Код подтверждения на web-формах - альтернативный подход

← →
Real © (2006-12-30 23:37) [0]

Пару недель назад пришла идея упрощенной реализации сабжа. Просьба оценить, покритиковать (или похвалить :) вообщем, ваще мнение:

http://www.azlab.org/?page=opencc

P.S. До 5 января можно не обращать на эту ветку внимания :)

← →
Gero © (2006-12-31 00:29) [1]

А где это можно увидеть?

← →
Vovan #2 (2006-12-31 00:41) [2]

Картинки. Причём собраны отдельно, по-буквам. ИМХО фигня-с, ломали и не такое. Всё будет определяться: а стоит ли того? Если стоит, то не убережёшь. Моё мнение, что в CAPTCHA буквы не должны быть раздельно. Нужно искажать слово.

← →
Real © (2006-12-31 00:46) [3]

> А где это можно увидеть?

Демо не прикручивал на сайт, по той причине - что внешне, это выглядит точно так же как и любой другой аналог. Отличие в том, что только твоя фантазия и владение фотошопом - определяют уровень защищенности

← →
Real © (2006-12-31 00:48) [4]

> ИМХО фигня-с, ломали и не такое.

Первая версия запущенна именно для этого: проверить устойчивость к взломам в реальных условиях. Если вы хакер - хакните плиз? ;)

← →
Vovan #2 (2006-12-31 01:00) [5]

Имеется ввиду, что можно сделать распознавание CAPTHCA, которую сгенерирует твоя программа. Т.е. прицнип защиты от ботов ненадёжен.

← →
Real © (2006-12-31 01:15) [6]

> [5] Vovan #2 (31.12.06 01:00)
> Имеется ввиду, что можно сделать распознавание CAPTHCA,
> которую сгенерирует твоя программа. Т.е. прицнип защиты
> от ботов ненадёжен.

Ну если вы считаете что распознование сделать очень просто - продемонстрируйте это. Научить же мой скрипт генерить картинку по абсолютно новому образцу - можно за несколько минут и только средствами графического редактора и фантазии. Хотя бы тот факт что в борьбу с распознованием имеет шанс подключаться не только программисты, но и все желающие - уже выделяет данный скрипт из всех прочих

← →
Vovan #2 (2006-12-31 01:29) [7]

>Real © (31.12.06 01:15) [6]

Про первое - отправил на е-мейл.

Может ли твой скрипт сгенерировать такую картинку:

На картинке изображён слон. У него на спине, на ноге, на ухе - искажённые трёхбуквенные коды (которые как будто написаны на слоне). Ниже надпись: введите код, который слона на ухе. При этом картинка слона - не одна, соответсвенно и поз у слона несколько, да и не только слон может быть, а ещё превед-медвед и салюд-верблюд.

???

← →
Anatoly Podgoretsky © (2006-12-31 12:28) [8]

> Первая версия запущенна именно для этого: проверить устойчивость
> к взломам в реальных условиях. Если вы хакер - хакните плиз?
> ;)

Чего ломать то, где тестовая страница.
О чем может идти речь, если ты даже об этом не позаботился.

← →
Real © (2006-12-31 13:34) [9]

> Может ли твой скрипт сгенерировать такую картинку:
>
> На картинке изображён слон. У него на спине, на ноге, на
> ухе - искажённые трёхбуквенные коды (которые как будто написаны
> на слоне). Ниже надпись: введите код, который слона на ухе.
> При этом картинка слона - не одна, соответсвенно и поз у
> слона несколько, да и не только слон может быть, а ещё превед-
> медвед и салюд-верблюд.

Конечно может, вы бы прочитали хоть принцип работы. что нарисуете - из того и будет картинка генериться

← →
Real © (2006-12-31 13:38) [10]

> Чего ломать то, где тестовая страница.
> О чем может идти речь, если ты даже об этом не позаботился.

Согласен. Как протрезвею - сделаю тестовую страницу

← →
Real © (2006-12-31 13:52) [11]

хотя, чем там ее делать, вот она: http://www.azlab.org/demo/opencc/

Для генерации нового кода - просто обновите страницу

← →
Anatoly Podgoretsky © (2006-12-31 16:01) [12]

> Real (31.12.2006 13:38:10) [10]

Вот тогда и можно будет говорить об взломе, если конечно найдутся желающие делать это бесплатно.

← →
Nous Mellon_ (2006-12-31 16:49) [13]

Ну тут штука в том, что на мой взгляд не стоит вообще применять капчу. Со спамилками, типа хрумера,
насколько я помню идут распознавалки работающие с серьезным процентом пробиваемости. Гораздо интереснее решение
типа введите сумму чисел изображенных на картинке, однако если на твоем типе будет основываться много ресурсов
то и его пробьют :) Такая байда. Однако если это будет некоторое ограниченное кол-во ресурсов, то спамеры
смогут работать только вручную(и будут делать это только если ПР страницы больше 5). Но все равно интересно.

← →
Real © (2007-01-01 04:32) [14]

> Ну тут штука в том, что на мой взгляд не стоит вообще применять
> капчу

Я не претендую на то что это лучшее из решений. Просто это на мой взгляд свежее мнение в этом вопросе. А вообще, согласен - нужно искать какие-то более действенные решения. И кстати - идея, на которой реализован подход - как мне кажется позволит внедрить любые головоломки

← →
vidiv © (2007-01-01 11:12) [15]

помоему ты только задачу облегчил...
достаточно спамеру накачать твоих картинок - букв, а потом тупо сравнивать (ты ведь их по буквам разбил) на наиболее похожие...

← →
Real © (2007-01-01 16:17) [16]

> [15] vidiv © (01.01.07 11:12)
> помоему ты только задачу облегчил...
> достаточно спамеру накачать твоих картинок - букв, а потом
> тупо сравнивать (ты ведь их по буквам разбил) на наиболее
> похожие...

В целом - да, распознать файлы с отдельными символами - проще чем изображение с несколькими символами. Но это компенсируется простотой добавления нового набора картинок. Как только будет зафиксирована бот-активность - добавляем новый набор, а хакнутый исключаем: пусть спамер попарится с изменением алгоритма

← →
Vovan #2 (2007-01-01 18:07) [17]

>Real © (01.01.07 16:17) [16]

И программист будет ездить в контору каждые выходные?

← →
Gero © (2007-01-01 18:21) [18]

Такая защита ничего не стоит.

← →
Real © (2007-01-01 18:35) [19]

> Такая защита ничего не стоит.

Почему и о чем именно речь: о самой технологии подтверждающего кода или именно о моей реализации?

← →
Real © (2007-01-01 18:36) [20]

> И программист будет ездить в контору каждые выходные?

для получения нового типа картинки - вмешательство программиста не требуется (прочитайте хотя бы в чем суть)

← →
Vovan #2 (2007-01-01 18:48) [21]

>для получения нового типа картинки - вмешательство программиста не требуется (прочитайте хотя бы в чем суть)

Да я читаю, да. Там ты придумал, что картинка генерируется из набора букв (до сих пор не понимаю, как слона то сделать? там же для каждого слона свои координаты спины, свои параметры проективной трансформации, а кто её делать будет?.. ну да ладно) и суть в том, что подкидываешь наборы букв - остальное всё само. Ну вот установил я в контору такую штуку, а через неделю мне звонят: "Алё! Чего-то нас спам-боты завалили - не работает защита...". А я им: "Откройте фотошоп, выберите шрифт Gotika и сделайте, эдак, Curle + Blur. И так с каждой буквой алфавита..."

Заранее извиняюсь, я критикую именно CATCHA-подход (не реализацию) в том виде, в котором предлагает твой скрипт.

← →
Real © (2007-01-01 19:36) [22]

> А я им: "Откройте фотошоп, выберите шрифт Gotika и сделайте,
> эдак, Curle + Blur. И так с каждой буквой алфавита

Вот именно, а не "откройте Eclipse, проверьте запущен ли апач, откройте доки по GD" согласись, сделать картинку под силу любому пользователю, а вот подправить алгоритм рисования на PHP - уже нужен специалист. Теоретически - невозможно создать способ дающий 100% защиты от ботов, я же говорю о своем способе, что его преимущество - в быстром реагировании на обход защиты.

← →
vidiv © (2007-01-01 19:52) [23]

А вообще суть защиты должна быть в том, чтобы проверить способность мышления у клиента. Про слона мне понравилось =)

http://vid.sakhgu.sakhalin.ru/antibot.gif =)

← →
Real © (2007-01-01 20:21) [24]

> http://vid.sakhgu.sakhalin.ru/antibot.gif =)

Набор таких картинок на хосте ограничен, не так ли? Хакеру не составит труда сделать список соответствий "картинка-ответ"

← →
Gero © (2007-01-01 20:42) [25]

> [19] Real © (01.01.07 18:35)
> или именно о моей реализации?

О реализации. Используется конечный набор картинок, это ломаетс элементарно без всяких алгоритмов. Зачем в этом случае делать нечитаемую картинку — не понятно. Для взлома все равно, а пользователю парится.

← →
vidiv © (2007-01-01 20:51) [26]

> Набор таких картинок на хосте ограничен, не так ли? Хакеру
> не составит труда сделать список соответствий "картинка-
> ответ"

К примеру могут быть рыбы, могут быть медузы, или еще чтонить. Пейзажи добавить. Количество разное, цвета, направления, имен вообще миллион сделать (гдето я видел генератор имен =) ).

← →
Vovan #2 (2007-01-01 21:12) [27]

>Real © (01.01.07 20:21) [24]

У тебя можно провести сегментацию. А это ключ.

Если есть 10 букв и 6-буквенное слово, то распознавалка должна знать:
- либо 10 букв и уметь их выделить.
- либо 1000000 слов.

← →
Смаг (2007-01-01 21:25) [28]

Так и не понял в чем собственно был альтернативный подход.

> Если есть 10 букв и 6-буквенное слово, то распознавалка
> должна знать:
> - либо 10 букв и уметь их выделить.
> - либо 1000000 слов.

Первый этап распознования - сегментация, разделения на буквы

> Так и не понял в чем собственно был альтернативный подход.

В использовании не программных, а графических способов создания конечной картинки с кодом

> Используется конечный набор картинок

Нет, перед выводом - картинки зашумляются, так что по содержимому файла и его размерам - они всегда разные

> [30] Vga © (02.01.07 03:01)

И очень эффективно. Когда сигнал полностью детерминирован - работают методы когерентного различения, дающие наиболее высокую вероятность правильного определения.

> И очень эффективно. Когда сигнал полностью детерминирован
> - работают методы когерентного различения, дающие наиболее
> высокую вероятность правильного определения.

когда картинку создает определенный алгоритм, то результаты тоже более-менее ожидаемы. Вопрос в том, сколько нужно потратить времени на распознаватель вот скажем существующей картинки? Я не говорю что можно победить ботов, но можно очень быстро реагировать на их атаки контрдействиями, такими как внедрение нового набора картинок. Как я уже говорил - новый набор создается за минуты.

В целом - конечно нужно дорабатывать. Пожалуй слеплять в одну картинку даже необходимо. И добавить запутывающий действий, например случайны ресайз и повороты элементов. Но основную идею, сборку на основе рисованных элементов - все равно оставить, как самую быструю для разработки новых "алгоритмов" создания картинки.

и потом из-за подобных "разработок" юзеру приходится париться с регой .....

← →
Vovan #2 (2007-01-02 16:11) [34]

Короче, автор упорно сопротивляется. Будем считать, что пересилил нас.

> Короче, автор упорно сопротивляется. Будем считать, что
> пересилил нас.

Чему я сопротивляюсь? Ваш общий тон в этой дисскусии примерно таков "нет универсальной защиты от ботов типа CAPTCHA" с этим никто и не спорит. Более того, нет вообще НИКАКОЙ УНИВЕРСАЛЬНОЙ защиты, все при желании обходится/хакается. Мое предложение в этом вопросе не мечтание о универсальной защите, а создание новых контрмер против распознования. Никто не считает блэк-лист - мега защитой от спамера. Забанили один адрес - он с другого пишет, а мы и его забаним! С третьего пишет? Так и его туда же! Примерно таков смысл и моего предложения: хакер подобрал распознование? Добавим еще один набор картинок - пусть под него тоже модернизирует свою хакалку. Смысл в том, что расширить генератор новым типом картинки можно за пару минут в графическом редакторе, тогда как хакеру - потребуется намного больше времени для нового программного кода по распознанию

> Real (02.01.2007 16:38:35) [35]

> Смысл в том, что расширить генератор новым типом картинки можно за пару минут в графическом редакторе, тогда как хакеру - потребуется намного больше времени для нового программного кода по распознанию

Немного, ровно столько скольку нужно, что бы ввести коды со страницы

> Немного, ровно столько скольку нужно, что бы ввести коды
> со страницы

то есть? хакер сделал скрипт-распознаватель под определенную картинку. появилась новая картинка. каким образом можно быстро изменить скрипт распознавания под другое графическое представление символа?

← →
Vovan #2 (2007-01-02 17:34) [38]

>то есть? хакер сделал скрипт-распознаватель под определенную картинку. появилась новая картинка. каким образом можно быстро изменить скрипт распознавания под другое графическое представление символа?

Поместив твою новую картинку в папочку, откуда распознавалка берёт эталоны для выборки. При этом положим, что текстовое представление символа берётся из названия файла.

>Примерно таков смысл и моего предложения: хакер подобрал распознование? Добавим еще один набор картинок - пусть под него тоже модернизирует свою хакалку.

А я утверждаю, что при желании твоя защита минимум 50 процентов времени будет пропускать спам-ботов.

> Real (02.01.2007 17:27:37) [37]

Глупый ты, универсальный распознователь, при том весьма грубый и ручное обучение, несколько секунд и все, данный сайт наш. Ну сгенеришь ты новый набор, так снова несколько секунд. Это вообще не защита, тебе это сказали сразу, наборы картинок сводят все на нет.

> Глупый ты, универсальный распознователь, при том весьма
> грубый и ручное обучение, несколько секунд и все, данный
> сайт наш

Где такое есть, ссылку можно? "...О чем может идти речь, если ты даже об этом не позаботился..." (c) АП ;)

Код подтверждения на web-формах - альтернативный подход Найти похожие ветки