Invisible captcha при входе на форум

[price2607]

Здравствуйте, подскажите как грамотнее реализовать невидимую капчу на всем форуме?
грубо говоря чтоб ip при повторении входов n раз, попадал на invisible captcha.
чоб это реализововалось не только в формах входа и регистрации но и на всем форуме?
пытаюсь реализовать защиту от ддос
заранее очень благодарен за совет

​

или пожалуйста помогите оптимизировать на язык ксенфоровский пхп код.
в index.php нужно вставить условие

<?php


if(document.cookie.indexOf('first_time')==-1)

{

document.cookie='first_time=1';

document.location.href='captcha.html';

}

?>


а в captha.php

<html>

<head>

<title>reCAPTCHA demo: Simple page</title>

<body>

<script src="https://www.google.com/recaptcha/api.js" async defer></script>

<div class="g-recaptcha"

data-sitekey="6LcfYDgUAAAAAB9mxIPmfbwqAlMRVAAApy6EUgg-"

data-callback="onSubmit"

data-size="invisible">

</div>

<?php

if (trim($answers ['success']) == true) {

$recaptchaResponse->success = true;

<meta http-equiv="refresh" content="1;URL=XenForo" />


} else {

$recaptchaResponse->success = false;

$recaptchaResponse->errorCodes = $answers [error-codes];

}

return $recaptchaResponse;

}

}

?>

</body>

</html>

грубо говоря при условии что новый юзер зашел (на любую страницу), его редиректит на инвизибл рекапчу. в которой также создается условие если редирект прошел, его возвращает, а если нет пишет капча не пройдена. Суть реализовать через инвизибл рекапчу защиту от ддоса.

 

[tnAnGel]

Как-то совсем не смешно.
Затея дно. Не защищаются на приложении. При достаточной силе атаки не поможет никаким образом.

 

[price2607]

ну с учетом что у вас сделано так-же, только с учетом что капча реальная. ну да ладно, дно так дно.

 

[tnAnGel]

price2607, с учетом того, что у меня атаки превышают размер канала в несколько раз - использование стороннего прокси сервиса вполне оправдано для удержания серого трафика без блокировки ЕС.
Подобные атаки невозможно фильтровать в реальном времени без должного оборудования. Элементарно все упирается в канал и CPU. Всего чего вы добьетесь с капчей на сервере, так это перегрузку сервера nginx'ом, если не будете элементарно дропать.

Не защищаются на приложении

Слишком много ресурсов терять незачем.

 

[price2607]

мы немного отошли от темы. в целом просто хотел оптимизировать данный php для восприятия cms xenforo

 

[MrFallen]

Кстати, кто-нибудь пользовался новой invisible reCaptcha от Google? Пробовал интегрировать в Xenforo?

 

[Mirovinger]

А что её интегрировать, если оно и так включена в XF, только при получении ключей, выбиратет какую использовать.

 

[price2607]

ну суть в том, чтоб интегрировать не на странице в регистрации или входа, а интегрировать при входе на форум (на любую страницу), если выполняется условие, идет редирект на капчу

<?php


if(document.cookie.indexOf('first_time')==-1)


{

document.cookie='first_time=1';

document.location.href='captcha.html';


}


?>

 

[Mirovinger]

А это не Вам написано было.

 

[mizaider]

ну суть в том, чтоб интегрировать не на странице в регистрации или входа, а интегрировать при входе на форум (на любую страницу), если выполняется условие, идет редирект на капчу

<?php


if(document.cookie.indexOf('first_time')==-1)


{

document.cookie='first_time=1';

document.location.href='captcha.html';


}


?>

price2607, выключаешь js и защиты нет =D Я может удивлю, но боты вообще не выполняют js код так что их не перенаправит =D
Куки они так же умеют подменять...
Борьба с ветряными мельницами...

 

[tnAnGel]

mizaider, далеки от истины. Как человек напишет, так оно и будет работать.

 

[mizaider]

tnAnGel, ТС пытается реализовать защиту от ддоса сомнительными методами. Я считаю своим долгом объяснить что теми способами что он описывает у него ничего не выйдет.

Если js challenge cloudflare легко обходится, то что говорить про то что описывает тс...

Хорошая защита от ддоса реализуется еще на подходе к веб серверу, но никак не его средствами. Вы же сами писали)

 

[tnAnGel]

price2607, боты вообще не выполняют js код так что их не перенаправит =D
Куки они так же умеют подменять...
Борьба с ветряными мельницами...

Я про это сказал.
Это зависит от человека, как он напишет логику бота. Если просто долбиться в страницу с js и т.п., ничего не выйдет. Уже будет зависеть только от силы атаки.