Comments 117
и правда каптчи уже надоели. хорошая идея :)
Люблю конструктивные темы с аргументацией по пунктам. Спасибо.
UFO just landed and posted this here
На самом деле, боты имеют способность достаточно быстро обходить любые широкораспространенные способы защиты от них. С другой стороны, подчас, даже не такие сложные, но нестандартные механизмы защиты для них составляют большую проблему. Так что для ресурса, который потенциально в ближайшее время вряд ли станет мишенью целенаправленной работы хакеров, я бы писал защиту индивидуально, пусть и не такую сложную.
А если говорить о том, что сложнее всего распознать, то в голову приходит такой механизм:
Как-то так, в общем. Это общие соображения.
А если говорить о том, что сложнее всего распознать, то в голову приходит такой механизм:
- Поля формы позиционируются абсолютно, а порядок их следования в HTML коде документа выбирается случайным образом. Т.е. пользователь их видит всегда в одном порядке, а для машины, анализирующей код, они всегда в разном;
- Подписи к полям тоже позицианируются абсолютно, и порядок их следования в коде документа не соответствует порядку следования соответствующих им полей;
- Поле, формат которого можно проверить (например e-mail), каждый раз называется по-разному;
- Если в данном поле введено не то, что требуется, то форма заполнена некорректно и, как следствие, не проходит проверку.
Как-то так, в общем. Это общие соображения.
1-2. Как влияет порядок отображения на то, какой бот-запрос отправлять на сервер?
3-4. Перебрать десяток вариантов для бота не проблема.
3-4. Перебрать десяток вариантов для бота не проблема.
Есть поле, например, содержащее e-mail. В тексте документа оно при каждом выводе формы называется случайным образом и располагается в случайном порядке (в коде документа, для пользователя же оно всегда визуально располагается на одной и той же позиции при помощи абсолютного позиционирования). Бот заходит получает документ, анализирует его, заполняет поля, отсылает результат на сервер. На сервере скрипт проверяет, соответствует ли стока, введенное в заданное поле формату адреса электронной почты. Если соответствует велкам. Нет возврат на форму, в которой поля расположены уже в другой последовательности.
Хотя, конечно, облом, если полей в форме всего три-четыре. Тогда перебор наугад может быстро принести желаемый для бота результат. Косяк...
Хотя, конечно, облом, если полей в форме всего три-четыре. Тогда перебор наугад может быстро принести желаемый для бота результат. Косяк...
Какая разница в каком порядке в html идут поля ввода? Бот всё равно ищет их не по количеству символов от начала страницы, а скорее всего регуляркой по ID или Name.
И разве боту сложно вводить нормальный формат E-mail адреса?
Или я что-то не так понял?
И разве боту сложно вводить нормальный формат E-mail адреса?
Или я что-то не так понял?
В том-то и дело, что ID и Name генерируются сервером каждый раз случайным образом (например, вместо полей name, email, login поля могут называться S0938, B4593, T9872, а при следующей загрузке U3947, H62829, O43329 и т.п.). Сервер каждый раз знает, какие он поля сгенерировал, и ждёт ответа. Если в поле, в котором должен был быть e-mail находится не та строка, которая ожидается перед нами бот (ну, или пользователь ввёл некорректные данные).
А поля можно перемешивать для того, чтобы было сложнее отследить требуемое поле, а то его будет легко найти через DOM.
Правда я уже придумал, как обойти свой же механизм защиты. :(
А поля можно перемешивать для того, чтобы было сложнее отследить требуемое поле, а то его будет легко найти через DOM.
Правда я уже придумал, как обойти свой же механизм защиты. :(
и как же? по < label for="" > ?
Это еще хуже, чем капча. Мыло придется каждый раз заново вводить, а не выбирать из предложенных вариантов автозаполнения.
Вот кстати сейчас ддя себя реализую этот способ, вместе с парочкой других, кидаю в форму пару левых полей, все имена полей - случайны. Пользователю плевать, а вот для спамбота, разобрать какие два поля из шести заполнять не надо, причем если их имена каждый раз разные - думаю трудновато будет.
По сути приведенная схема защищает лишь от случайного спама. Целенаправленная атака на конкретный сайт или данный класс в большинстве случаев будет иметь успех. Все эти алгоритмы легко обходятся, если мы их знаем. Поэтому для рапидшары это точно не подойдет.
А для борьбы со случайным спамом мне всегда хватало одного скрытого поля.
А для борьбы со случайным спамом мне всегда хватало одного скрытого поля.
Угу. За пять минут обходится.
include "http.class.php";
include "FormParser.class.php";
$url = "http://datexp.com/linux/fsbb/live/example.php";
$http = new http;
$parser = new FormParser;
$form = $http->GET($url);
$parser->parseForms($form);
// Если форм несолько ищет форму с заданными полями
$postdata = $parser->GetPostdata(array("message"));
$postdata['message'] = "Сообщение спам бота :)";
$action = http::fixURL($url,$parser->action);
sleep(rand(3,5));
echo $http->POST($action,$postdata)
* This source code was highlighted with Source Code Highlighter.
Пример — http://jeck.ru/labs/nobot
include "http.class.php";
include "FormParser.class.php";
$url = "http://datexp.com/linux/fsbb/live/example.php";
$http = new http;
$parser = new FormParser;
$form = $http->GET($url);
$parser->parseForms($form);
// Если форм несолько ищет форму с заданными полями
$postdata = $parser->GetPostdata(array("message"));
$postdata['message'] = "Сообщение спам бота :)";
$action = http::fixURL($url,$parser->action);
sleep(rand(3,5));
echo $http->POST($action,$postdata)
* This source code was highlighted with Source Code Highlighter.
Пример — http://jeck.ru/labs/nobot
Есть одно "но" вы знали где ловушка. Это все равно что коментировать дейсвия фокусника, когда вам уже рассказали секрет именно этого фокуса.
Почему же вы не написали:
$postdata['fsbb_key'] = 'Я спам-бот';
$postdata['e92cbfd520b5d59aae33f3e1e'] = 'Я спам-бот';
$postdata['mail'] = 'Я спам-бот';
Почему же вы не написали:
$postdata['fsbb_key'] = 'Я спам-бот';
$postdata['e92cbfd520b5d59aae33f3e1e'] = 'Я спам-бот';
$postdata['mail'] = 'Я спам-бот';
Вы не правы. Единственное что я здесь сделал зная наверняка — пауза перед отправкой. И то потому что не хотел захламлять кодом который вычислял время заполнения формы с учетом скорости набора. Остальное готовые классы для эмуляции действий пользователя. Этот прием является типичной защитой "от дурака".
>Почему же вы не написали:
Посмотрите внимательнее
$parser->parseForms($form);
// Если форм несолько ищет форму с заданными полями
$postdata = $parser->GetPostdata(array("message"));
Это небольшой парсер HTML форм (демонстрация http://jeck.ru/tools/FormsParser/). Он сначала обрабатывает все формы на страницы, потом ищет форму в которой есть нужное поле. Как видите все ухищрения со скрытыми полями обходятся двумя строчками :)
>Почему же вы не написали:
Посмотрите внимательнее
$parser->parseForms($form);
// Если форм несолько ищет форму с заданными полями
$postdata = $parser->GetPostdata(array("message"));
Это небольшой парсер HTML форм (демонстрация http://jeck.ru/tools/FormsParser/). Он сначала обрабатывает все формы на страницы, потом ищет форму в которой есть нужное поле. Как видите все ухищрения со скрытыми полями обходятся двумя строчками :)
Мне кажется мы говорим о разных вещах.
Бот просканировал форму, откуда он знает какие там поля должны быть нормальными а какие невидимымы? А если я назову поле не "message"?
Я говорю о боте а вы мне пытаетесь доказать что если человек проанализирует форму и напишет прогу то она может форму обойти. Да, может обойти, атакующий может и капчу обойти, я уже написал как.
Ведь все секреты я Вам разказал, а откуда бот знает что надо 3 секунды подождать?
Бот просканировал форму, откуда он знает какие там поля должны быть нормальными а какие невидимымы? А если я назову поле не "message"?
Я говорю о боте а вы мне пытаетесь доказать что если человек проанализирует форму и напишет прогу то она может форму обойти. Да, может обойти, атакующий может и капчу обойти, я уже написал как.
Ведь все секреты я Вам разказал, а откуда бот знает что надо 3 секунды подождать?
Я вам говорю что в вашей схеме много лишнего если вы хотите защититься от массового спама, если нет — смотрите код выше. Для задачи которую вы тут описываете достаточно было лишь а все остальное для чего? А ещё хватило бы переименовать message в sejwnxjtr и добились бы вы того же эффекта что и своим сложным подходом.
>Ведь все секреты я Вам разказал, а откуда бот знает что надо 3 секунды подождать?
Ну так я же вам объяснил что реальные скрипты вычисляют время задержки на основании кол-ва введенных данных.
Вы бы лучше предложили какое нибуть эффективное решение для целенаправленного спама.
>Ведь все секреты я Вам разказал, а откуда бот знает что надо 3 секунды подождать?
Ну так я же вам объяснил что реальные скрипты вычисляют время задержки на основании кол-ва введенных данных.
Вы бы лучше предложили какое нибуть эффективное решение для целенаправленного спама.
Ну что же попробуем без секрета фокуса:
http://datexp.com/linux/fsbb/live2/examp…
Я немного модифицировал класс.
http://datexp.com/linux/fsbb/live2/examp…
Я немного модифицировал класс.
Уже гораздо лучше но есть замечания:
1. У пользователя может быть отключен js
2. У пользователя может быть отключен flash
3. Невидимый flash может обрезать FireWall (надо было указать не 1x1 размер все таки)
Ну и естественно это не безопасный способ.
http://jeck.ru/labs/nobot/
P.S. Если много раз жать F5 все таки выпадают невалидные сабмиты, видимо стоит какоето ограничение на число сабмитов в единицу времени.
P.S.S. Я ведь уже собирался спать!
1. У пользователя может быть отключен js
2. У пользователя может быть отключен flash
3. Невидимый flash может обрезать FireWall (надо было указать не 1x1 размер все таки)
Ну и естественно это не безопасный способ.
http://jeck.ru/labs/nobot/
P.S. Если много раз жать F5 все таки выпадают невалидные сабмиты, видимо стоит какоето ограничение на число сабмитов в единицу времени.
P.S.S. Я ведь уже собирался спать!
Для всех перечисленых способов есть выход:
1. тег <noscript> и капча.
2. С флеш тоже если отрублен или версии ниже < такой-то - капча.
3. В данном случае флеш имеет указаный размер 1x1
Ведь 90% пользователей мы избавим от гемороя.
1. тег <noscript> и капча.
2. С флеш тоже если отрублен или версии ниже < такой-то - капча.
3. В данном случае флеш имеет указаный размер 1x1
Ведь 90% пользователей мы избавим от гемороя.
Интересный подход, сам о такой реализации плотно думал.
Мне кажется зря вы выложили файлы у себя - регистрация помогает создателям оценить интерес к их продукту и мотивирует на поддержку и улучшение.
Мне кажется зря вы выложили файлы у себя - регистрация помогает создателям оценить интерес к их продукту и мотивирует на поддержку и улучшение.
В статье есть ссылка на оригинал http://www.phpclasses.org/browse/package… можете загрузить с phpclasses, мне не хотелось "нагружать" читателей лишней работой.
Лучшей "наградой" для автора будет развитие его идеи, и я надеюсь, что многие из Вас дополнят этот класс своими "ловушками" для ботов. Лицензия на Class LGPL. Каждый из Вас может его доработать.
Лучшей "наградой" для автора будет развитие его идеи, и я надеюсь, что многие из Вас дополнят этот класс своими "ловушками" для ботов. Лицензия на Class LGPL. Каждый из Вас может его доработать.
мдя... а меня признают спамером по ссылке с примером =)))
Но идея безусловно великолепная. =)
Но идея безусловно великолепная. =)
Говорят Владимир Владимирович Шахиджанян печатает со скоростью 83-и капчи средней сложности в минуту.
UFO just landed and posted this here
У мня была идея насчёт софтового будильника для мобильных платформ с капчей. Ведь чтобы нормальную капчу распознать как минимум нужно продрать глаза. Материал хороший, спасибо, внедрю буквально на днях 8)
Образцы «мобильных платформ» придётся менять после каждого «тяжёлого утра», так как, по-моему, выключаться они будут весьма радикальным образом об стену. :)
Если вы её воплотите - дайте знать. Мечтаю о такой.
Не совсем капча, но Pocket Alarm (WinMobile) позволяет сделать так, чтобы выключить сигнал будильника можно было только после решения простого математического выражения.
Против точечной атаки на конкретный ресурс (или даже конкретную форму) эта штука неэффективна. Пример - rapidshare. Написать бота, который в конкретно указанной форме сломает эти 4 этапа защиты не составит труда.
Ой, да ладно, знаем ведь все зачем на рапидшаре такая хитрая капча =)
от вот таких вот программок http://www.dimonius.ru/dusd.php . На пользователей и обычной хватит..
> ...удлинителях некоторых органов, дешовой виагре и т.п.?
"дешевой" пишется через "е"
"дешевой" пишется через "е"
>Например, пользователь не может заполнить 6 полей менее чем за 2 секунды...
Ну с этим не согласен. У меня стоит Roboform, я большие анкеты заполняю за мгновения
Ну с этим не согласен. У меня стоит Roboform, я большие анкеты заполняю за мгновения
Боты пишутся - в основном - под конкретный движок или сайт, и никакого труда не составит написать обход капчи, не являющейся аудио или визуальной. Все варианты с js, что я видел, да и как идея - очень посредственны. Пока ниодного нормальной замены привычной капчи я не увидел.
Я хочу заметить, что данное решение не является разновидностью капчи. Тест Тьюринга предполагает "втягивание" пользователя в процесс идентификации, я же не против такого подхода. Капча может быть оправдана только при защите очень важной формы, которой как правило, является регистрация нового пользователя.
Любую капчу можно "пробить", вопрос только в цене одного сабмита, если ничего не помогает хакер может привлечь человеческий ресурс, в статье есть ссылка на грамотный обзор этого вопроса.
Любую капчу можно "пробить", вопрос только в цене одного сабмита, если ничего не помогает хакер может привлечь человеческий ресурс, в статье есть ссылка на грамотный обзор этого вопроса.
Распознать нормальную капчу в десятки раз сложнее, чем обойти перечисленные способы.
Не спорю, но и пользователю гораздо сложнее бота пользоваться сайтом.
Забороть нормальную капчу автоматически - задача очень сложная. И боту тут приходится туго, а человеку надо всего лишь немного присмотреться к картинке (я не говорю о тех капчах, которые намерено создают проблемы пользователю).
Приведённые способы способны остановить разве что очень дубового бота, который ходит на случайные страницы и заполняет все встретившиеся формы некоторой инфой. По моему эффективность таких ботов самих по себе (если даже не вставлять им палки в колёса) оставляет желать лучшего.
Приведённые способы способны остановить разве что очень дубового бота, который ходит на случайные страницы и заполняет все встретившиеся формы некоторой инфой. По моему эффективность таких ботов самих по себе (если даже не вставлять им палки в колёса) оставляет желать лучшего.
зря вы это на Хабре запостили :) Чем больше народу использует эту штуку, тем больше спама будет сквозь нее проникать
Для того чтоб обезопасить себя от такой перспективы добавьте в класс еще хотя бы одну небольшую изюминку, чтоб не было стандарта. И тогда бот будет "колотся". Измините немного код, добавте 2 невидимых поля, например. Пользователю на несколько байт больше трафика а боту прийдется воевать с вашими ловушками.
Вместо style="display:none" поставте имя класса которое будет определено в css-файле как невидимое. А боту подсунте фиктивный инпут с style="display:none". Пусть ламает Вашу версию спамблокера. Кроме того доп-ловушки можно включать рандомом. Вы должны понимать что боты не имеют возможности видеть страницу как человек, боты не проанализируют Ваш CSS, вот на этом и надо их ловить.
Главное правило отойти от стандарта!
Вместо style="display:none" поставте имя класса которое будет определено в css-файле как невидимое. А боту подсунте фиктивный инпут с style="display:none". Пусть ламает Вашу версию спамблокера. Кроме того доп-ловушки можно включать рандомом. Вы должны понимать что боты не имеют возможности видеть страницу как человек, боты не проанализируют Ваш CSS, вот на этом и надо их ловить.
Главное правило отойти от стандарта!
- поместите инпут в слой с позиционированием в "минусе" по вертикали.
- поместите инпут на страничку и сделайте его ридонли и невидимым уже джаваскриптом на onload
итд. Перебирать то можно долго.
Но наиболее продуктивной все же мне кажется идея генерировать поля ввода , точнее их id каждый раз заново. те фактически в сессию юзера будет писаться идентификатор схемы, которая использована. после чего приложение будет разбирать что там ему прислали, и если имена полей не совпали - до свидания.
- поместите инпут на страничку и сделайте его ридонли и невидимым уже джаваскриптом на onload
итд. Перебирать то можно долго.
Но наиболее продуктивной все же мне кажется идея генерировать поля ввода , точнее их id каждый раз заново. те фактически в сессию юзера будет писаться идентификатор схемы, которая использована. после чего приложение будет разбирать что там ему прислали, и если имена полей не совпали - до свидания.
Но пользователь-то должен понимать, что куда вводить - значит, над реальными полями ввода будут осмысленные тексты-подсказки и класс в CSS у них будет отображаемый. Тогда робот тоже отсортирует поля ввода в порядке следования текстов-подсказок над ними (проанализировав CSS если нужно) - всяко для него анализировать HTML и CSS проще, чем распознавать картинку CAPTCHA.
Щяс лучше всего прокатит капча картинкой по которой надо щелкнуть в определённом месте, проблем для человека такая капча шибко уменьшит, а бота писать под нее сложней.
Бот может проанализировать HTML код (там будут все координаты)
Если роботы уже неплохо распознают искривленные и зашумленные буквы на картинках, то что им помешает эмулировать клик в нужной позиции?
А не приведете статистику скольких людей такая капча тормознула?
Статистику можно собрать, например собрав соответствия IP адресов в забаненых запросах и в нормальных. Хоть приблизительно.
Я использую подобную штуку от MS. Работает нормально. Но только для ASP.NET.
http://asp.net/AJAX/AjaxControlToolkit/S…
Статистику можно собрать, например собрав соответствия IP адресов в забаненых запросах и в нормальных. Хоть приблизительно.
Я использую подобную штуку от MS. Работает нормально. Но только для ASP.NET.
http://asp.net/AJAX/AjaxControlToolkit/S…
>> Щяс лучше всего прокатит капча картинкой по которой надо щелкнуть в определённом месте, проблем для >> человека такая капча шибко уменьшит, а бота писать под нее сложней.
Даже если взять капчу 3х3, с точкой в одном из 9 квадратиков, и сделать таких три подряд - шанс проникновения бота уменьшится не втрое, а в восемь раз, но для человеческого фактора такие капчи не составят проблем (пробивание вречную)
Даже если взять капчу 3х3, с точкой в одном из 9 квадратиков, и сделать таких три подряд - шанс проникновения бота уменьшится не втрое, а в восемь раз, но для человеческого фактора такие капчи не составят проблем (пробивание вречную)
скрытые поля прикольна, однако нужно лишь чуть-чуть доработать спам-ботов для ее обхода. Хотя если повсеместно не использовать то будет норм.
есть опыт когда с помощью JS пихал в инпут некий хеш. 90% ботов отсеялись сразу, хотя вместе с ними и 3% пользователей, т.к. ресурс региональной направленности, достаточно было создать белый список IP адресов, и решилось проблема 3-х процентов
есть опыт когда с помощью JS пихал в инпут некий хеш. 90% ботов отсеялись сразу, хотя вместе с ними и 3% пользователей, т.к. ресурс региональной направленности, достаточно было создать белый список IP адресов, и решилось проблема 3-х процентов
преимущества и недостаток спам-ботов — они используют стандартные методы. Никто не будет фиксить ботов под сайт васи пупкина, другое дело когда боты пишуться специально под ресурс.
на своем сайте я в открытую опубликовал емаил и аську, нету спама.
На региональном портале дефолтное мыло принимает порядка 200-300 писем сомнительного содержания, а вместе с ним светится домен, страдают все
на своем сайте я в открытую опубликовал емаил и аську, нету спама.
На региональном портале дефолтное мыло принимает порядка 200-300 писем сомнительного содержания, а вместе с ним светится домен, страдают все
на мой взгляд эффективную защиту может обеспечить несколько правил.
для своей доски объявлений использую автомод.
по заданным правилам начисляются штрафные баллы, при превышении которых объявление не добавляется.
список правил:
1. черный список IP адресов
2. Черный список IP-name
3. проверка REFERER и URI
4. база стоп-слов
5. проверка "серых слов" (http, [url и т.д)
6. проверка передаваемых хешей
7. соотношение русских/английских букв
каждое правило имеет определенные вес, суммирование все дает оценку объявления на основе которой принимается решение публиковать или нет подаваемое объявление.
для примера — лимит поинтов равен 100, стандартное сообщение обычно набирает не более 50. для остальных можно создать белый список, либо минусование поинтов если юзер зарегистрировался в системе.
для своей доски объявлений использую автомод.
по заданным правилам начисляются штрафные баллы, при превышении которых объявление не добавляется.
список правил:
1. черный список IP адресов
2. Черный список IP-name
3. проверка REFERER и URI
4. база стоп-слов
5. проверка "серых слов" (http, [url и т.д)
6. проверка передаваемых хешей
7. соотношение русских/английских букв
каждое правило имеет определенные вес, суммирование все дает оценку объявления на основе которой принимается решение публиковать или нет подаваемое объявление.
для примера — лимит поинтов равен 100, стандартное сообщение обычно набирает не более 50. для остальных можно создать белый список, либо минусование поинтов если юзер зарегистрировался в системе.
справедливости ради стоит отметить что спам прорывается все равно.
но это практически единичные случаи, в день около 3-5 спамовых сообщений, откинутых более 500
но это практически единичные случаи, в день около 3-5 спамовых сообщений, откинутых более 500
А почему уважаемые веб-разработчики игнорируют проект recaptcha?
Суть там в том, что для распознавания подсовываются именно такие картинки, которые уже заведомо отказались распознать лучшие, специально заточенные под них, программы (нераспознанные слова из оцифровываемых бумажных книг).
Распознавая капчи, пользователи помогают оцифровывать те самые книги (т.е. работа по распознаванию не уходит впустую, идёт на пользу человечеству).
А кто-то ухитрится написать программу, которая хоть худо-бедно, но разбирает такую капчу - стало быть, он написал распознавалку текста, которая лучше, чем лучшие существовавшие до него: он тогда может зарабатывать деньги легально и на пользу человечества, не ломая капчи, а продавая свой распознаватель.
А проблемы с задействованием человеческого ресурса (типа "эта же капча на порносайте") вполне сносно решаются, если recaptcha скомбинировать с описанной в хабратопике технологией.
Суть там в том, что для распознавания подсовываются именно такие картинки, которые уже заведомо отказались распознать лучшие, специально заточенные под них, программы (нераспознанные слова из оцифровываемых бумажных книг).
Распознавая капчи, пользователи помогают оцифровывать те самые книги (т.е. работа по распознаванию не уходит впустую, идёт на пользу человечеству).
А кто-то ухитрится написать программу, которая хоть худо-бедно, но разбирает такую капчу - стало быть, он написал распознавалку текста, которая лучше, чем лучшие существовавшие до него: он тогда может зарабатывать деньги легально и на пользу человечества, не ломая капчи, а продавая свой распознаватель.
А проблемы с задействованием человеческого ресурса (типа "эта же капча на порносайте") вполне сносно решаются, если recaptcha скомбинировать с описанной в хабратопике технологией.
все хорошо в меру. как только все поставят "рекапчу" ее тоже распознают и прокачают ботов.
Повторяю :) Как только появятся алгоритмы, которые её распознают - эти алгоритмы применят к распознаванию книг, и те картинки, которые могли бы быть распознаны, в рекапчу уже не попадут. Она автоматически регулируемая, то бишь распознанные классы из неё автоматически исключаются.
Тогда такой вопрос:
Имеем схему:
набор нераспознанных алогоритмами слов, который можно получить только используя человека для проверки правильности распознания
картинки с их изображением
человека, который снова распознает слово на изображении (ведь системе надо проверить, правильно ли распознано слово).
Не кажется ли, что при такой схеме рекапча нисколько не поможет распознанию этих слов? )
Имеем схему:
набор нераспознанных алогоритмами слов, который можно получить только используя человека для проверки правильности распознания
картинки с их изображением
человека, который снова распознает слово на изображении (ведь системе надо проверить, правильно ли распознано слово).
Не кажется ли, что при такой схеме рекапча нисколько не поможет распознанию этих слов? )
Так и делают. Показывают эту капчу, скажем, на порносайте, "чтоб увидеть следующую картинку". Заонанировавшийся человек, который там обитает, он хоть и с плохим зрением - всё равно, её распознаёт для спаммеров.
Так вот, только это занимает времени много. Для спасения от таких фокусов, повторю, частично поможет установка таймаутов, и прочие технологии, описанные в хабратопике.
Кстати, мы имеем один или несколько центральных серверов рекапча, т.е. уже имеем некий центральный ресурс. Их же можно использовать и для ведения чёрных списков, откуда обычно приходят спаммерские распознавания, на манер spamhaus.
Жопа у рекапчи одна - она всё сложнее и сложнее, потому, что распознавалки-то совершенствуются, и для человека остаются всё более и более сложные случаи. Существующие алгоритмы, кстати, зачастую даже умеют её распознавать, но очень неуверенно, и поэтому её всё же оставляют человеку (тем не менее, эти алгоритмы попросту недоступны спаммерам - ни сами алгоритмы, не мощности, необходимые для их реализации). А когда рекапча станет совсем сложной - придётся признать, что компьютеры догнали людей в области распознавания таких текстов :(
Так вот, только это занимает времени много. Для спасения от таких фокусов, повторю, частично поможет установка таймаутов, и прочие технологии, описанные в хабратопике.
Кстати, мы имеем один или несколько центральных серверов рекапча, т.е. уже имеем некий центральный ресурс. Их же можно использовать и для ведения чёрных списков, откуда обычно приходят спаммерские распознавания, на манер spamhaus.
Жопа у рекапчи одна - она всё сложнее и сложнее, потому, что распознавалки-то совершенствуются, и для человека остаются всё более и более сложные случаи. Существующие алгоритмы, кстати, зачастую даже умеют её распознавать, но очень неуверенно, и поэтому её всё же оставляют человеку (тем не менее, эти алгоритмы попросту недоступны спаммерам - ни сами алгоритмы, не мощности, необходимые для их реализации). А когда рекапча станет совсем сложной - придётся признать, что компьютеры догнали людей в области распознавания таких текстов :(
дык распознают, неважно котики, васьки или пупкины
все зависит только распространенности
все зависит только распространенности
Вы явно не понимаете, в чём суть :) В рекапчу попадают как раз такие картинки, которые не были распознаны алгоритмами, специально разработанными как раз для их распознавания. Короче, не существует в природе программ, которые бы могли распознать рекапчу, по определению рекапчи. Если я своими словами объясняю непонятно - http://recaptcha.net/ - там по-английски, но от авторов и разработчиков.
как из анекдота
на каждую хитрую ж..у
находится х..й с винтом
на каждую хитрую ж..у
находится х..й с винтом
А как проверять валидность такой капчи, если фраза на ней не известна? То есть "Распознавая капчи, пользователи помогают оцифровывать те самые книги ", значит что ответа еще нет, а боты могут подсовывать слова, примерно подходящие по длине, чем будут только засорять эти книги. Или я вас не так понял?
А вы пойдите на сайт проекта и прочитайте, как это работает :)
Там показывается два слова, одно проверочное (уже распознанное), второе - новое. И есть средства, чтобы не отравляли систему, вводя проверочное правильно, а новое - как попало. А вообще, подробно принцип действия, серверные библиотки и прочее можно посмотреть на сайте проекта.
Там показывается два слова, одно проверочное (уже распознанное), второе - новое. И есть средства, чтобы не отравляли систему, вводя проверочное правильно, а новое - как попало. А вообще, подробно принцип действия, серверные библиотки и прочее можно посмотреть на сайте проекта.
для той же рапидшары, блогов wordpress метод ничем не поможет, а для небольших сайтов, под которые никому нафик не нужно затачивать спам-бота - вполне сгодится, как и заполнение форм жаваскриптом.
Все это давно используется в плагине для wordpress spamkarma, и также давно обходится.
Будучи администратором форума постоянно сталкиваюсь со спамерами и для себя понял следующее. Не может быть жесткого единого и универсального правила для отсечения ботов,потому что для этого правила будет создан бот. Следовательно, нужно создать определенный набор правил, которые будут случайным образом использоваться при регистрации. Думаю такой подход будет хорош и для крупных ресурсов. Но, что очень важно, не должно быть повторяемости набора правил для разных ресурсов, тогда будет значительно усложнен процесс преодоления защит. Как один из вариантов проверка на преодоление непримененного вида защиты. Короче, думаю, надо идти по пути усложнения.
Опытным путем выяснил, что если на моем маленьком ресурсе, стоит вид защиты такой, которого нет у других, я могу с большой долей вероятности (примерно 99,99%) отсечь бота, что и делаю.
Сумбурно выразил, но если интересно, могу и прокомментировать подробнее.
Опытным путем выяснил, что если на моем маленьком ресурсе, стоит вид защиты такой, которого нет у других, я могу с большой долей вероятности (примерно 99,99%) отсечь бота, что и делаю.
Сумбурно выразил, но если интересно, могу и прокомментировать подробнее.
Самое интересное в другом - нет смысла уповать только на капчу. Есть много других способов обходить ботов, и выдумывать их необходимо, с креативным (простите за спорное слово) подходом. Если один и тот же метод используют сотни сайтов - боты начинают обучаться.
У меня была идея, возможно громоздкая, но своя. Картинка 60 на 60 пикселей формируется из дивов 1 на 1 пиксель, каждому диву задается его место и цвет через css, а выдаются они случайным образом, каждый раз в разной последовательности. Главный минус - достаточно длинный код - всего должно быть 3600 дивов, у каждого свой цвет и позиция. Зато ботам не пробиться. До тех пор, пока затея не стала массовой.
У меня была идея, возможно громоздкая, но своя. Картинка 60 на 60 пикселей формируется из дивов 1 на 1 пиксель, каждому диву задается его место и цвет через css, а выдаются они случайным образом, каждый раз в разной последовательности. Главный минус - достаточно длинный код - всего должно быть 3600 дивов, у каждого свой цвет и позиция. Зато ботам не пробиться. До тех пор, пока затея не стала массовой.
Кстати, вот оригинальная капча: клик. Насколько она надежна?
Что-то похожее, со скрытыми полями и использованием javascript, уже писалось ранее:
способ защиты веб-форм от роботов
Надеюсь, будет полезным :)
способ защиты веб-форм от роботов
Надеюсь, будет полезным :)
Ccылка не работает. Но Google как всегда
<a href="http://209.85.135.104/search?q=cache:rWU3Sb_j8L0J:habrahabr.ru/blog/webdev/30205.html+<a" href=" hl="ru&ct=clnk&cd=1&gl=ua&client=firefox-a"" title="http://habrahabr.ru/blog/webdev/30205.html&hl=ru&ct=clnk&cd=1&gl=ua&client=firefox-a">выручает
<a href="http://209.85.135.104/search?q=cache:rWU3Sb_j8L0J:habrahabr.ru/blog/webdev/30205.html+<a" href=" hl="ru&ct=clnk&cd=1&gl=ua&client=firefox-a"" title="http://habrahabr.ru/blog/webdev/30205.html&hl=ru&ct=clnk&cd=1&gl=ua&client=firefox-a">выручает
По всей видимости эта: habrahabr.ru/post/16190/
Пустите :( о чём там хоть?
есть сервисы где народ за определенную плату на время вводит символы с картинок CAPTCHA
в основном аттакуют MySpace
в основном аттакуют MySpace
а есть сервисы где «всё за деньги»
там и капча похоже не нужна — вот лекарство против ботов :-D
разве что если кто захочет заддосить сервер…
там и капча похоже не нужна — вот лекарство против ботов :-D
разве что если кто захочет заддосить сервер…
С рапидой я пытаюсь так - смотрю где кошачий хвост есть - обычно угадываю :)
какой смысл писать на хабре то, материала о чем в интернете хоть жопой ешь?
пропиарить php-классик чтоль?
сложная captcha - против сложной логики внутри сервера? Я прекрасно понимаю почему крупные проекты используют именно первый вариант =).
А вообще - почему бы не распозновать бота по действиям ПОСЛЕ регистрации?
пропиарить php-классик чтоль?
сложная captcha - против сложной логики внутри сервера? Я прекрасно понимаю почему крупные проекты используют именно первый вариант =).
А вообще - почему бы не распозновать бота по действиям ПОСЛЕ регистрации?
Во всем видите коммерцию, нет я не сотрудник phpclasses, и не "сочувствующий"?
Я в статье хотел показать альтернативный и эфективный способ решения проблемы борьбы с ботами на чистом html. Все что нужно немного модифицировать код, чтоб это небыло "стандартное" решение. 80% сайтов капча не нужна!
Я не отрицаю комбинирование разных способов борьбы.
Про капчу информации много, про альтернативные способы борьбы говорят намного меньше. Вы считаете эта тема никому не интересна? Почему же за нее голосовали?
Я в статье хотел показать альтернативный и эфективный способ решения проблемы борьбы с ботами на чистом html. Все что нужно немного модифицировать код, чтоб это небыло "стандартное" решение. 80% сайтов капча не нужна!
Я не отрицаю комбинирование разных способов борьбы.
Про капчу информации много, про альтернативные способы борьбы говорят намного меньше. Вы считаете эта тема никому не интересна? Почему же за нее голосовали?
http://www.google.com/search?client=oper…
на самом деле я разозлился по целому ряду причин. Информации в инете достаточно, особенно качественной, в отличие от вашей стататьи. Вы хоть в курсе что CAPTCHA - это не изображение? Это автоматизированный реверсивный тест тьюринга. "Completely Automated Public Turing test to tell Computers and Humans Apart".
на самом деле я разозлился по целому ряду причин. Информации в инете достаточно, особенно качественной, в отличие от вашей стататьи. Вы хоть в курсе что CAPTCHA - это не изображение? Это автоматизированный реверсивный тест тьюринга. "Completely Automated Public Turing test to tell Computers and Humans Apart".
чтобы защищать, надо кстати уметь и ломать.
все тесты с таймаутами и прочей атрибутикой ломаются на раз-два
все тесты с яваскриптом и прочими попытками отличить браузер от бота - ломаются тоже на раз-два (симитировать логику браузера проще, чем может показаться на первый взгляд. Тем более интерпретатор яваскрипта вроде как паблик +))
иными словами - симитировать "механические" действия пользователя - проще простого. В этом случае разобрать автоматом картинку на рапидшаре мноооого сложнее. Смысл там прост: почти нереально разбирать автоматом картинки с процентом попаданий близком к 100. Самое лучшее - процентов 30-50 (даже и того меньше, в случае рапидшары). Тут уже айпи бота быстро "светится" уймой неверных попаданий.
я уже говорил - самое лучше - не пытаться изо всех сил ловить ботов в начале, а дать им возможность зайти и уже потом пристально следить за первыми дейтсвиями. Тут отсев производить намного проще. Это если говорить о проектах где у пользователя после регистрации есть много вариантов будущих действий, а не только "ввести каптчу -> ткнуть на линк -> скачать файл".
все тесты с таймаутами и прочей атрибутикой ломаются на раз-два
все тесты с яваскриптом и прочими попытками отличить браузер от бота - ломаются тоже на раз-два (симитировать логику браузера проще, чем может показаться на первый взгляд. Тем более интерпретатор яваскрипта вроде как паблик +))
иными словами - симитировать "механические" действия пользователя - проще простого. В этом случае разобрать автоматом картинку на рапидшаре мноооого сложнее. Смысл там прост: почти нереально разбирать автоматом картинки с процентом попаданий близком к 100. Самое лучшее - процентов 30-50 (даже и того меньше, в случае рапидшары). Тут уже айпи бота быстро "светится" уймой неверных попаданий.
я уже говорил - самое лучше - не пытаться изо всех сил ловить ботов в начале, а дать им возможность зайти и уже потом пристально следить за первыми дейтсвиями. Тут отсев производить намного проще. Это если говорить о проектах где у пользователя после регистрации есть много вариантов будущих действий, а не только "ввести каптчу -> ткнуть на линк -> скачать файл".
Я так понимаю что вы умеете ломать. В таком случае покажите мастер-класс. Я сделал небольшую доработку и не использовал капчу. Я думаю среднему хакеру хватило бы 20 минут.
http://datexp.com/linux/fsbb/live2/examp…
Или вы только в теории мастер?
http://datexp.com/linux/fsbb/live2/examp…
Или вы только в теории мастер?
опачки )
давайте тогда уж так. Завтра сделаю (или вы думаете actionscript выдрать из флешки - архипроблемно?) и если сделаю - вы навсегда перестанете писать об этом публично?
давайте тогда уж так. Завтра сделаю (или вы думаете actionscript выдрать из флешки - архипроблемно?) и если сделаю - вы навсегда перестанете писать об этом публично?
Я думал вы справитесь быстрее чем я написал.
Тем более что метод защиты достаточно прост. Вы думаете боты будут выдирать ActionScript из flash и эмулировать его работу для каждого сайта с посещаемостью в 100 чел. в день?
А если исходники ActionScript каждый вебмастер поправит по своему?
А Вы часом не СПАМЕР, которому такие технологии мешают СПАМ-ить?
Тем более что метод защиты достаточно прост. Вы думаете боты будут выдирать ActionScript из flash и эмулировать его работу для каждого сайта с посещаемостью в 100 чел. в день?
А если исходники ActionScript каждый вебмастер поправит по своему?
А Вы часом не СПАМЕР, которому такие технологии мешают СПАМ-ить?
мне казалось всем было понятно что мы говориле не о массовом взломе тонны сайтов с целью кражи траффика, а о направленном с целью кражи меньшего, но более качественного трафика на серьёзном ресурсе. В таком случае спамбота всегда пишут уникального. Более того - ну не глупо ли автоматом регестрироваться, если на сайте ни одной стандартной софтинки нет.
Мне ваш "тест" вообще по барабану, у меня и других дел полно. Будет свободное время - гляну ваш AS чтобы ухмыльнуться супер "защите". Кстати без флеша вообще не даст зайти? Уж лучше котов на картинке выглядывать.
Кто я такой вас волновать вообще не должно с точки зрения этикета данной беседы, и последним утверждением вы ставите себя в совсем некрасивое положение. Нет я не спаммер и никогда им не был. Нужно быть настоящим дебилом чтобы в подобных топиках делится своими мыслями, будучи спаммером.
Мне ваш "тест" вообще по барабану, у меня и других дел полно. Будет свободное время - гляну ваш AS чтобы ухмыльнуться супер "защите". Кстати без флеша вообще не даст зайти? Уж лучше котов на картинке выглядывать.
Кто я такой вас волновать вообще не должно с точки зрения этикета данной беседы, и последним утверждением вы ставите себя в совсем некрасивое положение. Нет я не спаммер и никогда им не был. Нужно быть настоящим дебилом чтобы в подобных топиках делится своими мыслями, будучи спаммером.
Ну вы сами написали что все "ломается на раз-два". Я с этим не согласен и предложил это доказать на деле, а не на словах.
А по поводу flash, я уже ответил другому, констуктивно настроеному читателю.
А по поводу flash, я уже ответил другому, констуктивно настроеному читателю.
Спасибо, в качестве общего развития почитал и класс посмотрел. Интересно, но, как и всё - не универсально... Но, в любом случае, мыслит создатель класса в правильном направлении - юзабилити - первоочерёдное.
З.Ы. Самой непробиваемой капчей будет осмысленный вопрос, требующий осмысленного ответа - тогда скрипт уже просто не поможет. Хороший пример - русские пословицы на русских же сайтах.
З.Ы. Самой непробиваемой капчей будет осмысленный вопрос, требующий осмысленного ответа - тогда скрипт уже просто не поможет. Хороший пример - русские пословицы на русских же сайтах.
Это хороший способ, но если за дело возметься специалист то обучит робота. Ну сколько тех пословиц 100, 200, 1000?
Для бота это будет тупик, и этот способ будет эффективен.
Я уверен, что хакеру под силу решить обход ЛЮБОЙ Капчи и ЛЮБОЙ защиты ввода данных на сайт, если этот ввод доступен обычному пользователю.
Единственное на что вы можете влиять это "цена" одного сабмит-а, т.е. технические затраты, затраты ресурсов на один сабмит.
Для бота это будет тупик, и этот способ будет эффективен.
Я уверен, что хакеру под силу решить обход ЛЮБОЙ Капчи и ЛЮБОЙ защиты ввода данных на сайт, если этот ввод доступен обычному пользователю.
Единственное на что вы можете влиять это "цена" одного сабмит-а, т.е. технические затраты, затраты ресурсов на один сабмит.
можно генерить новое скрытое поле формы со случайным значением с помощью зашифрованного js, а на сервере потом проверить на заполненность этого поля
врядли кто из повседневных спамботов согласится на анализ js
(решение для тех кому не интересны те, у кого отключен js)
врядли кто из повседневных спамботов согласится на анализ js
(решение для тех кому не интересны те, у кого отключен js)
Лучшая каптча. Для получения привилегий на пост на форуме необходимо отправить смс. При обнаружении spam-activity (флуд, повторный пост, визуальная проверка) привилегии удаляются.
Sign up to leave a comment.
Form Spam Bot Blocker: Защищаем Web-формы без CAPTCHA!