CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – rodzaj techniki stosowanej jako zabezpieczenie na stronach www, celem której jest dopuszczenie do przesłania danych tylko wypełnionych przez człowieka.

Źródło: http://pl.wikipedia.org/wiki/CAPTCHA

Zapewne nie raz spotkaliście się z kodami obrazkowymi które trudno było rozpoznać nawet człowiekowi. Widziałem już różne zabezpieczenia przeciw spam botom, mniej lub bardziej wymyślne, a nawet takie które spowodowały że sobie odpuściłem wysłanie formularza gdyż nie byłem w stanie ich pomyślnie przejść.

W tym wpisie pokaże Wam jak zrobić alternatywne metody weryfikacji człowieczeństwa bez denerwujących kodów obrazkowych czy innych mechanizmów utrudniających życie.

Być może to co opiszę ktoś już wynalazł i stosuje z powodzeniem, nie mniej, wymyśliłem to przy okazji jednego projektu gdzie po dziś dzień działa i spisuje się znakomicie – chyba że tą stronę omijają spam boty .

Idea

Na czym polega ów metoda? Na dynamicznej zmianie formularza, przed jego wysłaniem. Kolejno, w skrypcie PHP obsługującym daną formę, sprawdzamy poprawność struktury.

Spam boty, przeczesując sieć, odczytują z kodu HTML dostępne pola i wysyłają żądanie POST do lokacji widniejącej w  parametrze action. Jeśli zmienimy formularz dynamicznie przy pomocy JavaScript’u, wtedy spam bot nie zobaczy tych zmian i wyśle pierwotną wersję – wyjątkiem było by tutaj gdyby bot działał jak przeglądarka i interpretował całą stronę, ale w to wątpię.

Praktyka

Jeśli powyższy opis nie jest zbyt jasny, to poniższy przykład rozwieje wszelkie wątpliwości.

Załóżmy że mamy prosty formularz z jednym polem tekstowym – na przykład do dodawania komentarzy na stronę.

<form id="form" action="form.php" method="post">
  <input type="text" name="comment">
  <input type="submit" name="submit" value="Wyślij">
</form>

Po wysłaniu takiej formy i zrzuceniu w PHP zawartości tablicy $_POST otrzymamy:

array(2) {
  ["comment"]=>
  string(14) "mój komentarz"
  ["submit"]=>
  string(7) "Wyślij"
}

I w ten sposób wyglądała by przesłana zawartość jeśli wysłał by ją spam bot. Teraz wprowadzimy kilka zmian, aby ta wysłana przez człowieka (tj. z tradycyjnej przeglądarki) różniła się od tej powyższej.

Skorzystam z biblioteki jQuery w celu łatwiejszego manipulowania elementami dokumentu HTML.

$(document).ready(function(){
  $('#form').append('<input type="hidden" name="key" value="234786">');
  $('#form input[name="submit"]').removeAttr('name');
});

Co zrobiłem? Tuż po załadowaniu całego dokumentu, dodałem nowe ukryte pole formularza o nazwie key i wartości 234786. Kolejno, usunąłem atrybut name z przycisku submit. Po takim zabiegu, skrypt PHP widzi nasz formularz w następujący sposób:

array(2) {
  ["comment"]=>
  string(14) "mój komentarz"
  ["key"]=>
  string(6) "234786"
}

Jak widać, nie występuje już w tablicy $_POST w ogóle przycisk submit, a dodatkowo doszło ukryte pole key.

Jeśli teraz wyczulimy skrypt przetwarzający formularz na te zmiany, możemy odróżnić bota od człowieka:

if (( ! isset($_POST['submit'])) && isset($_POST['key']) && ($_POST['key'] == '234786'))
{
  echo 'jesteś człowiekiem :]';
}
else
{
  echo 'jesteś spam botem :[';
}

Zabezpieczenia

Pokazane tutaj rozwiązanie, w postaci usunięcia atrybutu przycisku submit, oraz dodanie pola hidden są tylko przykładowe. Siła tego rozwiązania tkwi w unikalności metody, a tutaj mamy naprawdę spore pole do popisu.

Możemy dodawać i usuwać pola. Manipulować nazwą lub zawartością pól ukrytych, np.: jego wartość musi być sumą kontrolną z tego co wpisze użytkownik w innym polu (wymagane podpięcie się pod zdarzenie onSubmit w takim wypadku). Możemy dodać pole z nazwą przeglądarki, adresem IP i porównać w skrypcie PHP czy się zgadzają oba wpisy. Pole do popisu jest naprawdę ogromne – niech poniesie Was fantazja, grunt to dobrze namieszać .

Sam kod JavaScript warto umieścić w zewnętrznym pliku oraz potraktować narzędziem typu kompresor JS. To utrudni ew. rozgryzienie naszego przypadku.

Uwagi

Czy jest to rozwiązanie idealne? Oczywiście nie. Pierwsza wada to wymagana obsługa JavaScript u użytkownika. Druga to łatwość obejścia tego typu zabezpieczenia przez człowieka. I tutaj są dwa aspekty tej przypadłości.

Autor bota musiał by przejrzeć kod naszej strony i zorientować się co tam się dokładnie dzieje i zmodyfikować swój twór. Jeśli przyjmiemy że każdy webmaster zastosuje inny algorytm zabezpieczający, to mało komu będzie się chciało dostosowywać swojego szkodnika do każdej strony z osobna tylko po to by móc masowo spamować. Koszt tej operacji przewyższał by zyski z rozsyłanego spamu.

Czyli, zasadniczo da się prosto dojść do tego jak spreparować formularz (chociaż jeśli ktoś namiesza to wcale to takie łatwe być nie musi ), jednak jest to z ekonomicznego punktu widzenia nieopłacalne dla spamera.

Ale o czym właściwie chcę napisać? O tym jak wygląda aktywacja systemu Windows 7 w wersji BOX, czyli takiej, która nie jest przypisana do konkretnego sprzętu (w przeciwieństwie do OEM). Mówiąc prościej, w myśl licencji, mamy tutaj dowolną swobodę w przenoszeniu i reinstalacji systemu. Czy aby na pewno?

Nikt niestety nie wspominał o tym że ilość aktywacji internetowych, której musimy dokonać po zainstalowaniu systemu, jest ograniczona do 10! Po tej magicznej liczbie, pozostaje nam już tylko czasochłonna aktywacja telefoniczna. Dlaczego produkt w wersji przeznaczonej do przenoszenia między komputerami wprowadza się tak bezsensowne ograniczenia i zmusza legalnych użytkowników do udowadniania iż nie są złodziejami? Zapraszam do zapoznania się z resztą historii o aktywacji systemu Windows 7 BOX.

Sprawa nie dotyczy mnie bezpośrednio, a bardzo blisko zaprzyjaźnionej mi osoby. Cała sytuacja rozegrała się w około wielokrotnej reinstalacji systemu, wymuszonej przez problemy z dyskiem i kilka ustawień w biosie. Prawdziwy problem pojawił się, gdy system odmówił aktywacji internetowej. Ktoś powie, po co tyle razy formatować? Jak już wspomniałem – problemy techniczne, po drugie, po to właśnie jest wersja BOX systemu, abyśmy mieli swobodę w reinstalacji systemu i to nie tylko na jednym komputerze.

Tym sposobem w ciągu jednego dnia, użytkownik tej wersji systemu, pozbawił się na drodze legalnego użytkowania, możliwości prostej i szybkiej aktywacji. Wykonanie tej samej czynności na drodze telefonicznej może nie zajmuje dużo czasu, nie mniej jest uciążliwe z uwagi na fakt przepisywania serii numerów do i z telefonu, zresztą posłuchajcie sami (newralgiczne dane zostały wyciszone):

W związku z zaistniałą sytuacją, wystosowany został e-mail do polskiego oddziału firmy Microsoft o następującej treści:

Witam,

Niedawno zakupiłem Windows 7 Home Premium BOX, z powodu problemów sprzętowych (dysk, reset konfiguracji BIOS) kilkakrotnie reinstalowałem system na tej samej maszynie. Aktywacja przez internet nie jest możliwa, i muszę aktywować system telefonicznie – co jest dodatkowym kosztem (dzwonię z telefonu komórkowego, numer 0801(…) nie działa).

Czy istnieje możliwość wymiany klucza na nowy, taki który będzie mógł aktywować się przez internet? Podczas używania nie została w żaden sposób naruszona licencja, system był i jest używany na tym samym komputerze, którego konfiguracja mogła ulegać zmianie wyłącznie przez ustawienia BIOS’u (zapomniałem wyłączyć w biosie nieistniejącą stacje dyskietek 3.5cala).

Skoro kupiłem licencję na produkt, i nie naruszyłem tej licencji (ciągle używam tego samego komputera, jest to jedyny komputer na którym instalowany jest system), to nie widzę podstaw ku temu, aby Microsoft blokował mój klucz aktywacji. Microsoft blokując mój oryginalny zakupiony klucz aktywacji godzi w moje dobra osobiste sugerując, że posiadany przeze mnie produkt jest używany przeze mnie w sposób nielegalny mimo że nie naruszyłem zasad licencji.

W nawiązaniu do pkt.25 licencji, cyt.

„25. SKUTKI PRAWNE. W niniejszej umowie zostały przedstawione niektóre z praw przysługujących stronom. Licencjobiorcy mogą przysługiwać inne prawa na mocy ustawodawstwa stanowego lub krajowego. Licencjobiorcy mogą przysługiwać także prawa względem strony, od której nabył oprogramowanie. Niniejsza umowa nie zmienia praw przysługujących Licencjobiorcy na mocy ustawodawstwa stanowego lub krajowego, jeśli ustawodawstwo to na takie zmiany nie zezwala.”

…uważam że nastąpiła zamiana w działaniu zakupionego produktu (brak możliwości aktywacji przez internet), która nie jest wynikiem niewłaściwego lub niezgodnego z umową licencyjną użytkowania. Nie wynika zatem z mojej strony.

Proszę o przydzielenie działającego klucza aktywacji bądź usunięcie blokady z klucza widocznego na zdjęciu załączonym do niniejszej wiadomości.

[...]

W odpowiedzi od producenta systemu Windows, otrzymujemy następującą odpowiedź w tej sprawie:

Szanowny Panie,

Dziękujemy za skontaktowanie się z Centrum Obsługi Klienta Microsoft.

Nie ma możliwości uzyskania nowego klucz produktu do posiadanego przez Pana oprogramowania.

Poniżej zamieszczam oficjalne stanowisko firmy Microsoft dotyczące procesu aktywacji oprogramowania:

Klient ma możliwość samodzielnego wykonania od 1 do10 automatycznych internetowych aktywacji jednej kopii oprogramowania na jednym komputerze (w zależności od tego czy jest to wersja BOX czy OEM).

Po przekroczeniu tego limitu i próbie dokonania kolejnej aktywacji, Klient zostanie poproszony o kontakt telefoniczny z przedstawicielem Biura Obsługi Klientów Microsoft, który pomoże przeprowadzić kolejną aktywację produktu. Przedstawiciel Biura Obsługi Klientów Microsoft będzie mógł w tym celu poprosić Klienta o przedstawienie kopii dowodu zakupu oprogramowania oraz podanie klucza produktu znajdującego się na Certyfikacie Autentyczności.

Powyższy proces aktywacji produktów pozwala Klientom zyskać pewność, że użytkowana przez nich kopia oprogramowania Microsoft jest oryginalna, legalna, a co za tym idzie, najwyższej jakości.

W przypadku problemów z aktywacją internetową, należy kontaktować się z Działem Aktywacji Produktów Microsoft drogą telefoniczną: 0-801 308 801 (wew. 1) lub (0-22) 5941999 (wew. 1).

Aby połączyć się z konsultantem, należy przeczekać automatyczną wiadomość odtwarzaną przez system. Dział Aktywacji przyjmuje zgłoszenia telefoniczne od poniedziałku do niedzieli w godzinach od 8.00 do 22.00.

Dodam, że numery 0-801. nie są obsługiwane przez niektórych operatorów sieci komórkowych.

[...]

Procedura telefonicznej aktywacji nie jest oczywiście żadną nowością i funkcjonuje w systemie Windows od dawna, nie mniej, porażający jest sposób w jaki traktowani są klienci, którzy zakupili bądź co bądź droższą wersję BOX.

Mając do czynienia z takim procederem, trudno nie ulec wrażeniu, że użytkownicy którzy stoją przed moralnym wyborem między oryginałem a potocznym piratem, nie widzą sensu nabywania tego pierwszego – crack nie sprawia tylu problemów.

Oczywiście wpis ten nie jest w żadnym stopniu zachęceniem do używania nielegalnego oprogramowania, chciałem jedynie pokazać absurdalność zabezpieczeń z jakimi muszą się zmagać osoby, które zapłaciły za produkt.