Uso di KeyCaptcha e NuCaptcha

So che Altervista limita l'accesso a siti esterni e c'è una lista che ora non ritrovo, è possibile inserire tra i siti accessibili anche i server di keycaptcha e nucatcha?
Vorrei creare un forum che ancora non è funzionante ed usare uno di questi 2 sistemi di captcha ma nessuno dei 2 funziona perchè tentano l'accesso ai propri server.
Credo che la cosa sia utile anche ad altri utenti.
I captcha di google li odio non li capisco e non solo non così efficaci. Ho un forum su un altro provider che anche con Recaptcha è in continuo attacco spammer e ci riescono.

Grazie

[saitfainder]

Da quanto ho capito KeyCaptcha fa tutto via Javascript, motivo per cui non sono neanche necessarie le connessioni server-to-server.

NuCaptcha è invece un servizio a pagamento (di gratuito c'è solo il trial) e quindi prevedo una bassa diffusione, motivo per cui se uno lo vuole usare sblocca le connessioni a tutti i server che vuole inviando l'SMS.

La connessione server-to-server la puoi gestire dal pannello di controllo di Altervista > Risorse & Upgrade > Server to Server.

KeyCaptcha fa anche delle fsockopen quindi penso debba comunicare con i loro server come anche recaptcha che è abilitato.
Mentre NuCaptcha offre in maniera completamente free e non trial 10000 captch al mese e a me vanno più che bene.
Per il discorso aprire tutto invece non mi piace molto, perchè nel caso in cui una delle mie applicazioni avesse un RFI con lo stato attuale non funzionerebbe oppure il file deve stare in uno dei server autorizzati da altervista. Con tutto aperto anche se c'è il logging il bug RFI avrebbe esito positivo. Preferisco che vengano aperti solo questi due
Ritengo che sia qualcosa di utile anche agli altri, ed in più comincia ad esserci concorrenza tra i servizi di captcha, magari google migliora il servizio. E' assurdo vedere che dei bot entrano senza troppi problemi con recaptcha ed io umano ho grosse difficoltà a capire le lettere.

Confermo che anche KeyCaptcha fa accesso al proprio server. Ho messo un log sulla funzione http_get nel plugin di phpbb e questa viene invocata subito dopo aver risolto l'immagine.
Inoltre devo dire che il supporto di KeyCaptcha è veloce. Ho aperto un ticket per un problema su firefox, le immagini si muovevano a scatti per un errore javascript e nel giro di un giorno lo hanno già risolto.
Il supporto di Altervista legge il forum oppure devo fare la richiesta di apertura per questi 2 servizi in altro modo?
Almeno a sapere se stanno valutando la faccenda oppure non gli importa nulla.

[saitfainder]

Almeno a sapere se stanno valutando la faccenda oppure non gli importa nulla.

Ti ho risposto, no? Abbi pazienza! Come detto se ti serve subito sblocca le connessioni e sei a posto. Se invece hai paura di improbabili manipolazioni dei tuoi script aspetta di sapere cosa decidiamo in merito.

[Gianluca]

baywithme:

puoi indicare quali sono gli indirizzi verso cui vengono fatte le richieste affinché sia possibile includerli nella whitelist?

Ti ho risposto, no? Abbi pazienza! Come detto se ti serve subito sblocca le connessioni e sei a posto. Se invece hai paura di improbabili manipolazioni dei tuoi script aspetta di sapere cosa decidiamo in merito.

Ah si non avevo capito che stavate decidendo scusami non volevo mancare di rispetto, mi sembrava di aver capito che uno era a pagamento quindi non usabile mentre l'altro non andava aperto.

Comunque ecco i server che mi ha chiesto Gianluca:

Per NuCaptcha:
http://token.nucaptcha.com
http://token.alt.nucaptcha.com
http://validate.alt.nucaptcha.com

poi c'è
clusters.nucaptcha.com
ma non capito come lo usa devo studiarmi meglio il php


Per KeyCaptcha:
http://backs.keycaptcha.com/

Grazie

[saitfainder]

Tra pochi minuti i domini che ci hai indicato saranno in whitelist

Prova a verificare che sia tutto a posto e facci sapere!

Non funzionano. Per keycaptcha ho sbagliato ad indicarvi l'host, ho meglio solo backs.keycaptcha.com non basta ricevo un 403 quando ci provo.
è possibile mettere back*.keycaptcha.com oppure back?.keycaptcha.com ?

Per nucaptcha invece nonostante l'host sia corretto ricevo ugualmente 403.

Richiesta nucaptcha

Codice:

POST / HTTP/1.0
User-Agent: LEAP-RPC-PHP2 1.0.10903
Host: token.nucaptcha.com
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 601

risposta

Codice:

HTTP/1.0 403 Forbidden
Date: Mon, 17 Sep 2012 17:08:25 GMT
Server: Apache
Content-Type: text/plain

Una domanda leggermente OT, sono un tecnico curioso. Che tecnica usate per questo tipo di blocchi? Un firewall che fa il parse dell'host? Oppure un reverse proxy che blocca le richieste con l'header host non concessi? Se è top secret o se pensate che possa violare le vostre politche di sicurezza non fa nulla era giusto per chiedere.

Piccolo aggiornamento token.nucaptcha.com ora è funzionante, in globale ancora non funziona nucaptcha devo vedere i log per capire dov'è il problema in giornata aggiornamenti.

Ho commesso un altro errore. Per nucaptcha mi sono dimenticato di mettere:
http://validate.nucaptcha.com
è possibile inserirlo?

Grazie e scusate.

[saitfainder]

Per Keycaptcha abbiamo inserito *.keycaptcha.com. Per nuCaptcha abbiamo inserito anche validate.nucaptcha.com.

Occhio che fa la differenza anche il fatto che si colleghi via HTTP piuttosto che su HTTPS.

Facci sapere.

Bene!!! Buone notizie ieri ho provato di nuovo ma nulla da fare penso che la configurazione si applica di notte visto che anche l'altra è capito questo. Comunque questa mattina funziona tutto sia keycaptcha che nucaptcha.
Per keycaptcha ho dovuto applicare una patch ad un file php che riporterò in questo thread se keycaptcha non l'accetta. Ho aperto un ticket vediamo cosa mi dicono. C'è un parse della risposta http che si aspetta qualcosa che qui non c'è.
Grazie per la collaborazione.

Ho dato un'occhiata a keycaptcha. Davvero interessante il meccanismo di verifica basato sul mosaico di immagini da sistemare. Mi chiedo però se non sia eccessivo per gli utenti medi. Quale è stato il feedback da parte degli utenti del tuo sito?

Ho dato un'occhiata a keycaptcha. Davvero interessante il meccanismo di verifica basato sul mosaico di immagini da sistemare. Mi chiedo però se non sia eccessivo per gli utenti medi. Quale è stato il feedback da parte degli utenti del tuo sito?

Si va alla ricerca delle soluzione più fantasiose.
Ora pure l'immagine da ricomporre. Ma l'usabilità?

Un blogger da tempo usa un sistema semplicissimo ma, a dir suo, efficace.
"Se sei umano scrivi carciofo" solo che la parola carciofo è scritta a mo di capcha. Sempre uguale e sempre la stessa immagine.

Un'altra soluzione che non minava l'usabilità, ma non ricordo il nome, consisteva nell'aggiungere un campo da rendere in qualche maniera invisibile all'utente e che per validare l'invio doveva rimanere vuoto. Un bot che trovava il campo avrebbe provato a riempirlo invalidando l'invio.

Si va alla ricerca delle soluzione più fantasiose.
Ora pure l'immagine da ricomporre. Ma l'usabilità?

I sistemi di verifica antispam affidabili sono tutti purtroppo scomodi per l'utente umano. A me interessa il feedback degli utenti di baywithme proprio per valutare se quello di keycaptcha (che richiederebbe un grosso lavoro per essere bucato) rappresenti un compromesso accettabile tra affidabilità e usabilità.

I sistemi di verifica antispam affidabili sono tutti purtroppo scomodi per l'utente umano. A me interessa il feedback degli utenti di baywithme proprio per valutare se quello di keycaptcha (che richiederebbe un grosso lavoro per essere bucato) rappresenti un compromesso accettabile tra affidabilità e usabilità.

Più sono complessi e famosi più non funzionano ...

Quale è stato il feedback da parte degli utenti del tuo sito?

Nell'altro forum (non su altervista) dove uso keycaptcha da circa 2 settimane nessuno si è lamentato e non vedo registrazione anomale al momento, poi naturalmente se si diffonde, catptchatrader o simili arrivano anche li.

Più sono complessi e famosi più non funzionano ...

reCaptcha è arrivato ad un limite insopportabile. Ne devo far passare 3 o 4 prima di capire che cavolo c'è scritto. E poi se il bot si affida a captchatrader o simili è tutto inutile.

Un blogger da tempo usa un sistema semplicissimo ma, a dir suo, efficace.
"Se sei umano scrivi carciofo" solo che la parola carciofo è scritta a mo di capcha. Sempre uguale e sempre la stessa immagine.

Può darsi a me hanno risposto anche alle domande stupide, tant'è che sono stato costretto a renderle con un minimo di intellegenza e non sempre va bene per l'utente che vuole registrarsi, trovare l'informazione su internet per accedere.

Un'altra soluzione che non minava l'usabilità, ma non ricordo il nome, consisteva nell'aggiungere un campo da rendere in qualche maniera invisibile all'utente e che per validare l'invio doveva rimanere vuoto. Un bot che trovava il campo avrebbe provato a riempirlo invalidando l'invio.

Ci sono bot intelligenti, che riempono solo i campi conosciuti e standard se poi non va riempono anche quelli nuovi per il forum

Io odio i captcha ma purtroppo sono diventati indispensabili, però odio anche il fatto di arrivare a creare problemi all'utente per una semplice registrazione

visto che keycaptcha ci sta mettendo un po' a decidere se o no accettare la patch intanto la pubblico qui.
Nel file /includes/captcha/plugins/phpbb_keycaptcha_plugin.php
cercate la funzione http_get si trova all'inizio del file.
Andate alla fine della funzione trovate la riga:

$ov = explode( "close\r\n\r\n", $out );

bisogna cancellare la parola close e diventa così:

$ov = explode( "\r\n\r\n", $out );

salvate ed ora il plugin funziona anche su altervista. In pratica secondo keycaptcha ci deve sempre essere la parola close, ma da me non succede molto probabilmente il proxy di altervista che permette alle pagine php di accedere ad internet, non chiude la connessione oppure taglia quel header, qui solo gli amministratori di sistema sanno rispondere.
A noi poco importa, sappiamo che dopo un doppio \r\n sono finiti gli header HTTP e cominciano i dati HTTP e a noi interessano i dati HTTP che ci dicono se la soluzione proposta dal nostro caro utente è esatta.