为防止服务器端的资源被客户端的计算机程序滥用或攻击，服务器需要区分当前用户是计算机还是人类，一般在网站的关键操作位置都会采用验证码技术来区分。围绕验证码展开的攻防技术在Web安全中有着重要地位，本文将从验证码的工作原理出发，介绍验证码实现上容易产生的问题，并对其攻防技术现状和未来做一个简要介绍。

    验证码主要是防止机器暴力破解。之前的验证码都是以静态为主，现在一些产品开始使用动态方式，增加破解的难度。动态方式以 gif 最为简单可靠。gif 兼容性好，尺寸小。这里分享的就是一种：用 JS 实现 gif 动态验证码的思路。

    pytesser是一个用于图片文本识别的python模块：http://code.google.com/p/pytesser/，即从文本的截图中还原出文本信息； 网上在windows上安装、使用的资料比较多，而没有linux的资料； 作者虽然没有说明pytesser在linux环境下测试过，但也表示“The scripts should work in L...

    把验证码存储在Cookie中 一般来说，我们会把验证码的值用Session存储起来，通过对比用户提交的验证码和Session中的验证码，就可以知道输入是否正确。由于Session会占用服务器资源，我曾经想过是否可以把验证码的值加密后存储在Cookie中。不过事实证明，这只是异想天开罢了。 假设验证码的值是a，通过sha1加密后得到的值为b = sha1(a)，并且把b存储在Cookie中。而用户提交的验证码值为c，通过判断sha1(c)是否与b相等，可以知道输入的验证码是否正确。然而，Cookie是受客户端控制的。如果用户事先通过肉眼看到验证码的值是a，又从Cookie中得知此时的加密值为b，那么，他只要在提交前把Cookie的值修改为b，提交的验证码值为a，就可以永远通过验证。

    自带那个不太喜欢，于是另外折腾了个.

    Captcha――或者很山寨的说――图形验证码，是一个让人又爱又恨的技术。一方面它给正常用户增加了额外的负担，降低可用性；另一方面没有它，你一定迟早碰到 spam 的问题。我想大家都在致力于提高 Captcha 的可用性，即设计出"人"可以轻松识别，但是对机器（ANN/SVM）却很困难的技术。每当看到Google那样扭曲到变态的图标，正常用户都会感到愤怒。我以前看到一个比较有意思的方法是，让用户把一副图片旋转成正确的角度：比如一个凳...

    验证码，一个对用户毫无价值，但对网站却是一个自我保护的屏障。 通常，验证码出现在提交表单的情况下，用于网站判断数据提交方是正常用户还是机器人。 比如： 1：在新用户的注册流程。可以用来遏制恶意注册。 2：用户密码取回流程。可以用来防止用户密码被恶意夺取。 3：用户登录。一般出现在多次密码输入错误，可以用来防刷密码。 4：文章评论。可以防止广告等信息的传播。 ...... 从产品上看，以上流程，对用户体验而言，让用...