[algorytm] Blokada spamu przy wysyłaniu formularza, Prośba o test/ocenę... Opcje

[askone]

Kurcze - raz mi się udało dostać OK - tylko nie wiem co takiego zrobiłem... Nie potrafię powtórzyć

ps. Spam.png - ciekawe, działa, ale nadal jestem ciekaw na jakiej zasadzie...

Ten post edytował askone 6.03.2012, 17:04:44

[Sephirus]

Zgadza się

To kwestia pomysłu - trzeba by go było oczywiście dopracować

1. Cofanie można w łatwy sposób poprawić i używać tego "myku" w odpowiednich miejscach
2. Żyjemy w świecie gdzie... serio... raczej się już tak nie robi... Zresztą nie pisałem nic o zastosowaniach mobilnych

Chodziło mi o przedstawienie prostego algorytmu działania czyli uzależnienie wysłania forma od czegoś na co bot nie wpadnie zbyt szybko - wydaje mi się że ten pomysł spełnia swoje podstawowe zadanie

Poza tym 90 sekund? Nie przesadzaj... sądząc po tym że pisałeś w temacie wcześniej nie sądzę by tyle Ci to całkiem zajęło - weź pod uwagę fakt, że dokładnie było powiedziane których zabezpieczeń nie ma... zatem drogą eliminacji...

Dodatkowo ok - to był przykład - jedno pole i obrazek A co jeśli miałbyś normalną stronę z masą grafik? Wpadłbyś tak szybko?

Ale ogólnie - ja wiem że nie jest to żaden ideał - pomysł wydał mi się ciekawy stąd go przedstawiłem

Skoro już wszystko jasne czekam na szczere opinie (przypominam to tylko prototyp nie pozbawiony widocznych gołym okiem wad)

EDIT: Jak obiecałem tak zrobię - podaj dane na PW gdzie i jak Ci wypłacić równowartość 2 piwek Zasłużyłeś

[xxdrago]

Mógłbyś udostępnić ten kod? Bo dalej nie czaje o co chodzi:D

[Sephirus]

Zasada jest prosta

Przykładowo:

Dajesz regułkę w .htaccess typu "przekieruj obrazek.jpg na obrazek.php"

W obrazek.php ustawiasz w sesji jakąś zmienną i zwracasz obrazek.

po wysłaniu forma sprawdzasz czy zmienna jest taka jak być powinna

Oczywiście to idea - bo zachodu jest nieco więcej

[by_ikar]

ja w sumie też nie do końca rozumiem działania, aczkolwiek pierwsze co wziąłem pod uwagę to ten obrazek, ale nie zaobserwowałem w nagłówkach niczego co by rzuciło mi się w oczy, i "poszedłem" dalej. Zwłaszcza dałem sobie z nim spokój z racji że był poza formularzem, tym bardziej mnie to zmyliło

EDIT: a to tak jak podejrzewałem, że sprawdzasz dane w sesji całkiem przyjazne dla użytkownika

EDIT2: tak na szybko doszedłem do pewnych konkluzji. Może mi ktoś bardziej ogarnięty w temacie powiedzieć, czy booty doczytują css/js? Bo tutaj idea jest dobra. Można taki skrypt ukryć w jakimś obrazku, który jest elementem layoutu. Ale obrazki można wyłączyć. Css wyłączyć się nie da, i dołączenie takiego czegoś w css, raczej jeszcze bardziej mogłoby zbić z tropu

Ten post edytował by_ikar 6.03.2012, 18:58:06

[Sephirus]

Mogłoby ale CSS też się da wyłączyć

Ale opcji jest wiele - to jest tylko idea ;P Jak wpadniesz na jakieś fajne miejsce gdzie to upchnąć daj znać

[Crozin]

Żyjemy w świecie gdzie... serio... raczej się już tak nie robi... Zresztą nie pisałem nic o zastosowaniach mobilnych

Na komórce dosyć często z tego korzystam, szczególnie gdy jestem poza miastem i zasięg jest słaby. Na desktopach oczywiście, że nikt tego robić nie będzie. ? propos świata... powoli zanika już różnica pomiędzy Internetem mobilnym a pełnoprawnym, desktopowym i nie wypada już mówić, że coś nie jest przeznaczone pod zastosowania mobilne.

Co do samego sposobu. Będzie on raczej skuteczny dopóki komuś nie zacznie zależeć na tej jednej konkretnej stronie. Część botów może pobierać obrazy, JS oraz CSS - wcale nie jesteś pierwszą osobą, która wpadła na taki pomysł. Niestety może też wyeliminować drobną część internautów, którzy w dodatku nie będą mieli najmniejszego pojęcia co jest nie tak.

Poza tym 90 sekund? Nie przesadzaj... sądząc po tym że pisałeś w temacie wcześniej nie sądzę by tyle Ci to całkiem zajęło - weź pod uwagę fakt, że dokładnie było powiedziane których zabezpieczeń nie ma... zatem drogą eliminacji...

Dodatkowo ok - to był przykład - jedno pole i obrazek A co jeśli miałbyś normalną stronę z masą grafik? Wpadłbyś tak szybko?

Fakt, kilka testów mogłem sobie darować (np. przerwa pomiędzy żądaniami). Ale gdy dokładne odwzorowanie dwóch żądań nadal nie wystarczało, następnym krokiem było wyłączenie... normalnie JS/CSS/obrazów, tutaj wystarczyło tylko tych ostatnich - brak jakiegokolwiek użycia JS dało się szybko stwierdzić. Więc normalnie może zajęłoby to do kilku minut. Udawanie przeglądarki jest naprawdę proste.

EDIT: Jak obiecałem tak zrobię - podaj dane na PW gdzie i jak Ci wypłacić równowartość 2 piwek Zasłużyłeś

http://www.mpips.gov.pl/download/gfx/mpips...luty%202012.pdf - do wyboru, do koloru.

Ten post edytował Crozin 6.03.2012, 19:12:41

[Fifi209]

Chodziło mi o przedstawienie prostego algorytmu działania czyli uzależnienie wysłania forma od czegoś na co bot nie wpadnie zbyt szybko - wydaje mi się że ten pomysł spełnia swoje podstawowe zadanie

Sam napisałem wiele botów, m.in. do gier. Bota pisze się pod coś konkretnego, najpierw badam jak coś działa, wyłączę js etc. sprawdzam czy działa dalej, jeżeli działa to już tylko pozostaje sprawdzenie nagłówków.

[marcio]

Pierwszy, to sprawdzanie z użyciem JavaScriptu, czy użytkownik poruszył myszą, bo, jak wiadomo, boty nią nie ruszają, tylko np. przeglądają kod źródłowy strony albo wysyłają dane metodą POST.

Tak czytam wlasnie w sieci i natrafilem sie na nieco nie typowe rozwiazanie jak dal mnie, czy jest ono skuteczne lub nie sie nie wypowiem bo na js sie nie znam i nie wiem jak wyglada obejscie symulacji ruchem myszki.

EDIT:
Zastanawialem sie tez nad takim troche dziwnym mechaniznem.

A gdyby tak co godzine dodawac taka jakby "sol" do nazwy kazdego pola w kazdym formularzu.
Co godzine losujemy jakis ciag zapisujemy do sesji czy gdzies w jakims pliku jako komentarz php zeby np nie szlo go odczytac i potem dokladac taka sol, wtedy taki bot sam by nie wiedzial jak sie pola nazywaja a nie mysle by byly na tyle madre zeby mogly za kazdym razem wyciagnac nazwe jakis dziwnych nazw pol.

[Fifi209]

@up
A jaki to problem wyciągnąć nazwę pola?

@topic
Znacznie skuteczniejsze byłoby, gdyby były losowo wybierane grafiki. :-) Pewnie da się zrobić, sam się nad tym zastanawiałem - mogłoby to być dość skuteczne.

Właściwie, gdy zabrałem się za realizację zrezygnowałem, można przecież pobrać wszystko hurtem...

[marcio]

A jaki to problem wyciągnąć nazwę pola?

A taki ze mysle ze taki bot musi wiedziec co gdzie ma wpisac a dajac np takie nazwy:
user -> mk3po23sdm
captcha -> fd70fa321

Skad ma wiedziec jakie pole czego sie dotyczy?

[by_ikar]

@marcio jakiś bot poszukujący konkretnych inputów ominie taki formularz. Ale jeżeli ktoś będzie chciał napisać bota pod konkretne rozwiązanie, to zamiast nazw, powiedzmy poda kolejność tych inputów (kolejność dzieci, względem rodzica). Lub nawet zaczepi się o jakiś ID, czy klasę. Średnio skuteczne rozwiązanie. Bardziej skuteczne jest rozwiązanie w tym temacie, w postaci grafiki

Odnośnie losowych obrazów. A przykładowo jakby się wyświetlało jakieś losowe obrazy, i do tych obrazów trzeba byłoby podać ich opis. Np jest sobie zielona trawka na obrazku, a na trawce jest pomarańcz. Wpisz w pole nazwę owocu z obrazka. Gdyby zakres tych obrazków był dość spory, oraz możliwość wpisania podobnych znaczeń (na końcu języka mam słowo określające to "zjawisko"), przykładowo zamiast pomarańcz, możliwość wpisania "pomarancz", czy "pomarańcza" etc. i o ile tych obrazków byłoby dość sporo, wówczas takie zebezpieczenie byłoby by bardziej przeznaczone dla ludzi. O ile litery i cyfry może sobie robot odczytać, o tyle określenie czym może być dana rzecz znajdująca się na obrazku, może mu sprawić na prawdę spore problemy. Chyba że się mylę...

[Orzeszekk]

@marcio jakiś bot poszukujący konkretnych inputów ominie taki formularz. Ale jeżeli ktoś będzie chciał napisać bota pod konkretne rozwiązanie, to zamiast nazw, powiedzmy poda kolejność tych inputów (kolejność dzieci, względem rodzica). Lub nawet zaczepi się o jakiś ID, czy klasę. Średnio skuteczne rozwiązanie. Bardziej skuteczne jest rozwiązanie w tym temacie, w postaci grafiki

Odnośnie losowych obrazów. A przykładowo jakby się wyświetlało jakieś losowe obrazy, i do tych obrazów trzeba byłoby podać ich opis. Np jest sobie zielona trawka na obrazku, a na trawce jest pomarańcz. Wpisz w pole nazwę owocu z obrazka. Gdyby zakres tych obrazków był dość spory, oraz możliwość wpisania podobnych znaczeń (na końcu języka mam słowo określające to "zjawisko"), przykładowo zamiast pomarańcz, możliwość wpisania "pomarancz", czy "pomarańcza" etc. i o ile tych obrazków byłoby dość sporo, wówczas takie zebezpieczenie byłoby by bardziej przeznaczone dla ludzi. O ile litery i cyfry może sobie robot odczytać, o tyle określenie czym może być dana rzecz znajdująca się na obrazku, może mu sprawić na prawdę spore problemy. Chyba że się mylę...

Mylisz sie
http://research.microsoft.com/en-us/um/red...rojects/asirra/
takie cos juz istnieje i sie nie przyjeło. Dopoki zbiór obrazow jest skonczony dopóty wietnamczyk ktory do tej pory przepisywal kody reCaptcha siądzie i otaguje obrazy z tej obrazkowej captchy dobrymi odpowiedziami a nastepnie bot prostym porownaniem piksel po pikselu, czy nawet jak zaaplikujesz jakies przeksztalcenia po histogramie rozpozna obrazki i doda ze swojej bazy wiedzy rozwiazanie takie jak trzeba.

Fraktale mają "naturalny" wygląd więc może generowanie fraktali np fraktala który wygląda jak trawa albo płatek śniegu, żuk (mandelbrot) lub płonący statek z lekko modyfikowanymi parametrami funkcji fraktala, tak by zbior mozliwych obrazow do wygenerowania dążył do nieskonczonosci, a nastepnie zadanie uzytkownikowi rozpoznania co jest na obrazku by sie sprawdzilo jako antybot? Jest kilka calkiem ciekawych fraktali min żuk, statek, lisc paproci, płatki sniegu, trojkat / szescian sierpinskiego i na pewno masa innych fraktali by sie znalazla gdyby pomysl wart bylby zachodu Przez czlowieka zostaly by rozpoznane nawet jezeli bylyby potraktowane dowolnym skalowaniem/przesunieciem/beczkowatym znieksztalceniem i zabawą barwami.

Nie jestem tylko pewien czy mozna modyfikowac nawet delikatnie parametry fraktala, w koncu fraktal to przyklad chaosu, gdzie bardzo mala zmiana wywoluje bardzo duza zmiane i nie wiem czy nawet niewielka zmiana nie spowoduje rozsypania całego fraktala w większej skali, w takim razie plan spaliłby na panewce, bo fraktal wygenerowany ukladem rownan gdzie jedno z rownan byloby np x^2 = 5x^2 + 3y^3
nie bylby w ogole podobny do fraktala wygenerowanego za pomocą x^2 = 5.000000000000001x^2 + 3y^3

ciezko mi powiedziec bo ostatni kontakt z fraktalami mialem na maturze z inf a to bylo troche czasu temu wiec jesli ktos sie na tym zna lepiej to niech mnie oswieci:)

Ten post edytował Orzeszekk 8.03.2012, 02:06:31

[by_ikar]

Mylisz sie
http://research.microsoft.com/en-us/um/red...rojects/asirra/
takie cos juz istnieje i sie nie przyjeło. Dopoki zbiór obrazow jest skonczony dopóty wietnamczyk ktory do tej pory przepisywal kody reCaptcha siądzie i otaguje obrazy z tej obrazkowej captchy dobrymi odpowiedziami a nastepnie bot prostym porownaniem piksel po pikselu, czy nawet jak zaaplikujesz jakies przeksztalcenia po histogramie rozpozna obrazki i doda ze swojej bazy wiedzy rozwiazanie takie jak trzeba.

To akurat jest nie do końca to o czym myślałem. Tutaj musisz zaznaczyć wszystkie koty. Zdjęcia różnią się od siebie, ale obiekty znajdujące się na zdjęciach nie bardzo. Więc ta różnorodność jest niewielka. Tutaj ja myślę o jakiejś większej bazie rzeczy, które można byłoby opisać. Jeżeli powiedzmy ja będę miał 40 milionów "pozycji", to nawet jeżeli komuś uda się je wszystkie zebrać, lub że dany obrazek się powtórzy, to w pierwszym przypadku będzie się gość musiał namęczyć. W drugim przypadku musiałby mieć bardzo duże szczęście, dużo większe niż trafienie 6 w totka.

Podobnie jest z funkcjami hashującymi. Taki sha1, został złamany, ale póki co tylko laboratoryjnie. Podobnie mogłoby być z tym "zabezpieczeniem" obrazkowym, bo na doświadczenia ktoś mógłby sobie pozwolić, ale na to żeby spamować na jakiejś stronie to raczej wątpię. No przynajmniej tak mi się wydaje że to wcale nie jest głupi pomysł

[marcio]

A tak w ogole powiedzcie mi czy w ogole warto jest to zachodu?Co macie na tych stronach ze sie tak boicie mysle ze lepiej jest sie zabezpieczyc przed o wiele grozniejszymi atakami w sieci niz przed spammerami.Wystarczy prosta captcha(nie az taka prosta) rozne czcionki i wielkosci i np jakies linie i kropki na tym o roznym kolorze, no sry ale kto bedzie pisal bota pod wasza strone wybacznie ale takich przypadkow bedzie 1 na 10000.

[Sephirus]

@up Tu nie chodzi o to, że nasze strony (o wątpliwej dużej liczbie odsłon) chcemy zabezpieczyć. W sieci istnieje problem spamu w komentarzach prywatnych wiadomościach itd... To nie jest wcale małe zagrożenie. Wyobraź sobie na przykład co by było gdyby Facebook (lub podobny serwis) nie miał takich filtrów... dostawał byś dziennie setki maili z reklamami itd itp...

Chodzi o rozmowę na ten temat, szukanie rozwiązań innych niż uciążliwa dla użytkownika Captcha... Wiadomo, że są cięższe ataki ale dobrze ogarniety filtr antyspamowy broni nie tylko przed SPAMEM ale również może bronić przed CSRF, wspomagać walkę z XSS itd.

Wiadomo że przed DOS'em nie obroni ale zawsze można o tym pogadać - może się coś nowego wymyśli

[by_ikar]

Nie wiem jak wy, ale ja jestem użytkownikiem i mnie przepisywanie kodów, w większej mierze z mało czytelnych obrazków irytuje. Zwłaszcza reCaptcha, która niekiedy potrafi jakimiś śmiesznymi znakami strzelić, i trzeba klikać w odśwież, do czasu aż będzie to w miarę czytelne. Nie wiem, może to tylko ja mam takie problemy..

Pogadać zawsze można, bo z tego może wyjść niekiedy coś ciekawego. Jak byśmy nie rozmawiali o żadnych problemach, to dnia dzisiejszego pewnie zamiast siedzieć przy komputerze, byś ostrzył swoją włócznie

Co myślicie o moim pomyśle z obrazkami, na których znajdują się różne, losowe przedmioty, które można opisać w łatwy sposób, i na podstawie opisu żeby egzekwować czy to jest człowiek?

[amii]

Nie no generalnie wszystkie kapcie i tego typu cuda są dla użytkownika wkurzające.
Jeśli już jesteśmy przy zabezpieczeniach to co sądzicie o tym: jQuery+PHP http://www.myjqueryplugins.com/QapTcha/demo
Mało uciążliwe dla usera ale nie wiem jak ze skutecznością

Ten post edytował amii 8.03.2012, 15:18:16

[Sephirus]

To nie jest głupie, przyjrzałem się temu. Oczywiście jest do złamania, wystarczy ogólnie przepisać kod pod PHP i odpowiednio wysyłać pod adres formularza itd...

Postarali się chłopaki by to poukrywać i zamotać ale da się to złamać. Podoba mi się sam pomysł - spotkałem się już z nim - łatwy dla usera. Nie podoba mi się jedno - jest to moduł do jQuery a co za tym idzie - będzie często używany - a skoro tak to pewnie już są boty które go omijają

[xxdrago]

Ogólnie, to zauważyłem, na jakiej zasadzie te boty działają. Posiadam forum, po zainstalowaniu jest dostępna standardowa capacha (przepisz cyfry), bardzo prosta, rejestrowało się dużo botów więc, otwarłem paint'a zmieniłem czcionkę, dorysowałem kreski i aktualnie jest cisza, wydaje mi się , że boty mają jakby w pamięci każdy znak danego formularza...(Obrazek bardzo czytelny do przepisania). Co do reCaptcha nawet nie ma sensu jej "instalować" bo jest na nią tyle botów. A nie oszukujmy jeżeli komuś będzie zależało na z automatyzowaniu formularzy to to zrobi...