Выводить captcha после определенного числа попыток

[Sereja3578]

Кто-нибудь в курсе, стандартную капчу можно как-то выводить не сразу, а после определенного числа неудачных запросов? Или надо в сторону reCaptcha от гугла думать?

[Sereja3578]

Как вариант вижу пока только занесение значений в сессию, при неудачном вводе. Но это кастомное решение. Может по дефолту, что-то есть?

[lgXenos]

Как вариант вижу пока только занесение значений в сессию, при неудачном вводе. Но это кастомное решение. Может по дефолту, что-то есть?

Если это обычный юзер - то сессия, куки, IP
Если вас ломают - реКапча, при чем с самого первого запроса, т.к. ломают не браузером и не с одного IP

[Sereja3578]

Нет, пока не ломают) Просто не хотел сразу заставлять вводить капчу, а хочу сделать так чтобы допустим не могли спамить, типа пару писем отправил и благоволи ввести капчу. Ну и в случае ошибок ввода тоже.

[Sereja3578]

Пока через сессию. Дальше, если кто, что-то более толковое посоветует поправлю)

[SiZE]

Пока через сессию. Дальше, если кто, что-то более толковое посоветует поправлю)

Надо понимать, что собираешься защитить капчей? Дело вот в чем. Представь, форма обратной связи, доступная без регистрации, отправляющая сообщение на почту и сохраняющая в базу. Я отправлю на нее 500 запросов. Как думаешь, твой механизм "не сразу" через сессии сработает?

[Sereja3578]

Не особо понял. А почему собственно нет? Возможно я чего-то не понимаю, но вот, как я это вижу, и как сейчас работает -

Пользователь заходит на страницу с формой, отправляет первое сообщение - в сессии создается переменная со значением 1, потом отправляет второе сообщение - переменная увеличивается на 1, потом третье, переменная становится равно 3. В представлении проверяем значение этой переменной, и если оно равно 3, выводим капчу. После успешной отправки еще одного письма с капчей, обнуляем переменную. Типа молодец, ты не робот и не спамер.

[kawabanga]

А что нам мешает грохать сессию после каждой отправки? и получать "бесконечную единицу"?

[ElisDN]

Не особо понял. А почему собственно нет? Возможно я чего-то не понимаю...

Идентификатор сессии хранится в Cookies. Отключаем их в браузере или отправляем 500 запросов через какой-нибудь CURL с пустыми Cookies. Капча не выводится.

[kukuruku]

счас у гугла приятная капча с чекбоксом
можно сразу выводить

[ElisDN]

счас у гугла приятная капча с чекбоксом
можно сразу выводить

https://www.youtube.com/watch?v=fsF7enQY8uI

[Sereja3578]

счас у гугла приятная капча с чекбоксом
можно сразу выводить

https://www.youtube.com/watch?v=fsF7enQY8uI

Хахххахахах) Вот так жесть)

[Sereja3578]

Не особо понял. А почему собственно нет? Возможно я чего-то не понимаю...

Идентификатор сессии хранится в Cookies. Отключаем их в браузере или отправляем 500 запросов через какой-нибудь CURL с пустыми Cookies. Капча не выводится.

Я проверил, понял, что реально косяк. Но, как тогда быть? Я эту плюшку увидел у mail.ru, после отправки нескольких комментариев подряд, вылезает окошко с капчей. Очень уж хочется реализовать подобное. Даже ради интереса. Но если сессия и куки не залог безопасности, то как? Заносить в БД, число запросов от конкретного пользователя?

[SiZE]

Заносить в БД, число запросов от конкретного пользователя?

Так мы не выяснили, что за форму ты хочешь защитить )

[Sereja3578]

Заносить в БД, число запросов от конкретного пользователя?

Так мы не выяснили, что за форму ты хочешь защитить )

Да, это форма для отправки сообщений, без авторизации) То есть любой посетитель может написать логопеду.

[SiZE]

Да, это форма для отправки сообщений, без авторизации) То есть любой посетитель может написать логопеду.

Поставь просто ограничение на количество отправленных сообщений в какой-то отрезок времени. Например, если через форму отправлено больше 10 сообщений за минуту, выводи капчу, пока не спадет интенсивность.

[kawabanga]

или воспользуйся бесплатными виджетами комментариев, которых полно.