CAPTCHA - Ha beírja a szót, megkapja

Szvsz az lenne a legcélszerûbb, hogy ha a captcha-t egy JS töltené be onload eseményre. Ebben a JS-ben szükséges bevetni olyan trükköket amivel a szerveroldali JS értelmezõk nem bírnak el, pl window.location.href-et lekérni. Ahhoz, amirõl beszélek, szükséges, hogy a captcha-t tartalmazó aloldalban egy lehetõleg totál egyedi URL legyen (mondjuk egy hash-nek kell szerepelni benne), amit ha egyszer megnyitnak, az regelésre kerül, így biztosítva hogy egy ilyen URL csak egyszer használatos legyen. A JS a hash-t elküldi AJAX kérés formájában a szervernek, ami ellenõrzi és regeli, majd egy véletlenszerû algoritmuson alapuló captcha-t tesz ki (adott esetben teljesen más mechanikával mûködõt). Ha a hash már regelve volt, a helyes választ is helytelennek minõsítve újrafrissíti az oldalt, míg ha a hash még nem volt regelve, a választ elfogadva továbblép.

Szerintem ez eléggé megszivatná a botok 99%-át.

"lassan ott járunk, hogy egy e-mail regisztrációhoz vissza kell a webkamerába énekelni és táncolni egy teljes folk mûsort" 😄DDDDDDDDDDD 😄 😄

Hát sokmindent megbocsátottam most a cikk szerzõjének eddigi dolgai közül 😄

Ja én is ezt mondtam. Ésmég: Mivel (még) nincs megoldás a jó captcha-ra ezért ez a játék kitûnõ üzlet lenne a tulajdonosának, ha így fejtetné meg a sok spam ellenes captcha-t 😊 Két legyet egy csapásra 😊
Ahogy én tudom Ian szerencsére nem ilyen célból csinálta 😊

imho a CCC egész lényege az, hogy a sok kis ügyesgyerek minél jobb megoldásokat fejlesszen a spammereknek captcha kijátszására...
zseniális ötlet nem? ideológiával a hightechebb spamért 😊

ccc-nél a hash csak egy ideig mûködött. Tátottam is a számat amikor a japánok kifejlesztették elõször. Én azt hittem okosabb a fejlesztõ és nem fix hashelhetõ "kacsákat" csinál. És de. Azóta fejlesztett és nem hashelhetõ már.

"A feladatok nem bonyolultak bár sok fórumon biztos jót tenne a színvonalnak, ha egyfajta IQ tesztként is funkcionálna"

Haha... ez vajon nektek szólt? 😊

Mikor lesz már olyan spam reklám, hogy

"Spammerek kilétének kiderítését, fejük asztal sarkába ütögetését kedvezményes áron vállaljuk."

Jó a CAPTCHA de mindíg lesz ember akit pénzért felbérelhetnek aztán bemászik egy oldalra és teleszórja kéretlen reklámmal.
Itt az sg-n is van már ilyen reklám ember aki teleszórt egy népszerûbb topikot üdítõs reklámmal és nyitott saját reklám topikot is.

keccsa'

nem feltetlenul az id-t kell a proginak megmondani. pl kepreszleteket is kozolhetsz vele, ami alapjan felismeri. mondjuk a kep jobb also es bal felso sarkaban levo 10x10 pixel alapjan azonosithatja, hogy melyik kep az, igy meg ha ki is takarnak belole reszletet(pl arcabol) akkor is felismeri hogy az az a kep, amin pl macska van

Azért vannak durva dolgok ezzel. Pl ismerek egy külföldi játékszervert, amin az elsõ account regelés, szinte mindenkinek legalább 10 percig tart, mert olyan olvashatatlanul írja a szöveget, hogy nemhogy gép, de még az ember se nagyon tudja elolvasni. pl I és l (persze olyan betûtípussal ahol mind2 csak egy vonal), vagy pl a g egy elbaszott 6-osnak néz ki rajta, vagy az egész szöveg át van húzva egy ugyanolyan színû vonallal mint a szöveg. Ilyesmi, és ez még az olvashatóbb eset. Van olyan ahol hasonló képet kell felismerni, és nagy-kis betû is számít, de a képen szereplõ betûtípusokon nincs különbség a 2 között, tehát tiszta szerencse kell hozzá hogy beregelj.

a keprol leolvasos vedelmet kijatszak az 1-es kommenttel, az egyeb jellegu feladatok meg elriasztjak az oldal latogatoit. ne kelljen mar rejtvenyeket megoldanom hogy ha csinalni akarok valamelyik oldalon valamit. az meg meg idegesitobb, ha pl 10-15 percenkent a kepembe vag egy ilyen feladvanyt az oldal(webes jateknal volt ra pelda).
az meg megint egy masik dolog, hogy a vakok es gyengenlatok kapasbol kukazhatjak az ilyen oldalakat, mert hogy fejtik meg ami a kepen van?

ez így marhaság, ha valaki úgy írja meg h mindig statikus névvel adja a képet akkor meg is érdemli...

lehet pl random néven adni a képeket pl : xy.php?akarmi=xyz, és majd a szerver tudja melyik mi. lehet tovább ragozni h ha kicsi a forgalom akkor valós idõben egy kicsit változtat a képen, pl JPEG tömörítésén változtat, így változik a HASH je, szóval ezáltal sem lehet adatbázist építeni. innentõl elég 2 kép is és csak választani kell, ha meg még tesz rá sepiát, black-white, blurt valamit akkor már azzal sem lehet operálni h pl megvizsgálja a képek fény viszonyait.

Megint oda jutottunk h ez az egész örült processzor idõ igényes...

ccc nél végül a HASH adatbázis építés lett a megoldás...

"Persze a szabadlmaztatás a mikrofos asztala, nem csodálkoznék, ha fél év múlva ellopnák ezt az ötletet is mint már annyi mást, és szabadalmaztatnák."

Te még egy ilyen cikkbõl is képes vagy Microsoft vs Linux vitát szítani. <#boxer><#mf1>

Nem igazán. Alap, hogy a 24 képet egy server side futó script adja vissza, session és képenkénti random id-vel, és szerver oldalon él csak, hogy melyik id-hez épp milyen állat tartozik.

"A csel a következõ: CSS-sel elrejtünk egy szövegbeviteli mezõt a képernyõrõl, illetve a CSS-t nem támogató böngészõt használók (lehetnek vakok, links-fanatikusok, stb) kedvéért kiírjuk hozzá, hogy ebbe a mezõbe ne írjon semmit. Ezután ha az ûrlapot úgy küldi a felhasználó, hogy az említett rejtett (de csak megjelenés szempontjából, a type="hidden"-t észreveheti az okosabb spambot) mezõben szöveg van, akkor egyszerûen eldobjuk a hozzászólást."

Én már egy éve használom ezt a trükköt és 100%, ismétlem - 100%-ban mûködik. Több mint 1100 spam üzenetet szûrtem ki így... <#eljen>

Igaz, célszerû egy komment elküldésekor vagy más felhasználói aktivitáskor is odafigyelni erre. Maga a pontozás szinte bármikor alkalmazható.

Az ötlet nem rossz, de szerintem alapból rossz a felfogás amit követnél. Szerintem nincs értelme a kaput ( login ) védeni, hiszen adott esetben azt egy mezei user is beviheti. Viszont a cél, hogy rövid idõ alatt temérdek dolgot csinálni a kapu másik oldalán olyan, amit egy user nem képes végrehajtani. Erre kell szûrni szerintem.

MI-módszerekkel is okosíthatók a CAPTCHA (én kapcsának - lásd a szóviccet a cikkben - vagy angolul kepcsa-nak ejtem) törésére szakosodott programok, szóval a véletlenszerû torzítás nem mindig vezet eredményre.

Manapság a legtöbben a reCAPTCHA szolgáltatást ajánlják a fejlesztõknek, itt a felismeréssel könyvek digitalizálását lehet segíteni.

A Mefiblogon láttam egy ötletet, ami arra épül, hogy a spammerprogramok általában meghatározott szerkezetû formokra vadásznak, vagy bután kitöltenek minden formot, ami az útjukba kerül. Így néz ki:

<form action="comment.php" method="post">
<label for="name">Neved: </label><input id="name" name="name" type="text" />
<label for="comment">Hozzászólás: </label>
<textarea id="comment" name="comment">
</textarea>
<input type="submit" name="save" value="Mentés" />
</form>

A name és a comment már árulkodhat a spammerrobotnak arról, hogy itt egy blog-kommentrõl vagy vendégkönyvrõl lehet szó, és szépen beírja a HTML-kódjait mind a kettõhöz, és elküldi a szerverre. A csel a következõ: CSS-sel elrejtünk egy szövegbeviteli mezõt a képernyõrõl, illetve a CSS-t nem támogató böngészõt használók (lehetnek vakok, links-fanatikusok, stb) kedvéért kiírjuk hozzá, hogy ebbe a mezõbe ne írjon semmit. Ezután ha az ûrlapot úgy küldi a felhasználó, hogy az említett rejtett (de csak megjelenés szempontjából, a type="hidden"-t észreveheti az okosabb spambot) mezõben szöveg van, akkor egyszerûen eldobjuk a hozzászólást.

A saját blogomon egyelõre az IQ-teszt módszert alkalmazom, azaz a felhasználónak regisztrációkor össze kell adni két négyjegyû, számot (úgy generálom, hogy az összeg is legfeljebb négyjegyû legyen), de a reCAPTCHA és a rejtett mezõ is használható ötletnek tûnik. Ezek kombinációja lehet a legjobb, valamint a browser agent-ek feketelistázása. A szebb módszer az, ami több ötletet kombinál. Mondjuk készítünk három sávot pontozással: 0-10 pontig biztosan spammer, 10-20-ig bizonytalan, moderátori jóváhagyás kell, 20 pont fölött ember. (Hasraütve.) Ezután ha oldallekérésnél letölti az oldalhoz tartozó képeket, JS-fájlokat, CSS-t, favicont, RSS-t, satöbbit, az 1-2 pont elemenként, ha stimmel a referer az 5 pont, ha stimmel a vízuális CAPTCHA, az mondjuk 5 pont, ha ki van töltve, aminek ki kell, az 2 pont, ha nincs benne html-kód, viagra és hasonló feketelistás szó, az 1 pont, ha nincs kitöltve egy vízuálisan rejtett mezõ, az 3 pont, ha az oldallekérés és a küldés között eltelt legalább 10 másodperc, az 2 pont, ha lefutott egy javascript, az újabb 1-2 pont, stb. Ezután a pontjai alapján - statisztikai módszerekkel belõtt határok szerint - a rendszer már okosan eldöntheti, hogy spammer-e.

Ha lesz egy kis idõm, elszórakozok ezzel.

www.clickclickclick.com játék captcha-t kér mégis volt úgy, hogy 2 millárd kattintás volt Magyarorrszágról. Hogy, hogy? Hát így: http://hunclicker.hu/manuals.php
Jó játék :-) Gyertek próbáljátok ki 😊

GulaSoft: Ott a pont!!! Ez jó!

"A Google szoftverei tökéletesen jó példát adnak, hiszen nemrégiben számoltak be arról, hogy a képkeresõjük képes felismerni ha egy emberi arcot lát a képen. Nyilván egy macskát még könnyebb lenne felismertetni." - Na igen, de ha mondjuk fekete párducok, nõstény oroszlánok, leopárdok, híúzok, meg tigrisek is vannak a kutyák között, nem csak házi cicák?

"Manapság a legnépszerûbb kijátszása az ilyen rendszereknek egy hibrid megoldás. A számítógép végzi a kulimunkát, de néhány ember ül a gépnél, és amikor a szoftver elér egy CAPTCHA védelemhez, akkor feldobja az embernek az ablakot, aki beírja és máris mehet tovább a móka. Ráadásul elég sok weboldal van, ahol csupán néhány kép vagy néhány karaktersor van, amit késõbb a gép már fel fog ismerni. A hazai legnagyobb linkgyûjtemény, a Startlap esetén is alig néhány szó pörög körbe, így viszonylag könnyû lenne egy komoly támadás ellenük. A számítógépnek ilyenkor négy lépésen kell túlesnie: Elsõként kiemelni a képfájlt a weboldalról. Ez könnyû. Másodszor izolálni a karaktereket a háttértõl, ami lehet zizis, vonalas, színes, csillogós. Ez nehéz. Ha mégis megvan, akkor már csak szegmentálni kell a képet, azaz felszeletelni darabokra betûnként, majd végül felismerni õket egyesével."
- Már nem azért, de ilyen törés ellen nem lehetne, hogy minden alkalommal másképp torzítaná a betüket a program? Mint ahogy Photoshopban lehet a képeket torzítgatni: nyújtani, csavarni, összenyomni, tükrözni, stb. Mondjuk minden betüt minden alkalommal csak pár százalékos mértékben de újra és újra véletlenszerûen áttorzítana minden, hogy lényegében minden bejelentkezésnél kiszámíthatatlanul más legyen. Máris nem ismerné fel a korábbi törés alapján a betûket.

ezt az egészet kilövi az #1-es pont, azaz ha egy pornóra vágyó emberrel ismerteted fel a képet, majd utána fut tovább a program.

Szerintem nincs védelem, pontosan azért mert ha be akarnak jutni akkor felbérelnek valami szerencsétlent bagóér' és már bennt is vannak. A kiveszem a képet megoldás még ennél is jobb, hiszen a "szerencsétlen" nem is tudja, hogy éppen egy másik site feltörésében segédkezett.

Ez egész alapja az, hogy nem zárhatod ki a user-t, ugyanakkor nem tudod megmondani, hogy a próbálkozó user milyen szándékkal jött. A CAPTCHA arra jó, hogyha az oldaladat ne lehessen 2 mp alatt telerakni. Ha be akarnak törni, úgyis betörnek...

A megoldás szerintem abban rejlik, hogy a user viselkedését monitorozni kell. Meg kell határozni korlátokat, amire egy ember nem képes. Ha a botot pedig lelassítják akkor már nem tud olyan intenzíven spammelni... Amíg csak a kaput õrzik, addig úgyis ki fogják játszani, ha kell egy "fake" userrel, legyen az bérmunkás vagy balek.

Most szabadalmaztassam azt az ötletemet, hogy nem egy kérdés van a képekhez hanem több? Tehát van egy 40 képbõl álló adatbázis, abból 16-ot rak ki a rendszer, és nem csak azt tudja kérdezni, hogy melyik a cica, véletlenszerûen még 10-20 kérdés is van, pl. melyik cicán van piros nyakörv, vagy ugyan ahhoz a képhez jó válasz az igen arra is, hogy melyik képen látszik a cica gazdája. Innentõl kezdve lehet felismerõprogram ami felismeri a cicát, de ha nem olyan kérdést kap, amire már tudja a választ, akkor cseszheti. És ehhez kell 40 kép meg 40 különbözõ kérdés, ebbõl 16 képet rak ki, mire csak arra összeszedik a hackerek a választ, hogy melyik a cica, már régen más képek lehetnek arendszerbe, és a többi kérdésre még lövésük sem lesz!

Persze a szabadlmaztatás a mikrofos asztala, nem csodálkoznék, ha fél év múlva ellopnák ezt az ötletet is mint már annyi mást, és szabadalmaztatnák.

Hát azért az EU-n belül se jellemzõ, hogy kiadnák az adatokat. Vagy azt nemtudom, hogy adatokat kiadnak e, de volt már rá példa, hogy egy magyar oldal-t nem tudtak töröltetni, mert Szlovákiába volt a szerver.

Nem jó kutya macska módszer.
24 kép van. Ember megnézi, mind a 24-et elmondja proginak, hogy melyik-melyik és már bent is van.

Úgy, hogy civilként vásárolsz az illetõ embertõl valahol át kell adnia a terméket, aztán bepoloskázod, követed meg ilyesmi és akikkel üzletet köt azokat megbünteted. Videófelvétel készül az átadásról.

Egyébként hogy ejtik ezt a CAPTCHA-t? Leírná vki pls?

És azt hogy találod ki, hogy ki vásárolt olyan terméket? Ha pl. Viagrát, vagy vmilyen más gyógyszert reklámoz, akkor bemész a patikába és megveszed. Senki nem fogja rád, hogy spam miatt volt. Ha neten keresztül veszed, azt meg hogy derítik ki??

Nem mondtam, hogy csak, de fõként az ázsiai kontinens országainak nincs kiadatási kötelességük mondjuk az USA felé.
Az USA és az EU tagországok között nincs ilyen probléma Afrika nagy részén még személyi számítógép sincs nemhogy net vagy szerverpark Ausztráliában meg megint nem jellemzõ.

"Szerintem hatásosabb lenne a dolog úgy, hogy azokat vágnák meg akik spammerekkel reklámoznak"

Ez nem lenne megvalósítható, már kifejtettem másik hasonló témájú topicban, hogy miért.
Akik vásárolnak azokat viszont tényleg megbüntethetnék.

Szerintem hatásosabb lenne a dolog úgy, hogy azokat vágnák meg akik spammerekkel reklámoznak, vagy mégjobb, ha azokat, akik a spammereken keresztül reklámozóktól vásárolnak. Nincs kereslet -> nincs reklám.

Ez nem csak Ázsiában van így, hanem szinte minenhol. Sok magyar oldal is külföldi szervereken van pont emiatt.

LOL. Szerinted az nekik pénz? Egymilliárd már jobban hangzana, de az sem az igazi. Csak a kínszenvedés általi halál lehet elég elrettentõ példa az összes geci számára. És még "mi" sötétezzük le a középkort. Mikor volt kevesebb bûnözés? Az ember õsi ösztöne, hogy fél a fájdalomtól és a haláltól, ha meg csak szabadságvesztéssel és pénzbüntetéssel súlytják, akkor egy idõ után a bátrabbaknak kinyílik a csipája és megkockáztatja, mert eluralkodik rajta az "Engem úgysem kaphatnak el, én ügyes vagyok." érzés.

Radikális változásokra lenne szükség a törvénykezésben, különben "rosszabb világ" köszönt be, mint aminek egyes filmek lefestik a "hanyatló" jövõt.
Egyáltalán mi az, hogy nem adhatják ki mondjuk Ázsia egyes országaiban lévõ szerverparkok bérlõinek adatait a külföldi hatóságoknak?

Ezt kéne, csak van egy hátulütõje. Én ki akarok szúrni veled, ezért elkezdek a nevedbe spam-elni. Aztán hátradõlve röhögök, hogy megvágnak 1M dodóra <#nezze>

A ticketmasteresnél nem értem, minek a vonalazás, már a nélkül is kemény dió egy jó szemû ember számára is.

A multkor talaltam egy jo kis oldalt ezzel a temaval kapcsolatban:

link

3Ds CAPTCHA, ezzel el lesznek egy kis ideig me'g fel nem torik ...

Esetleg nem lehetne a spamben hirdetõket elkapni és mondjuk 1 millió dollárra büntetni?????

érdekes cikk volt! ennyivel is okosabbak lettünk ma! <#vigyor2>

okos megoldás... az a helyzet hogy az ilyen háborúnak sosom lesz vége, mindig jön 1 újjabb 'megoldás' a hackerek/spammerek ellen, de õk is mindig megtalálják a megoldást...

Egyebkent ezeket mostanaban pl. ugy torik, hogy a CAPTCHA-t kiszedi a bot az eredeti oldalbol, es beteszi egy, a tamadok altal uzemeltetett pl. porno vagy warez-site belepesi oldalara, ahol a felhasznaloknak belepes elott meg kell fejteni. A felhasznalok pedig meg is fejtik, altalaban masodpercekkel az adatbazisba kerules utan, igy meg a session sem timeoutol.