Hỏi đáp về BotDetect CAPTCHA ASP

Không, yêu cầu hệ thống tối thiểu dành cho BotDetect ASP CAPTCHA là Windows 2000 và IIS 5.0.

Không, sản phẩm của chúng tôi đòi hỏi IIS 5.0+ để vận hành chính xác.

Bạn phải có toàn quyền admin trên máy chủ để có thể cài đặt BotDetect ASP CAPTCHA, vì nó là một COM component cần được phải đăng ký trên máy chủ mới có thể chạy được. Bạn phải nhờ người cung cấp dịch vụ hosting cài đặt BotDetect cho bạn. Bạn cần phải gửi các file sau đây cho họ: LanapBotDetect.dll, gdiplus.dll và hướng dẫn này.

Không cần thiết phải chạy gói cài đặt. Bạn chỉ cần copy LanapBotDetect.dll và gdiplus.dll vào cùng một thư mục ở bất cứ đâu trên máy chủ (ví dụ, C:\Temp\) rồi thực hiện dòng lệnh sau:

regsvr32 /i "C:\Temp\LanapBotDetect.dll"

Bạn cần phải khởi động lại IIS trước khi đăng ký phiên bản mới của BotDetect vì đó là cách duy nhất để IIS giải phóng file LanapBotDetect.dll. Thật không may là không có cách nào khác - IIS được thiết kế hoạt động như vậy.

Sau đây là các bước nâng cấp:

1. Copy file LanapBotDetect.dll vào máy chủ
2. Ngừng IIS
3. Đăng ký phiên bản LanapBotDetect.dll với lệnh regsvr32.exe.
4. Khởi động IIS

Bạn vẫn đang còn dùng bản dùng thử của BotDetect.

Đăng ký lại LanapBotDetect.dll với lệnh regsvr32.exe. Kiểm tra để chắc chắn đó là bản đầy đủ. Bạn có thể kiểm tra bằng cách click phải chuột vào file .dll rồi chọn Properties, chuyển tới tab Version và kiểm tra dòng Description – như hình dưới đây:

Để khắc phục lỗi này, phân quyền Đọc và Thực thi trên file dạng NTFS tới tài khoản phù hợp (IUSR_<machinename>, NETWORK SERVICE) cho file LanapBotDetect.dll. Click phải lên file LanapBotDetect.dll, rồi chọn Properties, chuyển qua tab Security và thay đổi quyền.

Lỗi này rất giống với: http://support.microsoft.com/default.aspx?scid=KB;en-us;q278013.

Có vẻ như nguyên nhân là do GDI+ muốn ghi file tạm gdipfontcachev1.dat vào một folder nào đó mà nó không có quyền ghi. Vì gdiplus.dll được load bởi LanapBotDetect.dll, mà dll thì được load bởi IIS (ví dụ w3wp.exe), GDI+ chạy dưới một tài khoản có quyền giới hạn.

Không may là chúng tôi không thể tìm thiết lập nào phù hợp để GDI+ không thực hiện việc ghi file tạm này, hay chỉ định thư mục nào đó để ghi. Nhưng tin tốt là nó chỉ cần ghi file này một lần duy nhất. Vì vậy, dưới đây là giải pháp để khắc phục vấn đề:

1. Tạm thời thiết lập quyền truy cập cho "Everyone" vào ổ đĩa C:\
2. Chạy trang web để GDI+ tạo file tạm trong thư mục gốc của C:\
3. Copy file này vào C:\Windows\System32 sau đó đổi quyền Modify thành Everyone
4. Xoá file C:\gdipfontcachev1.dat và khôi phục quyền truy cập trên thư mục C:\ về trạng thái ban đầu
5. Lỗi sẽ không còn xảy ra.

Khi dùng máy chủ cân bằng tải, bạn phải đảm bảo rằng máy khách trả về dữ liệu về trạng thái Session trên tất cả các yêu cầu HTTP sau yêu cầu đầu tiên (như là cho phép sticky connections). Hãy kiểm tra thiết lập của máy chủ cân bằng tải.

Bước này là cần thiết vì trạng thái của ASP Session được lưu giữ trên tiến trình xử lý trong bộ nhớ, chỉ tồn tại trên máy chủ mà tiến trình đang chạy, nó không được chia sẽ cho nhiều máy chủ khác nhau.

Lưu file LanapBotDetectHandler.asp trong cùng thư mục với file .asp là giải pháp đơn giản nhất. Bạn cũng có thể lưu một bản duy nhất của file LanapBotDetectHandler.asp và sử dụng nó cho nhiều trang khác nhau, nhưng những trang này phải nằm chung trong một ứng dụng ASP.

Mỗi thư mục ảo của IIS, dùng để phân chia các ứng dụng ASP, sẽ có một file Global.asa riêng và trạng thái Session riêng. Ví dụ, bạn có thể di chuyển file từ

http://localhost/BotDetectASPSamples/CaptchaFeatures/LanapBotDetectHandler.asp

vào

http://localhost/BotDetectASPSamples/LanapBotDetectHandler.asp

và tiếp tục sử dụng nó trên trang

http://localhost/BotDetectASPSamples/CaptchaFeatures/BotDetectFeaturesDemo.asp

vì rằng http://localhost/BotDetectASPSamples/ là ứng dụng, trong khi CaptchaFeatures/ và CaptchaValidation/ chỉ là thư mục con của cùng một ứng dụng.

Tuy nhiên, bạn không thể sử dụng file đó từ bất cứ nơi nào khác ngoài ứng dụng http://localhost/BotDetectASPSamples/ , hay thậm chí bạn tạo ứng dụng khác khỏi CaptchaFeatures/ và CaptchaValidation/.

Bạn có thể dùng FrontPage nếu như bạn dùng ASP hoặc PHP cho việc xử lý dữ liệu. Nếu bạn dùng FrontPage Server Extensions thì không được.

Có, BotDetect CAPTCHA có thể được tích hợp với trang PHP, nhưng chỉ hỗ trợ máy chủ chạy Windows (vì rằng nó là một COM component). Bạn có thể tìm hiểu hướng dẫn chi tiết tại Hướng dẫn sử dụng BotDetect CAPTCHA để bảo vệ trang PHP.

Bạn có thể thay đổi ngẫu giá trị của toàn bộ thuộc tính của BotDetect CAPTCHA. Sau đây là mã nguồn ví dụ cách chọn ngẫu nhiên giải thuật CAPTCHA từ một tập hợp các giá trị cho trước được viết bằng ASP:

<%
Function RandomFromRange(lowerLimit, upperLimit)
  Dim num
  Randomize
  num = CInt((upperlimit - lowerlimit)*Rnd() + lowerlimit) 
  RandomFromRange = num
End Function

Function RandomFromValues(values)
  Dim num
  Randomize
  num = RandomFromRange(0, UBound(values))
  RandomFromValues = values(num)
End Function

Dim algorithms(5)
algorithms(0) = 28  'Lego
algorithms(1) = 36  'MeltingHeat
algorithms(2) = 44  'Ghostly
algorithms(3) = 25  'FingerPrints
algorithms(4) = 39  'Graffiti2
algorithms(5) = 48  'Bullets

' choose a random TextStyle
Dim style 
style = RandomFromValues(algorithms)
%>

<img src=
  "LanapBotDetectHandler.asp?Command=
  CreateImage&TextStyle=<%=style%>" alt="CAPTCHA image" />

Bạn có thể bắt buộc hình ảnh CAPTCHA phải được tải lại từ máy chủ thay vì từ bộ đệm của trình duyệt bằng cách thêm thời gian hiện tại vào câu truy vấn Url:

<img src="LanapBotDetectHandler.asp?Command=CreateImage&t=
    <%= year(now) & right("0" & month(now),2) & _
      right("0" & day(now),2) & right("0" & hour(now),2) & _
      right("0" & minute(now),2) & right("0" & second(now),2)
    %>" 
  alt="CAPTCHA image" />

Hình như là bạn đã quên không thêm đoạn mã để xác thực vào ASP script xử lý dữ liệu cho trang web của bạn. Bạn có thể xem Dự án mẫu sử dụng CAPTCHA tại Hướng dẫn sử dụng BotDetect CAPTCHA để bảo vệ trang ASP.

Bạn cũng có thể muốn xem Ví dụ xử lý Form đi kèm với gói cài đặt. Chú ý rằng mã nguồn trong file ProcessingFormDemo.asp chỉ được dùng để sinh hình ảnh CAPTCHA. Việc xác thực được viết trong script xử lý dữ liệu trong file ProcessForm.asp.

Có, bạn có thể lưu ký tự CAPTCHA trong bất kỳ biến máy chủ nào phù hợp với ứng dụng của bạn. LanapBotDetectHandler.asp sử dụng trạng thái ASP Session sẵn có để cho đơn giản, nhưng bạn có thể tuỳ ý thay thế với phương pháp của bạn (ví dụ: lưu dưới cơ sở dữ liệu được chia sẽ với nhiều máy chủ cân bằng tải).

Giải thích

Vì ký tự của BotDetect CAPTCHA được lưu trong ASP Session state trên máy chủ, các CAPTCHA khác nhau trên những trang khác nhau trong cùng một ứng dụng ASP cần phải sử dụng biến trạng thái Session khác nhau để lưu ký tự CAPTCHA.

Vấn đề bạn đang gặp là do người dùng mở nhièu tab trên cùng một trình duyệt với nhiều trang có CAPTCHA, điều này dẫn tới ký tự CAPTCHA của trang sau ghi đè lên ký tự CAPTCHA của trang trước.

Giải pháp

Sử dung BotDetect CAPTCHA trên nhiều trang trong cùng một website cần phải thay đổi vài chỗ trong mã nguồn ASP.

1. Thay thế file LanapBotDetectHandler.asp trên trang web của bạn với bản mới nhất của BotDetect ASP v2.0.8.
2. Với mỗi trang trong website của bạn, chỉ định một CAPTCHA ID duy nhất cho CAPTCHA trên trang đó – ví dụ, nếu bạn dùng CAPTCHA trên cả trang đăng ký và trang liên lạc, bạn có thể đặt tên nó là RegistrationCaptcha và ContactCaptcha.

3. Trên mỗi trang ASP, thay đổi đoạn mã hiển thị CAPTCHA – trong đường dẫn hình ảnh và âm thanh CAPTCHA, thêm vào CaptchaId trong câu truy vấn, sử dụng ID cho trang đó ở bước trên. Ví dụ, thay đổi

   <img id="CaptchaImage" alt="CAPTCHA Code" 
     src="LanapBotDetectHandler.asp?Command=CreateImage" />

   thành

   <img id="CaptchaImage" alt="CAPTCHA Code" 
     src="LanapBotDetectHandler.asp?Command=CreateImage
       &CaptchaId=RegistrationCaptcha" />

   và

   <a href="LanapBotDetectHandler.asp?Command=CreateSound"
     onclick="LBD_LoadSound('soundPlaceholder',
       'LanapBotDetectHandler.asp?Command=CreateSound'); 
       return false;" 
     title="Play CAPTCHA audio">

   thành

   <a href="LanapBotDetectHandler.asp?Command=CreateSound
       &CaptchaId=RegistrationCaptcha"
     onclick="LBD_LoadSound('soundPlaceholder',
       'LanapBotDetectHandler.asp?Command=CreateSound&CaptchaId=
       RegistrationCaptcha'); return false;" 
     title="Play CAPTCHA audio">

4. Trên mỗi trang, thay đổi việc xác thực CAPTCHA cho phù hợp với CaptchaId giá trị của: LanapBotDetectCode sẽ trở thành LanapBotDetectCode_<CaptchaId>.Ví dụ, thay đổi

   Dim result, codeKey, inputCode
   result = False
   codeKey = "LanapBotDetectCode"
   inputCode = Request("CaptchaCode")
   
   If (Session(codeKey)<>"") Then
     code = Session(codeKey)
     result = (0 = StrComp(inputCode, code, 1))
     'each Captcha code can only be validated once
     Session(codeKey) = ""
   End If

   thành

   Dim result, codeKey, inputCode
   result = False
   codeKey = "LanapBotDetectCode_RegistrationCaptcha"
   inputCode = Request("CaptchaCode")
   
   If (Session(codeKey)<>"") Then
     code = Session(codeKey)
     result = (0 = StrComp(inputCode, code, 1))
     'each Captcha code can only be validated once
     Session(codeKey) = ""
   End If

Khi bạn thay đổi, mỗi trang sẽ sử dụng một khoá ASP Session state khác nhau và khi mở nhiều trang chứa CAPTCHA khác nhau sẽ không bị đụng độ giữa các ký tự CAPTCHA.

Các bước tiếp theo

Trong khi những thay đổi này sẽ tránh được vấn đề khi sử dụng CAPTCHA để bảo vệ nhiều trang, nó không giải quyết được vấn đề khi mở cùng một trang trên nhiều tab của trình duyệt.

Để giải quyết vấn đề này, bạn cần phải thêm biến thời gian hoặc GUID vào CaptchaId của tham số câu truy vấn, để gán các khoá khác nhau cho các tab khác nhau.

Nếu việc xác thực CAPTCHA được thực hiện ở nhiều trang ASP khác nhau, bạn phải lưu lại nó (ví dụ, trong một trường ẩn).

Vì sự hoạt động của nút Back của trình duyệt không được ghi rõ trong bất kỳ chuẩn nào, nên các trình duyệt khác nhau nút Back hoạt động khác nhau. Để Firefox thay đổi hình ảnh CAPTCHA, bạn phải thay đổi như sau:

1. Chắc chắn rằng bạn đang sử dụng phiên bản BotDetect ASP CAPTCHA v2.0.8 hoặc mới hơn, vì phiên bản này đã bao gồm những thay đổi trong BotDetect CAPTCHA image Http Response headers từ

   Response.CacheControl = "no-cache"

   thành

   Response.CacheControl = "no-cache, no-store, must-revalidate"

2. Thay đổi trang ASP dùng để hiển thị hình ảnh CAPTCHA, thêm đoạn mã sau vào phần đầu của mã nguồn ASP:

   <%
   'prevent caching of the whole page
   Response.CacheControl = "no-cache, no-store, must-revalidate"
   Response.AddHeader "Pragma", "no-cache"
   Response.Expires = -1
   
   'utility function for querystring-friendly GUID generation 
   Function createGuid()
    Set TypeLib = Server.CreateObject("Scriptlet.TypeLib")
    tg = TypeLib.Guid
    guid = Left(tg, len(tg)-2)
    set regEx = New RegExp
    regEx.IgnoreCase = False
    regEx.Global = True
    regEx.Pattern = "[{}-]"
    createGuid = regEx.Replace(guid, "")
    Set TypeLib = Nothing
   End Function
   %>

3. Thay đổi mã nguồn ASP, ví dụ

   <img id="CaptchaImage" alt="CAPTCHA Code" 
     src="LanapBotDetectHandler.asp?Command=CreateImage
       &TextStyle=0&ImageWidth=250&imageHeight=50&CodeLength=5
       &CodeType=0" />

   thành

   <img id="CaptchaImage" alt="CAPTCHA Code" 
     src="LanapBotDetectHandler.asp?Command=CreateImage
       &TextStyle=0&ImageWidth=250&imageHeight=50&CodeLength=5
       &CodeType=0&t=<%=createGuid()%>" />

Thay vì dùng thời gian, đoạn mã này dùng GUID để đảm bảo mỗi trang sử dung các chuỗi truy vấn khác nhau.

Thêm nữa, cần thiết phải chặn việc caching toàn bộ trang web, vì nếu không Firefox sẽ load trang từ bộ đệm khi sử dung nút Back, dẫn đến việc hiển thị lại hình ảnh trước.

Sau khi thực hiện những thay đổi này, Firefox sẽ tải lại hình ảnh CAPTCHA khi bấm nút Back.

Nếu bạn muốn tránh phải gửi lại toàn trang, bạn có thể tham khảo Mã nguồn ví dụ xác thực BotDetect CAPTCHA dùng Ajax, dùng jQuery Ajax để yêu cầu chỉ gửi và tải lại một phần của trang web chứa CAPTCHA.

Mặt trái của việc xác thực CAPTCHA trên máy khách

Việc xác thực CAPTCHA hoàn toàn trên máy khách (mà không giao tiếp với máy chủ) không được hỗ trợ bởi BotDetect, vì nếu như vậy thì CAPTCHA đó rất dễ bị bẻ gãy. Ví dụ:

• Nếu bạn muôn người dùng chỉ được gửi lời bình sau khi đã trả lời đúng CAPTCHA.
• Nếu việc xác thực được thực hiện trên máy khách, điều này có nghĩa rằng mã JavaScript phải gửi lời bình lên máy chủ khi ký tự CAPTCHA được nhập chính xác.
• Vì vậy spammer chỉ cần trả lời CAPTCHA một lần, và ghi nhớ bạn sử dụng kết quả như thế nào: ví dụ như gửi một câu truy vấn đặc biệt với tham số POST, hoặc chuyển sang một trang nào đó.
• Sau đó, chúng có thể giả lập hành động tương tự trong chương trình tự động và hoàn toàn vượt qua CAPTCHA - bằng việc giả dạng đơn giản tham số POST , hoặc truy cập trực tiếp vào trang kết quả.
• Bạn có thể trở lại việc xác thực CAPTCHA ở phía máy khách bằng việc xác thực cùng một câu trả lời trên máy chủ một khi gửi dữ liệu của trang và trước khi lưu lại lời bình.
• Nhưng vì bạn giữ câu trả lời đúng của CAPTCHA trên máy khách, bots có thể dễ dàng truy cập vào câu trả lời đó và luôn luôn trả lời đúng CAPTCHA.

Chi tiết chính xác tuỳ thuộc vào cách sử dụng CAPTCHA của bạn. Nhưng cần thiết là, tất cả các đoạn mã ở phía máy khách là không bảo mật và có thể bị giả danh bởi chương trình tự động. Kết quả là, ký tự CAPTCHA chỉ được lưu trên máy chủ, và tất cả việc xác thực CAPTCHA cũng phải được thực hiện trên máy chủ.

Xác thực CAPTCHA trên máy khách - giải pháp

Bạn có thể tránh việc gửi lại toàn bộ trang web bằng việc sử dụng jQuery hoặc một thư viện Ajax khác để tạo yêu cầu xác thực CAPTCHA tới máy chủ, và xử lý kết quả trên máy khách:

• Khi việc xác thực Ajax CAPTCHA trả về kết quả sai, bạn có thể hiển thị hình ảnh CAPTCHA mới mà không ảnh hưởng đến phần còn lại của trang web, vì vậy có thể tăng tính dễ dàng sử dụng cho trang web đó.
• Bạn nên luôn luôn thay đổi ký tự CAPTCHA trong những trường hợp đó, vì cho phép trả lời nhiều lần cho cùng một ký tự CAPTCHA sẽ làm cho OCR dễ đoán được câu trả lời.
• Khi việc xác thực Ajax CAPTCHA thành công, bạn nên gửi dữ liệu lên máy chủ và xác thực lại câu trả lời.
• Chỉ sau khi việc xác thực CAPTCHA trên phía máy chủ thành công, bạn mới cho phép thực hiện các hành động được bảo vệ (ví dụ như lưu lời bình) trên máy chủ.

Nếu người dùng trả lời đúng ký tự CAPTCHA nhưng sai username, rõ ràng là họ không cần phải trả lời CAPTCHA khác. Mục đích của CAPTCHA là đảm bảo người dùng là con người, và khi họ đã trả lời đúng vào lần đầu tiên, họ đã vượt qua phép thử.

Nếu bạn phải đưa họ quay lại trang vì họ nhập sai các trường khác, tốt nhất là không nên hiển thị CAPTCHA nữa, vì mục đích sử dụng nó đã đạt được. Cách dễ nhất để nhớ là người dùng đã trả lời CAPTCHA thành công là lưu trên máy chủ, ví dụ:

<%
  'Captcha validation
  Dim result, codeKey, inputCode
  result = False
  codeKey = "LanapBotDetectCode"
  inputCode = Request("CaptchaCode")

  If (Session(codeKey)<>"") Then
    code = Session(codeKey)
    result = (0 = StrComp(inputCode, code, 1))
    'each Captcha code can only be validated once
    Session(codeKey) = ""
  End If
	
  Session("isHuman") = result

Then, the stored value is checked before displaying the CAPTCHA to the user, and the CAPTCHA is only displayed if it hasn't already been solved:

<% If (Not(Session("isHuman")<>"" And Session("isHuman"))) Then %>
  'show the Captcha image and textbox only if not solved already
  <div id="PromptDiv">Retype the code from the picture</div>
    <div id="CaptchaDiv">
      <div id="CaptchaImage">
        <img id="SampleForm_CaptchaImage" 
          src="LanapBotDetectHandler.asp?Command=CreateImage"
          alt="CAPTCHA Code Image" />
      </div>
      '...
<% End If %>

Vì lý do bảo mật, không thể thấy hai hình ảnh BotDetect CAPTCHA giống hệt nhau trong hai lần tải khác nhau, cũng không sử dụng cùng một mã cho nhiều hơn một hình ảnh CAPTCHA.