Boty - Jak przeciwdziałać, Panel logowanie Opcje

[murawa]

Moze to nie jest odpowiednie miejsce ale mam następujące pytanie:
Mając panel logowanie w jaki sposób mozna przeciwdziałać botom czyli skryptom podszywającym sie pod userów .Jest jakaś metoda oprócz uzywania kodów obrazkowych ?

[Vogel]

niestety tylko "kody obrazkowe" daja gwarancje. wszystko inne mozna oszukac :]

[Diwi]

niestety tylko "kody obrazkowe" daja gwarancje. wszystko inne mozna oszukac :]

Kody obrazkowe też można oszukać

Pozdrawiam

[bim2]

Mozna wiedzieć jak? No jak jest prosty to madry program to zrobi ale inaczej?

[Vomit]

Nie slyszales o programach OCR'owych? Ta sama zasada dzialania.

[NetJaro]

Ale jest pewnien banalny i prosty sposób - sesje.

Przed formularzem daj $_SESSION['terefere'] = true;. Po wyslaniu sprawdzaj, czy istnieje sesje $_SESSION['terefere']. Boty przecież nie wypełniają normalnie formularzy, tylko odrazu wysyłają wypełnione..

Pozdrawiam.

[Diwi]

Boty przecież nie wypełniają normalnie formularzy, tylko odrazu wysyłają wypełnione..

Lipne boty nie

Pozdrawiam

[murawa]

Dzicienie proste do omieniecia.Znacie jakiś inny spób oprócz tej metody obrazkowej ?

[Strzałek]

Dzicienie proste do omieniecia.Znacie jakiś inny spób oprócz tej metody obrazkowej ?

Obrazki z punktu widzenia usability już są złym pomysłem.
Tym bardziej że mądre boty umieją je czytać.

Są pomysły żeby pod formularzem napisać losowe proste pytania
Ile to 2+2? etc.

Narazie z czymś takim się nie spotkałem.
Mimo wszystko został bym przy obrazku który jest bardziej wygodniejszy niż 2+2.

Pozdrawiam

[NetJaro]

Lipne boty nie

Co masz na myśli?
Żaden bot nie wypełnia ręcznie formularza.. Chyba, że jest to program który działa przeglądarką, ale o takich nie słyszałem.

Ja osobiście obrazków nie lubię..

[murawa]

a czy Security socet layer w tym przypadku coś daje ?

[netzah]

Nie, SSL nic tutaj nie daje.

Moim zdaniem obrazki sa spoko, mozna je polaczyc z limitem np. trzech prob, po ktorych blokuje sie dany IP na np. godzine. Oczywiscie napisac latwo skrypt, ktory bedzi sie przelaczal na rozne serwery proxy co kilka prob... Ew. mozna wymagac jakiegos czasu (np. 2 minuty) miedzy kolejnymi probami zalogowania, obojetnie z jakiego IP. Normalnego uzytkownika to nie uderzy, a bot bedzie mial taka wydajnosc, ze mu sie odechce.
Dobrym sposobem (chociaz banalnym) jest nieujawnianie adresu do formularza
Czytalem ostanio na forum slackware'a posty ludzi, ktory mieli problem z ciaglymi atakami na ssh. Najlepszym wyjsciem okazalo sie uruchomienie uslugi na innym porcie

Ten post edytował netzah 17.07.2006, 07:26:02

[DjKermit]

A może formularz generowany AJAX'em, z tego co wiem boty i JS nie lubią się nawzajem.
A już napewno flashowy form poskutkuje.

[nasty]

czy wy nie przesadzacie ? CAPTCHA uzywa microsoft, google i cala smietanka, jak widac nie sa zle !

[NetJaro]

czy wy nie przesadzacie ? CAPTCHA uzywa microsoft, google i cala smietanka, jak widac nie sa zle !

To chyba jedyne co dobrego łączy te dwie firmy
CAPTCHA jest dobrym zabezpieczeniem, jeżeli jest dobrze napisane. Ale tu chodzi o np. niewidomych internautów a nie, że się znaki na obrazku są niewidoczne. Bo powinny byc widoczne, chociaż tak nie zawsze jest. Wg. mnie dla osób niewidomych powinny być pliki z dźwiękiem co jest napisane na obrazku

[mokry]

A tak sobie teraz mysle... Gdyby generować obrazek, ale wstawiać do niego np literke "A", wczesniej podając info żeby wpisać kod z obrazka ale bez znaku "A"

obrazek ma napis: AHAJA8AKA
wpisuje się HJ8K
Do tego literka "A" może być innego koloru... Myśle, że bot tego nie zrozumie...

[DjKermit]

No cóż może się nieco powtórzę ale:
może jednak flash, już pomijam cały formularz, można zamiast obrazka pokazać kawałek flash'a z textem do przepisania zamienionym na wektory, bot tego nie przeczyta a text może być wyraźny i bez żadnych "brudów" i uniedogodnień.

[Solitary]

ale mówicie o tępych botach, ktore chodzą po stroną i robią dziwne rzeczy na nich ? (tylko po co? zbierają informacje?)

czy o "dedykowanych" botach pod np. wasz serwis, które mają się zalogować i robić coś co użytkownik powinien zrobić sam?

jeśli ta druga opcja, to praktycznie nie ma, żadnego skutecznego i nieuciążliwego dla uzytkowników zabezpieczenia. Wiadomo, że autor takiego bota, najpierw wejdzie na strone, zobaczy co bot musiałby robić, żeby działał tak jak człowiek, a potem tak go zaprojektował...

[SHiP]

Oni raczej rozmawiają o botach które np. wchodzą na strone i dodają głupie posty na forum z jakimiś beznadziejnymi linkami tylko po to żeby nabić pagerank na google... Jeśli chodzi o obrazki ja bym zmiontował coś takiego aby obrazek wyglądał...

Kod

Przepisz ZH7dq2

Kod

Wpisz w polu obok 3mb7d

Kod

I inne tego typu 89fk4f

Bot się nie zczai ;] Jeśli chodzi o teksty typu 2+2 to moim zdaniem jest to strasznie niewygodne, pola flashowe też odpadają ponieważ nie każdy ma zainstalowany plugin flasha. Sensownym rozwiązaniem byłoby jeszcze zapytanie ajaxa w momencie gdy ktoś naciska submit. U mnie np. formularz prowadzi do nikąt(nie ma zdefiniowanego action="") tak wiec i bot lekko głupieje(chyba ) ;]

[bigZbig]

Co za roznica czy formularz jest htmlowy, czy flashowy? Jak zainteresowany chce zobaczyc dokad sa wysylane zmienne i jakie one sa to sobie zrodlo flasha tez odczyta. @SHiP jesli nie masz zdefiniowanego pola action to skrypt Cie zaprowadzi spowrotem na strone z formularzem. Bot, ktory by na tym utknal ... - nawet szkoda gadac.

Generowanie obrazka jest moim zdaniem na te chwile najbezpieczniejszym rozwiazaniem, bo wbrew pozorom powyginany i zabrudzony obrazek nie jest latwo odczytac. Minusem obrazka jest to, ze nie moga go uzywac niewidomi. Ludzie zreszta czesto przesadzaja z poziomem zabezpieczen. Byle blog a tokena generuje i to o ograniczonym czasie waznosci.