J'ai un site web classifié, où les utilisateurs doivent remplir un formulaire pour publier un classement (office).
Je me demande, pensez-vous avoir besoin d'une forme de captcha sur la forme?
En outre, je travaille sur une page "Enregistrement" où les utilisateurs peuvent obtenir leur propre nom d'utilisateur / Pass et connexion pour poster des classifications plus facilement.
En outre, j'ai une configuration de serveur mail ...
Alors maintenant, les utilisateurs peuvent cliquer sur un classement et en bas remplir seulement trois champs sous un formulaire (nom, courrier électronique, message) et envoyer un email à l'affiche du classement. Pas de captcha là-bas. Est-ce sûr?
Mon pare-feu est configuré de sorte qu'il empêche tout accès extérieur au serveur de courrier, à l'exception des sites Web IP.
Puis-je configurer le pare-feu à certains paramètres afin que je n'ai pas besoin de captcha?
J'ai mon propre serveur privé virtuel BTW, et il exécute Ubuntu.
Un suivi Q est, s'il s'agit d'un spam-bot ou autre, obtient la prise de mes formulaires et remplit beaucoup d'entre eux, ou utilisez mon serveur mail pour envoyer des courriels, que se passerait alors?
Mon site et ma courrier serveur sont-ils sur la liste noire? Est-ce inversable ou dois-je créer un nouveau serveur de messagerie?
merci
6 Réponses :
CAPTCH est principalement utilisé pour la sécurité pour arrêter l'automatisation. Comme si vous avez une colonne d'inscription, un geek peut facilement faire un 1000 utilisateurs en quelques minutes s'il l'automatise .. Vous perdez tant d'espace .. Dans le même temps, si vous utilisez CAPTCHA, c'est beaucoup plus sûr et vous pouvez être Assurez-vous que tous les utilisateurs sont humains et aucun n'est généré par ordinateur. Donc, si vous prenez votre site Web au sérieux, je suggérerais d'aller pour CAPTCH. Mais gardez-le simple comme ils ont à Megaupload. Je ne sais pas quel service qui n'est pas encore simple.
OK, alors qu'en est-il du serveur de messagerie alors? Est-il sécurisé avec les paramètres de pare-feu ou ai-je besoin de captcha avant d'envoyer des emails aussi?
Nah ... c'est bien .. vous voyez .. une fois que vous avez des utilisateurs enregistrés, ils doivent être libres .. Je veux dire avec des restrictions minimales que possible .. donc je dirais que je ne vais pas aller pour un captcha avant d'envoyer des courriels.
Je vais par le principe de conception de "moins barrière à l'entrée". Vous voulez que les gens utilisent votre site, vous souhaitez donc le rendre aussi facile que possible pour eux. Rien du tout - y compris un captcha - pourrait les éteindre. Donc, ma ligne standard serait de ne pas inclure de captcha nulle part jusqu'à ce que vous ayez vu un problème de spam. Et même alors, voyez si le problème peut être résolu sans CAPTCHA en premier.
Concernant votre question de "bien ce si un spam bot commence le spam". Une solution simple à ceci est de préalablement mettre en œuvre une limite de taux. Faites-le que quelqu'un à une adresse IP donnée ne puisse pas initier l'envoi d'un courrier électronique plus fréquemment que de dire une fois par minute. Cela ne causera pas de problème aux personnes réelles, mais n'arrêtera pas un bot de spam dans ses pistes. Vous pouvez même essayer de détecter des situations où vous voyez un taux élevé et bloquez temporairement cette adresse IP pendant 24 heures. Qui empêchera même le spam une fois à une minute.
OK, avez-vous un pointeur sur où commencer à regarder avec la limite d'envoi de courrier électronique? J'utilise Postfix comme serveur mail. Merci
J'ajouterais le code de limite de taux sur la fin de l'application. Chaque fois que quelqu'un répond à une annonce classée qui entraîne l'envoi d'un courrier électronique, enregistrer leur adresse IP et l'heure. Avant d'envoyer le courrier électronique, vérifiez la propriété intellectuelle contre les journaux pour limiter le taux. Si cela fait moins que la limite que vous décidez (comme 60 secondes par exemple), renvoyez un message à l'utilisateur qui leur dit de ralentir. L'application peut également détecter plusieurs postes à haute fréquence répétés de la même manière, en vérifiant le journal.
Puis-je configurer le pare-feu à certains paramètres afin que je n'ai pas besoin de captcha?
non. CAPTCHA et pare-feu sont des choses totalement différentes et ne peuvent pas être utilisées comme alternative les unes des autres.
Un suivi Q est, s'il s'agit d'un spam-bot ou autre, obtient la prise de mes formulaires et remplit beaucoup d'eux ou utilisez mon serveur mail pour envoyer des emails, que serait arriver alors?
On peut écrire un script qui automatisera le processus d'inscription sur votre site Web. Il peut créer tellement de comptes sur votre serveur et / ou poster un contenu qui n'est pas bon pour votre site Web ou peut utiliser votre site Web pour d'autres annonces de personnes.
Ce ne sont que quelques-uns des risques majeurs et fondamentaux de ne pas utiliser CAPTCHA :)
Je peux voir deux situations où vous pourriez penser à l'utilisation de CAPTCHA.
Cependant, CAPTCHA a tendance à contrarier et à chasser les utilisateurs s'il est surutilisé.
Donc, dans ces cas:
Le moyen le plus simple d'arrêter, ou du moins d'inconvénients, toute personne qui tente de créer des comptes en vrac serait d'utiliser une confirmation de courrier électronique. Ainsi, l'utilisateur remplit le formulaire, y compris leur adresse électronique. Le formulaire les envoie ensuite un email, qui contient un lien qu'ils doivent cliquer pour activer le compte et leur permettre de se connecter.
Il y aura deux types de personnes qui interagiront à travers ce formulaire. Il y aura des utilisateurs enregistrés et connectés et il y aura des visiteurs occasionnels. Comme CAPTCHA est une méthode pour vérifier si une personne est une personne ou non, tout utilisateur enregistré / enregistré se sont déjà prouvés eux-mêmes, il n'est pas nécessaire d'utiliser CAPTCHA pour eux.
Toutefois, pour un utilisateur occasionnel, non connecté, vous pouvez utiliser le CAPTCHA pour eux.
Alors, la version courte, comme vous pouvez le dire, je déteste CAPTCHA et n'utilisez-le que lorsque cela est absolument nécessaire.
Même les courriels de confirmation peuvent être une barrière ennuyeuse à l'entrée, et je ne choisis généralement pas de ne pas aller à cet itinéraire lorsque je développe des sites. S'il est important de valider les utilisateurs de cette façon (selon le site, il pourrait ne pas être important - mais si c'est le cas), alors j'aime aussi ajouter d'autres formes d'accès plus faciles à accéder à la validation en tandem avec validation par courrier électronique - choses comme Facebook Connect.
BETER TRY SBLAM , son transparent pour les visiteurs, il n'y a pas besoin d'une entrée utilisateur, elle fonctionne Bon pour moi sur de nombreux sites.