Есть ли решения Captcha для страниц входа и регистрации?

Существуют ли решения Captcha для страниц входа и регистрации?

и про API пользователей

image1202×541 14.3 KB

Мне нужно изменить это так, чтобы оно переходило на мой сайт?

и ещё один вопрос: когда я смогу редактировать ссылки блога? Глобальные ссылки, которые размещены везде.

Я этого не видел. Думаю, это связано с тем, что ограничения на длину пароля делают их ненужными.

У вас возникли проблемы?

Что? Прочитайте вопрос

1. Я спрашиваю о решении cpacha — неважно, от Google или другого провайдера — для предотвращения спама при регистрации.

2. Далее меня спросили об API: нужно ли мне там указать свою ссылку на API или использовать стандартную?

3. Вопрос касался blog.official, так как он отображается во многих местах. Могу ли я его редактировать, или его увидят только администраторы, а пользователи будут перенаправляться на блог?

Я тоже не видел опции капчи в модальных окнах регистрации/создания (хотя это может быть из-за моего ужасного умения искать ). Если вы беспокоитесь о спамерах, есть плагин Akismet, который можно использовать вместе с встроенными инструментами?

Не совсем понял, что вы имеете в виду под вопросом 2 или вопросом 3.

Я не уверен насчёт пункта 3, но, думаю, понимаю, что @Bitweb_Core пытается спросить в пункте 2.

@Bitweb_Core, если вы не хотите полностью отключить ключи API пользователей или ограничить их в зависимости от уровня доверия (что я лично не рекомендую), вам не нужно ничего менять в этом разделе. Настройки по умолчанию позволяют мобильному приложению DiscourseHub работать с вашей установкой.

Единственный другой случай, когда вам понадобятся изменения там, — если вы или кто-то из ваших сотрудников разрабатывает стороннее приложение, использующее систему ключей API пользователей.

Проблема не в спаме, а в том, что тысячи аккаунтов могут регистрироваться автоматически, либо злоумышленники могут пытаться подобрать пароли через страницу входа.
Обычно страницы входа, регистрации и восстановления пароля должны быть защищены капчей.
А предложенное вами решение лишь лечит симптомы, а не устраняет причину.

У меня вопрос: почему в современном интернете нет такого стандартного решения, как капча или простой вопрос-ответ по умолчанию?

Мне казалось, что наличие капчи не подлежит обсуждению и является логичным требованием.

Разрешать только вход через социальные сети или создавать белые списки провайдеров электронной почты, на мой взгляд, не является решением.
Зачем изобретать велосипед в виде непонятных сервисов, которые никому не нужны, когда для этого была придумана капча, а всё остальное должно быть дополнительными опциями, если первая линия защиты будет пробита.

Я нашёл одно решение: GitHub - klaudgrave/discourse-google-recaptcha: Adding Google Recaptcha to sign up form · GitHub

Однако, похоже, что оно давно не работает и не поддерживается из-за обновлений форума.

Но я не могу найти никакой документации по плагинам, чтобы понять, что им нужно для корректной работы, чтобы исправить найденное решение или написать своё.

Также подскажите, как разрешить пользователям использовать только длинные пароли (минимум 12 символов) со всеми возможными наборами символов.
И как добавить на страницу регистрации текст над полем пароля, чтобы пользователи использовали уникальный пароль, а не один и тот же на всех сайтах.

Вот обсуждение по поводу капчи: Only allow user profiles for TL1 and above? - #24 by codinghorror

Похоже, что ни один размещённый сайт в этом не нуждается, так что, вероятно, и вам тоже.

Вот почему:

но её, безусловно, можно добавить с помощью плагина или, возможно, компонента темы.

Да, капча ничего не меняет, но она защитит от некоторых юных хакеров, пытающихся создать 100 аккаунтов с помощью простых макросов браузера,
а также защитит от DDoS-атак на страницу восстановления пароля и вход через отправку множества POST-запросов.

Akismet — это второй уровень защиты от таких угроз, как программы на базе HRumer и любые ИИ.

От плохих IP-адресов у вас уже есть капча от Cloudflare.

Но, как я уже говорил, всё это нужно использовать в комплексе: капча работает именно так, как задумывалась.

Например, даже в каналах Discord или Telegram, когда пользователи присоединяются, они сначала проходят простую капчу, а затем включаются анти-спам боты вроде Akismet (хотя я знаю, что есть и другие решения).

Зачем засорять базу данных мёртвыми аккаунтами спамеров, если их можно отклонить ещё на этапе регистрации?
Почти 90% случаев отклоняются именно на капче.

Если мыслить так: зачем вообще защищать форум? Можно вручную удалять спам раз в день и чистить базу от мёртвых аккаунтов.

Зачем использовать сложные пароли, если хакеры могут украсть вашу базу данных?

«Зачем забивать гвозди микроскопом?»

Для этого существуют ограничения по частоте запросов.

Я тоже нахожу это интересным

Существует ли на странице регистрации ограничение скорости?

Например, какой-то бот может массово атаковать регистрацию с некорректными данными или просто вводить случайные данные без перерыва, создавая мусор в базе данных в виде неактивированных аккаунтов.

Я лично наблюдал сервисы, где не было капчи, и по этой причине регистрацию пришлось отключить, так как сайты или форумы становились практически непригодными для использования…

Как вы верно заметили, правильная капча — это скорее ограничение скорости, чем система защиты от спама. Вы просто заставляете их решать капчу снова и снова. Спаммеры, возможно, не люди — это не секрет, что существует множество сервисов для решения капчи, но они не могут решить все виды капчи (существуют даже «параноидальные» настройки, когда капчу не может решить и человек). Также существует скрытая капча от Google, где нужно просто нажать «Я не робот».

Всё сводится к тому, чтобы избежать лишней нагрузки на сервер в наиболее уязвимых местах.

Нет, существуют ограничения скорости по IP. Если вы считаете, что это возможно, попробуйте! Идите и делайте!

(Теперь, если у вас есть доступ к 50 000 IP-адресов, то да, это проблема, но тогда у вас также есть очень много денег и времени. Есть ли у вас такая сумма денег и времени?)

Тем не менее, я полностью поддерживаю плагины с капчей для сайтов, которые хотят уровень защиты «пояс с подтяжками, комбинезон, мотоциклетный шлем и еще и накладки на плечи для американского футбола», но в последнее время капчи стали очень-очень странными.

Я искал настройки для ограничения частоты запросов на страницах регистрации, сброса пароля и входа, но не нашёл их в настройках (например, я хочу разрешить только 5 попыток с одного IP, после чего ввести задержку на xx времени).

Касательно автоматического удаления неактивированных аккаунтов — я нашёл эту опцию, но зачем вообще разрешать их создание ?

Хочу сделать невозможным создание 100500 аккаунтов с помощью простых макросов в браузере . Как я уже говорил, от настоящих спамеров это не защитит (они используют XRumer или нейросетевое ПО). Но, насколько я знаю, самые простые капчи типа «Я не робот» работают лучше всего, так как анализируют действия пользователя.

Однако сообщение о мошенниках, которые спят с поднятыми руками, заставило меня рассмеяться. Возможно, речь о каких-то детях, но настоящие спамеры действуют массово.

Не могу представить человека, который сидит и вручную создаёт тысячи аккаунтов, но даже в этом случае — после 10 капч он сошёл бы с ума .

Особенно если это какая-то нелепая китайская капча с таймером .

Ещё одна отличная защита от спамеров-людей — это отпечаток браузера через canvas.