|
|
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
В последнее время стала популярной "защита" с помощью изображения. Туда выводится текст, который нужно ввести юзеру при регистрации, чтоб подтвердить, что он - не робот :) Вопрос: если ли более удобное решение, без идиотских картинок? Мои мысли: 1: Проверять существование email-адреса 2: Проверять IP (запрещать обращение к скрипту с интервалом менее 5 сек.) 3: Если стало ясно, что это робот (более 5 попыток обратиться к скрипту с интервалом менее 5 сек), выдать ему ответ в 10-20 мегабайт, чтоб подавился... 4: Проверять ключ (а ключ запихивать в cookie). Не позволять с одним и тем же ключом вызывать скрипт с интервалом менее 5 сек. (Это если взлом идёт через анонимный прокси). Если у чела cookie отключены, то вызов скрипта вообще запретить. Прошу прокомментировать. Ну и - свои мысли... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2006, 20:58:22 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
yahahaВ последнее время стала популярной "защита" с помощью изображения. Туда выводится текст, который нужно ввести юзеру при регистрации, чтоб подтвердить, что он - не робот :) Вопрос: если ли более удобное решение, без идиотских картинок? Мои мысли: 1: Проверять существование email-адреса чеж робот уже и email не подделает чтоль... 2: Проверять IP (запрещать обращение к скрипту с интервалом менее 5 сек.) ...куча прокси серверов 3: Если стало ясно, что это робот (более 5 попыток обратиться к скрипту с интервалом менее 5 сек), выдать ему ответ в 10-20 мегабайт, чтоб подавился... ... а нафига собственно моему роботу читать твои 10 - 20 мегабайт, если его научили, что если, что то и читать то 10 - 20 первых килобайт твоих данных... 4: Проверять ключ (а ключ запихивать в cookie). Не позволять с одним и тем же ключом вызывать скрипт с интервалом менее 5 сек. (Это если взлом идёт через анонимный прокси). Если у чела cookie отключены, то вызов скрипта вообще запретить. ...что то мешает моему роботу обратившись к твоему скрипту через кучку прокси серверов получить столько ключей сколько мне надо ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2006, 22:40:45 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
yahahaВопрос: если ли более удобное решениеКак идея - например, " плавающая кнопка ".без идиотских картинок? FIGlet ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.04.2006, 22:58:38 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
Ладно, такие идеи: 1. - При регистрации создать запись с временем жизни 24 часа. Формат записи: (email,key). - На email отсылается сообщение с ссылкой типа activate.cgi?key=Jdp1Zloe2dJdIDk. - Если юзер подтверждает регистрацию, создать "нормальную" запись. - Если в течение 24 часов регистрация не подтверждается, "временная" запись удаляется - С данным email может зарегистрироваться только 1 юзер. 2. (модификация п.1 - это чтобы не создавать даже "временную" запись) - Информацию, введённую при регистрации (Имя, адрес, рост, вес...) превратить в псевдо случайную строку "Jdp1Zloe2dJdIDkJdp1Zloe2dJdIDk". - На email отсылается сообщение с ссылкой типа activate.cgi?key=Jdp1Zloe2dJdIDkJdp1Zloe2dJdIDk. - При подтверждении регистрации скрипт проверяет эту строку. Если из неё можно получить разумные данные, то это нормальный юзер. - С данным email может зарегистрироваться только 1 юзер. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 03:46:38 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
Вот привязались к e-mail... Если есть уверенность, что информация кому-то сколько-нибудь нужна, что этому кому-то помешает зарегистрировать домен за 6 баксов и настроить получение и нужную обработку на любой ящик из этого домена? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 07:33:25 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
автори настроить получение и нужную обработку на любой ящик из этого домена? Для этого надо будет: - вручную зарегистрировать 100-200-500 ящиков ( не вручную тебе это сделать не дадут, если конечно, ты не владелец сервера) - создать БД логинов/паролей к этим ящикам - с помощью "робота" 100-200-500 раз заполнить форму (и после каждого заполнения обнулить cookie) - прочитать почту со всех адресов, найти там строку активации (а там вместо строки будет кнопочка, вызывающая функцию JavaScript, которая из разрозненных кусочков строки составит строку активации и отправит её в сеть. Причём эти "кусочки" будут разбросаны по всему файлу, и имена переменных будут случайными) - отправить строку активации ...Ваши комментарии (в т.ч. по моему предыдущему посту)... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 08:29:01 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
Аренда сервера начинается от 50 баксов в месяц, всё остальное "вручную" делать бредово. Кроме того, любой почтовый сервер позволяет сделать один общий ящик, а не прописывать 100-200-500 отдельных. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 08:41:26 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
[quot yahaha - вручную зарегистрировать 100-200-500 ящиков ( не вручную тебе это сделать не дадут, если конечно, ты не владелец сервера) - создать БД логинов/паролей к этим ящикам - с помощью "робота" 100-200-500 раз заполнить форму (и после каждого заполнения обнулить cookie) - прочитать почту со всех адресов, найти там строку активации (а там вместо строки будет кнопочка, вызывающая функцию JavaScript, которая из разрозненных кусочков строки составит строку активации и отправит её в сеть. Причём эти "кусочки" будут разбросаны по всему файлу, и имена переменных будут случайными) - отправить строку активации 2: Проверять IP (запрещать обращение к скрипту с интервалом менее 5 сек.) ...Ваши комментарии (в т.ч. по моему предыдущему посту)...[/quot] -Регить не надо, у любого сервера есть catchall account -Заполять форму не проблема -Яваскрипт не будет работать ни в одной почтовой программе (веб или десктоп - не имеет значения) 2: А як же андекс, в таком случае он положить свой большой и толстый игнор на ваш сайт ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 09:58:58 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
Во-первых, это надо тратить $50 на сервер, из-за этого 90% "хакеров" (которым просто нечего делать или хочется "попрактиковаться") отсеиваются. Во-вторых, в таком случае атака будет вскрыта (при анализе выяснится, что появилось 1000 адресов у одного и того же хостера, далее установить IP "хакера" по логам хостера, узнать какому провайдера этот IP принадлежит, кто клиент) - это в случае серьёзной атаки. В-третьих, насчёт Ява-скрипта. Можно сделать в письме обычную ссылку типа "activate1.cgi?key1=my_key1", которая сгенерирует страничку. На этой страничке будет кнопка и функция Ява-скрипт. Юзер на эту кнопку нажимает, Ява-скрипт генерирует из "кусочков" новый ключ - my_key2, который и активирует запись. :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 17:07:22 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
а что ,проблема настолько остро стоит? у меня на форуме за день примерно 10-20 роботов регятся. раз в сутки по крону грохаю их из БД... всё. Posted via ActualForum NNTP Server 1.3 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 20:35:01 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
А в чем проблема на первом попавшемся компьютере поднять почтовый сервер и получать туда почту? Тогда даже ящиков никаких не надо, сойдет любая прога, "изображающая" SMTP-сервер и записывающая входящие письма (или их части) в файл, или даже на ходу выдирающая строчку авторизации и совершающая запрос. ------------ CMD: Console of Must Die ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.04.2006, 21:15:18 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
тогда в чём проблема распознавания простого пусть даже слегка зашумлённого и наклонённого цифро-буквенного набора ? уровень затрат с обеих сторон упирается в необходимость и ценность ресурса ... если это простой форум то и простой картинки хватит или же даже просто го подтверждения по емайлу потому как особо заморачиваться ради простого ресурса ни кто не будет когда рядом сотни других... вариант с яваскриптом явный изврат при чём грозящий попаданием в блэк листы самого сайта а не спамера :) вариант с емайлом и рэндом линком по емайлу можно решить на первых порах ограничением по времени регистрации для одного хоста ... на пример одна регистрация в 15-30 секунд ... этого более чем достаточно для любого ресурса ... ресурс должен иметь зверскую популярность что бы были столь частые регистрации аккаунтов и неограниченно бешанную популярность что бы регались последовательно по 2 человека в минуту с того же майл.ру... + картинки уже всех научили нажимать по пару раз сабмит и никого не удивит предложение попробовать ещё разок нажать сабмит если уж вдруг последовательность хостов совпала во временном промежутке... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.04.2006, 02:33:39 |
|
||
|
Защита от робота
|
|||
|---|---|---|---|
|
#18+
автора что ,проблема настолько остро стоит? Нет, проблема в основном не реальная, а "перспективная". Задача - разработать систему подтверждения действий пользователя, удобную для юзера и обеспечивающую 99.99% результат. автортогда в чём проблема распознавания простого пусть даже слегка зашумлённого и наклонённого цифро-буквенного набора ? Никакой. Именно поэтому я отказался от "буквенной" картинки и думаю, что бы придумать ещё... :) авторвариант с яваскриптом явный изврат при чём грозящий попаданием в блэк листы самого сайта а не спамера :) Почему? Если чел не будет пытаться обмануть систему, он и не узнает про этот Ява-скрипт. А если будет - придётся всё делать вручную, через 20 минут ему это надоест, и он переключится на что-то более нужное и полезное... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.04.2006, 04:52:21 |
|
||
|
|
start [/forum/topic.php?fid=23&fpage=425&tid=1476310]: |
0ms |
get settings: |
11ms |
get forum list: |
17ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
94ms |
get topic data: |
14ms |
get forum data: |
4ms |
get page messages: |
52ms |
get tp. blocked users: |
2ms |
| others: | 231ms |
| total: | 433ms |
| 0 / 0 |
