BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
|
« : 30 Июль 2009, 00:35:38 » |
|
всё всё, робот остановлен (СЛАВА РОБОТАМ!) я просто игрался у меня новый пост http://sidorovis.blogspot.com/2009/07/blog-post.htmlтам уже можно заапдейтится с svn и все сорцы и сама база там уже списки анонимных прокси подключения все понты надо езё разгадыватель капчи написать (хотя бы 50 процентов угадать) будет вообще круто если у кого есть идеи на чъем сайте простая капча подскажите может вскоре займусь по поводу кода: читаем базу слов ( http://restudy.googlecode.com/svn/8/WebGidOrgHack/zdf-utf8.txt) переводим все слова в мой класс Utf строк и удаляем все слова у которых длинна не равна длинне ваших анаграмм потом делаем индекс по словам (для каждой буквы считаем количество её вхождений например анаграмма "бцлатиа": б-1 ц-1 л-1 а-2 т-1 и-1 потом для каждого слова по словарю считаем такой же индекс и сравниваем если индексы равны - значит это разгадка для анаграммы. всё достаточно быстро происходит, учитывая начальное обрезание по размеру слов а вокруг всего этого конечно поиск анаграммы на странице, составление запроса, генерация уникального ника и е-маила ещё конечно декодер прокси, и считыватель их с сайтика (всё в сорцах) выбор случайного набора прокси... уже работы много сделано. на баксов 100-200 делайте капчу предлагаю переехать в "Программирование" Ну что тут сказать, только браво ! Хотя капча тоже не выход, я читал по этой теме и видел, что они тоже не очень, поэтому решил анаграмы, сайты с их защитой мне кажется врядли найдёте.
|
|
|
Записан
|
|
|
|
spammer
|
анаграммы в качестве защиты от скриптов бред, потому что скрипты их разгадывают гораздо проще чем люди как вариант - капча, да позабористее, но без фанатизма, чтобы читабельно было побольше шума, вертикальных линий, размытых границ
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
хм капча анаграммы конечно будет поинтереснее правда сначала надо найти действительно анаграммы, а то пока что... ВЫХОД-ВЫДОХ... как не угадывай....
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Ну чтож спасибо за науку, у меня появились новые идеи относительно сайта, поэтому доступ пока закрыл, буду переделывать.
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Считаю, что использование капчи это тупиковый путь, поэтому сделал вариант без использования капчи.
|
|
|
Записан
|
|
|
|
GATTA
Гродненец
Репутация: +26/-0
Offline
Сообщений: 89
Колготки GATTA
|
Считаю, что использование капчи это тупиковый путь, поэтому сделал вариант без использования капчи.
В целом по вашему "считанию" и так понятно, что уровень вашего понимания современных веб-интерфейсов, юзабилити, актуальности тупиковых идей слишком низок, чтобы спорить с опытными людьми.
|
|
|
Записан
|
Колготки GATTA - gatta.by
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
В целом по вашему "считанию" и так понятно, что уровень вашего понимания современных веб-интерфейсов, юзабилити, актуальности тупиковых идей слишком низок, чтобы спорить с опытными людьми.
Ну вот Вам некоторые потуги "опытных людей" http://www.googlemon.ru/google/google-izobrel-novyj-vid-kapchi-captcha/ Я не ставил себе цель чему-то там просоответствовать, я искал эффективные способы защиты. Считаю, что данную проблему для себя более-менее решил. Кроме того, вижу что Вы не всё видели, что я реализовал, а потому ваше суждение поверхностно.
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Мы у себя на сайте капчи не делали. Вместо капчи на стандартном движке форума (phpbb, при регистрации юзеров) сделаны скрытые поля с такими же названиями, как у стандартных полей. Названия же открытых полей меняются ежедневно. Плюс при написании мессаг сделано два дополнительных радиобаттона, по умолчанию включено нечто типа 'я-тупой робот'. Пока ни один робот не прополз, хотя попыток было много (ведём отдельный лог).
p.s. Главного не написал. Если хоть что-то прописано в скрытых полях, регистрация считается автозаполненной и не учитывается. Наружу отдаётся сообщение об успешной регистрации.
Это всё класно, если спамит тупой робот используя стандартные подходы. А что будет, если за это возьмутся парни типа rilley_elf и персонально напишут робота под вашу защиту?
|
|
|
Записан
|
|
|
|
VooDoo
|
Пусть пишет Написать ежечасную смену названия филдов и только серверу известно где что будет лежать? Если есть хоть какие-то данные в запрещённой секции, отфутболиваем нахер. P.S. не люблю я картинки и прочую бодягу.
|
|
|
Записан
|
Are you human? - My body is. Do you feel pain? - My body does. ..- --- --- -.. --- ---
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Пусть пишет Написать ежечасную смену названия филдов и только серверу известно где что будет лежать? Если есть хоть какие-то данные в запрещённой секции, отфутболиваем нахер. P.S. не люблю я картинки и прочую бодягу. Так у меня самого поначалу мысли были, что названия полей будут делаться случайным образом, также анализ по ip, где как и сколько времени провёл и затратил, но потом решил пойти другим путём.
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Пусть пишет Написать ежечасную смену названия филдов и только серверу известно где что будет лежать? Если есть хоть какие-то данные в запрещённой секции, отфутболиваем нахер. P.S. не люблю я картинки и прочую бодягу. Или на сессию. Пусть пишет. Наткнулся на статью http://forum.antichat.ru/showpost.php?p=1302135&postcount=33 и подумал ведь не будет сложно отпарсить динамические названия, а потом их ввести.
|
|
|
Записан
|
|
|
|
VooDoo
|
статью не читал, про распарсить не понял
|
|
|
Записан
|
Are you human? - My body is. Do you feel pain? - My body does. ..- --- --- -.. --- ---
|
|
|
RILLey_ELf
Гость
|
Или на сессию. Пусть пишет.
дай адресс на ваш форум. я приглянусь к нему, так для спортивного интереса
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
дай адресс на ваш форум. я приглянусь к нему, так для спортивного интереса
Ну вот началось Добавлено: 24 Август 2009, 19:41:06
статью не читал, про распарсить не понял В том плане, что извлечь, а потом использовать по своему усмотрению. Т.е. тут даже сессия непоможет, ведь робот вначале названия переменных извлечёт, а потом используя их введет нужные значения.
|
|
|
Записан
|
|
|
|
VooDoo
|
В том плане, что извлечь, а потом использовать по своему усмотрению. Т.е. тут даже сессия непоможет, ведь робот вначале названия переменных извлечёт, а потом используя их введет нужные значения.
Ну роботу нужно привязаться к конкретному html-блоку что бы выдрать нужные филды. А ведь это тоже можно хитрым образом обфусцировать.
|
|
|
Записан
|
Are you human? - My body is. Do you feel pain? - My body does. ..- --- --- -.. --- ---
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Ну роботу нужно привязаться к конкретному html-блоку что бы выдрать нужные филды. А ведь это тоже можно хитрым образом обфусцировать.
В статье названия выдираются вообще из яваскрипта. Даже, если можно что-то придумать, то думаю это не будет особенно эффективным.
|
|
|
Записан
|
|
|
|
|
VooDoo
|
Ну роботу нужно привязаться к конкретному html-блоку что бы выдрать нужные филды. А ведь это тоже можно хитрым образом обфусцировать.
В статье названия выдираются вообще из яваскрипта. Даже, если можно что-то придумать, то думаю это не будет особенно эффективным. Короче, обойти можно всё что угодно. Вопрос в том, сколько на это ресурсов нужно затратить, так что не надо заморачиваться, а просто брать готовое решение
|
|
|
Записан
|
Are you human? - My body is. Do you feel pain? - My body does. ..- --- --- -.. --- ---
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
делай капчу
Я неплохо и без капчи обошёлся. Вопрос в том, сколько на это ресурсов нужно затратить, так что не надо заморачиваться, а просто брать готовое решение Не мой метод (я про капчу), я должен понимать, что делаю и для чего, а также как это работает. Понимаю в чужом коде плохо, поэтому стараюсь писать всё сам, да и не эффективна она.
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
мировой опыт вообще не эффективен по вашему мнению, как я понимаю? понять как работает капча не солжно. можно потратить 20 минут в интернетах, чем создавать новый велосипед. тем более вы же используете php-apache, хотя наверняка не знаете как он работает...
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
мировой опыт вообще не эффективен по вашему мнению, как я понимаю? понять как работает капча не солжно. можно потратить 20 минут в интернетах, чем создавать новый велосипед. тем более вы же используете php-apache, хотя наверняка не знаете как он работает... А при чем тут мировой опыт, если тот же Гугл свою капчу делает. С капчой разбирался серьёзно, но не в коде, а читал темы по её обходу - пришёл к выводу мне это не нужно. Я предпочитаю своей головой думать, а не тупо копировать идеи. На счет php-apache согласен, но зачем развивать идею до абсурда, когда я предполагал только капчу Не мой метод (я про капчу)
|
|
|
Записан
|
|
|
|
VooDoo
|
Одна байка про капчи вспомнилась... Был бот, который спамил везде, но капчи он читать не умел, но был ещё сайт с порнушкой. Так вот малолетним дрочерам показывалась капча перед просмотром, а капча подсовывалась ботом, потом результат который ввёл дрочел вводился на форму. Вот так армия дрочеров помогала спаммить.
|
|
|
Записан
|
Are you human? - My body is. Do you feel pain? - My body does. ..- --- --- -.. --- ---
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Вот так армия дрочеров помогала спаммить.
Сюда ещё можно добавить всяких школьников, китайцев и индусов - любителей халявных денег.
|
|
|
Записан
|
|
|
|
tarantyl
|
Не мой метод (я про капчу), я должен понимать, что делаю и для чего, а также как это работает. Понимаю в чужом коде плохо, поэтому стараюсь писать всё сам, да и не эффективна она.
Немного пофлужу: сервер тоже сами писали? Тест Тьюринга по распознаванию людей и машин(капча сокращенно) на самом деле на сегодняшний день самый эффективный способ. Только если целью будет взломать защиту именно вашего сайта, то поверьте сломают. И не обязательно через каптчу, хотя опять же если шкурка будет стоить выделки, то можно и каптчу распознавать, нейронные сети например, весь эффективно. Вот если Вы будете менять капчу каждую неделю, причем координально(принцип вывода, шрифты, тексты), то возможно, станет слишком дорого обучать сети все время. Ну и самый действенный способ обхода, это действительно на каком-нить порно-сайте показывать вашу капчу, причем можно пару раз с надписью типа "неверное значение - введите еще раз"
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
обфускаторы свои покажите пожалуйста, мне так для удовлетворения любопытства
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Тест Тьюринга по распознаванию людей и машин(капча сокращенно) на самом деле на сегодняшний день самый эффективный способ. Только если целью будет взломать защиту именно вашего сайта, то поверьте сломают. И не обязательно через каптчу, хотя опять же если шкурка будет стоить выделки, то можно и каптчу распознавать, нейронные сети например, весь эффективно. Вот если Вы будете менять капчу каждую неделю, причем координально(принцип вывода, шрифты, тексты), то возможно, станет слишком дорого обучать сети все время. Ну и самый действенный способ обхода, это действительно на каком-нить порно-сайте показывать вашу капчу, причем можно пару раз с надписью типа "неверное значение - введите еще раз" Так я вроде написал, что капчу неиспользую, а потому распознавать нечего.
|
|
|
Записан
|
|
|
|
spammer
|
Вопрос как раз в том, почему ты ее не используешь, если на сегодняшний день это лучший детектор человек/бот?
|
|
« Последнее редактирование: 26 Август 2009, 20:13:23 от spammer »
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Вопрос как раз в том, почему ты ее не используешь, если на сегодняшний день это лучший детектор человек/бот?
Потому что комплексная защита лучше любой капчи.
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
я только попробую обойти вашу защиту на регистрации. чего вам жалко?
и вам польза и мне опыт.
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
в шкафу на выключенном компе, естественно безопаснее хранить информацию, чем за капчей.
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
Нам жалко Если честно я Вас непонимаю. Мне кажется, что любой создатель сайта хочет, чтобы туда ходило, как можно больше народу, а люди они разные. Если же Вы изначально чего-то боитесь, то уже сразу себя ограничиваете. Вам было бы удобнее, если бы на ваш форум ходили люди, вообще слабо понимающие что такое интернет. Вот они научились сообщения писать и нормально. А внешняя угроза есть всегда, знают пока о вашем форуме или нет, просто потом сюрприз будет. В любом случае лучше бы дали rilley_elf потестировать, свою бы защиту хоть улучшили. Мое большое IMHO, но многие програмисты по своей натуре довольно таки ленивые, лучше стандартное, а иногда и просто тупо скопированное, чем своё и улучшенное.
|
|
|
Записан
|
|
|
|
spammer
|
особенно если далеко не факт, что свое и улучшенное будет лучше стандартного и тупо скопированного
ничего конкретного ввиду не имею, просто абстрактные рассуждения
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
я напишу свой stl с блек джеком и шлюхами
|
|
|
Записан
|
|
|
|
BDP_BY
Гродненец
Репутация: +19/-0
Offline
Пол:
Сообщений: 56
Всё у нас будет!
|
особенно если далеко не факт, что свое и улучшенное будет лучше стандартного и тупо скопированного
ничего конкретного ввиду не имею, просто абстрактные рассуждения
В данном случае согласен, взять теже анаграммы. Вроде казалось надёжно, а на самом деле пустяк, поэтому при таких вещах опыт и практика нужна. Тем не менее считаю, что в вопросах безопасности свои разработки лучше, чем массово используемые скрипты.
|
|
|
Записан
|
|
|
|
Бред Питт
|
В данном случае согласен, взять теже анаграммы. Вроде казалось надёжно, а на самом деле пустяк, поэтому при таких вещах опыт и практика нужна. Тем не менее считаю, что в вопросах безопасности свои разработки лучше, чем массово используемые скрипты.
Свои разработки лучше только до тех пор, пока они никого не интересуют... Тогда да - стандартные подходы-обходы не катят.
|
|
|
Записан
|
Театр закрывается. Нас всех тошнит.
|
|
|
alex-v
|
Я у себя на форуме вообще запретил размещать web-ссылки и этим победил спам, который мне так долго слали.
|
|
|
Записан
|
|
|
|
alex-v
|
Роботы не имеют ни малейшего понятия, запрещены ли ссылки на сайте или нет.
Я это запретил в PHP-скрипте простой проверкой сообщения...
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
а где вы это запретили можно посмотреть? для праздного любопытства? чисто попробовать ваш фильтр "плохих" слов
|
|
|
Записан
|
|
|
|
alex-v
|
// проверка на спам function check_spam($message) { $check_str=mb_strtolower($message); if(strpos($check_str,"a href")===false && strpos($check_str,"@")===false && strpos($check_str,"ftp:")===false && strpos($check_str,"mailto:")===false && strpos($check_str,"http:")===false && strpos($check_str,"куплю windows")===false && strpos($check_str,"www.")===false && strpos($check_str,".ru")===false && strpos($check_str,".com")===false && strpos($check_str,".net")===false && strpos($check_str,".by")===false && strpos($check_str,".org")===false && strpos($check_str,".info")===false ) return false; else return true; }
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
это боевой код?
а ссылками чтобы код можно было потестировать?
|
|
|
Записан
|
|
|
|
alex-v
|
а ссылками чтобы код можно было потестировать?
не понял...
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
ну где этот код работает. посмотреть именно на страничке
проверить надежность
|
|
|
Записан
|
|
|
|
alex-v
|
уважаемый rilley_elf, зачем вам это надо? пошли лучше спать...
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
ну во-первых - спать с вами я точно не буду. а во вторых постыдились бы выкладывать то, что вы выложили в качестве "кода".
в-третьих разговор о спаме шел совершенно другой. ваша защита гроша ломаного не стоит засрать вашу базу с такими защитами; хоть ссылками хоть порнухой хоть просто мусором не займёт больше 20 секунд
|
|
|
Записан
|
|
|
|
alex-v
|
я прошу не додумывать пошлости... я не писал "спать со мной"... а каждый у себя дома... а чего мне должно быть стыдно выложить мою функцию проверки спама? она меня устраивает и исправно работает.
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
конечно работает выложите её на govnokod.ru хотя она там не станет шедевром там такой клинописи пруд пруди. и некоторая даже с пояснениями почему это говно код
|
|
|
Записан
|
|
|
|
alex-v
|
спасибо за критику, вы правы rilley_elf, я не профессиональный РНР программер, а только начинающий. Буду также благодарен вам, если вы раскритикуете мой код подробнее. Что в нем плохого на ваш взгляд?
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
как минимум use regexp
или
заведите массив $bad_words=["","",""]; и по циклу его
|
|
|
Записан
|
|
|
|
alex-v
|
ваша защита гроша ломаного не стоит засрать вашу базу с такими защитами; хоть ссылками хоть порнухой хоть просто мусором не займёт больше 20 секунд
а как вы ссылку разместите, если скрипт не даёт? а как вы порнуху разместите?
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
а вы покажите где это, я попробую тогда и расскажу
|
|
|
Записан
|
|
|
|
spammer
|
rilley_elf +1, типичный образчик говнокода
|
|
|
Записан
|
|
|
|
VooDoo
|
регэксп бы заюзали
|
|
|
Записан
|
Are you human? - My body is. Do you feel pain? - My body does. ..- --- --- -.. --- ---
|
|
|
alex-v
|
регэксп бы заюзали
Я начинающий РНР-шник, до регэксп пока не дошел... мой говнокод работает пока исправно и пусть работает... Чем, кстати, "куплю windows" не угодил тем, что у нас на форуме любая реклама запрещена, т.к. форум христианский и там нет для рекламы соотв. разделов. Спам только засоряет наш форум. Так зачем нам этот мусор? К примеру, идет обсуждение духовных вопросов и тут вравается вдруг сообщение "куплю то-то" или "продам то-то". Зачем это надо?
|
|
|
Записан
|
|
|
|
iddqd
|
а завтра начальство решит что упоминание сатаны тоже богопротивно, причем во всех склонениях. сколько строчек в этот код придется добавить?
|
|
|
Записан
|
|
|
|
alex-v
|
Бот на форум мы не пустим, нужный скрипт мы счас запустим. Ну а если бот пройдет, скриптик наш в утиль пойдет. О защита, о защита, спамом всё вокруг забито! Надо мусор разгребать, и защиту улучшать. rilley_elf защиту нашу проверит и в пользу скрипта он сразу поверит. Бот, не смей прошу тебя, портить форум спамом зря!
|
|
« Последнее редактирование: 02 Сентябрь 2009, 19:55:50 от alex-v »
|
Записан
|
|
|
|
alex-v
|
Не всуе будет помянуто, но Бог с ней, с рекламой - каждый, конечно, может запрещать у себя что хочет. Но почему именно "куплю windows"? Потому что часто кидали такое сообщение на наш форум.
|
|
|
Записан
|
|
|
|
RILLey_ELf
Гость
|
В шкаф засуну сервер свой, И от сетки отключу; Даже вырублю питание, Будет самый защищённый! Ладно теперь с рифмой: Программист сидел и думал, Что же в коде тут не так. Вроде юзал процедуры... Всё равно пришёл косяк! Думал он, сидел молчал, Тратя зренье на экран; Говорил с собой, рычал, Может программист - профан? Надо ж было доучится. Изучить объектный код; Чтоб заказчик за границей. Не смеялся во весь рот. Вот понадобится скоро, RSS вдруг подключить ; Без шаблонов в интернете, даже чаю не попить. Нет не дело это братцы, Надо книги покупать. И при этом спросить дважды. Что читать, что не читать!
|
|
|
Записан
|
|
|
|
alex-v
|
серверок мой, серверок... нажимайте кнопку "ОК"
|
|
|
Записан
|
|
|
|
|