Насколько сложно написать что-то вроде firebug для firefox, но способное работать несколькими потоками и автоматически? Сколько на это нужно человеко-часов и сколько это будет стоить.

Есть генерирующаяся при каждой загрузке страницы(html) таблица стилей css. То есть html страница одна и та же... выглядит точно так же... меняются только определённые id и class элементов на ней и таблица стилей.

При загрузке страницы приложение должно ловить заголовки, прочитать css страницы и искать в css определённые имена class или id, после чего найти их на html странице. Причем css должен отлавливаться именно на этапе загрузки страницы, так как повторная загрузка данного css невозможна. То есть если обновить данный конкретный css даже в "исходном коде" firefox то он заблокируется.

web-проект мой, я ничего не удумал ломать) Просто думаю какова вероятность того что сломают меня, насколько это быстро ) Делается это для защиты от спама.

Спасибо)

miksoft,

Я первый спросил =) А вообще, честно говоря я итак много сказал. Прошу прощения, но если я расскажу о спамзащите на форуме, то она и защитой быть перестанет, ведь так? Факт в том что это защита. И она помогает. Вопрос в том насколько долго она будет помогать... Моя задача усложнить потенциальному спаммеру жизнь как можно больше...

miksoft,

Ну раз уж спросил то спросил... постарался сказать немного и по делу. Аудит заказать мы не можем, так как проект мой и финансируется мной. И я на это финансирование выделить просто не смогу=) Мне итак 2х админов кормить=) Реклама еще потом будет... когда публичный релиз будет... вобщем денег лишних на это нет.

Модератор: Тема перенесена из форума "C++".

Всем,

Именно шифрование в основе алгоритма. Получение из одного числа кодов... которые позволяют генерировать форму независимо от сайта, каждый раз при загрузке страницы, а также отправить сообщение человеку, но не машине. При этом само собой пользователь не видит изменений и не видит что происходит на самом деле. Но в принципе про расшифровку кодов я не спрашиваю.... посчитаем что код расшифровать невозможно. Во всяком случае пока потенциальный спаммер выяснит алгоритм, он уже поменяется... потому что автоматом меняется каждый час... Заполнить форму с другого сайта по умолчанию невозможно. Остается только вариант со специальным браузером который позволил бы прочитать css и код страницы... собрать вместе возможные варианты куда вставлять значение и собственно вставить эти значения.

Идея лежит на поверхности... более того она уже кое-где применена... только там защита сделана гораздо менее сильной, поскольку такая как у меня не нужна. Однако сказать не могу(

Пожалуйста скажите по теме) Мне просто любопытно... стоит ли еще ломать голову над усилением защиты... усиление уже есть, просто не хочется сразу все козыри врубать. Но если что то придется...

Я понимаю что Вам тоже любопытно, но оригинальная несколькоуровневая спам-защита без каптчи - одна из фишек проекта.

buzzz,

Я могу привести пример спам-защиты открытого типа. Captcha... Надо ли Вам говорить какая это фигня?

1) так как идея открыта и лежит на поверхности не составляет никакой сложности расшифровать код
2) -- || -- люди Вынуждены преобразовывать картинку-каптчу до не узнаваемости... в том числе и человеком.
3) так как оно в конце концов становится нераспознаваемо человеком, то эта вещь вызывает неприязнь и мысль "черт, опять вводить этот дурацкий код". Которая абсолютно совершенно не соответствует духу 21 века. Где всё должно быть гораздо удобнее для человека чем в предыдущих веках.

Вывод: необходимо создавать новые средства спам обороны... совершенно новые алгоритмы... тем более что все они лежат на поверхности. Человеческий спам искоренить крайне сложно, но возможно. А спам-ботов сделать ненужными - это спокойно. Алгоритм всегда можно сломать - факт... Потому я и рассказал что нужно чтобы алгоритм превратился в ненужную нагрузку на процессор... частично рассказал... но первый этап защиты таким образом сломать возможно. А если еще и рассказать где и что этот алгоритм делает, то он станет открытым, а значит многие умы соберутся и сломают его... причем даже чисто из любопытства...

zloy den,

В этом и заключается алгоритм) Все способы автоматической отправки сообщений невозможны... я пробовал... Во всяком случае на данный момент)

Даже если вы будучи человеком используете программу типа roboform или подобную... ничего не выйдет. Она сообщение отправит. Но сразу же появится отметка в базе что вы спаммер. И в зависимости от настроек сообщение не запишется в базу, либо просто пометится... для того чтобы администратор сайта смог все сообщения ваши разом удалить. Спокойно так... одной кнопочкой... То есть спамер подумает что сообщение отправлено и сайт загажен... но все сообщения помечены... и сразу удаляются. Таким образом спамер дооолго будет гадать почему же его сообщения так быстро стираются... и так можно отдалить проблему того что можно догадаться как алгоритм сломать.

Влом регистрироваться,

Вот это я хотел услышать. Плагин для файрфокса... немного думал на эту тему. То есть относительно просто написать подобный плагин?

zloy den,

Спасибо большое за намётку! Уже гуглю...

Всем,

О какой автоматизации браузера идет речь? Какие именно действия можно автоматизировать на базе того же firefox?

zloy den,

Яваскрипт в алгоритме отсутствует до поры до времени... но может быть включен. Я считаю включение яваскрипта в алгоритм крайней мерой, которая отсечёт пользователей без оного и мобильных пользователей, на которых стоит проект делать тоже.

miksoft,

Да... поиск не мой конёк :-[ Спасибо огромное! Это то что нужно для тестов!

zloy den,

Да, это отличная вещь ) Читаю на вики... Спасибо!
Для проверки комментариев на вшивость самое оно... там текста мало, то есть нагрузка будет не очень большой... Тяжело представить с какой нагрузкой сталкиваются mail сервисы... они же я так понимаю этим вот алгоритмом и пользуются...

Вот опять же... простой алгоритм... который лежит на поверхности.. а эффективность высока и нет неудобств для пользователя. Если он не спаммер )

buzzz,

мм... так возможно и получится =)) еще тогда уж надо прописать переход по страницам сайта ))
блин про такую вот штуку я и запамятовал... благодарю ) надо порыскать по теме и посмотреть что программа может

Только со случайной задержкой не получится... не менее 2 секунд... если страница обновляется слишком часто - юзер блокируется на 10 секунд. Если частота отправок сообщений слишком большая за короткое время сообщения от юзера блокируются на некоторый срок.

buzzz,

RuntimeError: element TEXTAREA

вот что показал iMacros когда я попытался повторить действие)))) хахах)))) так что ломать алгоритм таки придётся... ну я еще покумекаю как в iMacros'е css проверить... и еще посмотрю в сторону создания плагинов....

Спасибо всем! Вы мне просто нереально помогли! И еще раз прошу прощения что не могу ваше любопытство успокоить, если оно есть:-[

buzzz,

Ну почему же) Я взял на заметку и Ваши мысли по этому поводу и уважаемых zloy den, miksoft, а также "Влом регистрироваться" ) Просто если будет еще одна преграда перед спаммером, почему нет?

Процессора оно не жрёт практически... а помощь от простых способов спаммерства оказывает ) Сейчас еще посмотрю по поводу "обычного макро-рекордера" =) Если и он не сможет сделать... то в принципе алгоритм будет неплох... для начала)

Однако мне кажется что Вы уже поняли на чем основана защита ? =)

zloy den,

Есть в этом смысл... да... кому надо, тот взломает... Но уменьшить количество людей которые взломают - необходимость.

То есть допустим есть вася пупкин который будет размещать информацию о своём сайте в комментариях везде и всюду. На данный момент ему нужно написать программу которая ходит по страницам, вводит в поле что-то и нажимает кнопочку. С разными плагинами/робоформами и подобным ему и вовсе не нужно ничего писать. Дополнительное ухищрение - разгадка капчи... однако если вася пупкин на сайте зарегистрирован то капчи он скорее всего не увидит. Атака его конечно не будет массированная, но это и плохо потому что отследить маленький поток спама от васи пупкина довольно таки проблематично.

Если создать защиту иного рода, то вася пупкин скорее всего пошлет нафиг это занятие. Возможно он программист отличный и много чего умеет... Вопрос в том сколько сил надо затратить чтобы побить защиту... и стоит ли это того. Порог вхождения слишком высок.

С другой стороны есть порно сайт.. который зарабатывает тысячи и тысячи на спаме... потому что по его ссылкам реально кликают.. И он размещает это везде где только можно. Он заплатит денег программисту и тот найдет способ как взломать защиту. Но! Так как защита новая, то заказчику реально придется платить. И это увеличивает затраты... уже хорошо. Моя задача скорее не прекратить поток спама совсем, а сделать его нерентабельным.

Итак. Порно-сайт заплатил за программу которая защиту сломала. Я добавляю в алгоритм новую деталь.. и алгоритм программиста перестает работать. Необходимо вносить изменения... и это опять же деньги. А уровней можно придумать мноого... И таким образом цена разработки повышается... выгода остаётся той же... А пользователи реальные не видят разницы!

То есть обладатель этого алгоритма... человек который знает как оно работает изнутри понимает что нужно исправить для того чтобы чужие алгоритмы не работали. Это позиция защиты... и обычно она более выигрышна чем позиция нападения, если защита изначально сильна. То есть если я знаю что пароли из формы украсть хоть как-нибудь можно... я всё равно буду логин делать через https... пусть украдут, но я сделаю всё возможное для того чтобы этого не произошло.

miksoft,

сайт доступен в данный момент только 3-им... мне и соотвественно админам. Но я надеюсь что он скоро выйдет в свет... сейчас дописываю фреймворк под проект.... обязательно вышлю ссылочку если вам будет интересно.


buzzz,

key macro меня очень порадовал))) он отправил форму... правда попробовав 2 программы и за пару десятков попыток отправил одно сообщение только( В некоторых случаях он не вводил текст куда надо, в некоторых не открывал то что надо. Но так как он юзера эмулирует, то отправляет без проблем =) вобщем надо работать в этом направлении.

пробовал AutoRecPro v5 и AutoMacroRecorder... 1-ый как раз отправил форму... а второй адекватно воспринимать действительность отказался )