Код подтверждения на web-формах - альтернативный подход

← →
Real © (2007-01-02 23:42) [40]

> Глупый ты, универсальный распознователь, при том весьма
> грубый и ручное обучение, несколько секунд и все, данный
> сайт наш

Где такое есть, ссылку можно? "...О чем может идти речь, если ты даже об этом не позаботился..." (c) АП ;)

← →
Real © (2007-01-02 23:53) [41]

Предлагаю от голословия перейти к действиям :) Может у кого-то есть желание продемонстрировать легкую пробиваемость такой защиты? По заявлениям, можно сделать вывод что пробить ее можно за секунды. Предлагаю так:

Я делаю полигон у себя на хосте. Простая таблица, в которую попадает запись при прохождении контрольного кода. Со своей стороны - я готовлю два набора картинок, выкладываю только один. Мы договариваемся о времени начала "атаки" (по аське например). Пробивание защиты - считается при уловии, что в БД появилось 10 записей с одинаковыми датой/временем (совпадение до секунд) - в этом случае скрипт выводит оповещение и сам себя настраивает на использование второго набора. Появление еще 10 записей с совпадающими датой/временем - говорит о том что защита пробита вторично. Находим время затраченое на вторичный обход защиты. Полный исходник скрипта для эксперимента - будет обнородован.

Заранее готов к любому результату, и к полному поражению в том числе. Интересует практическое испытание и анализ реальных действий, который несомнено даст пищу для развития защиты.

← →
Vovan #2 (2007-01-03 00:14) [42]

>Real © (02.01.07 23:53) [41]

Ты же понимаешь, что с большой долей вероятности никто этим заниматься не станет (так как здесь всё же культурные люди, кроме, разве что, одного докторанта из МАИ). Ну так вот, всё нужно сделать самому.

Напиши программку, которая сравнивает изображения попиксельно и выдаёт степень различия в процентах. Посмотри, насколько это просто и как замечательно преодолевает твой шум ввиде линий. Теперь пощёлкай Refresh"ем и прикинь, за сколько времени тебе встретится 70 процентов букв? Умножь на 2 секунды, ибо автоматизированно программа может искать новые буквы весьма быстро. Прибавь 3 минуты - человек просмотрел буквы и сказал программе, что они значат. Сколько времени заняло? Учти, что спаммера устроит и 50+ %-ная проходимость.

← →
altex (2007-01-03 00:17) [43]

Есть ли смысл банку срочно переделывать свою защиту, если его уже обчистили???
Из истории: когда-то был заспамен регистрациями знаменитый yahoo.com,"хакеры" сделали все очень просто.. толи ломанули, толи создали порно сайт с высокой посещаемостью и в скачку каждого видео они внедрили скрипт, копирующий картинку с yahoo.com, пользователь ГЛАЗАМИ считывал и вводил код... таким образом Юзерь получал ****, а "хакеры" регистрацию!

← →
altex (2007-01-03 00:22) [44]

Вот еще интересная статейка http://xakep.ru/post/27729/default.asp это к теме Универсальной Распозновалки!

← →
Real © (2007-01-03 00:48) [45]

> Ты же понимаешь, что с большой долей вероятности никто этим
> заниматься не станет

Понятно, самый активный взял самоотвод :)

> Посмотри, насколько это просто и как замечательно преодолевает
> твой шум ввиде линий

шум в виде линий - это просто рандомизация размера файла. от распознования буду внедрять ротацию и ресайзинг символов. и скорее всего - копировать на новый холст с аналогичным фоном

> Есть ли смысл банку срочно переделывать свою защиту, если
> его уже обчистили???

Речь идет о распознании бот/человек, а не о защите банковских счетов

> "хакеры" сделали все очень просто.. толи ломанули, толи
> создали порно сайт с высокой посещаемостью

Боже мой, какая простота! Ну прям с хелло ворлд можно сравнить! :)

← →
Anatoly Podgoretsky © (2007-01-03 01:01) [46]

> Real (02.01.2007 23:53:41) [41]

Так ты тестера ищешь?
Так это платная работа, здесь желающих так просто не найти, никто даже пальцем не пошевелит.

← →
Real © (2007-01-03 01:04) [47]

> Так ты тестера ищешь?

нет, я предлагаю уверенным в простоте обхода защиты - продемонстрировать это на практике. пока - только ссылки на статьи как все это просто. а тестить - я могу и сам. впрочем, я ожидал что желающих подкрепить свои утверждения практикой - скорее всего не найдется.

← →
Anatoly Podgoretsky © (2007-01-03 01:08) [48]

> Real (03.01.2007 01:04:47) [47]

Халявщик ты.
Здесь между прочим сидят программисты, им совсем не требуется нести яйца, что бы сказать, что яйцо тухлое.

Тебе сразу сказали, что вариант цифра - образ ничего не стоит.
А писать, что то чтобы взламывать бесполезный сайт - это каким же надо быть отморозком и на слабо здесь не пройдет, не песочница.

← →
Real © (2007-01-03 01:55) [49]

> А писать, что то чтобы взламывать бесполезный сайт - это
> каким же надо быть отморозком и на слабо здесь не пройдет,
> не песочница.

Никаких "на слабо" не было, что-то вы как-то очень болезненно воспринимаете :) Было просто предложение, ответы на которое - вполне красноречиво показывают что такой взлом дело далеко не нескольких секунд, как между прочим писали вы ;)

И халявы я не ищу. Предложение снимаю, раз такая негативная реакция на него.

← →
kaZaNoVa © (2007-01-03 09:28) [50]

а в чем собственно была идея?)

← →
VictorT © (2007-01-03 13:56) [51]

надо "сразить" данную ветку с этой http://delphimaster.net/view/15-1167745953/ :D

← →
Real © (2007-01-03 17:50) [52]

> а в чем собственно была идея?)

в том, чтобы отказаться от программных заморочек и свести генерацию из готовых графических наборов

> надо "сразить" данную ветку с этой http://www.delphimaster.
> ru/cgi-bin/forum.pl?id=1167745953&n=3 :D

Ага, я уже об этом думал :)

← →
Gero © (2007-01-03 17:55) [53]

> [52] Real © (03.01.07 17:50)
> в том, чтобы отказаться от программных заморочек и свести
> генерацию из готовых графических наборов

Проще отказаться от идеи вобще. Пользователю спокойнее будет.

← →
Real © (2007-01-03 17:55) [54]

Спасибо всем за мнение и критику. Будем улучшать идею и алгоритм.

← →
Vovan #2 (2007-01-03 20:03) [55]

Ты говоришь "Понятно, самый активный взял самоотвод :)", а потом тебе приходится "Предложение снимаю, раз такая негативная реакция на него.". Понятное дело, что людям не понравилось такое отношение.

Проверка твоей защиты займёт какое-то время, если писать код с нуля. У меня лично нет наработок, которые 1) заходят на сайт 2) скачивают твои картинки 3) сравнивают с эталоном описанным мной путём. Я просто не занимаюсь обходом противоспамерских защит. Но инструменты для этого существуют и весьма развиты, поэтому твоя защита будет очень легко взломана. Почему - уже объяснялось здесь, в этой ветке, несколько раз.

Anatoly Podgoretsky в [48] всё правило сказал. Плюс к этому ты умудрился задать вопрос на Новый год. У меня до сих пор перегар не весь вышел, а ты сразу так. Но это понятно, на Новый год люди ждут чуда, что появится вдруг мега-кул-хацкер и ломанёт твою защиту, а потом покажет и расскажется, как он это сделал.

Ну и напоследок, я видимо отморозок (согласно [48]), вот, держи - программа, которая ломает твой антиспам.
http://files-upload.com/files/45662/INAS.rar.html
Увы, ты убрал проект с сайта и я так и не смог его до конца отладить.

← →
Real © (2007-01-04 14:42) [56]

> Ты говоришь "Понятно, самый активный взял самоотвод :)",
> а потом тебе приходится "Предложение снимаю, раз такая
> негативная реакция на него.". Понятное дело, что людям не
> понравилось такое отношение.

Снимаю, потому как сам прекрасно понимаю что никто время тратить не будет :) Предложение было по сути убедиться что не существует решения позволяющее за "несколько секунд" подстраиваться под новый набор.

> Но это понятно, на Новый год люди ждут чуда, что появится
> вдруг мега-кул-хацкер и ломанёт твою защиту

В существование чудес, Деда Мороза и Кул-Мега-Хацкеров - не верю :) Насчет Нового Года - я в первом же посте написал что до 5 января можно не обращать внимание. Насчет именно пятого - да, не учел что у россиян каникулы, у нас то (украина) их нету, давно уже рабочие будни

> Ну и напоследок, я видимо отморозок (согласно [48]), вот,
> держи - программа, которая ломает твой антиспам.
> http://files-upload.com/files/45662/INAS.rar.html
> Увы, ты убрал проект с сайта и я так и не смог его до конца
> отладить.

Спасибо за линк, посмотрю и буду работать над улучшением. И я не убирал проект с сайта, с чего ты решил? Наверное линк использовал ошибочный, вот верный: http://www.azlab.org/?page=opencc Даная страница - не закрывалась и не удалялась никогда с момента создания.

← →
Real © (2007-01-04 14:57) [57]

> Ну и напоследок, я видимо отморозок (согласно [48]), вот,
> держи - программа, которая ломает твой антиспам.
> http://files-upload.com/files/45662/INAS.rar.html

Запустил - задумка интересная (пока действительно нерабочая, причем ошибка распознания всегда на уже закаченном символе: пятерка, определилась как двойка, остальные не вскрылись вообще). Я понял, почему ты решил что проект я убирал: вчера некоторое время на моем хостинге были проблемы с некоторыми маршрутами и сайт был недоступен.

← →
Vga © (2007-01-04 16:13) [58]

> [35] Real © (02.01.07 16:38)
> Смысл в том, что расширить генератор новым типом картинки
> можно за пару минут в графическом редакторе, тогда как хакеру
> - потребуется намного больше времени для нового программного
> кода по распознанию

Хакеру потребуется полминуты распознать по запросам бота все новые картинки.

← →
деловое предложение (2007-01-04 16:16) [59]

> Предложение было по сути убедиться что не существует решения
> позволяющее за "несколько секунд" подстраиваться под новый
> набор.

Сколько готов заплатить тому, кто развеет это твое заблуждение?

← →
Vga © (2007-01-04 16:23) [60]

> [58] Vga © (04.01.07 16:13)

Если сомневаешься - скачай SubRip с сорцами и убедись, насколько быстро происходит обучение набору символов, когда они детерминированы и качество распознавания. Потом посмотри алгоритм распознавания.
А вот поворот/изменение размера и другие искажения символа делают невозможным применение когерентного метода различения.

← →
Real © (2007-01-04 16:29) [61]

> Если сомневаешься - скачай SubRip с сорцами и убедись, насколько
> быстро происходит обучение набору символов, когда они детерминированы
> и качество распознавания. Потом посмотри алгоритм распознавания.
> А вот поворот/изменение размера и другие искажения символа
> делают невозможным применение когерентного метода различения.

Над этим и работаю. И следующая версия - будет единым рисунком с цифрами.

← →
altex (2007-01-04 17:36) [62]

ну собрать цыферки в одно это 2-3 минуты работы, я думаю ты видел над какими я щас парюсь.. вот там совсем дело плохо, и то у меня уже большие успехи!

← →
antonn © (2007-01-04 18:18) [63]

а чем плох метод с динамическими именами у полей ввода? Там ведь тоже не пошлешь данные скрипту напрямую...

← →
Gero © (2007-01-04 18:20) [64]

> [63] antonn © (04.01.07 18:18)

Что еще за метод такой?

← →
antonn © (2007-01-04 18:26) [65]

Gero © (04.01.07 18:20) [64]
ну не метод:) просто вместо <input type="text" name="name"> использовать <input type="text" name="99f97481f8214da999e3ccbe116f5334">, для примера. Имя генерится как угодно, на POST проверяется isset($_POST["99f97481f8214da999e3ccbe116f5334"]) и так все нужные поля...

← →
Vovan #2 (2007-01-04 18:39) [66]

Вот ещё идейка:
http://ocr-research.org.ua/teabag.html

← →
kaZaNoVa © (2007-01-04 18:39) [67]

antonn © (04.01.07 18:26) [65]
в проге спамер тоже сможет подставлять нужные NAME, при желании)

← →
Gero © (2007-01-04 18:40) [68]

> [65] antonn © (04.01.07 18:26)

И как это поможет? Для робота проблема прочтитать поле name?

Vovan #2 (04.01.07 18:39) [66]
ацская разработка .. но имхо мона её будет преобразовать к двумерным линиям ....
но что делать с перспективными искажениями ......

имхо, по сабжу нет решения такого чтобы не напрягать юзера ...

само сложное имхо- создавать изображение с помощью JavaScript (с таймаутами) и роботу придется попариться тогда даже чтобы получить "рисунок"

kaZaNoVa © (04.01.07 18:54) [72]
:))
я просто думал, что боты обычно данные сразу скрипту отдают, без загрузки страницы:)

> antonn (04.01.2007 19:07:13) [73]

А откуда тогда они узнаю, что надо отдавать, рандомом что ли?

> Vga (04.01.2007 20:22:14) [74]

Пусть трактор работает, он железный.
Человеку человеково.

Anatoly Podgoretsky © (04.01.07 21:46) [75]
А откуда тогда они узнаю, что надо отдавать, рандомом что ли?

у некоторых вроде есть "шаблоны" или словари (не знаю точно) - но они могут посылать POST-данные без запроса GET .... (я раз давно подобную прогу писал ...... )

> kaZaNoVa (04.01.2007 21:49:17) [77]

Невозможно, ну если только у бота прямой канал к генератору формирования картинки.

Anatoly Podgoretsky © (04.01.07 21:53) [78]
речь не о картинках, а о простохы полях, на которые называются name и message, нужно только один раз загрузить стриничку, чтобы глянуть, куда их отправлять...

> простохы

ого, сразу не прочитал:)
простых

Код подтверждения на web-формах - альтернативный подход Найти похожие ветки