop d'e-mails.
    2. Qu'est-ce exactement? Ce sont des questions comme "10+1" ou "les dix plus 1" ou "Quel jour est-il?". S'ils travaillent bien, si votre site web sera dans très peu de langues. Les Captchas sont encore mieux, mais cela fonctionne bien dans le cas.
    3. Vous ne l'aimez pas, mais je persiste à dire que c'est le meilleur. L'ajout d'un captcha n'est pas si difficile, mais il permettra d'éviter 90% des spammeurs ou plus. Mais il y a 2 problèmes: 1. parfois, l'homme ne peut pas le lire ainsi, 2. les spammeurs pourraient utiliser les gens à résoudre pour un minimum (comme de 0,001 $/captcha) montant et parfois, ils le font. Mais qui se tient pour le cas 2.
    4. Pourrait être bon, mais si les spammeurs note ce, ils peuvent générer des adresses e-mail et de les valider via SMTP. Mais ils l'habitude d'aller à la cible la plus facile et la quitter.
    5. Bon, les spammeurs peuvent pas faire des bots d'agir comme un déclic, mais ils peuvent faire des codes qui rend cliquez sur non-obligatoire. Mais la cible la plus facile reste la règle.

    À mon avis, la meilleure solution est de 3, alors la solution 2, alors la solution 1, alors la solution 4 et 5.

    Merci, c'est très utile. Je pense que je vais me concentrer lors de la première au point 4, puis le point 1.

    OriginalL'auteur axiomer

  2. 7

    À mon avis, de nombreux sites (à l'exception des vendeurs de billets, de grands sites tels que google et d'autres sites qui seront ciblées) peut empêcher commentaire/forme de spam sans captcha en utilisant un certain nombre de techniques différentes dans la combinaison. J'ai récemment créé un open source PHP de projet qui met en œuvre les tests suivants pour déterminer si la soumission est probablement légitime, ou du spam.

    • Champ de Formulaire masqué - Si ce n'est caché champ de formulaire est rempli, c'est un indicateur de spam
    • Temps de la Soumission d'un Formulaire - Si le formulaire est rempli trop vite ou trop lentement, c'est un indicateur de spam
    • Trop d'Url - Si la zone de commentaire a trop d'Url (Numéro est configurable) c'est un indicateur de spam
    • Le Mouvement de la souris - Si l'utilisateur n'utilise pas de souris, c'est un indicateur de spam
    • Utilisé Clavier - Si l'utilisateur n'utilise pas son clavier, c'est un indicateur de spam
    • Valider Referer - Si le HTTP referer ne correspond pas à l'URL du formulaire, nous ne devrions pas accepter la soumission.
    • Valider l'e - Mail-Si l'adresse e-mail fournie dans le formulaire n'est pas valide d'un point de vue de la syntaxe, nous ne devrions pas accepter la soumission.

    Voici l'URL du projet. J'aime Kaii du test ci-dessus, ferait un excellent test supplémentaire pour phpFormProtect.
    https://github.com/mccarthy/phpFormProtect

    Projet intéressant, merci pour cette idée.
    +1 pour le champ de formulaire masqué et l'heure de soumission de formulaire: quand j'étais administrer un site Drupal avec 50 spam les inscriptions un jour j'ai essayé différentes captcha et chacun a donné seulement un temps, les effets; une fois que j'ai installé pot de miel (HoneyPot un plugin qui met en œuvre les deux mesures – champ caché et l'heure de la soumission) et définir le champ caché le nom de "téléphone", j'ai eu 0 spam les inscriptions pour plus d'un an
    PS de'course c'est une bonne mesure pour un petit site; si quelqu'un objectifs votre site comme un lieu de spam, ils peuvent facilement gérer cela
    D'accord. Comme je l'ai mentionné dans ma réponse, pour de nombreux sites, c'est plus que suffisant. Mon objectif est d'équilibrer l'expérience utilisateur et le spam/détection de bot.

    OriginalL'auteur Dan McCarthy

  3. 6

    Vous pouvez protéger votre formulaire avec le forme touches technique:

    1. Lors de l'affichage du formulaire à l'utilisateur, générer un ID aléatoire ("la forme de la clé") juste pour cette seule forme de soumission. Magasin sous la forme clé dans une variable de session. Soumettre le formulaire "clé" dans un champ caché.
    2. Sur le bouton soumettre côté, cochez le formulaire soumis clé à l'encontre de celui qui est stocké dans la variable de session. Immédiatement invalider après utilisation. (supprimer de la session)

    Sans un captcha ou quelque chose de comparable, il est impossible de vraiment protéger un formulaire à partir d'abus.

    Cependant, l'utilisation de cette technique malveillant spammeur aurait à

    1. demande de formulaire via HTTP pour chaque soumission de formulaire pour obtenir un unique valide forkey
    2. analyser l'arborescence DOM /code HTML pour obtenir la forme de la clé
    3. les présenter dans le format correct

    Pas automatique spamming formulaire de contact robot qui, autant que je sache.

    Cette technique protège également votre formulaire à partir de plusieurs accidentelle présentations.

    Voici un exemple de code:

    <?php
session_start();
if (isset($_POST['form_submit'])) {
  //do stuff
  if (isset($_POST['formkey']) && isset($_SESSION['formkeys'][$_POST['formkey']])) {
    echo "valid, doing stuff now ... "; flush();
    //delete formkey from session
    unset($_SESSION['formkeys'][$_POST['formkey']]);
    //release session early - after committing the session data is read-only
    session_write_close();
    //do whatever you like with the form data here
    send_contact_mail($_POST);
  }
  else {
    echo "request invalid or timed out.";
  }
}
else {
  //show form with formkey
  $formkey = md5("foo".microtime().rand(1,999999));
  //put current formkey into list of valid form keys for the user session
  if (!is_array($_SESSION['formkeys']) {
    $_SESSION['formkeys'] = array();
  ]
  $_SESSION['formkeys'][$formkey] = now();
?>
<html>
<head><title>form key</title></head>
<body>
  <form method="POST">
    <input type="hidden" name="PHPSESSID" value="<?=session_id()?>">
    <input type="text" name="formkey" 
      value="<?= $formkey ?>">
    <input type="submit" name="form_submit" value="Contact us!">
  </form>
</body>
</html>
<?php } ?>
    Merci. C'est une bonne solution. Mais cela ne fonctionnera pas si quelqu'un ouvrir plus d'un formulaire de contact. Un utilisateur ne doit pas faire cela, donc, fondamentalement, c'est une bonne solution. Je vais essayer de faire quelque chose de similaire en fonction de votre code, merci pour les conseils.
    j'ai adapté mon code pour enregistrer un liste de validité formkeys dans la session de réagir sur votre cas d'utilisation avec de multiples formes. Aussi, cette approche peut être facilement amélioré pour vérifier un délai d'attente. le formkey est maintenant stocké avec un timestamp.. la seule chose que vous devez faire est d'insérer une case si le formkeys a déjà expiré..
    Comment voulez-vous mettre en œuvre les solutions ci-dessus?

    OriginalL'auteur Kaii

  4. 1

    Vous pouvez mettre en œuvre un limite de temps à partir d'une IP. Donc, si un robot de spam essaie d'envoyer le formulaire de nouveau et de nouveau (dans un intervalle de temps spécifique, disons 1 heure), la demande doit être rejetée.

    Vous aurez à le faire sur le Serveur-Côté par la vérification et de stocker les adresses ip des utilisateurs. Puis, quand ils ont à nouveau d'envoyer le formulaire, vérifier si l'utilisateur est déjà dans l'bloqué IPs pour le moment.

    C'est aussi ce que StackOverflow mis en œuvre 2ans en arrière.

    OriginalL'auteur Arjun Bajaj

  5. 0

    Vous pouvez faire quelque chose pour prouver l'utilisateur de l'homme. Si vous voulez rester simple, peut-être un champ de poser une question de mathématiques, comme "2 + 5?", par exemple. Mais ce n'est pas si sûr qu'un captcha pourrait être. Mais, si possible, le spam n'a pas botter vous, c'est ok pour le faire.

    ¿Pourquoi pas? Si la question est posée dans le bon format, il peut être beaucoup plus clair qu'un klingonish captcha
    exactement, j'ai souvent un moment difficile la lecture capthcas (et oui, je veux dire vous, StackOverflow). Une image avec déformation des lettres est sooo 2006.
    Certains scripts peuvent capturer le texte et de résoudre la question, c'est pourquoi j'ai fait.

    OriginalL'auteur Tiago César Oliveira