Код подтверждения на web-формах - альтернативный подход

← →
antonn © (2007-01-04 22:05) [80]

> простохы

ого, сразу не прочитал:)
простых

← →
Anatoly Podgoretsky © (2007-01-04 22:11) [81]

> antonn (04.01.2007 22:04:19) [79]

Речь идет об подтверждение кода на странице, как ты собираешь делать данное подтверждение без получения страницы, только чудом.

← →
antonn © (2007-01-04 22:20) [82]

Anatoly Podgoretsky © (04.01.07 22:11) [81]
я не в ту степь убежал, имел ввиду отправку данных сразу скрипту, без загрузки страницы (по крайней мере, я видел такую программу, но на линуксе, товарищ ей пользовался для рассылки подписчикам не заходя на сайт)

← →
kaZaNoVa © (2007-01-04 22:33) [83]

antonn © (04.01.07 22:20) [82]
там наверняка не было кода потверждения, как и в моём случае [77]

имхо [78] прав - надо все-же грузить в случае с кодом

← →
antonn © (2007-01-04 22:42) [84]

kaZaNoVa © (04.01.07 22:33) [83]
там наверняка не было кода потверждения, как и в моём случае [77]
небыло, яж говорю, в другую степь ушел. немало есть страничек, в которых "простые" названия полей и кнопочка submit и никаких кодов - так и просится на спам:)

← →
antonn © (2007-01-04 22:44) [85]

ну а если использовать анимированный gif, и спрашивать, что за код на 3м кадре?

← →
kaZaNoVa © (2007-01-04 22:45) [86]

antonn © (04.01.07 22:44) [85]
что за код на 3м кадре?
жестоко а если гиф-анимация отключена? юзеру проблемки(

← →
Gero © (2007-01-04 23:03) [87]

> [85] antonn © (04.01.07 22:44)

А боту пофиг, третий кадр или 815-ый.

← →
Gero © (2007-01-04 23:04) [88]

Никакими техническими уловками человека от бота отличить нельзя.

← →
Gero © (2007-01-04 23:06) [89]

А рапознавание образов все лучше и лучше. Скоро регистрация станет проблемой.

Тут нужно с другого конца подходить. Одна регистрация для всех форумов.

← →
Eraser © (2007-01-04 23:07) [90]

> [89] Gero © (04.01.07 23:06)

к тому и идет уже.. imho.

← →
kaZaNoVa © (2007-01-04 23:26) [91]

Gero © (04.01.07 23:03) [87]
тогда можно зашифровванный флеш заюзать или вообще что-то разрадя ActiveX

← →
antonn © (2007-01-04 23:33) [92]

Gero © (04.01.07 23:03) [87]
не так - "когда то боту будет пофиг, третий кадр или 815-й"
:)

← →
kaZaNoVa © (2007-01-04 23:40) [93]

Gero © (04.01.07 23:04) [88]
в общем случае можно ..:) позвонить ему:)

← →
altex (2007-01-05 00:12) [94]

Почему юзер должен вводить цыфры или буквы???
Мой вариант: Юзер должен выбирать из нескольких вариантов то, что по его мнению изображено на этой картинке - вещь,предмет,животное. сразу возникает вопрос: Где брать картинки?? Для этого есть гугля и д.р. поисковые системы, допустим берем 4 простых слова(первое что пришло в голову):
1) Cat
2) Dog
3) Elephant
4) Tigr
Скрипт допустим раз в два часа делает запрос на поисковике по этим словам(в данный момент я смотрел гуглю-картинки-средние) и забирает случайно несколько картинок на 1-ой-2-ой странице под каждый вариант ответа, для Юзера он предоставляет случайную картинку(предварительно малость искаженную) и предлагает выбрать один из нескольких вариантов ответа.
Попробуйте сделайте поиск картинок в гугле по этим словам, какой шанс что скрипт возьмет не ту картинку??
Что скажите?

← →
Gero © (2007-01-05 00:20) [95]

> [94] altex (05.01.07 00:12)

С гуглением картинок способ непрактичен.
Если пользователь будет выбирать радиобатон, то такая защита ничего не стоит, а если вводить, то разницы с введением цифр нет, а вероятность ошибки повыщается на порядки.

← →
Gero © (2007-01-05 00:21) [96]

> [95] Gero © (05.01.07 00:20)
>
> С гуглением картинок способ непрактичен.

Потому как у гугля может быть изображено и подписано что угодно и как угодно.

← →
altex (2007-01-05 00:25) [97]

Вероятность того, что будет взята не та картинка очень мала, главное использовать обычные ключевые слова для поиска, ведь гугля нам выдает картинки там, где наше слово встречается чаще всего, при этом вероятности взлома роботом такой системы... помойму нету..

← →
antonn © (2007-01-05 00:29) [98]

Gero © (05.01.07 0:20) [95]
а если вводить, то разницы с введением цифр нет, а вероятность ошибки повыщается на порядки.
вот разница то как раз есть, не думаю, что появятся боты, определяющие розового слоника в сапогах как слона:)

← →
Gero © (2007-01-05 00:33) [99]

> [97] altex (05.01.07 00:25)

Если пользователь видит на картинке кота, что он введет? Кот, кошка, котенок, еще как? Слишком большие неудобства для пользователя.

← →
altex (2007-01-05 00:45) [100]

> Gero © (05.01.07 00:33) [99]

Чем не нравится выбирать один из n-вариантов по РадИоБаттОН?

← →
Gero © (2007-01-05 00:46) [101]

> [100] altex (05.01.07 00:45)

Тем, что бот сделает три попытки, и угадает.

← →
altex (2007-01-05 00:47) [102]

> Gero © (05.01.07 00:46) [101]

С чаго это вдруг 3 попытки - это раз, второе - временную блокировку Айпи при N-неудачных попыток еще никто не отменял!

← →
Gero © (2007-01-05 00:54) [103]

> [102] altex (05.01.07 00:47)
> С чаго это вдруг 3 попытки  это раз

Ну может и сразу угадать, вероятность большая.

> второе  временную блокировку Айпи при N-неудачных попыток
> еще никто не отменял!

И чему предлагаешь делать равным N? Если < 3, то бедный пользователь, если больше, то счастливый бот.

← →
Gero © (2007-01-05 00:58) [104]

> [102] altex (05.01.07 00:47)

В общем, нельзя допускать, чтобы защита то работала, то неработала.

← →
altex (2007-01-05 00:58) [105]

Почему бедный пользователь?? Очень сложно отличить кошку от СЛона?? Впринцепи да.. смотря что курить...
А 4 варианта я дал лишь для примера, можно сделать хоть 8-мь хоть десять!

← →
altex (2007-01-05 01:01) [106]

> Gero © (05.01.07 00:58) [104]

Всеже эта система сравнительно мощнее обеспечивает защиту, а пользователю можно и на всякий случай добавить кнопочку обновить картынку, при этом она заменяется на следуюую с текущим ключевым словом!

← →
Gero © (2007-01-05 01:01) [107]

> [105] altex (05.01.07 00:58)
> Почему бедный пользователь??

Потому что пользователи имеют обыкновение совершать ошибки.

> А 4 варианта я дал лишь для примера, можно сделать хоть
> 8-мь хоть десять

Чем больше вариантов, тем сложнее пользоваелю. А бот все равно может угадать. А если не угадает, может сменить прокси и попробовать снова.

← →
kaZaNoVa © (2007-01-05 01:03) [108]

altex (05.01.07 0:58) [105]
я спросоня иногда машину от монетира могу неотличить - оба обьекта представляют из себя прямоугольники, а главное-мигают!

← →
Vovan #2 (2007-01-05 01:42) [109]

>С гуглением картинок способ непрактичен.

Это точно. Большая нагрузка на сервер, много информации хранить.

← →
bot (2007-01-05 02:11) [110]

> Почему юзер должен вводить цыфры или буквы???Мой вариант:
> Юзер должен выбирать из нескольких вариантов то, что по
> его мнению изображено на этой картинке - вещь,предмет,животное.
> сразу возникает вопрос: Где брать картинки??

http://www.captcha.net/captchas/pix/

> Real © (31.12.06 13:52) [11]

Сходил по ссылке. Так ни разу и не смог набрать неошибочный код. Так что радуйся - защита крепкая.

← →
altex (2007-01-05 13:50) [112]

Удалено модератором
Примечание: Выбирай выражения

kaZaNoVa © (04.01.07 23:26) [91]
зашифровванный флеш заюзать или вообще что-то разрадя ActiveX
а если всё это режет Outpost илипрокси ?! как быть тогда пользователю ?

← →
SpellCaster (2007-01-10 15:58) [114]

Хм, по-моему, идея с выбором варианта, что же изображено на картинке, имеет хорошие перспективы. А для защиты от брута надо, во-первых, блокировать ИП после нескольких неудачных попыток, а во-вторых, каждый раз генерить уникальный идентификатор, который потом отсылать вместе с вариантом ответа. А на сервере проверять пришедший ИД, если с ним уже был отправлен вариант ответа - перенаправлять юзера на обновленную страницу.
Конечно, процент удач будет 1/(кол-во вариантов)... хотя можно и дать ввести слово буквами, просто поставить определенные условия: слово - существительное, им. падеж, м.род, ед. число. По-моему, вариант вполне жизнеспособен!
Ну а набрать картинок, думаю, несложно. Если юзать небольшие гифы с рисунками, то они много места не займут.

Буквы в капче SMF можно менять, закачивая новые TTF шрифты в соответствующую папку. Вот это я понимаю - гибкость.

> [114] SpellCaster (10.01.07 15:58)

Вероятностный характер защищенности и низкое юзабилити — вот существенные проблемы данного подхода.

Когда захожу по ссылке: http://www.azlab.org/demo/opencc/occ_getdigit.php?p=0
то выдаёт всегда 2, только с разными царапинами

А еще когда заходишь http://www.azlab.org/demo/opencc/occ_getdigit.php?p=12

>> проверить устойчивость к взломам в реальных условиях. Если вы хакер - хакните плиз? ;)

Фленову напиши. Он точно сможет. Ибо Хакер.

← →
SpellCaster (2007-01-10 19:41) [120]

> [116] Gero © (10.01.07 16:07)

Если вводить слово вручную, то вероятность пробиться очень мала. А юзабилити... что ж, чем проще юзать, тем проще сымитировать этот процесс ботом.

Код подтверждения на web-формах - альтернативный подход Найти похожие ветки