Код подтверждения на web-формах - альтернативный подход

← →
Real © (2006-12-30 23:37) [0]

Пару недель назад пришла идея упрощенной реализации сабжа. Просьба оценить, покритиковать (или похвалить :) вообщем, ваще мнение:

http://www.azlab.org/?page=opencc

P.S. До 5 января можно не обращать на эту ветку внимания :)

← →
Gero © (2006-12-31 00:29) [1]

А где это можно увидеть?

← →
Vovan #2 (2006-12-31 00:41) [2]

Картинки. Причём собраны отдельно, по-буквам. ИМХО фигня-с, ломали и не такое. Всё будет определяться: а стоит ли того? Если стоит, то не убережёшь. Моё мнение, что в CAPTCHA буквы не должны быть раздельно. Нужно искажать слово.

← →
Real © (2006-12-31 00:46) [3]

> А где это можно увидеть?

Демо не прикручивал на сайт, по той причине - что внешне, это выглядит точно так же как и любой другой аналог. Отличие в том, что только твоя фантазия и владение фотошопом - определяют уровень защищенности

← →
Real © (2006-12-31 00:48) [4]

> ИМХО фигня-с, ломали и не такое.

Первая версия запущенна именно для этого: проверить устойчивость к взломам в реальных условиях. Если вы хакер - хакните плиз? ;)

← →
Vovan #2 (2006-12-31 01:00) [5]

Имеется ввиду, что можно сделать распознавание CAPTHCA, которую сгенерирует твоя программа. Т.е. прицнип защиты от ботов ненадёжен.

← →
Real © (2006-12-31 01:15) [6]

> [5] Vovan #2 (31.12.06 01:00)
> Имеется ввиду, что можно сделать распознавание CAPTHCA,
> которую сгенерирует твоя программа. Т.е. прицнип защиты
> от ботов ненадёжен.

Ну если вы считаете что распознование сделать очень просто - продемонстрируйте это. Научить же мой скрипт генерить картинку по абсолютно новому образцу - можно за несколько минут и только средствами графического редактора и фантазии. Хотя бы тот факт что в борьбу с распознованием имеет шанс подключаться не только программисты, но и все желающие - уже выделяет данный скрипт из всех прочих

← →
Vovan #2 (2006-12-31 01:29) [7]

>Real © (31.12.06 01:15) [6]

Про первое - отправил на е-мейл.

Может ли твой скрипт сгенерировать такую картинку:

На картинке изображён слон. У него на спине, на ноге, на ухе - искажённые трёхбуквенные коды (которые как будто написаны на слоне). Ниже надпись: введите код, который слона на ухе. При этом картинка слона - не одна, соответсвенно и поз у слона несколько, да и не только слон может быть, а ещё превед-медвед и салюд-верблюд.

???

← →
Anatoly Podgoretsky © (2006-12-31 12:28) [8]

> Первая версия запущенна именно для этого: проверить устойчивость
> к взломам в реальных условиях. Если вы хакер - хакните плиз?
> ;)

Чего ломать то, где тестовая страница.
О чем может идти речь, если ты даже об этом не позаботился.

← →
Real © (2006-12-31 13:34) [9]

> Может ли твой скрипт сгенерировать такую картинку:
>
> На картинке изображён слон. У него на спине, на ноге, на
> ухе - искажённые трёхбуквенные коды (которые как будто написаны
> на слоне). Ниже надпись: введите код, который слона на ухе.
> При этом картинка слона - не одна, соответсвенно и поз у
> слона несколько, да и не только слон может быть, а ещё превед-
> медвед и салюд-верблюд.

Конечно может, вы бы прочитали хоть принцип работы. что нарисуете - из того и будет картинка генериться

← →
Real © (2006-12-31 13:38) [10]

> Чего ломать то, где тестовая страница.
> О чем может идти речь, если ты даже об этом не позаботился.

Согласен. Как протрезвею - сделаю тестовую страницу

← →
Real © (2006-12-31 13:52) [11]

хотя, чем там ее делать, вот она: http://www.azlab.org/demo/opencc/

Для генерации нового кода - просто обновите страницу

← →
Anatoly Podgoretsky © (2006-12-31 16:01) [12]

> Real (31.12.2006 13:38:10) [10]

Вот тогда и можно будет говорить об взломе, если конечно найдутся желающие делать это бесплатно.

← →
Nous Mellon_ (2006-12-31 16:49) [13]

Ну тут штука в том, что на мой взгляд не стоит вообще применять капчу. Со спамилками, типа хрумера,
насколько я помню идут распознавалки работающие с серьезным процентом пробиваемости. Гораздо интереснее решение
типа введите сумму чисел изображенных на картинке, однако если на твоем типе будет основываться много ресурсов
то и его пробьют :) Такая байда. Однако если это будет некоторое ограниченное кол-во ресурсов, то спамеры
смогут работать только вручную(и будут делать это только если ПР страницы больше 5). Но все равно интересно.

← →
Real © (2007-01-01 04:32) [14]

> Ну тут штука в том, что на мой взгляд не стоит вообще применять
> капчу

Я не претендую на то что это лучшее из решений. Просто это на мой взгляд свежее мнение в этом вопросе. А вообще, согласен - нужно искать какие-то более действенные решения. И кстати - идея, на которой реализован подход - как мне кажется позволит внедрить любые головоломки

← →
vidiv © (2007-01-01 11:12) [15]

помоему ты только задачу облегчил...
достаточно спамеру накачать твоих картинок - букв, а потом тупо сравнивать (ты ведь их по буквам разбил) на наиболее похожие...

← →
Real © (2007-01-01 16:17) [16]

> [15] vidiv © (01.01.07 11:12)
> помоему ты только задачу облегчил...
> достаточно спамеру накачать твоих картинок - букв, а потом
> тупо сравнивать (ты ведь их по буквам разбил) на наиболее
> похожие...

В целом - да, распознать файлы с отдельными символами - проще чем изображение с несколькими символами. Но это компенсируется простотой добавления нового набора картинок. Как только будет зафиксирована бот-активность - добавляем новый набор, а хакнутый исключаем: пусть спамер попарится с изменением алгоритма

← →
Vovan #2 (2007-01-01 18:07) [17]

>Real © (01.01.07 16:17) [16]

И программист будет ездить в контору каждые выходные?

← →
Gero © (2007-01-01 18:21) [18]

Такая защита ничего не стоит.

← →
Real © (2007-01-01 18:35) [19]

> Такая защита ничего не стоит.

Почему и о чем именно речь: о самой технологии подтверждающего кода или именно о моей реализации?

← →
Real © (2007-01-01 18:36) [20]

> И программист будет ездить в контору каждые выходные?

для получения нового типа картинки - вмешательство программиста не требуется (прочитайте хотя бы в чем суть)

← →
Vovan #2 (2007-01-01 18:48) [21]

>для получения нового типа картинки - вмешательство программиста не требуется (прочитайте хотя бы в чем суть)

Да я читаю, да. Там ты придумал, что картинка генерируется из набора букв (до сих пор не понимаю, как слона то сделать? там же для каждого слона свои координаты спины, свои параметры проективной трансформации, а кто её делать будет?.. ну да ладно) и суть в том, что подкидываешь наборы букв - остальное всё само. Ну вот установил я в контору такую штуку, а через неделю мне звонят: "Алё! Чего-то нас спам-боты завалили - не работает защита...". А я им: "Откройте фотошоп, выберите шрифт Gotika и сделайте, эдак, Curle + Blur. И так с каждой буквой алфавита..."

Заранее извиняюсь, я критикую именно CATCHA-подход (не реализацию) в том виде, в котором предлагает твой скрипт.

← →
Real © (2007-01-01 19:36) [22]

> А я им: "Откройте фотошоп, выберите шрифт Gotika и сделайте,
> эдак, Curle + Blur. И так с каждой буквой алфавита

Вот именно, а не "откройте Eclipse, проверьте запущен ли апач, откройте доки по GD" согласись, сделать картинку под силу любому пользователю, а вот подправить алгоритм рисования на PHP - уже нужен специалист. Теоретически - невозможно создать способ дающий 100% защиты от ботов, я же говорю о своем способе, что его преимущество - в быстром реагировании на обход защиты.

← →
vidiv © (2007-01-01 19:52) [23]

А вообще суть защиты должна быть в том, чтобы проверить способность мышления у клиента. Про слона мне понравилось =)

http://vid.sakhgu.sakhalin.ru/antibot.gif =)

← →
Real © (2007-01-01 20:21) [24]

> http://vid.sakhgu.sakhalin.ru/antibot.gif =)

Набор таких картинок на хосте ограничен, не так ли? Хакеру не составит труда сделать список соответствий "картинка-ответ"

← →
Gero © (2007-01-01 20:42) [25]

> [19] Real © (01.01.07 18:35)
> или именно о моей реализации?

О реализации. Используется конечный набор картинок, это ломаетс элементарно без всяких алгоритмов. Зачем в этом случае делать нечитаемую картинку — не понятно. Для взлома все равно, а пользователю парится.

← →
vidiv © (2007-01-01 20:51) [26]

> Набор таких картинок на хосте ограничен, не так ли? Хакеру
> не составит труда сделать список соответствий "картинка-
> ответ"

К примеру могут быть рыбы, могут быть медузы, или еще чтонить. Пейзажи добавить. Количество разное, цвета, направления, имен вообще миллион сделать (гдето я видел генератор имен =) ).

← →
Vovan #2 (2007-01-01 21:12) [27]

>Real © (01.01.07 20:21) [24]

У тебя можно провести сегментацию. А это ключ.

Если есть 10 букв и 6-буквенное слово, то распознавалка должна знать:
- либо 10 букв и уметь их выделить.
- либо 1000000 слов.

← →
Смаг (2007-01-01 21:25) [28]

Так и не понял в чем собственно был альтернативный подход.

← →
Real © (2007-01-01 22:31) [29]

> Если есть 10 букв и 6-буквенное слово, то распознавалка
> должна знать:
> - либо 10 букв и уметь их выделить.
> - либо 1000000 слов.

Первый этап распознования - сегментация, разделения на буквы

> Так и не понял в чем собственно был альтернативный подход.

В использовании не программных, а графических способов создания конечной картинки с кодом

> Используется конечный набор картинок

Нет, перед выводом - картинки зашумляются, так что по содержимому файла и его размерам - они всегда разные

← →
Vga © (2007-01-02 03:01) [30]

> [29] Real © (01.01.07 22:31)

Такой шум фильтруется элементарно.

← →
Vga © (2007-01-02 03:02) [31]

> [30] Vga © (02.01.07 03:01)

И очень эффективно. Когда сигнал полностью детерминирован - работают методы когерентного различения, дающие наиболее высокую вероятность правильного определения.

← →
Real © (2007-01-02 03:54) [32]

> И очень эффективно. Когда сигнал полностью детерминирован
> - работают методы когерентного различения, дающие наиболее
> высокую вероятность правильного определения.

когда картинку создает определенный алгоритм, то результаты тоже более-менее ожидаемы. Вопрос в том, сколько нужно потратить времени на распознаватель вот скажем существующей картинки? Я не говорю что можно победить ботов, но можно очень быстро реагировать на их атаки контрдействиями, такими как внедрение нового набора картинок. Как я уже говорил - новый набор создается за минуты.

В целом - конечно нужно дорабатывать. Пожалуй слеплять в одну картинку даже необходимо. И добавить запутывающий действий, например случайны ресайз и повороты элементов. Но основную идею, сборку на основе рисованных элементов - все равно оставить, как самую быструю для разработки новых "алгоритмов" создания картинки.

← →
kaZaNoVa © (2007-01-02 08:14) [33]

и потом из-за подобных "разработок" юзеру приходится париться с регой .....

← →
Vovan #2 (2007-01-02 16:11) [34]

Короче, автор упорно сопротивляется. Будем считать, что пересилил нас.

← →
Real © (2007-01-02 16:38) [35]

> Короче, автор упорно сопротивляется. Будем считать, что
> пересилил нас.

Чему я сопротивляюсь? Ваш общий тон в этой дисскусии примерно таков "нет универсальной защиты от ботов типа CAPTCHA" с этим никто и не спорит. Более того, нет вообще НИКАКОЙ УНИВЕРСАЛЬНОЙ защиты, все при желании обходится/хакается. Мое предложение в этом вопросе не мечтание о универсальной защите, а создание новых контрмер против распознования. Никто не считает блэк-лист - мега защитой от спамера. Забанили один адрес - он с другого пишет, а мы и его забаним! С третьего пишет? Так и его туда же! Примерно таков смысл и моего предложения: хакер подобрал распознование? Добавим еще один набор картинок - пусть под него тоже модернизирует свою хакалку. Смысл в том, что расширить генератор новым типом картинки можно за пару минут в графическом редакторе, тогда как хакеру - потребуется намного больше времени для нового программного кода по распознанию

← →
Anatoly Podgoretsky © (2007-01-02 17:23) [36]

> Real (02.01.2007 16:38:35) [35]

> Смысл в том, что расширить генератор новым типом картинки можно за пару минут в графическом редакторе, тогда как хакеру - потребуется намного больше времени для нового программного кода по распознанию

Немного, ровно столько скольку нужно, что бы ввести коды со страницы

← →
Real © (2007-01-02 17:27) [37]

> Немного, ровно столько скольку нужно, что бы ввести коды
> со страницы

то есть? хакер сделал скрипт-распознаватель под определенную картинку. появилась новая картинка. каким образом можно быстро изменить скрипт распознавания под другое графическое представление символа?

← →
Vovan #2 (2007-01-02 17:34) [38]

>то есть? хакер сделал скрипт-распознаватель под определенную картинку. появилась новая картинка. каким образом можно быстро изменить скрипт распознавания под другое графическое представление символа?

Поместив твою новую картинку в папочку, откуда распознавалка берёт эталоны для выборки. При этом положим, что текстовое представление символа берётся из названия файла.

>Примерно таков смысл и моего предложения: хакер подобрал распознование? Добавим еще один набор картинок - пусть под него тоже модернизирует свою хакалку.

А я утверждаю, что при желании твоя защита минимум 50 процентов времени будет пропускать спам-ботов.

← →
Anatoly Podgoretsky © (2007-01-02 17:38) [39]

> Real (02.01.2007 17:27:37) [37]

Глупый ты, универсальный распознователь, при том весьма грубый и ручное обучение, несколько секунд и все, данный сайт наш. Ну сгенеришь ты новый набор, так снова несколько секунд. Это вообще не защита, тебе это сказали сразу, наборы картинок сводят все на нет.

← →
Real © (2007-01-02 23:42) [40]

> Глупый ты, универсальный распознователь, при том весьма
> грубый и ручное обучение, несколько секунд и все, данный
> сайт наш

Где такое есть, ссылку можно? "...О чем может идти речь, если ты даже об этом не позаботился..." (c) АП ;)

← →
Real © (2007-01-02 23:53) [41]

Предлагаю от голословия перейти к действиям :) Может у кого-то есть желание продемонстрировать легкую пробиваемость такой защиты? По заявлениям, можно сделать вывод что пробить ее можно за секунды. Предлагаю так:

Я делаю полигон у себя на хосте. Простая таблица, в которую попадает запись при прохождении контрольного кода. Со своей стороны - я готовлю два набора картинок, выкладываю только один. Мы договариваемся о времени начала "атаки" (по аське например). Пробивание защиты - считается при уловии, что в БД появилось 10 записей с одинаковыми датой/временем (совпадение до секунд) - в этом случае скрипт выводит оповещение и сам себя настраивает на использование второго набора. Появление еще 10 записей с совпадающими датой/временем - говорит о том что защита пробита вторично. Находим время затраченое на вторичный обход защиты. Полный исходник скрипта для эксперимента - будет обнородован.

Заранее готов к любому результату, и к полному поражению в том числе. Интересует практическое испытание и анализ реальных действий, который несомнено даст пищу для развития защиты.

← →
Vovan #2 (2007-01-03 00:14) [42]

>Real © (02.01.07 23:53) [41]

Ты же понимаешь, что с большой долей вероятности никто этим заниматься не станет (так как здесь всё же культурные люди, кроме, разве что, одного докторанта из МАИ). Ну так вот, всё нужно сделать самому.

Напиши программку, которая сравнивает изображения попиксельно и выдаёт степень различия в процентах. Посмотри, насколько это просто и как замечательно преодолевает твой шум ввиде линий. Теперь пощёлкай Refresh"ем и прикинь, за сколько времени тебе встретится 70 процентов букв? Умножь на 2 секунды, ибо автоматизированно программа может искать новые буквы весьма быстро. Прибавь 3 минуты - человек просмотрел буквы и сказал программе, что они значат. Сколько времени заняло? Учти, что спаммера устроит и 50+ %-ная проходимость.

← →
altex (2007-01-03 00:17) [43]

Есть ли смысл банку срочно переделывать свою защиту, если его уже обчистили???
Из истории: когда-то был заспамен регистрациями знаменитый yahoo.com,"хакеры" сделали все очень просто.. толи ломанули, толи создали порно сайт с высокой посещаемостью и в скачку каждого видео они внедрили скрипт, копирующий картинку с yahoo.com, пользователь ГЛАЗАМИ считывал и вводил код... таким образом Юзерь получал ****, а "хакеры" регистрацию!

← →
altex (2007-01-03 00:22) [44]

Вот еще интересная статейка http://xakep.ru/post/27729/default.asp это к теме Универсальной Распозновалки!

← →
Real © (2007-01-03 00:48) [45]

> Ты же понимаешь, что с большой долей вероятности никто этим
> заниматься не станет

Понятно, самый активный взял самоотвод :)

> Посмотри, насколько это просто и как замечательно преодолевает
> твой шум ввиде линий

шум в виде линий - это просто рандомизация размера файла. от распознования буду внедрять ротацию и ресайзинг символов. и скорее всего - копировать на новый холст с аналогичным фоном

> Есть ли смысл банку срочно переделывать свою защиту, если
> его уже обчистили???

Речь идет о распознании бот/человек, а не о защите банковских счетов

> "хакеры" сделали все очень просто.. толи ломанули, толи
> создали порно сайт с высокой посещаемостью

Боже мой, какая простота! Ну прям с хелло ворлд можно сравнить! :)

← →
Anatoly Podgoretsky © (2007-01-03 01:01) [46]

> Real (02.01.2007 23:53:41) [41]

Так ты тестера ищешь?
Так это платная работа, здесь желающих так просто не найти, никто даже пальцем не пошевелит.

← →
Real © (2007-01-03 01:04) [47]

> Так ты тестера ищешь?

нет, я предлагаю уверенным в простоте обхода защиты - продемонстрировать это на практике. пока - только ссылки на статьи как все это просто. а тестить - я могу и сам. впрочем, я ожидал что желающих подкрепить свои утверждения практикой - скорее всего не найдется.

← →
Anatoly Podgoretsky © (2007-01-03 01:08) [48]

> Real (03.01.2007 01:04:47) [47]

Халявщик ты.
Здесь между прочим сидят программисты, им совсем не требуется нести яйца, что бы сказать, что яйцо тухлое.

Тебе сразу сказали, что вариант цифра - образ ничего не стоит.
А писать, что то чтобы взламывать бесполезный сайт - это каким же надо быть отморозком и на слабо здесь не пройдет, не песочница.

← →
Real © (2007-01-03 01:55) [49]

> А писать, что то чтобы взламывать бесполезный сайт - это
> каким же надо быть отморозком и на слабо здесь не пройдет,
> не песочница.

Никаких "на слабо" не было, что-то вы как-то очень болезненно воспринимаете :) Было просто предложение, ответы на которое - вполне красноречиво показывают что такой взлом дело далеко не нескольких секунд, как между прочим писали вы ;)

И халявы я не ищу. Предложение снимаю, раз такая негативная реакция на него.

← →
kaZaNoVa © (2007-01-03 09:28) [50]

а в чем собственно была идея?)

← →
VictorT © (2007-01-03 13:56) [51]

надо "сразить" данную ветку с этой http://delphimaster.net/view/15-1167745953/ :D

← →
Real © (2007-01-03 17:50) [52]

> а в чем собственно была идея?)

в том, чтобы отказаться от программных заморочек и свести генерацию из готовых графических наборов

> надо "сразить" данную ветку с этой http://www.delphimaster.
> ru/cgi-bin/forum.pl?id=1167745953&n=3 :D

Ага, я уже об этом думал :)

← →
Gero © (2007-01-03 17:55) [53]

> [52] Real © (03.01.07 17:50)
> в том, чтобы отказаться от программных заморочек и свести
> генерацию из готовых графических наборов

Проще отказаться от идеи вобще. Пользователю спокойнее будет.

← →
Real © (2007-01-03 17:55) [54]

Спасибо всем за мнение и критику. Будем улучшать идею и алгоритм.

← →
Vovan #2 (2007-01-03 20:03) [55]

Ты говоришь "Понятно, самый активный взял самоотвод :)", а потом тебе приходится "Предложение снимаю, раз такая негативная реакция на него.". Понятное дело, что людям не понравилось такое отношение.

Проверка твоей защиты займёт какое-то время, если писать код с нуля. У меня лично нет наработок, которые 1) заходят на сайт 2) скачивают твои картинки 3) сравнивают с эталоном описанным мной путём. Я просто не занимаюсь обходом противоспамерских защит. Но инструменты для этого существуют и весьма развиты, поэтому твоя защита будет очень легко взломана. Почему - уже объяснялось здесь, в этой ветке, несколько раз.

Anatoly Podgoretsky в [48] всё правило сказал. Плюс к этому ты умудрился задать вопрос на Новый год. У меня до сих пор перегар не весь вышел, а ты сразу так. Но это понятно, на Новый год люди ждут чуда, что появится вдруг мега-кул-хацкер и ломанёт твою защиту, а потом покажет и расскажется, как он это сделал.

Ну и напоследок, я видимо отморозок (согласно [48]), вот, держи - программа, которая ломает твой антиспам.
http://files-upload.com/files/45662/INAS.rar.html
Увы, ты убрал проект с сайта и я так и не смог его до конца отладить.

← →
Real © (2007-01-04 14:42) [56]

> Ты говоришь "Понятно, самый активный взял самоотвод :)",
> а потом тебе приходится "Предложение снимаю, раз такая
> негативная реакция на него.". Понятное дело, что людям не
> понравилось такое отношение.

Снимаю, потому как сам прекрасно понимаю что никто время тратить не будет :) Предложение было по сути убедиться что не существует решения позволяющее за "несколько секунд" подстраиваться под новый набор.

> Но это понятно, на Новый год люди ждут чуда, что появится
> вдруг мега-кул-хацкер и ломанёт твою защиту

В существование чудес, Деда Мороза и Кул-Мега-Хацкеров - не верю :) Насчет Нового Года - я в первом же посте написал что до 5 января можно не обращать внимание. Насчет именно пятого - да, не учел что у россиян каникулы, у нас то (украина) их нету, давно уже рабочие будни

> Ну и напоследок, я видимо отморозок (согласно [48]), вот,
> держи - программа, которая ломает твой антиспам.
> http://files-upload.com/files/45662/INAS.rar.html
> Увы, ты убрал проект с сайта и я так и не смог его до конца
> отладить.

Спасибо за линк, посмотрю и буду работать над улучшением. И я не убирал проект с сайта, с чего ты решил? Наверное линк использовал ошибочный, вот верный: http://www.azlab.org/?page=opencc Даная страница - не закрывалась и не удалялась никогда с момента создания.

← →
Real © (2007-01-04 14:57) [57]

> Ну и напоследок, я видимо отморозок (согласно [48]), вот,
> держи - программа, которая ломает твой антиспам.
> http://files-upload.com/files/45662/INAS.rar.html

Запустил - задумка интересная (пока действительно нерабочая, причем ошибка распознания всегда на уже закаченном символе: пятерка, определилась как двойка, остальные не вскрылись вообще). Я понял, почему ты решил что проект я убирал: вчера некоторое время на моем хостинге были проблемы с некоторыми маршрутами и сайт был недоступен.

← →
Vga © (2007-01-04 16:13) [58]

> [35] Real © (02.01.07 16:38)
> Смысл в том, что расширить генератор новым типом картинки
> можно за пару минут в графическом редакторе, тогда как хакеру
> - потребуется намного больше времени для нового программного
> кода по распознанию

Хакеру потребуется полминуты распознать по запросам бота все новые картинки.

← →
деловое предложение (2007-01-04 16:16) [59]

> Предложение было по сути убедиться что не существует решения
> позволяющее за "несколько секунд" подстраиваться под новый
> набор.

Сколько готов заплатить тому, кто развеет это твое заблуждение?

← →
Vga © (2007-01-04 16:23) [60]

> [58] Vga © (04.01.07 16:13)

Если сомневаешься - скачай SubRip с сорцами и убедись, насколько быстро происходит обучение набору символов, когда они детерминированы и качество распознавания. Потом посмотри алгоритм распознавания.
А вот поворот/изменение размера и другие искажения символа делают невозможным применение когерентного метода различения.

← →
Real © (2007-01-04 16:29) [61]

> Если сомневаешься - скачай SubRip с сорцами и убедись, насколько
> быстро происходит обучение набору символов, когда они детерминированы
> и качество распознавания. Потом посмотри алгоритм распознавания.
> А вот поворот/изменение размера и другие искажения символа
> делают невозможным применение когерентного метода различения.

Над этим и работаю. И следующая версия - будет единым рисунком с цифрами.

← →
altex (2007-01-04 17:36) [62]

ну собрать цыферки в одно это 2-3 минуты работы, я думаю ты видел над какими я щас парюсь.. вот там совсем дело плохо, и то у меня уже большие успехи!

← →
antonn © (2007-01-04 18:18) [63]

а чем плох метод с динамическими именами у полей ввода? Там ведь тоже не пошлешь данные скрипту напрямую...

← →
Gero © (2007-01-04 18:20) [64]

> [63] antonn © (04.01.07 18:18)

Что еще за метод такой?

← →
antonn © (2007-01-04 18:26) [65]

Gero © (04.01.07 18:20) [64]
ну не метод:) просто вместо <input type="text" name="name"> использовать <input type="text" name="99f97481f8214da999e3ccbe116f5334">, для примера. Имя генерится как угодно, на POST проверяется isset($_POST["99f97481f8214da999e3ccbe116f5334"]) и так все нужные поля...

← →
Vovan #2 (2007-01-04 18:39) [66]

Вот ещё идейка:
http://ocr-research.org.ua/teabag.html

← →
kaZaNoVa © (2007-01-04 18:39) [67]

antonn © (04.01.07 18:26) [65]
в проге спамер тоже сможет подставлять нужные NAME, при желании)

← →
Gero © (2007-01-04 18:40) [68]

> [65] antonn © (04.01.07 18:26)

И как это поможет? Для робота проблема прочтитать поле name?

← →
kaZaNoVa © (2007-01-04 18:42) [69]

Vovan #2 (04.01.07 18:39) [66]
ацская разработка .. но имхо мона её будет преобразовать к двумерным линиям ....
но что делать с перспективными искажениями ......

← →
kaZaNoVa © (2007-01-04 18:44) [70]

имхо, по сабжу нет решения такого чтобы не напрягать юзера ...

само сложное имхо- создавать изображение с помощью JavaScript (с таймаутами) и роботу придется попариться тогда даже чтобы получить "рисунок"

← →
antonn © (2007-01-04 18:49) [71]

kaZaNoVa © (04.01.07 18:39) [67]
но для этого нужно же загрузить страницу:) и каждый раз бот будет грузить страницу?

← →
kaZaNoVa © (2007-01-04 18:54) [72]

antonn © (04.01.07 18:49) [71]
ага боту надоест:))))

← →
antonn © (2007-01-04 19:07) [73]

kaZaNoVa © (04.01.07 18:54) [72]
:))
я просто думал, что боты обычно данные сразу скрипту отдают, без загрузки страницы:)

← →
Vga © (2007-01-04 20:22) [74]

> [69] kaZaNoVa © (04.01.07 18:42)

Ее и человеку-то не просто разобрать...

← →
Anatoly Podgoretsky © (2007-01-04 21:46) [75]

> antonn (04.01.2007 19:07:13) [73]

А откуда тогда они узнаю, что надо отдавать, рандомом что ли?

← →
Anatoly Podgoretsky © (2007-01-04 21:46) [76]

> Vga (04.01.2007 20:22:14) [74]

Пусть трактор работает, он железный.
Человеку человеково.

← →
kaZaNoVa © (2007-01-04 21:49) [77]

Anatoly Podgoretsky © (04.01.07 21:46) [75]
А откуда тогда они узнаю, что надо отдавать, рандомом что ли?

у некоторых вроде есть "шаблоны" или словари (не знаю точно) - но они могут посылать POST-данные без запроса GET .... (я раз давно подобную прогу писал ...... )

← →
Anatoly Podgoretsky © (2007-01-04 21:53) [78]

> kaZaNoVa (04.01.2007 21:49:17) [77]

Невозможно, ну если только у бота прямой канал к генератору формирования картинки.

← →
antonn © (2007-01-04 22:04) [79]

Anatoly Podgoretsky © (04.01.07 21:53) [78]
речь не о картинках, а о простохы полях, на которые называются name и message, нужно только один раз загрузить стриничку, чтобы глянуть, куда их отправлять...

← →
antonn © (2007-01-04 22:05) [80]

> простохы

ого, сразу не прочитал:)
простых

← →
Anatoly Podgoretsky © (2007-01-04 22:11) [81]

> antonn (04.01.2007 22:04:19) [79]

Речь идет об подтверждение кода на странице, как ты собираешь делать данное подтверждение без получения страницы, только чудом.

← →
antonn © (2007-01-04 22:20) [82]

Anatoly Podgoretsky © (04.01.07 22:11) [81]
я не в ту степь убежал, имел ввиду отправку данных сразу скрипту, без загрузки страницы (по крайней мере, я видел такую программу, но на линуксе, товарищ ей пользовался для рассылки подписчикам не заходя на сайт)

← →
kaZaNoVa © (2007-01-04 22:33) [83]

antonn © (04.01.07 22:20) [82]
там наверняка не было кода потверждения, как и в моём случае [77]

имхо [78] прав - надо все-же грузить в случае с кодом

← →
antonn © (2007-01-04 22:42) [84]

kaZaNoVa © (04.01.07 22:33) [83]
там наверняка не было кода потверждения, как и в моём случае [77]
небыло, яж говорю, в другую степь ушел. немало есть страничек, в которых "простые" названия полей и кнопочка submit и никаких кодов - так и просится на спам:)

← →
antonn © (2007-01-04 22:44) [85]

ну а если использовать анимированный gif, и спрашивать, что за код на 3м кадре?

← →
kaZaNoVa © (2007-01-04 22:45) [86]

antonn © (04.01.07 22:44) [85]
что за код на 3м кадре?
жестоко а если гиф-анимация отключена? юзеру проблемки(

← →
Gero © (2007-01-04 23:03) [87]

> [85] antonn © (04.01.07 22:44)

А боту пофиг, третий кадр или 815-ый.

← →
Gero © (2007-01-04 23:04) [88]

Никакими техническими уловками человека от бота отличить нельзя.

← →
Gero © (2007-01-04 23:06) [89]

А рапознавание образов все лучше и лучше. Скоро регистрация станет проблемой.

Тут нужно с другого конца подходить. Одна регистрация для всех форумов.

← →
Eraser © (2007-01-04 23:07) [90]

> [89] Gero © (04.01.07 23:06)

к тому и идет уже.. imho.

← →
kaZaNoVa © (2007-01-04 23:26) [91]

Gero © (04.01.07 23:03) [87]
тогда можно зашифровванный флеш заюзать или вообще что-то разрадя ActiveX

← →
antonn © (2007-01-04 23:33) [92]

Gero © (04.01.07 23:03) [87]
не так - "когда то боту будет пофиг, третий кадр или 815-й"
:)

← →
kaZaNoVa © (2007-01-04 23:40) [93]

Gero © (04.01.07 23:04) [88]
в общем случае можно ..:) позвонить ему:)

← →
altex (2007-01-05 00:12) [94]

Почему юзер должен вводить цыфры или буквы???
Мой вариант: Юзер должен выбирать из нескольких вариантов то, что по его мнению изображено на этой картинке - вещь,предмет,животное. сразу возникает вопрос: Где брать картинки?? Для этого есть гугля и д.р. поисковые системы, допустим берем 4 простых слова(первое что пришло в голову):
1) Cat
2) Dog
3) Elephant
4) Tigr
Скрипт допустим раз в два часа делает запрос на поисковике по этим словам(в данный момент я смотрел гуглю-картинки-средние) и забирает случайно несколько картинок на 1-ой-2-ой странице под каждый вариант ответа, для Юзера он предоставляет случайную картинку(предварительно малость искаженную) и предлагает выбрать один из нескольких вариантов ответа.
Попробуйте сделайте поиск картинок в гугле по этим словам, какой шанс что скрипт возьмет не ту картинку??
Что скажите?

> [94] altex (05.01.07 00:12)

С гуглением картинок способ непрактичен.
Если пользователь будет выбирать радиобатон, то такая защита ничего не стоит, а если вводить, то разницы с введением цифр нет, а вероятность ошибки повыщается на порядки.

> [95] Gero © (05.01.07 00:20)
>
> С гуглением картинок способ непрактичен.

Потому как у гугля может быть изображено и подписано что угодно и как угодно.

← →
altex (2007-01-05 00:25) [97]

Вероятность того, что будет взята не та картинка очень мала, главное использовать обычные ключевые слова для поиска, ведь гугля нам выдает картинки там, где наше слово встречается чаще всего, при этом вероятности взлома роботом такой системы... помойму нету..

Gero © (05.01.07 0:20) [95]
а если вводить, то разницы с введением цифр нет, а вероятность ошибки повыщается на порядки.
вот разница то как раз есть, не думаю, что появятся боты, определяющие розового слоника в сапогах как слона:)

> [97] altex (05.01.07 00:25)

Если пользователь видит на картинке кота, что он введет? Кот, кошка, котенок, еще как? Слишком большие неудобства для пользователя.

← →
altex (2007-01-05 00:45) [100]

> [100] altex (05.01.07 00:45)

Тем, что бот сделает три попытки, и угадает.

← →
altex (2007-01-05 00:47) [102]

> Gero © (05.01.07 00:46) [101]

С чаго это вдруг 3 попытки - это раз, второе - временную блокировку Айпи при N-неудачных попыток еще никто не отменял!

> [102] altex (05.01.07 00:47)
> С чаго это вдруг 3 попытки  это раз

Ну может и сразу угадать, вероятность большая.

> второе  временную блокировку Айпи при N-неудачных попыток
> еще никто не отменял!

И чему предлагаешь делать равным N? Если < 3, то бедный пользователь, если больше, то счастливый бот.

> [102] altex (05.01.07 00:47)

В общем, нельзя допускать, чтобы защита то работала, то неработала.

← →
altex (2007-01-05 00:58) [105]

Почему бедный пользователь?? Очень сложно отличить кошку от СЛона?? Впринцепи да.. смотря что курить...
А 4 варианта я дал лишь для примера, можно сделать хоть 8-мь хоть десять!

← →
altex (2007-01-05 01:01) [106]

> Gero © (05.01.07 00:58) [104]

Всеже эта система сравнительно мощнее обеспечивает защиту, а пользователю можно и на всякий случай добавить кнопочку обновить картынку, при этом она заменяется на следуюую с текущим ключевым словом!

> [105] altex (05.01.07 00:58)
> Почему бедный пользователь??

Потому что пользователи имеют обыкновение совершать ошибки.

> А 4 варианта я дал лишь для примера, можно сделать хоть
> 8-мь хоть десять

Чем больше вариантов, тем сложнее пользоваелю. А бот все равно может угадать. А если не угадает, может сменить прокси и попробовать снова.

altex (05.01.07 0:58) [105]
я спросоня иногда машину от монетира могу неотличить - оба обьекта представляют из себя прямоугольники, а главное-мигают!

← →
Vovan #2 (2007-01-05 01:42) [109]

>С гуглением картинок способ непрактичен.

Это точно. Большая нагрузка на сервер, много информации хранить.

← →
bot (2007-01-05 02:11) [110]

> Почему юзер должен вводить цыфры или буквы???Мой вариант:
> Юзер должен выбирать из нескольких вариантов то, что по
> его мнению изображено на этой картинке - вещь,предмет,животное.
> сразу возникает вопрос: Где брать картинки??

http://www.captcha.net/captchas/pix/

> Real © (31.12.06 13:52) [11]

Сходил по ссылке. Так ни разу и не смог набрать неошибочный код. Так что радуйся - защита крепкая.

← →
altex (2007-01-05 13:50) [112]

Удалено модератором
Примечание: Выбирай выражения

kaZaNoVa © (04.01.07 23:26) [91]
зашифровванный флеш заюзать или вообще что-то разрадя ActiveX
а если всё это режет Outpost илипрокси ?! как быть тогда пользователю ?

← →
SpellCaster (2007-01-10 15:58) [114]

Хм, по-моему, идея с выбором варианта, что же изображено на картинке, имеет хорошие перспективы. А для защиты от брута надо, во-первых, блокировать ИП после нескольких неудачных попыток, а во-вторых, каждый раз генерить уникальный идентификатор, который потом отсылать вместе с вариантом ответа. А на сервере проверять пришедший ИД, если с ним уже был отправлен вариант ответа - перенаправлять юзера на обновленную страницу.
Конечно, процент удач будет 1/(кол-во вариантов)... хотя можно и дать ввести слово буквами, просто поставить определенные условия: слово - существительное, им. падеж, м.род, ед. число. По-моему, вариант вполне жизнеспособен!
Ну а набрать картинок, думаю, несложно. Если юзать небольшие гифы с рисунками, то они много места не займут.

Буквы в капче SMF можно менять, закачивая новые TTF шрифты в соответствующую папку. Вот это я понимаю - гибкость.

> [114] SpellCaster (10.01.07 15:58)

Вероятностный характер защищенности и низкое юзабилити — вот существенные проблемы данного подхода.

Когда захожу по ссылке: http://www.azlab.org/demo/opencc/occ_getdigit.php?p=0
то выдаёт всегда 2, только с разными царапинами

А еще когда заходишь http://www.azlab.org/demo/opencc/occ_getdigit.php?p=12

>> проверить устойчивость к взломам в реальных условиях. Если вы хакер - хакните плиз? ;)

Фленову напиши. Он точно сможет. Ибо Хакер.

← →
SpellCaster (2007-01-10 19:41) [120]

> [116] Gero © (10.01.07 16:07)

Если вводить слово вручную, то вероятность пробиться очень мала. А юзабилити... что ж, чем проще юзать, тем проще сымитировать этот процесс ботом.

> Когда захожу по ссылке: http://www.azlab.org/demo/opencc/occ_getdigit.
> php?p=0

Это инклюд модуль, перед его использованием - вызывается рандомайзер (числовой параметр, к его инициализации отношения не имеет, читайте плиз принцип действия и смотрите код)

Vendict © (07.01.07 14:16) [113]
а если всё это режет Outpost илипрокси ?! как быть тогда пользователю ?
"отказываться от свое затеи" ну это тоже самое если картинка а картинки отключены ... придется жерствовать некоторыми пользователями

← →
SpellCaster (2007-01-16 19:25) [123]

> [122] kaZaNoVa © (16.01.07 03:16)

Картинки-то врубить легче намного (особенно в Опере ;)), а вот чтобы включить флеш - надо попариться. К тому же это мб запрещено админом.

Вот вот, у меня, например, флэш вообще фильтруется, хоть и локально, но нужно лезть, искать правило, отключать, потом включать назад.
Короче, геморрой, и человек такое сделает, если ему сайт нужен, как воздух. Но сейчас уникомов в сети практически нет, так что просто уйдёт к конкурентам. Нафига такая засчита от юзеров?

>Снимаю, потому как сам прекрасно понимаю что никто время тратить не будет :) Предложение было по сути убедиться что не существует решения позволяющее за "несколько секунд" подстраиваться под новый набор.

Посмотрел, есть у меня почему-то стойкое чувство, что после обычной свёртки

0 1 0
1 1 1
0 1 0

шум прибьется, а цифры укрупнятся, ну а дальше - всё просто. С первого же раза...

а если буквы идут буквально вплотную? и с наклоном .. тогда имхо не распознать ...

я вот сейчас тестю свой велосипед - просто обычное подтверждение, хочу ли я добавить свое сообщение. Спама в гостевой пока нет вообще:) Хотя в логах добавления кто то упорно пытается...
Как вы думаете, годится такой подход (ну с подтверждением)?

antonn © (17.01.07 21:04) [126]
не ради рекламы - http://antonn.ru/index.php?guestbook
как думаете, боты имеют "обратную связь" для щелкания по кнопочке?

← →
SpellCaster (2007-01-18 11:21) [128]

Ну с жабаскриптом, думаю, мало кто из ботов заморачивается... хотя как только движок станет популярным, сделают и такое ))

> [127] antonn © (17.01.07 21:10)
> как думаете, боты имеют «обратную связь» для щелкания по
> кнопочке?

Если понадобится, будет непременно.

> [127] antonn © (17.01.07 21:10)

Используй akismet, на форуме кладовкином я уже установил, сама кладовка на перле, общаюсь с хостером по поводу установки perl-модуля. Никаких капчей и все цивильно.

Kerk © (18.01.07 16:14) [130]
чего такое akismet? :)

ЗЫ не хочу использовать скрипты, выполняемые на клиенте, т.к. у некоторых (как и у меня иногда) то фаервол временно заблокирует, то просто отключены...

> чего такое akismet? :)

http://akismet.com

Оно работает на сервере

Kerk © (18.01.07 22:21) [132]
а если не трудно, скажи в чем смысл ее? :)
просто я в англицком плохо понимаю (особенно рекламно-зазывательные слоганы:)), а в коде плохо понятно, что это вообще такое.

ну в общем-то, обычный диалог подтверждения отшил 12 постов обычного спамного содержания, которые остались только с логах...

Код подтверждения на web-формах - альтернативный подход Найти похожие ветки