[algorytm] Blokada spamu przy wysyłaniu formularza, Prośba o test/ocenę... Opcje

[Sephirus]

Witam.

Wpadłem ostatnio na dość (moim zdaniem) ciekawy sposób na zabezpieczenie formularza przed botami spamującymi. Szukałem czegoś alternatywnego do captcha ale milszego dla użytkownika (bez potrzeby przepisywania pokręconych znaczków).

Zanim opiszę mój pomysł chciałbym go przetestować i prosić o jego ocenę toteż na stronie tutaj (przepraszam za darmowy serwer i reklamę na górze ) wrzuciłem przykład...

Przykład składa się z pola do wpisania e-mail (oczywiście przyjmie wszystko - musiałem je jakoś nazwać... nie wpisujcie tam swoich e-maili) oraz dodatkowego pseudo-zabezpieczenia jakim jest suma 2 losowo generowanych liczb z zakresu 1-9.

Od razu zaznaczam, że element z sumowaniem liczb jest tam w celu zmylenia "przeciwnika".

Jeżeli ktoś byłby chętny spróbować napisać coś co wyśle ten formularz i dostanie w odpowiedzi "OK" to zapraszam - innymi słowy zabawa dla ciekawych i znudzonych

Dziękuję za pomoc, testy i ocenę

EDIT: Nie sądzę bym był pierwszym, który wpadł na coś takiego - żeby nie było - ale się z tym nie spotkałem...

Ten post edytował Sephirus 5.03.2012, 08:47:41

[by_ikar]

W tokenie jest suma kontrolna z sumy tych dwóch podanych liczb? Tzn suma liczb plus pewnie jakaś sól powiem ci tyle, że zsumowanie takich dwóch liczb i przekazanie je do formularza, nie jest raczej czymś specjalnym dla boota. I w sumie sam bym mógł takiego napisać bez większego problemu..

[Sephirus]

To nie jest tak... Jak pisałem to z sumowanie liczb jest dla niepoznaki oczywiście jest sprawdzane... ale nie to jest główne zabezpieczenie

Sam token nie ma nic wspólnego z sumą liczb - te dwie rzeczy są niezależne.

W Formie są 3 zabezpieczenia:
1. Token - standardowe zabezpieczenie CSRF
2. Suma A+B - alternatywa dla captcha
3. "coś" - czego wyjawić narazie nie mogę...

i właśnie to "coś" chcę przetestować Ale żeby to zrobić to trzeba by było spróbować napisać kod, który wyśle coś z tego forma tak by system wyłapał to jako poprawne wysłanie i wyświetlił "OK"

Powiem jeszcze tak:

bez punktów 1 i 2 zabezpieczenie nadal by działało

[by_ikar]

Dobra, to nie wiem co to jest i gdzie to może być czekam kiedy podzielisz się tym "czymś"

[Sephirus]

Idealnie by było gdyby ktoś zechciał z tym pokombinować Bo tak od razu zdradzać całą tajemnicę... :/

1 znajomy programista z pracy wymiękł dość szybko... Ale nie jest jego specjalnością łamanie takich zabezpieczeń

Ja się bawiłem w rozwalanie tego typu formularzy i na to co w nim zrobiłem raczej bym za szybko nie wpadł... A swego czasu wszelkiego rodzaju formularze hostingów z plikami, filmami itd... (wszystkim dobrze znane i lubiane) były dość proste do złamania (na przykład logowania itd...) Postanowiłem zatem zrobić coś nowego i wrzucić w miejscu, gdzie z doświadczenia własnego bym po prostu nie szukał

W celach motywacyjnych dla pierwszej osoby, która to zabezpieczenie złamie czeka równowartość dwóch dobrych PIW! (bezalkoholowych "oczywiście")

[by_ikar]

Dobra, z racji że podbiłeś stawkę, to będę jeszcze raz strzelać w sesji przechowujesz czas wejścia do formularza, następnie porównujesz go z czasem wysłania formularza i jeżeli jest dość niewielki, wtedy zaliczasz to jako robota? Innych opcji już tutaj nie dostrzegam

[Sephirus]

Hmm to o czym mówisz też jest dobre Ale spotkałem się z tym gdzieś i da się to obejść oczywiście poprzez "odczekanie" przez robota - ale to jest całkiem dobre zabezpieczenie (tylko trzeba dobrze dobrać wartości tych czasów).

Niestety... u mnie jest coś innego

[by_ikar]

Tak też się spotkałem z tym czekaniem przez robota, tyle że w wielu przypadkach jest to średnio opłacalne. Powiedzmy dasz 10 sekund, przy nieco większym formularzu, i komu się będzie chciało spamować, jeżeli 1 wpis będzie zajmować 10 sekund

Jeżeli to nie to, pozostaje już chyba w moim skromnym "arsenale", jedynie opcja sprawdzania odstępu czasu między jednym wysłaniem formularza a drugim. Jeżeli również to nie to, no to niestety, wszystkie karty wyłożyłem, a asa w rękawie brak

[Sephirus]

hmm niestety... zabezpieczenie nie ma nic wspólnego z jakimkolwiek czasem :/ Dziękuję jednak za zainteresowanie - potwierdza to na razie abstrakcyjność rozwiązania co mnie cieszy

[by_ikar]

Mam jedynie nadzieje, że jeżeli za bardzo nie będą ludzie chcieli się bawić w łamanie twojego zabezpieczenia, lub nikomu nie uda się go złamać, że mimo to podzielisz się szczegółami, lub wyjaśnisz samą zasadę działania tego zabezpieczenia

[Sephirus]

Jeżeli nikt go nie złamie to wyjawię tylko zainteresowanym (Na pewno Tobie ;P) Ale to nie jest jakieś super zabezpieczenie - jego moc jest w abstrakcyjności ;P

Narazie jeszcze poczekam - może ktoś się jeszcze znajdzie

Gdzie są Ci chętni do pracy hackerzy gdy ich potrzeba... Anonymous!!! ;P

[xxdrago]

Ja dam mój pomysł, zastanawiałem się czy nie lepiej dodać pola typu hidden, i nazwać je e-mail? Jeżeli bot je uzupełni to formularz nie przejdzie.

A twoje zabezpieczenie to nie jest czasami sprawdzenie "przeglądarki" z jakiej user korzysta (wiem , że da się to ominąć) ?

[Crozin]

@xxdrago: Przy okazji na filtr załapią się wszystkie osoby z automatycznym wypełnianiem formularza.
@by_ikar: Co to za problem otworzyć 5 000 sesji gdzie każda z nich, równolegle, będzie odczekiwać te 10 sekund?
@Sephirus: Security through obscurity to jedna z tych metod, które daje jedynie fałszywe poczucie bezpieczeństwa.

[xxdrago]

Crozin, wiem o tym to chyba też o to chodzi, aby pola były wypełnione "ręcznie". Sposób musi być taki , aby nie denerwował użytkownika, głownie o to chodzi.

[Sephirus]

Odrzucam wszelkie "zabezpieczenia" na zasadzie ukrytych pól itd... powód - tego typu zabezpieczenia opierają się albo na JS albo na CSS. Manipulacja JS lub CSS i jesteśmy w domu.

@crozin Security through obscurity - nie do końca zgadzam się z tą opinią - wszystko trzeba odpowiednio używać. Indywidualne zabezpieczenia, oryginalne mają tą przewagę przynajmniej że nie ma na nie gotowych rozwiązań, zatem ktoś musi te rozwiązania wynaleźć (to tylko kwestia czasu) a to zajmuje troszkę i część się podda wyszukując przy tym mniej oryginalnego przedmiotu ataku.

A twoje zabezpieczenie to nie jest czasami sprawdzenie "przeglądarki" z jakiej user korzysta (wiem , że da się to ominąć) ?

Nie do końca wiem o co Ci chodzi xxdrago ;P User-Agent? To by było żadne zabezpieczenie... Fingerprint przeglądarki z kolei nie ma tu zastosowania... evercookie tym bardziej więc serio nie wiem o które z tych rzeczy Ci chodzi

W skrócie - NIE - nie ma to nic wspólnego z przeglądarką

[xxdrago]

Nie ma chyba innej możliwości, mógłbyś dać wersje bez działania matematycznego? Tylko samo podanie e-mail?

[Sephirus]

Jest bez

I jak xxdrago udało się coś zrobić? Znaleźć o co chodzi?

[xxdrago]

Próbowałem, coś się bawić w CURL ale ten token jest też ciężko złamać, wyłącz go i pobawię się jeszcze i ci dam znać, czy da sie uzupełnić bez "człowieka".

[Sephirus]

ok wieczorkiem koło 19 tokena nie będzie (teraz nie mam jak zmienić)

[Crozin]

@Sephirus: Złamanie zabezpieczenia zajęło mi... około 90 sekund. spam.png - wcale nie rzuca się w oczy.

Dodatkowo:
1. Jeżeli coś jest źle (jakiś błąd wywali), dam cofnij i jeszcze raz (poprawnie) wypełnię wywala informację o spamie (nie wiem czy to token czy spam.png powodował).
2. Jeżeli ktoś wyłączy sobie wyświetlanie obrazków (np. korzystając z Internetu przez GPRS) to może zapomnieć o wypełnieniu formularza. Nie będzie też mieć pojęcia dlaczego nie może go wysłać.

Ten post edytował Crozin 6.03.2012, 16:59:37