Капчи не просто так появились. Да, да, да — в UBB их вообще не было. И дело не в том, чтобы оптимизатор-человек заполнил больше полей. Это борьба с автоматическими скриптами, такими же, которые когда-то гуглили Powered by phpBB. Первые капчи представляли собой не картинки, а обычный цифровой текст, генерируемый случайно. Спамеры усовершенствовали свои скрипты — теперь, они автоматически ищут числа на странице и неиспользуемое поле вбивки. Технически, каждая программа работала по разному, но все они имели схожие черты. Так, имя могло вбиваться при поиске параметра name, сообщение — при поиске параметров post, message, text или подобных. Это потому что никакой программист не будет давать им случайные имена. Капча же вбивается при поиске numbers, captcha, code и так далее. Но предварительно надо прочитать значение на странице. Программисты, которые писали первые captcha не думали о своем скрипте с точки зрения "как обойти" — обычный заказ, как и остальные. Для скриптов — это вообще самая простая капча. Потом появились коды на картинке, первые такие — самым обычным текстом. И тут спамерские скрипты не нашли для себя ничего сложного. Программисты, работающие на спамеров подключили графические библиотеки, делали скриншоты и успешно распознавали текст защитного кода. Тем более, что из шрифтов в таких капчах чаще всего использовался Arial или Times New Roman — то есть шрифты, по умолчанию присутствующие в системе. Потом текст начали искажать средствами библиотеки GD к php. Сокращали межбуквенный пробел для налезания символов и следовательно, усложнения автоматического распознавания. Поворачивали на несколько градусов. Подчеркивали, зачеркивали. Размывали, создавали волны — шум, который, как предполагается, тоже будет путать автоматический скрипт. Но спамеры наняли первоклассных графических программистов, потому что и тут они всех опередили.
Начнем с того, что вторая волна капч — с искаженными символами — состояла только из цифр. Научить программу распознавать только искаженные цифры проще, чем искаженные буквы в разных регистрах. К примеру, шесть и девять выглядят одинаково — просто перевернуты. Двойка в большинстве шрифтов использует такие же хвосты, как у семерки. Восьмерка состоит из двух кружков девятки. В каждой цифре есть вертикальная линия, за исключением семерки. Тройка в некоторых шрифтах представлена не как два кружка от двойки, вверху может быть треугольник. То есть программа делает скриншот, а потом начинается процесс правильной расстановки элементов, причем решение об успехе принимает скрипт, печатая результат выполнения графической подпрограммы, осуществляющей распознавание. Волны, размытие, белый шум поверх, подчеркивание и зачеркивание легко обходятся этим софтом. Оно просто игнорируется. Игнорируются и засечки в шрифтах, вроде Times New Roman — независимо от того, есть хвосты у символов или нет, они не проверяются, что позволяет массово проходить регистрации, потому что заведомо неизвестно какая капча там будет. Что касается налезания, то оно просто относится к засечкам и игнорируется. Графическая подпрограмма в спамерском ПО может быть реализована по разному. Какие-то программы переворачивают картинку, пока символы из заведомо заготовленного шрифта (подпрограмма постоянно микширует символы) не совпадут. Какие-то — крутят сами символы. Где-то существует заведомо заготовленный шрифт, другие программы — более сложны и цифры представлены из отдельных элементов. Словом — сделано все, чтобы автоматическое распознавание прошло успешно и быдлоламер купил виагру.
Но программисты, пишущие капчи и прочие проверки от ботов, наконец, кажется сами заинтересовались, как ботов остановить. Подтверждение по E-Mail тоже появилось не просто так — потому что пробивали. Однако и это ботам не тормоз. Спамеры подключили собственный E-Mail-сервер специально для подтверждений. Есть основная программа и графическая, и почтовая подпрограммы. Основная видит поле с именем E-Mail, как только картинку победили с участием графической подпрограммы и на "E-Mail отправлено письмо", основная передает почтовой подпрограмме сигнал к действию. Почтовая заходит — письмо может выбираться в зависимости от текущей даты и времени, либо в зависимости от темы сообщения — кликается нужный домен. Подтверждение кликнули и основная спамит, все. Если основная программа не видит поле с именами типа success, accept, то продвинутое спамерское ПО предполагает, что картинка не была угадана. Ввод может передаваться человеку-спамеру, а письмо все равно проходит на автомате. Таким образом, с точки зрения борьбы с ботами, подтверждение по E-Mail еще хуже искаженной картинки?

Программисты добавили буквы. Разработчики спамерского ПО заложили несколько шрифтов, в том числе цифры напоминающие электронные часы, гротеск и другие. Ну это те спамеры, которые ответили на это обновление. А ведь распознавать буквы не так просто. Походу, спамеры наняли бывших разработчиков OCR? Программисты использовали более сложные правила, вроде случайных ломаных линий. Графическая подпрограмма становится гораздо сложнее, использует те же базы уже взламывающихся капчей, что и антивирусы базы вредоносного кода. Некоторые капчи взламываются автоматически. Причем для человека буквы могут становится неразборчивыми, а для программы они просты. Самые примитивные капчи вообще ловит эвристика графической подпрограммы.
Рассмотрим некоторые популярные ситуации. Буквы в сильном шуме (точках), причем уточним — шум цветной, фон не зашумлен. По задумке авторов капчи, программа не сможет такие символы распознать, потому что из-за шума будет принимать их за отдельные пиксели, а не сплошные линии, по которым что-то надо сравнивать. Вот лишь один из способов автоматического распознавания: графическая подпрограмма переводит картинку в черно-белую, переключается к какому-то одному каналу, применяет размытие, после чего уменьшает яркость в два раза. Теперь символы для нее стали сплошными, применяется обычная функция для сравнения. Черно-белую картинку они тоже опознают, только ее в Ч/Б не нужно переводить. Хотя от программы к программе зависит — какая-то может проверять, является ли картинка уже черно-белой, какая-то применяет это и так к черно-белым изображениям, это же скрипт.
Ситуация та же, но допустим зашумлен еще и фон. Переводит в черно-белый — ограниченная цветовая гамма важна для распознавания, применяет размытие (как правило, четыре-шесть пикселя), в полученном результате увеличивает резкость (от десяти до двадцати пикселей). Картинка с кодом, с которой он теперь будет сравнивать контуры, выглядит следующим образом: серый фон, сплошные черные буквы (шум побежден), которые только немного размыты, белое свечение сверху и снизу букв (остаток от бывшего когда-то размытия), все — письмо и спамим. Некоторые капчи уже по умолчанию выглядят таким образом, они опознаются эвристикой графической подпрограммы спамеров. При этом, подпрограмма проверяет — если размытие порядка шести-восьми пикселей, то есть автоматика уже не справится без преобразования, то скрипт поднимает контрастность на десять пикселей и своей функции опознания подкидывает правильное изображение.
Еще частый сценарий капч — прокалывание символов полосками. Если цвет одинаковый, то опознается эвристикой спамеров, линии игнорируются. Допустим, линии будут контрастными — белыми, а текст — черный. При тестировании понятно, что подпрограмма попытается либо поднять яркость — и получить сливающийся с полосами текст, либо опустить — чтобы полосы стали черными. Выбросите эти полоски вообще, любое продвинутое спамерское ПО опознает их эвристически. Причем, становится все сложнее создать капчу, которая будет требовать именно ручного анализа программистов и добавление в существующие базы спамерского ПО. Большинство капч программы опознают уже автоматически. Распознавание букв разных начертаний и шрифтов выгоднее всего производят посредством проведения кривой линии по определенному алгоритму, если графическая подпрограмма решила, что можно выдавать анализатору этот графический результат. Засечки, налезание символов, курсив, наружный шум вокруг символа — запросто игнорируются.
Спамерское ПО может быть как клиентским (C/C++/VB/Deplhi и так далее), так и находящимся на сервере — php с GD, то есть одна GD пытается обломать другую. Скажем, программа для спамеров AllSubmiter соединяется с графической подпрограммой на сервере разработчиков. Предположительно, это сделано для простоты автообновления — позволяет авторам вносить новые капчи, а пользователям — ничего не качать.
У меня две новости. Одна, по традиции — плохая, другая — хорошая. Начну с плохой. Плохая заключается в том, что на все эти действия спамерское ПО (независимо от того, на каком языке и для какой платформы оно написано) тратит ГОРАЗДО МЕНЬШЕ времени, чем спамер-человек, форумов в среднем, пятьдесят за секунду, слабо вручную? Это стимулирует спамеров разрабатывать и поддерживать данные программы, обновлять базы не только с капчами, но и с сайтами, при этом высирают они свои виагры массово, на многих форумах Рунета и Интернета, даже на никому теперь censored не упавших форумах и гостевых, где и поисковики-то редко появляются (а они для поисковиков делают, а не для людей).
Хорошая же состоит в том, что создать капчу непробиваемую эвристикой спамерского ПО все-таки возможно. Рекомендации такие. Капча с римскими цифрами, при этом вводить нужно арабские уже автоматикой пробиваться не будет. И не надо никакого шума, нестандартных шрифтов и тому подобного. Кому надо посложнее. Создаете цифры: никаких копипейстов, тройка не должна выглядеть как двойка с кружком, повторимым второй раз. Посмотрите на любые часы с арабскими цифрами. Единицу лучше сделать с небольшой засечкой наверху, без засечки внизу — автоматика, анализирующая нестандартные шрифты может спутать ее с "Т". Пятерку можно сделать с таким закруглением, что напоминать она будет S, но человек сможет узнать пятерку. Разумеется, если человек начинает путать два символа — задача провалена. Букву O можно нарисовать с имитированием сердечка, скрипт, возможно, спутает за начертание W, а человек поймет. W можно сделать с удвоенной последней вертикальной линией, скрипт может спутать за J. По поводу любимых многими разрезаний букв пустым пространством — эвристика спамерского ПО это выявляет. Если это, конечно, не кусочки, которые и человек уже не определит. Да, обмануть автоматику можно, но на настоящий момент крайне трудно. К тому же, ни один сайт или форум не застрахован от внесения в спамерское ПО после ручного просмотра программистами, а со стандартными капчами движков это сделано в первую очередь. Гораздо хуже, если не капча, а сам домен добавлен в спамерские базы — капчу распознать не удалось, управление передается человеку для ввода цифр вручную. А censored, оптимизаторы же.

Сайт может работать как по принципу "добавляйте на форум, а на сайте появится после проверки админов", так и посредством интеграции форума и сайта через мост. Но функционал пока не обсуждается, потому что не определен, гораздо важнее определить технические требования ко всему этому.

В качестве форума рекомендуется использовать сторонний. Рекомендуемые скрипты: phpBB3, Simple Machines Forum, Punbb. Форумы как плагин Joomla (например Kunena или Fireboard) использовать не рекомендуется -- самые дырявые, малопопулярные и пробиваемые хакерами. Известен случай, когда пробили FireBoard, а на форуме говорили якобы взлом был осуществлен через уязвимые версии apache вашего хостинга.
Простой пример. Запрос в гугле component fireboard. Как минимум, на шестой странице предлагаются не сайты, где можно скачать скрипт, а сайты где он установлен, причем поиск выполняется по адресной строке.
Если сторонний форум нужно будет интегрировать с сайтом, то использовать нормально настроенные мосты для Joomla -- самое простое решение.

Все дополнительные плагины к движку должны соответствовать следующим требованиям:
-- Никаких копирайтов в исходном коде.
-- Никаких копирайтов на самом сайте, в том числе с использованием приемов, вроде "белый на белом".
-- Никаких названий плагинов в адресной строке.
-- Если используется общедоступный плагин, то он должен быть переименован в случайный набор символов (как минимум, его шаблон вызывается в исходном коде). Даже если хакер отключит javascript и будет пытаться бомбить по плагинам, даже если он опознает факт установки joomla, то вероятность, что он еще и плагин узнает, равна нулю.

Плагины для взаимодействия с пользователями (комментарии, формы и прочее) должны соответствовать следующим техническим требованиям:
-- В случае ввода html, php, javascript и прочего кода, он не должен исполняться (например, php заменяется на русскую букву "р" и прочее). Это относится ко всем полям ввода, даже имени, цвета сообщения (если он будет) и т.п. Хакеры обычно исходят из того, что поле сообщение самое проверяемое, а остальные могут не проверяться (и к сожалению, зачастую и не проверяются в подавляющем большинстве "комментаторок" и прочих скриптов, причем и даже платные не лучше).
Помимо html и php, javascript не должны вводиться следующие символы:



Точнее, вводиться должны, но они должны быть преобразованы в html, не должны быть plaintext (актуально для некоторых совсем уж дырявых скриптов).