Tak, obrazki wiele nie dają, ale zawsze jest trudniej wyciągnąć ten tekst.

Trudniej?
file_get_content preg_match_all


Faktycznie, trudno jak cholera... Google powinno się na tym wzorować.

Nie wspominając o http://www.eioba.pl/a/23m3/jak-odczytac-kody-captcha

Tak, masz świętą rację. Nie jest to bezpieczne. Jednak gdy ktoś ruszy ze spamem natknie się na inne zabezpieczenia oraz najważniejsze - moderacje komentarzy. Więc jego spam nigdy nie trafi na stronę główną.

PS: Inne zabezpieczenia to weryfikacja treści, nicka, ip itp. Cytując "zabezpieczenia są wartstwowe"

[PHP] pobierz, plaintext 
array( 
    '12' => '1', 
    '23333' => '2', 
    '22323' => '3', 
    '1112111' => '4', 
    '53335' => '5', 
    '33336' => '6', 
    '14332' => '7', 
    '63335' => '8', 
    '63323' => '9', 
    '33316' => 'a'
); 
[PHP] pobierz, plaintext 

Tablica Twojej captchy do powyższego skryptu.


Jasne, moderacja to jakieś wyjście ALE... dane te i tak trafią do bazy, zużyją transfer...


czyli brak zabezpieczeń. nick, treść. ip, useragent, referer da się podrobić, to nie są zabezpieczenia.

Skoro nie cenisz własnego czasu i chcesz moderować 200 wpisów po ataku spamera, to nadal się tak baw.

http://webprotection.xaa.pl/index.php?page=bezpieczenstwo
Nie ma to jak Linki do "kursów" prowadzące na stronę główną.

Co do captcha, ta twoja można oczytać po nazwie obrazków...
Kolejna sprawa, losujesz liczby z zakresu większego niż masz obrazki ( kilkakrotnie pojawił mi puste pole o tym że brak obrazka )
Dodatkowo te twoje obrazeczki mają tło, a więc zmiana koloru strony - obrazki o nowa do robienia.

A niby jakim cudem?



Racja, zapomniałem o 0, już to poprawiłem



DELETE FROM table where id > ilosc przed atakiem spamera



Tak, jest tylko do 9. Dokładnej jest to rand(1,9);

Powinieneś to wiedzieć. Wszystkie nagłówki jakie wysyłasz można nadpisać. Więc sprawdzanie ich, jest tylko... ściemą.

Możesz dać jakiegoś linka dotyczącego zmiany wartości przy $_SERVER['REMOTE_ADDR']? Teoretycznie masz rację, ale zdziwiło mnie to bardzo i nie jestem pewien. Wiem że da się nadpisać user agent ale IP ?

curl

Nie da się podrobić adresu IP za pomocą modyfikacji nagłówka. Adres ip (REMOTE_ADDR) w $_SERVER nie jest brany z nagłówka, ale jest pobierany z połączenia TCP. Co innego pola takie jak user-agent i inne zależne od samej przeglądarki, a nie warstwy sieciowej.

Fakt. Zostaje np. proxy

I nie mów że to problem, bo swego czasu napisałem skrypt, który w godzinę/dwie potrafił sćiągnąć z wielu serwisów typu "lista proxy" ich adresy a następnie odfiltrować te działające. Po skończonej operacji miałem plik z listą ponad 50tys. różnych proxy

Masz go jeszcze, bo nie chce mi się pisać takiego skryptu

mowa oczywiście o high anonymous proxy?

dość pokaźna liczba...

Pierwsze co mi się rzuciło w oczy to ZNÓW "strona o bezpieczeństwie". Nigdy nic na twojej strony / z twoich komentarzy o bezpieczeństwie mądrego nie czytałem...

-śmieszy mnie css3, którego nie ma ?
-2 komputery no i cóż dodałem jeden komentarz i finito, a co jeśli siostra też chce dodać ?
-nie ma tu co oceniać oprócz tego "systemu" komentarzy niezabezpieczonego przed robotami (ale działającego), no i masz jeszcze wyświetlanie contentu oparte na if. Słyszałem że ponoć zaczęli o tym uczyć w gimnazjum.

"Web Protection 2012 - Wykonanie w całości by materkamil" Zastanów się nad pierwszymi dwoma słowami, przeczytaj jeszcze raz i znów się zastanów czy je rozumiesz na tyle dobrze aby uczyć o tym innych. Może warto dać sobie chwile spokoju i się ostro podszlifować ?

Tyle powiem.

http://webprotection.x10.mx/index.php?id=6%C2%A06%C2%A06

Brak limitu ilości znaków w komentarzu - dodałem komentarz (na oko o na 10 takich stron, nawet dość długo się wysyłał jak na tekst). Dodałbym capatcha czy jakiś fajny sprytny sposób przed spamem - widzę, że ciasteczka, ale to nie trudne do obejścia. Chyba, że przeoczyłem coś, może jest coś poza ciasteczkami.

PS. Góra mi się podoba, gdyby jednak zwężyć stronę od

[HTML] pobierz, plaintext 
<div id="pasek">...</div>
[HTML] pobierz, plaintext 

i dodać jakiś niestandardowy panel, żeby nie było tak ponuro jak w php-f i innych odmianach.

PS2. Jesteś kobietą http://www.youtube.com/watch?v=BF92OoZVlPA ?

A ja w ogóle nie mogę dodać komentarza.

Na stronie są dwa elementy o id "pasekundertresc" (w ogóle co to za nazwa?)

Nie mów że "obeszłeś" te super zabezpieczenia i catptche.



Rotfl.
A co do tematu. To co tu mamy oceniać?
Szablon - brzydki,
- nie przechodzi walidacji
- brak doctype
- linki nie działają
- mieszanie słów po polsku z angielskimi (to już świadczy o braku inteligencji)
- mieszanie CSS z HTML.

Temat IMO do zamknięcia.


Znowu?

No nie od razu, że to jakieś zabezpieczenie, ale bardziej chyba niedopatrzenie ;p

Obszedł ale nie tą stronę co trzeba. mater zdążył ju ż z 3 razy w tym temacie podać różne adresy do jego strony za każdym razem podając że na poprzednim już nieaktualna strona....
Obszedł na http://webprotection.x10.mx
a aktualne niby ma być na http://webprotection.xaa.pl/

Komentarze poddawane są MODERACJI!
I co ciekawiej: po 2 dniach nieobecności 4 komentarze a nie 4 tysiące.

Jak myślisz binprogrammer że "shakowałeś" materkamila , to oczywiście się mylisz. Ta strona nie jest już kompletnie aktualna, obecny adres to webprotection.xaa.pl

!*!

Co do uwag o walidacji, na pewno oceniasz prawidłową stronę?

"Oczywiście ANDEFINED INDEKS". I ta pętla tak złowieszczo zabrzmiała. Na tym etapie myślałem, żeby zakończyć zabawę z programowaniem, ten warunek mnie przerasta.

@konole, oczywiście, że nie miałem na myśli że kobiety są gorsze tylko mnie to tak bardzo zdziwiło coś w jego poradniku i byłem bardzo ciekaw - Moja ciocia jest programistką i jej to wychodzi co najmniej bardzo dobrze

Nie bawię się w hackowanie kolego/koleżanko (niepotrzebne skreślić), znalazłem po prostu mały drobiazg, który nie powinien tak wyglądać jak go napisałeś pierwotnie.

Jeżeli nazywasz ten przypadek "chakowaniem" to oczywiście coś jest tu nie tak. Pytałeś o poprawki, błędy itp. Znalazłem taki adres, ok. Znalazłem taki błąd, ok - wypisałem go.
Nie pytałeś jak można zhackować twoją stronę, więc nie widzę tu powodu do wymądrzeń.

Pffff... http://webprotection.xaa.pl/Rozmowav2/



Jeżeli tak traktujesz użytkownika swojej strony to nie masz co liczyć na dużą oglądalność, :/
Poza tym mógłbyś dać przekierowanie ze starej strony na nową, bo jak się tak kopiuje bez końca to można się pogubić co gdzie jest.

PS. Logi to specjalnie upubliczniasz? http://webprotection.xaa.pl/Rozmowav2/logi.php

PS2. Widać, że nie jest to jakoś specjalnie zabezpieczone przed nawet drobnym spamem.

próbowałem wkleić jakiś dłuższy tekst, a tu ktoś już zrobił to przede mną i zapchał ci plik, mógłbyś zrobić jakiś limit, że jak zdanie jest dłuższe niż 500 znaków to nie dodaje do bazy, a jeżeli ktoś próbuję tworzyć pliki znacznie dłuższe, np. kilka tysięcy znaków to banuje użytkownika na dzień, albo coś

Jeżeli masz bazę na xaa najtańszą(100 MB pojemności), a wątpię że masz 3GB to masz już zapchane w pliku co najmniej 2,5 mb, czyli 1/40 masz już wykorzystane przez spamera, do tego jeżeli pliki twojego cmsa rosną (nie wiem czy korzysta z plików czy z samej bazy - nie mam pojęcia) to masz pozamiatane, bo nie wykorzystasz już na cmsa miejsca, jeżeli zapełni ci ten log wszystko.

TYLE DO POWIEDZENIA MAM
Uzupełniałem, bo z czasem coraz więcej tego się znajdywało.
W końcu chcę dodać również iż ja wszystko wiedzącym nie jestem i pewnie pomyliłem się w wielu sprawach, poprawcie mnie jeżeli możecie.
Dziękuję za przeczytanie i chwilę uwagi.

To jest tylko jeden z wielu moich licznych projektów. Ciekawy, czyż nie?
Oczywiście nie jest to kierowane do użytkownika na poważnie. Jak nie chcesz być zbluzgany to nie wchodzisz.

Logi, za prosty adres. Logi same kasują się co parę dni. Logi korzystają ze zwykłego pliku, więc bez problemu wystarczy w awaryjnym przypadku skasować plik.

Dobra rada, zrób choć jeden w miarę porządnie i daj go do oceny.

Tak samo użytkownicy będą Ciebie traktować- to działa w obie strony.

http://webprotection.xaa.pl/Rozmowav2/

Skoro stworzył, to odpowiada za wyzwiska. To jest idiotyczne, stworzyć coś co obraża ludzi, po czym dać notatkę że umywa się ręce od wulgaryzmów, które samemu się tam umieściło...
Poza tym na tej twojej stronie powinieneś dać ostrzeżenie przy linku o tej "Rozmowy" o tym że zawiera słowa wulgarne.

I znowu przypominam o tym:
http://webprotection.xaa.pl/index.php?page=bezpieczenstwo
Przy każdym jest praktycznie "Koniecznie to przeczytaj" a linki odsyłają do indexa, trza się zdecydować, czy tworzy się podstronę i w pełni uzupełnia danymi, czy nie robi jej się wcale.

Dygresja:
Kursy języków programowania w formie Wideo to w moim mniemaniu największa durnota, ani nie widać co jest, przepisać kod jest ciężko, a znaleźć cokolwiek to już zupełnie.

Przy dodawaniu komentarza przez ułamek sekundy widać errora bazy danych, coś z sesja i ponownym wysyłaniem nagłówka.

To zależy jak się to zrobi.

Railsy mają rewelacyjne casty: http://railscasts.com/

Oprócz samego wideo, jest też opis, źródła, dodatkowo jest jeden gość, który przepisuje wszystko na zwykły tekst i dodaje screeny (ASCIIcast), jak np. tutaj: http://railscasts.com/episodes/358-brakeman?view=asciicast

Nie prawda! To nie są moje wulgaryzmy! To są WASZE wulgaryzmy które na podstawie logów dodałem do skryptu

@materkamil: Ty dodałeś -> Twoje wylgaryzmy

@materkamil w poprzedniej wersji skryptu było to tak samo sformułowane i nie wypieraj się, bo to nie ma sensu,

Co do poradników video Shido masz pewną rację, jedanak na początek na prawdę to ułatwia wszystko, ja po obejrzeniu unknowna nie znudziłem się i zacząłem czytać książki, które jakoś tam rozumiem.

Co do tematu, trochę bałagan się robi :/

Tak, każda Twoja strona jest źle napisana. I zawiera te same błędy.

Co do CSS to zauważ, że

[HTML] pobierz, plaintext 
body {
background: url('images/bg.jpg');
padding: 0;
margin: 0;
font-family: verdana;
font-size: 15px;
background-attachment: fixed;
}
[HTML] pobierz, plaintext 

chodzi mi dokładniej o

[HTML] pobierz, plaintext 
url('images/bg.jpg');
[HTML] pobierz, plaintext 

http://webprotection.xaa.pl/images/bg.jpg

Proszę, link nie istnieje.

[HTML] pobierz, plaintext 
body {
background: url('images/bg.jpg');
padding: 0;
margin: 0;
font-family: verdana;
font-size: 15px;
background-attachment: fixed;
}
[HTML] pobierz, plaintext 

Daj tak:

[CSS] pobierz, plaintext 
html{
background: url('images/bg.png');
(...)
}
[CSS] pobierz, plaintext 

W style.css aż 8 razy korzystasz z tego samego pliku(bg.png) do różnych divów żeby uzyskać tło strony?

Edit: Zresztą jak już niektórzy stwierdzili - tu nie ma co oceniać, gdyż nie bierzesz sobie tego do serca co mówią inni...

Racja, już to poprawiłem. Dzięki, nie zauważyłem tego binprogrammer

Chciałem napisać komentarz ale napotkałem komunikat:

[PHP] pobierz, plaintext 
Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/webprote/public_html/comment.php:2) in /home/webprote/public_html/comment.php on line 3
[PHP] pobierz, plaintext 

Więc uwaga tu:
Zapoznaj się z tym:
http://www.sjp.pl/st%B1d
i zastosuj w "projekcie" rozmowa.
Musisz jeszcze sporo popracować nad swoją stroną.

@up takich błędów jest więcej, ale to normalne w tym przypadku



btw. nie żebym coś sugerował, ale skoro już publicznie udostępniasz swój login do konta, a znając Twoje wcześniejsze hasła, możesz mieć problem za jakiś czas.

Temat "tak popularny", a w sumie nie ma czego oceniać :\

Wszystkie wskazane błędy FPD ujawniające ścieżkę naprawiłem



Tamte były hasła wspólne dla innych ludzi. Gwarantuje że złamanie hashu md5 mojego hasła jest praktycznie niemożliwe

Oj materkamil, oj materkamil



Powiem ci co powiedziała moja pani od informatyki w podstawówce, cytuję:



także nie masz co być takim pewnym swojego hasła

Po co ktoś miałby "łamać" MD5, skoro zna je w postaci jawnej.

Poza tym wpisz to w google, fc041ed05ac319d5fe613877a7b1cfd2 i przekonaj się jak to jest trudne hasło odszyfrować.

Wiem bardzo dobrze jak łamie się hashe md5 i jest to na 99,99% niemożliwe, przykładowo gdy hasło ma znaki specjalne, cyfry, litery, duże litery i jest długie brute force nie dociągnie

g. prawda. Znak to znak, niezależnie czy to % czy b. Po prostu czym więcej znaków tym więcej czasu potrzeba do złamania.

Materkamil ,ale z Ciebie haXior . Czy wiesz ,że md5, ani sha1 nie spełnia standardów bezpieczeństwa i są ogólnie wycofywane z instytutów rządowych. Poza tym raczej nikt się brute force nie bawi ,a w przypadku md5 można by, gdyż ogólnie ilość znaków kodowanych jest krótka niż w mocniejszych algorytmach rodziny sha2.Poza tym generowanie hashy w md5 jest szybkie(za szybkie), łatwiej w nim o kolizje.Dla twej informacji hashe łamie się za pomocą tablic tęczowych ,a nie metodą brute force.

Zacznijmy od tego że hashy w ogóle się nie łamie. Jakby to było na 99,99% niemożliwe to nadal byś używał md5, bo nic innego nie byłoby potrzebne.

I nie ustosunkowałeś się do tego co napisałem. Nie chodziło mi o Twoje hasło które masz w pożal się boże skrypcie, tylko o te do hostingu.

Niktoś - http://hackme.pl/forum/viewthread.html?thr...&pid=125070

Twój brak kompetencji przysłania tylko Twoja arogancja. Masz stronę o bezpieczeństwie, która była dziurawa jak sito (pewnie jeszcze nawet jest). Udzielasz się na ircu (oraz na forach chakerskich) jakbyś był niewiadomo jakim guru. Najgorsze w tym wszystkim jest jednak to, że Ty faktycznie myślisz, że jesteś ekspertem. Wcześniej to było śmieszne, teraz jest to smutne i żenujące. Zresztą to nie tylko moja opinia. Pamiętasz jak chciałeś walczyć z ACTA?

I nagle po tak krótkim czasie stałeś się ekspertem? Dla mnie temat do zamknięcia, szkoda tracić czasu, bo nic nie wynosisz.

Co to ma być?



Nie!

Popieram ACTA

W ogóle nie wiem co co za cytat? Nigdy nie zniszczyłem i nie chciałem zniszczyć nikomu strony. Co wy ze mnie idiotę robicie? Ludzie, jak bym był taki wredny jak wy, zaraz nazwał bym się !*! i wypisywał bym idiotyzmy na forach. Ciekawe jaką by potem prawdziwy !*! miał reputację

Normalną. Ponieważ nie robię z siebie aż takiego idioty tu. I ten nick używam tylko na forum.php.pl, na innych możesz mieć problem z jego rejestracją ale jak chcesz próbuj.
Poza tym trudno jest mi uwierzyć że to fake, domyślając się z jakiego to portalu, a już nie raz wykazałeś na nim że jesteś mało rozgarnięty.

Popatrz dobrze w google na materkamila, a znajdziesz nawet moje prywatne numery telefonu. I na pewno samemu to opublikowałem co?