你是人类吗？（或如何防止垃圾邮件）

From xkcd

我注意到的一件大事是，无论你做什么，你都希望你的系统是独特的。你希望攻击者必须为你特定的网站定制他们的自动化程序，而不是只是在它上面运行一个几乎可以在任何地方工作的预先存在的脚本。这甚至不需要具有加密安全性; 它只需使您的站点与常规站点有所不同。

这并不意味着您不能或不应该使用像预先构建的验证码小部件之类的东西。绝对可以使用其中之一作为起点! 这只是意味着您必须在某个地方进行自定义，以便发生了超出常规范围的额外操作，并且会破坏任何通常可以打败它的预先存在的脚本。

如果您的网站变得足够大，以致于有攻击者专门针对它进行攻击，那么您简单的小定制可能不再有效，您可能需要做一些更特殊的事情并考虑真正的加密等问题。但这是一种“好”问题。

对于 CAPTCHA 系统，我强烈推荐 reCAPTCHA。

传统的计算机生成的 CAPTCHA 最终会被开发出足够智能的系统攻破。例如，这里有人声称可以攻破曾经被认为无法攻破的 Google CAPTCHA，成功率达到了30%。而 reCAPTCHA 则只显示无法通过光学字符识别认证的图像。

同时，您的用户的努力将有助于共同的好处 - 他们通过识别无法自动识别的单词来帮助数字化书籍。

请参见 此处 进行进一步解释和尝试。

来自量子随机比特生成器服务，经由MNeylon

我是“隐藏域”验证码的粉丝。我不记得在哪里读到过这个想法，但其思路如下：

• 按照正常流程创建表单
• 添加一个额外的字段，但将其隐藏（例如，在周围的div或表格行上使用style="display:none"）
• 提交后，如果该字段为空，则执行适当的操作（例如发送电子邮件）；如果该字段已填写，则为机器人提交者。

唯一会出现问题的情况是用户的浏览器无法处理CSS（或他们已将其关闭），这种情况非常罕见。

• 限制每个IP地址每次投票的数量
• 阻止匿名代理。
• 对于投票：如何在“会话基础上”洗牌必须由表单返回的值。一旦“1”表示第一个项目，“2”表示第二个项目。然后，“77”表示第一个项目，“812”表示第二个项目，...可能有一些简单的数学在幕后，但它可以防止用户反复发送相同的HTTP查询。
• 我非常喜欢的方法是使用AJAX表单，而不是简单的HTTP表单。从技术上讲，伪造投票并不比简单的HTTP表单复杂，但我编写了一个简单的博客软件，它的唯一垃圾邮件保护机制是通过AJAX提交评论-到目前为止没有垃圾邮件。

像一些电视“选秀”节目一样，为投票收费，并且不断地被垃圾邮件轰炸，赚取银行的利润！

说真的，这是一个非常棘手的问题，而且有一天（如果你听雷·库兹韦尔的话，可能很快），计算机将进行测试来筛选人类。我添加到列表中的答案显然有缺点，但只是为了列举：审查（让人类进行测试）和基于IP的跟踪（限制来自主机的投票数）。

Stackoverflow有一些功能可以帮助解决这个问题。我认为你能够采取的最有用步骤就是禁止匿名用户和新账号进行投票。这样，没有人可以注册成百上千个账号，并利用他们的一票压倒其他用户。我觉得要求发表几篇帖子或者在一定时间内加入会员都是不错的选择。

有些人会说，你可以允许每个IP地址只投一票来解决这个问题，但我玩过很多游戏，在那些游戏中，恶意用户利用几乎无限的代理绕过基于IP地址的安全保障。这只是一个威慑手段，聪明的用户很容易克服它。

这是人类计算的研究领域。

这里有一段来自Luis von Ahn的优秀视频： http://video.google.com/videoplay?docid=-8246463980976635143

如果您还没有看过最佳非图像验证码？问题的答案，那里有一些想法。