Ты забываешь об одном. Бот ничего не делает в браузере. Не жмет кнопки, не убирает фокус
я знал это и ранее, но после этих слов...
Полная Версия: Долой капчу, есть идея
Один человек полчаса сказал
я знал это и ранее, но после этих слов...
я знал это и ранее, но после этих слов...
| Цитата |
Ты дурак что ли совсем? Если вывод такой сделал из-за того, что я тебя не банил пока за это, в следующий раз исключение сделаю. Усёк? |
ахах. ты чё стращаешь меня?
давай бан и иди нахер)
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
если бы ты меня на улице бараном назвал - то про нахер бы ты ниче не услышал)) не пришлось бы. сам бы понял.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата (Игорь_Vasinsky @ 7.06.2013 - 09:30) |
| если и это реально |
Реально. Сложно? Разумеется, если обфускация похлеще, чем эта.
Игорь отправился на день в бан на доработку своей защиты
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Вставлю свои 2 копейки.
Тем интересная, интриги... интриги...
Вообще конечно да, защита от ботов тем эффективнее, чем меньше коммерческая выгода от этого. В смысле, что сайт не атакуют боты, потому-что на хер никому не нужен ). Шучу.
По делу, действительно, если будет интерес - обойдут любую защиту. Нам же нужно сделать процесс "обхождения" как можно дороже.
Сейчас кажется, что панацея от спама - это JS и всякие уловки с HTML. Если сформировать некий код на странице или заполнить какое-либо поле, и отправить все это на сервер, можно быть уверенным что это человек. Но это будет работать лишь до тех пор, пока кто-то намеренно не напишет бота для сайта.
Вот две истории.
1) Я поддерживаю один форум, там никто не пишит, но заказчик требует, что бы он был в интернете. Ну так вот, форум на phpbb, боты задолбали. Как капчу не наворочу, все равно обходят. Я сам уже не понимаю какие там символы на картинке, а боты понимают. Хотя существует мнение, что боты регятся с помощью дыр. Но хз. И вот, вместо капчи, я задал вопрос "Сколько дней в високосный год в феврале?". Ответ знают все - 29. И теперь всех ботов как рукой сняло. Что это значит? Это значит что этот форум никому не нужен.
Если будет нужен, что стоит добавить еще один вопрос в базу бота?
2) Это было очень давно, еще на заре 2000. Необходимо было взломать капчу некоего сайта. А учитывая, что индустрия спам-ботов только развивалось, средств было не много. И вот некие умельцы догадались. Был организован сайт с эротическим содержанием, где для просмотра картинок, необходимо было ввести код, код имел вид капчи. Эта самая картинка грузилась с сайта, капчу которого нужно было взломать. И вот, боту представляется картинка, он ее отправляет на "свой" сайт и ждет, пока кто-нибудь не введет цифры с этой картинки. И воля - бот прошел.
ИМХО, защита от ботов приближенная к 100% достигается не только техническими средствами, но и анализом поведения посетителя.
_____________
Тем интересная, интриги... интриги...
Вообще конечно да, защита от ботов тем эффективнее, чем меньше коммерческая выгода от этого. В смысле, что сайт не атакуют боты, потому-что на хер никому не нужен ). Шучу.
По делу, действительно, если будет интерес - обойдут любую защиту. Нам же нужно сделать процесс "обхождения" как можно дороже.
Сейчас кажется, что панацея от спама - это JS и всякие уловки с HTML. Если сформировать некий код на странице или заполнить какое-либо поле, и отправить все это на сервер, можно быть уверенным что это человек. Но это будет работать лишь до тех пор, пока кто-то намеренно не напишет бота для сайта.
Вот две истории.
1) Я поддерживаю один форум, там никто не пишит, но заказчик требует, что бы он был в интернете. Ну так вот, форум на phpbb, боты задолбали. Как капчу не наворочу, все равно обходят. Я сам уже не понимаю какие там символы на картинке, а боты понимают. Хотя существует мнение, что боты регятся с помощью дыр. Но хз. И вот, вместо капчи, я задал вопрос "Сколько дней в високосный год в феврале?". Ответ знают все - 29. И теперь всех ботов как рукой сняло. Что это значит? Это значит что этот форум никому не нужен.
Если будет нужен, что стоит добавить еще один вопрос в базу бота?
2) Это было очень давно, еще на заре 2000. Необходимо было взломать капчу некоего сайта. А учитывая, что индустрия спам-ботов только развивалось, средств было не много. И вот некие умельцы догадались. Был организован сайт с эротическим содержанием, где для просмотра картинок, необходимо было ввести код, код имел вид капчи. Эта самая картинка грузилась с сайта, капчу которого нужно было взломать. И вот, боту представляется картинка, он ее отправляет на "свой" сайт и ждет, пока кто-нибудь не введет цифры с этой картинки. И воля - бот прошел.
ИМХО, защита от ботов приближенная к 100% достигается не только техническими средствами, но и анализом поведения посетителя.
_____________
| Цитата (Игорь_Vasinsky @ 7.06.2013 - 10:46) |
| минусы - придётся забыть про автозаполнение и юзеру нужно будет тока ручками вводить данные для входа |
колбэк нужно было вешать на onsubmit, а не на onchange, тогда и с автозаполнением будет работать.
Я прочитал тему и так и не понял. Кто мешает просто взять твой js и использовають его для генерации нужных ключей?
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
Игорь_Vasinsky
А если залогинеться, и в момент регистрации(во время отправки) перехватить ключ и сохранить его, это даст возможность боту только заходить на сайт когда захочется... на счет перехватывающих программ знаю что вроде есть, да и данные не тоже не гетом , не постом не котируются...
А если залогинеться, и в момент регистрации(во время отправки) перехватить ключ и сохранить его, это даст возможность боту только заходить на сайт когда захочется... на счет перехватывающих программ знаю что вроде есть, да и данные не тоже не гетом , не постом не котируются...
sergeiss
Нужно событие снятия фокуса, а бот не сможет этого сделать
Нужно событие снятия фокуса, а бот не сможет этого сделать
| Цитата (mmsgold @ 7.06.2013 - 15:52) |
| sergeiss Нужно событие снятия фокуса, а бот не сможет этого сделать |
Блин, да когда до вас уже дойдет, не существует никакого "фокуса". Бот должен эмитировать трафик браузера, и ВСЁ!!!
| Цитата (mmsgold @ 7.06.2013 - 12:52) |
| sergeiss Нужно событие снятия фокуса, а бот не сможет этого сделать |
Речь не об этом. Речь о том, чтобы взять этот JS и выполнить у себя его, чтобы увидеть что отправляется, и потом использовать уже ботом.
Не сработает разве что если есть внутридоменный xmlhttprequest, но тут все еще проще. В консоли браузера достаточно отловить запрос при регистрации, увидеть что было отправлено, и дальше можно его имитировать.
Другой причиной не срабатывания этого может быть то, что жс генерируется для каждого пользователя свой. Ну и соответственно обфусцируется налету. В этом случае мб все не так элементарно, но на самом деле сделать код, который каждый раз будет просто дико отличаться, что за зависимость даже не зацепиться, будет совсем непросто. Пока это все болтовня на пустом месте. Если есть вера, что это идеально работает, то надо тогда нормальный пример дать под взлом, как давеча сделал freed_master.
| Цитата |
| Другой причиной не срабатывания этого может быть то, что жс генерируется для каждого пользователя свой. Ну и соответственно обфусцируется налету. В этом случае мб все не так элементарно, но на самом деле сделать код, который каждый раз будет просто дико отличаться, что за зависимость даже не зацепиться, будет совсем непросто. |
Да, допустим на стороне сервера алгоритм шифрования привязаный к ай ди пользователя, а результат в кей получаем через AJAX
| Цитата (mmsgold @ 7.06.2013 - 13:55) | ||
Да, допустим на стороне сервера алгоритм шифрования привязаный к ай ди пользователя, а результат в кей получаем через AJAX |
Это не да. Это очень даже нет. Как раз самый простой случай.
Здесь расположена полная версия этой страницы.