Tomek - 23 Wrz 2006, 02:13
Hej,
Kazdy token stosowany na stronach www to przewaznie jpg lub gif zawierajacy
jakies tam slowko. No i wiadomo. Sa tak skontruowane by specjalne roboty nie
mogly odczytac z nich jakie slowko jest zawarte w srodku. Ale jesli kazdy
plik jest inny i nie daj boze ma inny rozmiar (rozmiar pliku) to stosunkowo
latwo nauczyc takiego robaka jakie slowko jest w okreslonym pliku.
Czy w takim razie pozostaje tylko miec b. duza liczbe tokenow, rzedu kilku
tysiecy, czy tez generowac np. biblioteka GD z php-a obrazki tzn wstawiac im
losowe ciagi liter ?
Prosze o komentarz
Pozdrowienia
Tomek
Łukasz Piec - 23 Wrz 2006, 02:16
Czy w takim razie pozostaje tylko miec b. duza
liczbe tokenow, rzedu kilku tysiecy, czy tez generowac np. biblioteka
GD z php-a obrazki tzn wstawiac im losowe ciagi liter ?
Raczej praktykuje się opcję 2.
rezist.com - 23 Wrz 2006, 04:25
Prosze o komentarz
jesli masz na mysli Kapcia :) to zasadniczo w wielu przypadkach
ladnie skonstruowany spammerski OCR da sobie rade z odczytaniem
tego, co jest w srodku. Mozna bronic sie, stosujac animowane
gyfy z nadzieja ze te paskudne roboty nie potrafia sobie
przeanalizowac z ilu klatek sklada sie GIF i czy nie warto
trace'owac obrazka w ostatniej klatce.
jedyny bezpieczny pomysl jaki przyszedl mi do glowy to dosc
gesta siatka oparta na tabelce i budowanie liter oraz cyfr
z boderów (dosc trudne w realizacji) albo skladanie
poszczegolnych ciagow z background url.
obie metody sa dosc brutalne, i niektorzy beda miali problem
z odczytaniem tego.
reod - 23 Wrz 2006, 05:39
obie metody sa dosc brutalne, i niektorzy beda miali problem
z odczytaniem tego.
A jakby tak umiejscowić obrazek z kodem w skrajnie różnym położeniu od
formularza,
a przy nim umieścić falsyfikat. Potem css'em umiejscowić na atrapie?
ikciu - 23 Wrz 2006, 05:57
A jakby tak umiejscowić obrazek z kodem w skrajnie różnym położeniu od
formularza,
a przy nim umieścić falsyfikat. Potem css'em umiejscowić na atrapie?
A nie prosciej zrobic tak:
w miejscu gdzie ma byc token obrazkowy wstawiac obrazek-przezroczysty z
jakims czyms tam a jako tlo pod nim dawac ten wlasciwy - ten wlasciwy
oczywiscie z css'a
ethanak - 23 Wrz 2006, 06:12
| A jakby tak umiejscowić obrazek z kodem w skrajnie różnym położeniu od
| formularza,
[...]
A nie prosciej zrobic tak:
w miejscu gdzie ma byc token obrazkowy wstawiac obrazek-przezroczysty z
[...]
...a spamer zrobi sobie screenshota i wszystkie Wymyślne Metody
Inteligentnego Ukrywania Obrazka będzie można okdr ;)
ethanak
ikciu - 23 Wrz 2006, 07:44
...a spamer zrobi sobie screenshota i wszystkie Wymyślne Metody
Inteligentnego Ukrywania Obrazka będzie można okdr ;)
tu raczej chodzi o to, zeby roboty nie zbieraly danych a nie pojedynczy
koles. jesli na przezroczystym gife dodany tez jakies literki a na stronie
wpiszemy ze prosze podawac tylko cyfry, ktore beda na zamazanym obrazku tla
w css'ie to znacznie to utrudni zycie robotom
porneL - 23 Wrz 2006, 17:41
Kazdy token stosowany na stronach www to przewaznie jpg lub gif
zawierajacy jakies tam slowko. No i wiadomo. Sa tak skontruowane by
specjalne roboty nie mogly odczytac z nich jakie slowko jest zawarte w
srodku. Ale jesli kazdy plik jest inny i nie daj boze ma inny rozmiar
(rozmiar pliku) to stosunkowo latwo nauczyc takiego robaka jakie slowko
jest w okreslonym pliku.
Czy w takim razie pozostaje tylko miec b. duza liczbe tokenow, rzedu
kilku tysiecy, czy tez generowac np. biblioteka GD z php-a obrazki tzn
wstawiac im losowe ciagi liter ?
http://pornel.net/antyspam
http://pornel.net/captcha
porneL - 23 Wrz 2006, 17:46
| A jakby tak umiejscowi? obrazek z kodem w skrajnie ró?nym po?o?eniu od
| formularza,
| a przy nim umie?ci? falsyfikat. Potem css'em umiejscowi? na atrapie?
A nie prosciej zrobic tak:
w miejscu gdzie ma byc token obrazkowy wstawiac obrazek-przezroczysty z
jakims czyms tam a jako tlo pod nim dawac ten wlasciwy - ten wlasciwy
oczywiscie z css'a
bosz... CAPTCHA nie jest zabezpieczeniem przeciwko przypadkowym głupim
bociskom, a przeciw zdeterminowanym programistom. Ile sekund dobremu
programiście zajmie kapnięcie się gdzie jest właściwy obrazek?
No i jeśli zabezpieczenie ma być przeciw głupim botom, to nie powinna to
być CAPTCHA.
http://pornel.net/antyspam http://pornel.net/captcha
ethanak - 23 Wrz 2006, 22:43
| ...a spamer zrobi sobie screenshota i wszystkie Wymyślne Metody
| Inteligentnego Ukrywania Obrazka będzie można okdr ;)
tu raczej chodzi o to, zeby roboty nie zbieraly danych a nie pojedynczy
koles.
Przeciwko pojedynczemu kolesiowi się nie zabezpieczysz - chodziło mi o
robota który nie bawi się w zgadywanie co na stronie jest obrazkiem a
renderuje sobie stronę i operuje na wynikowym obrazie.
ethanak
Michał Gancarski - 24 Wrz 2006, 05:04
[...]
| tu raczej chodzi o to, zeby roboty nie zbieraly danych a nie pojedynczy
| koles.
Przeciwko pojedynczemu kolesiowi się nie zabezpieczysz - chodziło mi o
robota który nie bawi się w zgadywanie co na stronie jest obrazkiem a
renderuje sobie stronę i operuje na wynikowym obrazie.
Właśnie natrafiłem na ciekawy sposób rozwiązania kwestii zabezpieczeń tak,
by trzeba było coś gdzieś wpisać, a dodatkowo było to dostępne.
Rejestrowałem się na eclipse.org i zamiast obrazka dostałem pytanie "Math
question: (5-1) divided by two". Udało mi się nawet prawidłowo
odpowiedzieć.
Cypriano - 24 Wrz 2006, 06:47
porneL said the following on 2006-09-23 23:41:
http://pornel.net/antyspam
Na jednej stronie w księdze gości używam wykrywanie linków i trochę słów
kluczowych. W przypadku odrzucenia wpisu wyświetlam informacje o
powodzie odrzucenia i (do celów testowych) dopisuje ten wpis do osobnej
tabeli w bazie - po kilku miesiącach mam ponad 1200 spamerskich wpisów ;)
Exe Very Cute - 24 Wrz 2006, 06:51
Na jednej stronie w księdze gości używam wykrywanie linków i trochę słów
kluczowych. W przypadku odrzucenia wpisu wyświetlam informacje o
powodzie odrzucenia i (do celów testowych) dopisuje ten wpis do osobnej
tabeli w bazie - po kilku miesiącach mam ponad 1200 spamerskich wpisów ;)
Dobre to jest ;] Coś jak zbieranie znaczków :
Pzdr
Exe Very Cute
Cypriano - 24 Wrz 2006, 06:56
Exe Very Cute said the following on 2006-09-24 12:51:
| Na jednej stronie w księdze gości używam wykrywanie linków i trochę
| słów kluczowych. W przypadku odrzucenia wpisu wyświetlam informacje o
| powodzie odrzucenia i (do celów testowych) dopisuje ten wpis do
| osobnej tabeli w bazie - po kilku miesiącach mam ponad 1200
| spamerskich wpisów ;)
Dobre to jest ;] Coś jak zbieranie znaczków :
chcesz się powymieniać? ;)
Exe Very Cute - 24 Wrz 2006, 07:20
Exe Very Cute said the following on 2006-09-24 12:51:
| osobnej tabeli w bazie - po kilku miesiącach mam ponad 1200
| spamerskich wpisów ;)
| Dobre to jest ;] Coś jak zbieranie znaczków :
chcesz się powymieniać? ;)
Niestety nie mam nic na wymianę - ja wysyłam takie wpisy do dev/null :(
Pzdr
Exe Very Cute
Michał Gancarski - 24 Wrz 2006, 07:27
| Exe Very Cute said the following on 2006-09-24 12:51:
| osobnej tabeli w bazie - po kilku miesiącach mam ponad 1200
| spamerskich wpisów ;)
| Dobre to jest ;] Coś jak zbieranie znaczków :
| chcesz się powymieniać? ;)
Niestety nie mam nic na wymianę - ja wysyłam takie wpisy do dev/null :(
A to rzeczy z dev/null nie idą do Kosza? Przywróć z Kosza!
ethanak - 24 Wrz 2006, 11:09
[...]
A to rzeczy z dev/null nie idą do Kosza? Przywróć z Kosza!
Spróbuj:
cp /dev/null/* /home/users/michal/
ethanak
Michał Gancarski - 24 Wrz 2006, 11:55
[...]
| A to rzeczy z dev/null nie idą do Kosza? Przywróć z Kosza!
Spróbuj:
cp /dev/null/* /home/users/michal/
O, man, następnym razem wstawię jednak ten uśmieszek.
Paweł Chalacis - 24 Wrz 2006, 13:22
Rejestrowałem się na eclipse.org i zamiast obrazka dostałem pytanie
"Math question: (5-1) divided by two".
i myslisz ze "rejestrator" sobie z tym nie poradzi?
Michał Gancarski - 24 Wrz 2006, 13:31
On 2006-09-24 11:04:27 +0200, Michał Gancarski
| Rejestrowałem się na eclipse.org i zamiast obrazka dostałem pytanie
| "Math question: (5-1) divided by two".
i myslisz ze "rejestrator" sobie z tym nie poradzi?
To zależy ile i jakie są pytania. A przynajmniej daltoniści będą w stanie
w ogóle dokonać rejestracji.
porneL - 24 Wrz 2006, 18:59
| Rejestrowałem się na eclipse.org i zamiast obrazka dostałem pytanie
| "Math question: (5-1) divided by two".
i myslisz ze "rejestrator" sobie z tym nie poradzi?
Zależy jaki rejestrator. Standardowy spambot, który wyciąga z googla
pierwsze 10000 for, ksiąg gości, a następnie wszystkie kolejno spamuje -
raczej nie poradzi sobie. Nie dlatego, że to jest jakieś trudne do
obejścia zabezpieczenie, a dlatego, że pewnie nikt nie fatygował się
implementować wypełniania takiego pola. IMHO "wpisz A" było by równie
skuteczne.
ethanak - 25 Wrz 2006, 04:57
[...]
| cp /dev/null/* /home/users/michal/
O, man, następnym razem wstawię jednak ten uśmieszek.
Ja też.
ethanak
Exe Very Cute - 25 Wrz 2006, 05:01
[...]
| cp /dev/null/* /home/users/michal/
| O, man, następnym razem wstawię jednak ten uśmieszek.
Ja też.
Bijcie się ;]
Pzdr
Exe Very Cute
ethanak - 25 Wrz 2006, 05:17
[...]
W poniedziałek? Nie chce mi się :)
ethanak
Paweł Chalacis - 25 Wrz 2006, 06:07
IMHO "wpisz A" było by równie skuteczne.
no wlasnie ja o tym ;)
Martinco - 29 Wrz 2006, 02:37
| Kazdy token stosowany na stronach www to przewaznie jpg lub gif
| zawierajacy jakies tam slowko. No i wiadomo. Sa tak skontruowane by
| specjalne roboty nie mogly odczytac z nich jakie slowko jest zawarte w
| srodku. Ale jesli kazdy plik jest inny i nie daj boze ma inny rozmiar
| (rozmiar pliku) to stosunkowo latwo nauczyc takiego robaka jakie
| slowko jest w okreslonym pliku.
| Czy w takim razie pozostaje tylko miec b. duza liczbe tokenow, rzedu
| kilku tysiecy, czy tez generowac np. biblioteka GD z php-a obrazki tzn
| wstawiac im losowe ciagi liter ?
http://pornel.net/antyspam
http://pornel.net/captcha
--this.author = new Geek("porneL");
Swoją drogą... a nie będzie dobrym zabezpieczeniem stworzenia obrazka ze
znakami w np. trzech kolorach i proszenie usera o przepisanie znaków o
okreslonym kolorze ?
Martinco
William - 29 Wrz 2006, 03:45
Swoją drogą... a nie będzie dobrym zabezpieczeniem stworzenia obrazka ze
znakami w np. trzech kolorach i proszenie usera o przepisanie znaków o
okreslonym kolorze ?
To jest zawsze decyzja biznesowa - kogo wykluczasz jako potencjalnego
uzytkownika. Czy daltonistów czy wszystkich niewidzących w ogóle. IMHO token
głosowy do wyboru z graficznym to minimum przyzwoitej "dostępności". Zobacz
też jak działają strony z darmową treścią porno - najpierw zmuszają do
wpisania kilkunastu tokenów - pochodzą one z przekierowania z serwisów
pocztowych / forum i pozwalają spamerom zakładać duze ilości kont bez
własnej pracy.
porneL - 29 Wrz 2006, 17:06
| Kazdy token stosowany na stronach www to przewaznie jpg lub gif
| zawierajacy jakies tam slowko. No i wiadomo. Sa tak skontruowane by
| specjalne roboty nie mogly odczytac z nich jakie slowko jest zawarte w
| srodku. Ale jesli kazdy plik jest inny i nie daj boze ma inny rozmiar
| (rozmiar pliku) to stosunkowo latwo nauczyc takiego robaka jakie
| slowko jest w okreslonym pliku.
| Czy w takim razie pozostaje tylko miec b. duza liczbe tokenow, rzedu
| kilku tysiecy, czy tez generowac np. biblioteka GD z php-a obrazki tzn
| wstawiac im losowe ciagi liter ?
| http://pornel.net/antyspam
| http://pornel.net/captcha
Swoją drogą... a nie będzie dobrym zabezpieczeniem stworzenia obrazka ze
znakami w np. trzech kolorach i proszenie usera o przepisanie znaków o
okreslonym kolorze ?
W żadnym wypadku nie będzie.
Przeciw głupim spambotom (o które chodzi na 99% stron) już samo dawanie
byle obrazka to niepotrzebnie mocne zabezpieczenie.
Natomiast w dla osoby opracowującej algorytm łamania takiego CAPTCHA, ta
zmiana może wręcz pomóc w łamaniu - po odczytaniu koloru i zaaplikowaniu
filtra dostaje się od razu ładnie rozseparowane litery.
Strona 1 z 1 • 1