42
-
sonicXX #42 Szvsz az lenne a legcélszerűbb, hogy ha a captcha-t egy JS töltené be onload eseményre. Ebben a JS-ben szükséges bevetni olyan trükköket amivel a szerveroldali JS értelmezők nem bírnak el, pl window.location.href-et lekérni. Ahhoz, amiről beszélek, szükséges, hogy a captcha-t tartalmazó aloldalban egy lehetőleg totál egyedi URL legyen (mondjuk egy hash-nek kell szerepelni benne), amit ha egyszer megnyitnak, az regelésre kerül, így biztosítva hogy egy ilyen URL csak egyszer használatos legyen. A JS a hash-t elküldi AJAX kérés formájában a szervernek, ami ellenőrzi és regeli, majd egy véletlenszerű algoritmuson alapuló captcha-t tesz ki (adott esetben teljesen más mechanikával működőt). Ha a hash már regelve volt, a helyes választ is helytelennek minősítve újrafrissíti az oldalt, míg ha a hash még nem volt regelve, a választ elfogadva továbblép.
Szerintem ez eléggé megszivatná a botok 99%-át. -
Sundance #41 "lassan ott járunk, hogy egy e-mail regisztrációhoz vissza kell a webkamerába énekelni és táncolni egy teljes folk műsort" :DDDDDDDDDDDD :D :D
Hát sokmindent megbocsátottam most a cikk szerzőjének eddigi dolgai közül :D -
ultravox #40 Ja én is ezt mondtam. Ésmég: Mivel (még) nincs megoldás a jó captcha-ra ezért ez a játék kitűnő üzlet lenne a tulajdonosának, ha így fejtetné meg a sok spam ellenes captcha-t :) Két legyet egy csapásra :)
Ahogy én tudom Ian szerencsére nem ilyen célból csinálta :) -
aDannyBoy #39 imho a CCC egész lényege az, hogy a sok kis ügyesgyerek minél jobb megoldásokat fejlesszen a spammereknek captcha kijátszására...
zseniális ötlet nem? ideológiával a hightechebb spamért :) -
ultravox #38 ccc-nél a hash csak egy ideig működött. Tátottam is a számat amikor a japánok kifejlesztették először. Én azt hittem okosabb a fejlesztő és nem fix hashelhető "kacsákat" csinál. És de. Azóta fejlesztett és nem hashelhető már. -
Wilddog #37 "A feladatok nem bonyolultak bár sok fórumon biztos jót tenne a színvonalnak, ha egyfajta IQ tesztként is funkcionálna"
Haha... ez vajon nektek szólt? :) -
#36 Mikor lesz már olyan spam reklám, hogy
"Spammerek kilétének kiderítését, fejük asztal sarkába ütögetését kedvezményes áron vállaljuk." -
atomkrumpli #35 Jó a CAPTCHA de mindíg lesz ember akit pénzért felbérelhetnek aztán bemászik egy oldalra és teleszórja kéretlen reklámmal.
Itt az sg-n is van már ilyen reklám ember aki teleszórt egy népszerűbb topikot üdítős reklámmal és nyitott saját reklám topikot is. -
peba #34 keccsa' -
savior #33 nem feltetlenul az id-t kell a proginak megmondani. pl kepreszleteket is kozolhetsz vele, ami alapjan felismeri. mondjuk a kep jobb also es bal felso sarkaban levo 10x10 pixel alapjan azonosithatja, hogy melyik kep az, igy meg ha ki is takarnak belole reszletet(pl arcabol) akkor is felismeri hogy az az a kep, amin pl macska van -
#32 Azért vannak durva dolgok ezzel. Pl ismerek egy külföldi játékszervert, amin az első account regelés, szinte mindenkinek legalább 10 percig tart, mert olyan olvashatatlanul írja a szöveget, hogy nemhogy gép, de még az ember se nagyon tudja elolvasni. pl I és l (persze olyan betűtípussal ahol mind2 csak egy vonal), vagy pl a g egy elbaszott 6-osnak néz ki rajta, vagy az egész szöveg át van húzva egy ugyanolyan színű vonallal mint a szöveg. Ilyesmi, és ez még az olvashatóbb eset. Van olyan ahol hasonló képet kell felismerni, és nagy-kis betű is számít, de a képen szereplő betűtípusokon nincs különbség a 2 között, tehát tiszta szerencse kell hozzá hogy beregelj. -
savior #31 a keprol leolvasos vedelmet kijatszak az 1-es kommenttel, az egyeb jellegu feladatok meg elriasztjak az oldal latogatoit. ne kelljen mar rejtvenyeket megoldanom hogy ha csinalni akarok valamelyik oldalon valamit. az meg meg idegesitobb, ha pl 10-15 percenkent a kepembe vag egy ilyen feladvanyt az oldal(webes jateknal volt ra pelda).
az meg megint egy masik dolog, hogy a vakok es gyengenlatok kapasbol kukazhatjak az ilyen oldalakat, mert hogy fejtik meg ami a kepen van? -
peetking #30 ez így marhaság, ha valaki úgy írja meg h mindig statikus névvel adja a képet akkor meg is érdemli...
lehet pl random néven adni a képeket pl : xy.php?akarmi=xyz, és majd a szerver tudja melyik mi. lehet tovább ragozni h ha kicsi a forgalom akkor valós időben egy kicsit változtat a képen, pl JPEG tömörítésén változtat, így változik a HASH je, szóval ezáltal sem lehet adatbázist építeni. innentől elég 2 kép is és csak választani kell, ha meg még tesz rá sepiát, black-white, blurt valamit akkor már azzal sem lehet operálni h pl megvizsgálja a képek fény viszonyait.
Megint oda jutottunk h ez az egész örült processzor idő igényes...
ccc nél végül a HASH adatbázis építés lett a megoldás... -
#29 "Persze a szabadlmaztatás a mikrofos asztala, nem csodálkoznék, ha fél év múlva ellopnák ezt az ötletet is mint már annyi mást, és szabadalmaztatnák."
Te még egy ilyen cikkből is képes vagy Microsoft vs Linux vitát szítani. -
Yv@n #28 Nem igazán. Alap, hogy a 24 képet egy server side futó script adja vissza, session és képenkénti random id-vel, és szerver oldalon él csak, hogy melyik id-hez épp milyen állat tartozik. -
s2rk2ny #27 "A csel a következő: CSS-sel elrejtünk egy szövegbeviteli mezőt a képernyőről, illetve a CSS-t nem támogató böngészőt használók (lehetnek vakok, links-fanatikusok, stb) kedvéért kiírjuk hozzá, hogy ebbe a mezőbe ne írjon semmit. Ezután ha az űrlapot úgy küldi a felhasználó, hogy az említett rejtett (de csak megjelenés szempontjából, a type="hidden"-t észreveheti az okosabb spambot) mezőben szöveg van, akkor egyszerűen eldobjuk a hozzászólást."
Én már egy éve használom ezt a trükköt és 100%, ismétlem - 100%-ban működik. Több mint 1100 spam üzenetet szűrtem ki így... -
#26 Igaz, célszerű egy komment elküldésekor vagy más felhasználói aktivitáskor is odafigyelni erre. Maga a pontozás szinte bármikor alkalmazható. -
postmortem #25 Az ötlet nem rossz, de szerintem alapból rossz a felfogás amit követnél. Szerintem nincs értelme a kaput ( login ) védeni, hiszen adott esetben azt egy mezei user is beviheti. Viszont a cél, hogy rövid idő alatt temérdek dolgot csinálni a kapu másik oldalán olyan, amit egy user nem képes végrehajtani. Erre kell szűrni szerintem. -
#24 MI-módszerekkel is okosíthatók a CAPTCHA (én kapcsának - lásd a szóviccet a cikkben - vagy angolul kepcsa-nak ejtem) törésére szakosodott programok, szóval a véletlenszerű torzítás nem mindig vezet eredményre.
Manapság a legtöbben a reCAPTCHA szolgáltatást ajánlják a fejlesztőknek, itt a felismeréssel könyvek digitalizálását lehet segíteni.
A Mefiblogon láttam egy ötletet, ami arra épül, hogy a spammerprogramok általában meghatározott szerkezetű formokra vadásznak, vagy bután kitöltenek minden formot, ami az útjukba kerül. Így néz ki:
<form action="comment.php" method="post">
<label for="name">Neved: </label><input id="name" name="name" type="text" />
<label for="comment">Hozzászólás: </label>
<textarea id="comment" name="comment">
</textarea>
<input type="submit" name="save" value="Mentés" />
</form>
A name és a comment már árulkodhat a spammerrobotnak arról, hogy itt egy blog-kommentről vagy vendégkönyvről lehet szó, és szépen beírja a HTML-kódjait mind a kettőhöz, és elküldi a szerverre. A csel a következő: CSS-sel elrejtünk egy szövegbeviteli mezőt a képernyőről, illetve a CSS-t nem támogató böngészőt használók (lehetnek vakok, links-fanatikusok, stb) kedvéért kiírjuk hozzá, hogy ebbe a mezőbe ne írjon semmit. Ezután ha az űrlapot úgy küldi a felhasználó, hogy az említett rejtett (de csak megjelenés szempontjából, a type="hidden"-t észreveheti az okosabb spambot) mezőben szöveg van, akkor egyszerűen eldobjuk a hozzászólást.
A saját blogomon egyelőre az IQ-teszt módszert alkalmazom, azaz a felhasználónak regisztrációkor össze kell adni két négyjegyű, számot (úgy generálom, hogy az összeg is legfeljebb négyjegyű legyen), de a reCAPTCHA és a rejtett mező is használható ötletnek tűnik. Ezek kombinációja lehet a legjobb, valamint a browser agent-ek feketelistázása. A szebb módszer az, ami több ötletet kombinál. Mondjuk készítünk három sávot pontozással: 0-10 pontig biztosan spammer, 10-20-ig bizonytalan, moderátori jóváhagyás kell, 20 pont fölött ember. (Hasraütve.) Ezután ha oldallekérésnél letölti az oldalhoz tartozó képeket, JS-fájlokat, CSS-t, favicont, RSS-t, satöbbit, az 1-2 pont elemenként, ha stimmel a referer az 5 pont, ha stimmel a vízuális CAPTCHA, az mondjuk 5 pont, ha ki van töltve, aminek ki kell, az 2 pont, ha nincs benne html-kód, viagra és hasonló feketelistás szó, az 1 pont, ha nincs kitöltve egy vízuálisan rejtett mező, az 3 pont, ha az oldallekérés és a küldés között eltelt legalább 10 másodperc, az 2 pont, ha lefutott egy javascript, az újabb 1-2 pont, stb. Ezután a pontjai alapján - statisztikai módszerekkel belőtt határok szerint - a rendszer már okosan eldöntheti, hogy spammer-e.
Ha lesz egy kis időm, elszórakozok ezzel. -
ultravox #23 www.clickclickclick.com játék captcha-t kér mégis volt úgy, hogy 2 millárd kattintás volt Magyarorrszágról. Hogy, hogy? Hát így: http://hunclicker.hu/manuals.php
Jó játék :-) Gyertek próbáljátok ki :) -
droberto #22 GulaSoft: Ott a pont!!! Ez jó! -
#21 "A Google szoftverei tökéletesen jó példát adnak, hiszen nemrégiben számoltak be arról, hogy a képkeresőjük képes felismerni ha egy emberi arcot lát a képen. Nyilván egy macskát még könnyebb lenne felismertetni." - Na igen, de ha mondjuk fekete párducok, nőstény oroszlánok, leopárdok, híúzok, meg tigrisek is vannak a kutyák között, nem csak házi cicák? -
#20 "Manapság a legnépszerűbb kijátszása az ilyen rendszereknek egy hibrid megoldás. A számítógép végzi a kulimunkát, de néhány ember ül a gépnél, és amikor a szoftver elér egy CAPTCHA védelemhez, akkor feldobja az embernek az ablakot, aki beírja és máris mehet tovább a móka. Ráadásul elég sok weboldal van, ahol csupán néhány kép vagy néhány karaktersor van, amit később a gép már fel fog ismerni. A hazai legnagyobb linkgyűjtemény, a Startlap esetén is alig néhány szó pörög körbe, így viszonylag könnyű lenne egy komoly támadás ellenük. A számítógépnek ilyenkor négy lépésen kell túlesnie: Elsőként kiemelni a képfájlt a weboldalról. Ez könnyű. Másodszor izolálni a karaktereket a háttértől, ami lehet zizis, vonalas, színes, csillogós. Ez nehéz. Ha mégis megvan, akkor már csak szegmentálni kell a képet, azaz felszeletelni darabokra betűnként, majd végül felismerni őket egyesével."
- Már nem azért, de ilyen törés ellen nem lehetne, hogy minden alkalommal másképp torzítaná a betüket a program? Mint ahogy Photoshopban lehet a képeket torzítgatni: nyújtani, csavarni, összenyomni, tükrözni, stb. Mondjuk minden betüt minden alkalommal csak pár százalékos mértékben de újra és újra véletlenszerűen áttorzítana minden, hogy lényegében minden bejelentkezésnél kiszámíthatatlanul más legyen. Máris nem ismerné fel a korábbi törés alapján a betűket. -
Cat #19 ezt az egészet kilövi az #1-es pont, azaz ha egy pornóra vágyó emberrel ismerteted fel a képet, majd utána fut tovább a program. -
postmortem #18 Szerintem nincs védelem, pontosan azért mert ha be akarnak jutni akkor felbérelnek valami szerencsétlent bagóér' és már bennt is vannak. A kiveszem a képet megoldás még ennél is jobb, hiszen a "szerencsétlen" nem is tudja, hogy éppen egy másik site feltörésében segédkezett.
Ez egész alapja az, hogy nem zárhatod ki a user-t, ugyanakkor nem tudod megmondani, hogy a próbálkozó user milyen szándékkal jött. A CAPTCHA arra jó, hogyha az oldaladat ne lehessen 2 mp alatt telerakni. Ha be akarnak törni, úgyis betörnek...
A megoldás szerintem abban rejlik, hogy a user viselkedését monitorozni kell. Meg kell határozni korlátokat, amire egy ember nem képes. Ha a botot pedig lelassítják akkor már nem tud olyan intenzíven spammelni... Amíg csak a kaput őrzik, addig úgyis ki fogják játszani, ha kell egy "fake" userrel, legyen az bérmunkás vagy balek.
-
#17 Most szabadalmaztassam azt az ötletemet, hogy nem egy kérdés van a képekhez hanem több? Tehát van egy 40 képből álló adatbázis, abból 16-ot rak ki a rendszer, és nem csak azt tudja kérdezni, hogy melyik a cica, véletlenszerűen még 10-20 kérdés is van, pl. melyik cicán van piros nyakörv, vagy ugyan ahhoz a képhez jó válasz az igen arra is, hogy melyik képen látszik a cica gazdája. Innentől kezdve lehet felismerőprogram ami felismeri a cicát, de ha nem olyan kérdést kap, amire már tudja a választ, akkor cseszheti. És ehhez kell 40 kép meg 40 különböző kérdés, ebből 16 képet rak ki, mire csak arra összeszedik a hackerek a választ, hogy melyik a cica, már régen más képek lehetnek arendszerbe, és a többi kérdésre még lövésük sem lesz!
Persze a szabadlmaztatás a mikrofos asztala, nem csodálkoznék, ha fél év múlva ellopnák ezt az ötletet is mint már annyi mást, és szabadalmaztatnák. -
homeless #16 Hát azért az EU-n belül se jellemző, hogy kiadnák az adatokat. Vagy azt nemtudom, hogy adatokat kiadnak e, de volt már rá példa, hogy egy magyar oldal-t nem tudtak töröltetni, mert Szlovákiába volt a szerver. -
turul16 #15 Nem jó kutya macska módszer.
24 kép van. Ember megnézi, mind a 24-et elmondja proginak, hogy melyik-melyik és már bent is van. -
#14 Úgy, hogy civilként vásárolsz az illető embertől valahol át kell adnia a terméket, aztán bepoloskázod, követed meg ilyesmi és akikkel üzletet köt azokat megbünteted. Videófelvétel készül az átadásról. -
#13 Egyébként hogy ejtik ezt a CAPTCHA-t? Leírná vki pls? -
#12 És azt hogy találod ki, hogy ki vásárolt olyan terméket? Ha pl. Viagrát, vagy vmilyen más gyógyszert reklámoz, akkor bemész a patikába és megveszed. Senki nem fogja rád, hogy spam miatt volt. Ha neten keresztül veszed, azt meg hogy derítik ki?? -
#11 Nem mondtam, hogy csak, de főként az ázsiai kontinens országainak nincs kiadatási kötelességük mondjuk az USA felé.
Az USA és az EU tagországok között nincs ilyen probléma Afrika nagy részén még személyi számítógép sincs nemhogy net vagy szerverpark Ausztráliában meg megint nem jellemző.
"Szerintem hatásosabb lenne a dolog úgy, hogy azokat vágnák meg akik spammerekkel reklámoznak"
Ez nem lenne megvalósítható, már kifejtettem másik hasonló témájú topicban, hogy miért.
Akik vásárolnak azokat viszont tényleg megbüntethetnék. -
AbyssLord #10 Szerintem hatásosabb lenne a dolog úgy, hogy azokat vágnák meg akik spammerekkel reklámoznak, vagy mégjobb, ha azokat, akik a spammereken keresztül reklámozóktól vásárolnak. Nincs kereslet -> nincs reklám. -
homeless #9 Ez nem csak Ázsiában van így, hanem szinte minenhol. Sok magyar oldal is külföldi szervereken van pont emiatt. -
#8 LOL. Szerinted az nekik pénz? Egymilliárd már jobban hangzana, de az sem az igazi. Csak a kínszenvedés általi halál lehet elég elrettentő példa az összes geci számára. És még "mi" sötétezzük le a középkort. Mikor volt kevesebb bűnözés? Az ember ősi ösztöne, hogy fél a fájdalomtól és a haláltól, ha meg csak szabadságvesztéssel és pénzbüntetéssel súlytják, akkor egy idő után a bátrabbaknak kinyílik a csipája és megkockáztatja, mert eluralkodik rajta az "Engem úgysem kaphatnak el, én ügyes vagyok." érzés.
Radikális változásokra lenne szükség a törvénykezésben, különben "rosszabb világ" köszönt be, mint aminek egyes filmek lefestik a "hanyatló" jövőt.
Egyáltalán mi az, hogy nem adhatják ki mondjuk Ázsia egyes országaiban lévő szerverparkok bérlőinek adatait a külföldi hatóságoknak? -
bunny #7 Ezt kéne, csak van egy hátulütője. Én ki akarok szúrni veled, ezért elkezdek a nevedbe spam-elni. Aztán hátradőlve röhögök, hogy megvágnak 1M dodóra -
tmisi #6 A ticketmasteresnél nem értem, minek a vonalazás, már a nélkül is kemény dió egy jó szemű ember számára is. -
sokadikgab #5 A multkor talaltam egy jo kis oldalt ezzel a temaval kapcsolatban:
link
3Ds CAPTCHA, ezzel el lesznek egy kis ideig me'g fel nem torik ... -
Hamlet #4 Esetleg nem lehetne a spamben hirdetőket elkapni és mondjuk 1 millió dollárra büntetni????? -
peterx #3 érdekes cikk volt! ennyivel is okosabbak lettünk ma!