58
-
#58 Ha elolvasod az egész hozzászólást, olvashatod, hogy a hangfelismerésről értekezett. Tehát a 2. szövegfelismerés hangfelismerés. -
Tsol #57 ez a tizenötös hozzászólásra volt a "válasz" -
Tsol #56 Míg a szövegfelismerés viszonylag fejlett tecnológia, addig a szövegfelismerés nagyon gyerekcipőben jár.
Mivan? -
#55 nem értetted meg amit írok! két képet kell párosítani az egyik a felismerendő a másik meg a párosított tehát felismerem hogy az a kép kutyás kép vagy cicás kép ebből van 1000 a másik oldalon lévő képeket is lementem és mivel méretük egyezik mindig nem nehéz azonosítani minden képet hiába más a neve vagy a kiterjesztése! -
Turdus #54 "valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!"
Én voltam az... :-)
"letölteném a képet amit fel kell ismernem"
Na itt van a gond, ugyanis egyszer lekéri a teszt, és ha te mégegyszer le akarod kérni, már másik képet fogsz kapni. Próbáld csak ki.
"Adatbázis felépítése: 1000+1000 kép letöltése"
Nemnem, tévedésben vagy. Az nem 1000+1000, hanem 1000*1000. Nem mindegy...
"viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!"
Köszönöm, de az a helyzet, hogy nincs mit befoltozni, mivel erre már számítottam. Elárulom egyébként, hogy a képet eleve script állítja elő (nem akarok feleslegesen erőforrást pazarolni, ezért nem módosítja a képet on-the-fly lekérdezéskor, inkább berakok még 100 variációt). -
#53 Turdus: Mint azt te is beláttad, nincs olyan rendszer ami törhetetlen, elolvasva az összes hozzászólást, valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!
Alapvetően egy adatbázist kell felállítanom, hogy melyik képhez melyiket kell párosítani! Ismerve a háttéradatokat, 1000 képről beszéltünk! de legyen 1000 kép amit fel kell ismerni és 1000 kép amivel párosítani kell...
Az adatbázisom úgy nézne ki hogy a párosítandó kép-et címszóval látnám el pl kutyás kép = kutya macskás kép = macska virágos = virág ésatöbbi ésatöbbi! ugyan ezt eljátszanám a párosítandó 1000 képpel!
A feladat végrehajtásakor a következőt tenném: letölteném a képet amit fel kell ismernem majd megkeresném melyik az a kép utánna adatbázisból kikeresném a címszót majd szintén lementeném a párosítani kívánt képet megkeresném melyik vonatkozik a címszóra és megvan a megoldás!
Adatbázis felépítése: 1000+1000 kép letöltése + címszavazása 10 diák alkalmazásával 4 óra munkával megtörténne (80 munkaóra) +2-3 óra scriptírás!
A futásra (törés) ramdisk-et használnék és már pörögne is a dolog!
jelenleg a kiadásom kb 10 diák órabére 400ft egyenként az a 10 diákra 4000ft és mindezt 4 óra munkával 16.000ft + az én baszakodásom kb 20e ft maradék 80e tiszta haszon!
ha meg 10x-eznéd a képeket akkor a kiadásom is meg 10x-eződne 160.000 lenne ekkor már nem érné meg 100.000ft-ért
alapvetően 10.000 kép közül a script válogatna hát kissebb terhelés és tárhelyfoglaltság senki nem alkalmazná....
de ha egy otp-ről van szó akkor 160e ft-os kiadást megérne több milliárd számla adatáért cserébe!
Nincs sajnos sem szabadidőm sem 16.000ft befektetni való tőkém most ezért bebizonyítani nem tudom hogy működik, viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!
ezzel a módszerrel a kép összehasonlításnál megbukna a rendszer bár még itt is lehet hibaarány, de már nem 100%-os aztán bonyolíthatnád még hogy csíkokat is raksz a képbe pl mindig véletlenül generált hexa színű csíkokat 2 vastagsági érték között ekkor már ismét csökkentenéd az esélyeim!
De mutatok neked mást ilyen módszerrel (beúszással) mozognának a csíkok a képen... felismerési esély ismét felére csökkenne! (a nulla értéket soha nem tudnád elérni!)
-
Turdus #52 nagylzs: én sem szeretem a flameket, de itt annyira beképzeltek vagytok, hogy egyáltalán nem veszitek a fáradságot, hogy végigolvassátok amiket írtam.
A több kép egyébként jó ötlet, én is gondoltam már rá, de pont amiatt vetettem el, amit írtál.
vajon kiki: "megszerezni Brute Force technikával"
Hahaha :-)
Ha elolvastátok volna, amit írtam, tudnátok, hogy ezen módszerek egyike sem célravezető, mivel ezekre direkt számítottam, és beraktam védelmet ellene.
A brute force kifejezetten nevetséges, mivel minden teszt egyedi. kb annyi az esély, mint lottónál: valszámosok gyakran esnek abba a hibába, hogy kapcsolatot keresnek a húzott számok között, de ez alapvetően hibás: az egyik húzás egyáltalán nem befolyásolja a következőt, és itt is ez a helyzet: minden egyszer megjelent teszt garantáltan egyedi a legelső próbálkozásig, nem lehet mégegyszer reprodukálni.
Szóval még mindig ott tartunk, hogy ha szerencsések vagytok, akkor elméleti max 10%. (Gyakorlatilag ennél kisebb, mert annak az esélye, hogy az a válasz lesz a jó, amit kinéztetek, még kisebb (teszem azt az elsőt néztétek ki, és 1000 próbálkozásból egyszer sem dobja a program az elsőt jó válasznak)). -
bm823 #51 Még mindig az sms alapú megoldást látom a legjobbnak. 1 mobilszám 1 júzer. Belépéskor 1x smsben ellenőrizni kell a felhasználót, aztán már csak letiltani hogy 1 másodperc alatt ne küldhessen ezer hozzászólást. Nyilván ez meg költséges. -
Adamul #50 ja és azt nem értem,hogy ha ilyen jó az arány, hogy a zsándékosan eltorzított karaktereket fel tudják ismerni már... akkor egy hagyományos szövegfelismerő program egy egyszerű kézírást nem ismer fel? Hatalmas áttörést jelentene szerintem, ha ezt jóra használnák! -
Adamul #49 hát hogy rohadnának meg, azóta kapom gmailen a sok szennyet.... Oké h egyből kiszűri a spam kategóriába, de mégis van, és jön... Ez azért veszélyes mert nem gmailes címre is küldik, ahol nem vszínű h suzintén kiszűrik, hisz a gmail mint megbízható szolgáltató van rangsorolva... közben meg simán küldheti a sok szennyt nem gmailes címről is a szerverükön keresztül.. :( -
nagylzs #48 De mondjuk tovább lehetne fejleszteni Turdus módszerét a következő módon:
- egy képhez 20 választási lehetőség, ezt még egy ember átlátja
- egyszerre 4 választást kell csinálni
Itt 20 a negyediken lehetőség van ami 160 000. Próbálgatásos módszerrel ez
0.000625% esély.
Na ez már nem rossz, és még emberileg át is lehet látni.
Viszont fölmerül a kérdés, hogy egy regisztráció kedvéért ki fog átnézni ötször húsz képet... -
#47 Javascript, Flash, CSS egyéb stb.. alapú CAPTCHA : mind- mind negatív ! egy egyszerű ScreenShottal + Croppal megvan a kép amit az ember is lát (a videomemóriából) .. és innentől tkp. ugyanúgy rá lehet ereszteni az XRumer vagy hasonló recognizer felismerő programot, ami akár kézírásokból is felismeri a latinbetűs szövegeket kontrasztozással és egyéb grafikai trükkökkel és mindezt a másodperc tört része alatt. Más kérdés hogy nehéz egy ilyen Makrót megírni de akit érdekel az megcsinálja ha akarja és kész .. ennyi. -
#46 >"megfelelő programmal szimulálom a kattintást"
>Lássuk azt a programot
Macro Express
>"Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció.
> Ez közel sem "feltörhetetlen"."
>
> Másodpercenként nem tudsz ellenőrizni, arről gondoskodik a késleltetés.
felesleges itt néhány másodpercen szarakodni, aki CAPTCHA-t játszik ki az egy makróprogramot futtat egy server gépen és annyi ideje van egy-egy kód feltörésére mint a tenger.
> Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy
> kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol.
> Nem ugyanaz...
itt is ugyanaz a magyarázat: aki CAPTCHA feltörésre adja a fejét az belépési jelszót akar megszerezni Brute Force technikával. nem számít, ha néha nem jól ismeri fel a program a CAPTCHA-t mert a következő próbálkozásra is ugyanazt a kódot fogja kipróbálni. (még én sem ismerem fel mindig a CAPTCHA-t pedig én ember vagyok !) egy makrót meg is lehet úgy is írni, ha nem ismeri fel a CAPTCHA-t akkor kér egy másikat és ha mégis elhibázza akkor is onnan folytatja a kód próbálgatását ahol a legutóbbi sikeres CAPTCHA beírásnál tartott. -
nagylzs #45 Nem szeretem az ilyen flame-eket de Turdus annyi beképzelt hogy ezt nem lehet kihagyni. :-) Szóval:
>"megfelelő programmal szimulálom a kattintást"
>Lássuk azt a programot.
http://www.autoitscript.com/autoit3/
Szeretném hangsúlyozni hogy ez csak 1 példa, vannak más lehetőségek is!
>"Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció.
> Ez közel sem "feltörhetetlen"."
>
> Másodpercenként nem tudsz ellenőrizni, arről gondoskodik a késleltetés.
Mármint úgy érted hogy egy IP-ről nem tudok. Na és akkor mi van? 10 IP címről percenként így is meglesz 6 regisztráció, akkor az egy óra alatt 360 . Ez bőven elég flood-olásra. Persze lehet növelni a késleltetés idejét, írhatod rá hogy akkor nem 1 másodpercet vársz hanem ötöt, meg egyéb trükköket, de akkor én meg azt írom rá hogy nem 10 IP-ről próbálkozom hanem 20-ról stb. Az alap módszered hatékonysága ettől még nem fog megváltozni, ezeket a trükköket meg más módszerekkel is el lehet játszani. A lényeg nem változik.
> Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy
> kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol.
> Nem ugyanaz...
Már bocs, de előszöris te nem a "feltörést" hanem az "átverést" szabtad feltételül. Ne szépítsünk! "A MINDIG jól válaszol" típusú programok nem léteznek a többi módszerre sem, mégis úgy tekintenek rájuk mint idejétmúlt, gyenge védelemre. Ez pedig a tiédre is igaz.
Egyébként meg a "próbálgatásos módszer" egy létező, ismert és bevált módszer. Ez nem "mázli", hanem elismert dolog. A 10%-os arány pedig már átverésnek számít. Lehet hogy van olyan alkalmazás ahol a 10% még nem probléma, de a legtöbb helyen az. Tehát a szoftvered átverhető. Pont.
A feltörésben nem vagyok biztos (100% arány elérése), de erre nincs is szükség.
-
ensomhet #44 Gondolom ezek nagy része nem szimpla szövegfelismerésreépül, hanem betanítható eljárások. A képösszepárosítósdi is ugyanígy betanítható, az, hogy 10 vagy 1000 kutyás/macskás/virágos képed van a lényegen nem fog változtatni. Ha olyan elterjedt lenne, hogy megérje pénzt fektetni a visszafejtésébe, akkor megoldanák. Akár egy primitív kis játékot is lehet írni rá, hogy namivanaképen, nyomjad, aztán szépen logolja az eredményt és kész. -
#43 Sok oldalon van hangos captcha is. (hangszóró ikon) -
#42 a vakok jabbere hogyan tudha használni azt az oldalt ahol ilyen van? -
Turdus #41 minden ilyen kód törhető. A kulcs az, hogy a törés több erőfeszítást igényeljen, mint amennyi a törésből remélhető profit, ezáltal éri el a biztonságot.
-
Turdus #40 Teljesen jogos. A részletek:
én adom a pénzt, privbe írsz egy üzenetet, és megbeszélünk egy személyes találkozót.
Nagy ötlet nincs, mindössze annyi, hogy végignyálaztam a teljes szakirodalmat, és próbáltam az összes korábbi törési módszert kiküszöbölni, a buktatóikat elkerülni.
A feltétel pedig az, hogy emberi időn belül, programmal elfogadható arányban választ adni (tehát mondjuk 1 perc alatt 70-80%-ban törni). Logok nem kellenek, csak egy személyes demonstráció, igazából a törés hogyanja az érdekes, hogy bele tudjam építeni a védelmet a rendszerbe. Ezáltal ugye a feltörő hozzájárul a rendszer biztonságának növeléséhez, ezért jár a pénz.
A távol keletiek ellen definíció szerint nem véd, mert csak arra alkalmas a teszt, hogy eldöntse, program vagy ember válaszol-e. -
Villanypásztor #39 "Mutasd be"
Egy ilyen felhívást úgy szokás közzétenni, hogy kiderüljön belőle:
- ki adja a pénzt
- az adott rendszerben mi a "nagy ötlet", miért is gondolja a készítő, hogy jobb, mint a többi
- pontosan mi a feltétele annak, hogy elfogadd a feltörhetőség tényét. X% arány? X db/perc? Vagy van valahol valami levédve, amihez ha sikerül percenként x-szer hozzáférni, az utána bizonyítékként belengethető? Vagy mégis mi a kihívás lényege?
Amúgy meg az, hogy száz, ezer, vagy százezer kép van benne, tökmindegy. Szorgos távol-keleti kezek megfejtik az ismeretleneket, utána meg már adatbázisból mehet az egész. Nem tudsz gyorsabban berakni új képeket, mint ahogy azt fejtik meg. -
#38 A legtöbb szöveg alapú captcha ott hibázik, amikor nekiáll minden betűt más színnel jelölni, míg a háttér ezektől teljesen eltérő. Így aztán hű de nagyon nehéz elkülöníteni a betűket.
Flashnél használható akármilyen flashdecompiler, és az már csak az elemeket látja, nem a szép animációt. A megjelenítendő szöveg/kép ha futásidőben töltődik le, a forrásba belenézve lenyúlható azok címe - vagy a generáló script címe.
Esetleg egy előbb említett pontos módszer, de animált gifen, ahol egy-egy képkocka nem adja ki a teljes képet, de egymás után lejátszva már igen. De ez is törhető, csak a képeket egybe kell olvasztani... -
benczurzs #37 Mo-n, mi a gond ?
nyugodtan használjuk a Captcha-ban, az ékezetes betűket.
A program valszeg erre nincs felkészítve. -
Turdus #36 A lényeg az, hogy nem csak 10 kép van (ez egyenlőre pre-pre-alpha változat, ezért csak 1000 kép van benne).
-
Turdus #35 "De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon"
Ez aligha program.
"Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja"
Az vegye a fáradtságot, és küldjön egy privet. Értelmetlen, farok floodolás volt csak a whois másolása, akárcsak a js másolása.
"Lasd man wget"
Ha wget-el töltöd le, akkor esélyed sincs, mivel a következő kérésnél már más lesz a teszt.
"Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet"
Pénz működő programért jár. Eddig csak szócséplés volt. -
Charybdis #34 Én olyan flash-alapú captchat csinálnék, ahol nem egy helyben állnak a betűk, hanem folyamatosan mozognak, de közben kicsit a háttér is mozog. Ezt nem hiszem, hogy bármelyik program fel tudná törni.
Mivel Flash alapú, ezért az akadálymentesítést figyelembe véve lenne benne audió captcha is. -
irkab1rka #33 "Plato Captcha".
Bocsi, javasolnám, hgoy keress egy komolyabb munkát. A kép párosítással az a baj, hogy a képek azonosíthatóak egyszerűen (van 10 kutyás, 10 cicás képed, stb) és onnantól a párosítás is automatikus. -
kvp #32 ""A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb"
Mutasd be."
Fogod az eppen aktualis javascript-et, amit visszaad a kod:
document.write("<INPUT type='hidden' name='captcha' id='v3c43bf0672328d15751aee85f9b1511f'><TABLE border='0' cellspacing='0' cellpadding='0'><TR><TD><A href='http://captcha.turdus.hu/'><IMG id='captchafe213deae4c66d290fa3d9980ab331b0' src='ht"+"tp://captcha.turdus.hu/im"+"age/8fe7180bb0c224212dcd293e4896633c/green' alt='' width='64' height='64' border='0'></A></TD><TD><DIV style='overflow:auto;height:68px;width:72px;text-align:right;'><IMG id='i635f817b26fbe50d9e9baedd8548dc8d' src='http://captcha.turdus.hu/picto/ship' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ia06ae6f5b1aa3f1b00c692fe2577eda0' src='http://captcha.turdus.hu/picto/bird' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ibcb45f0de12345dffd488c01bea09a4c' src='http://captcha.turdus.hu/picto/tree' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='id216d758575a4e38b7603f79a909ce9b' src='http://captcha.turdus.hu/picto/mountain' alt='' width='48' height='48' style='border:so
id 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ic96b987c96490d261348e932a9df7c78' src='http://captcha.turdus.hu/picto/door' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i6401ea49409b510f3ef33ce337a5a2f8' src='http://captcha.turdus.hu/picto/fish' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ibd4d8077e06e4c135c8890853a4346ff' src='http://captcha.turdus.hu/picto/flower' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i266ae71ce213050b639467e9594ac0c6' src='http://captcha.turdus.hu/picto/dog' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i2928027d5f10126a06d167eaa725e14d' src='http://captcha.turdus.hu/picto/cat' alt='' width='48' height='48' style='border:solid 2px w
ite;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i4d242f5b300aea6c71c4e31a2b47a972' src='http://captcha.turdus.hu/picto/butterfly' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br></DIV></TD></TR><TR><TD colspan='2' align='center'><A href='http://captcha.turdus.hu/' style='font-family:Helvetica;font-size:10px;color:green;text-decoration:none;'>
Pi;C Plato CAPTCHA Engine©</A></TD></TR></TABLE>");document.getElementById('captchafe213deae4c66d290fa3d9980ab331b0').src='http://captcha.turdus.hu/image/8fe7180bb0c224212dcd293e4896633c/green';function fe16fd84a33c244b5efbd28d2e6140691(o){var i=document.getElementById('v3c43bf0672328d15751aee85f9b1511f');if(i!=null&&i.value!=''&&document.getElementById('i'+i.value)!=null)document.getElementById('i'+i.value).style.border='solid 2px white';i.value=o.id.substr(1,32);o.style.border='solid 2px green';"
Lefuttatod, kiveszed az elso id-t es ez 10%-os valoszinuseggel jo lesz. Harom probalkozasbol ez mar 27% (lasd valszam). De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon, ahol az internetezo hulyegyerekek megoldjak azert hogy be tudjanak lepni a 'kepgalleriaba'. A legtobb orosz spammer ezt hasznalja, mivel buta emberbol tobb van mint cpu idobol.
""A belinkelt feladatra a megoldas a wget hasznalata"
Mutasd be, hogyan."
Lasd man wget, --post-data mezo hasznalata... (nem fogom bemasolni a manpage-et)
""Ha valaki penzt akarna kerni a megoldasaert a sractol"
Ismered a whoist, gratulálok. ... Dumálni majdnem mindenki tud"
Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja, akkor tudja hova erdemes menni 'penzt kerni'. :-) (meg erdekelt hogy ki az aki hacker-nek hivja magat)
A lenyeg, hogy lehet bonyolitani, de nem erdemes. Ma mar letezik rengeteg mi alapu es rengeteg human alapu captcha feltoro megoldas. Ha van benne eleg penz meg az is elofordul, hogy a spammer/farmer felvesz par olcso azsiai 'tavmunkast' es megcsinaljak azok. Ha meg nincs benne penz, akkor a legjobb megoldas sem er anyagilag semmit sem. (mint pl. a demo oldal) Kicsi az eselye hogy barki valaha is onkent fizessen ezert. Viszont ilyet irni iskola utan jo szorakozas es a keszito igazi 'hacker'-nek erezheti magat. Aztan tobbnyire rajon hogy megsem. :-)
ps: Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet... :-))))) -
Turdus #31 "A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb"
Mutasd be.
"A belinkelt feladatra a megoldas a wget hasznalata"
Mutasd be, hogyan.
"Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind"
Megint tévedsz. Jelenleg több, mint ezer kép van, és az adatbázis bővül. Senki nem mondta, hogy ugyanarra az url-re mindig ugyanaz a kép jelenik meg...
Ezenkívül, mint már említettem volt, minden letöltés megváltoztatja a tesztet.
"Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet."
Csak épp a variációk száma egy hangyabránernyit nagyobb, pont annyival, hogy már komoly kihívást jelentsen. Betűből 26 van, kutyát ábrázoló képből szerinted mennyi?
"A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember"
Amikor elvont fogalmakat, ábrákat kell felismerni, akkor nem. Ahhoz MI kéne. Ha ilyen egyszerű lenne, akkor a googli használná, és nem kéne labeller.
"Ha valaki penzt akarna kerni a megoldasaert a sractol"
Ismered a whoist, gratulálok. De a pénzért le is kéne tenni valamit az asztalra, nemcsak jératni a szád... Dumálni majdnem mindenki tud (itt különösen sokan).
-
kvp #30 "Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni."
A microsoft megoldasa 6 masodperc alatt 17 szazalek. A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb. A harom probalkozas utani letiltas azert nem jarhato, mert sok cegnek es kisebb szolgaltatonak osszesen 1 kulso ip cime van, tehat 1 buta felhasznalo denial of service-t valthat ki az egesz tartomanyon.
A belinkelt feladatra a megoldas a wget hasznalata, ahol az elso keres letolti az oldalt, a masodik kuld egy valasz post kerest, a generalt parameterekkel. Ez meg egy windows-os batch file-bol is megoldhato.
Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind, majd kezi cimkezes utan egy sima image diff megmondja hogy melyik kepet adta a rendszer es az melyik valasz osztalyba tartozik. Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet.
"Flash alapu captcha?"
Jo, viszont sima kepernyokep + eger szimulacioval kikerulheto. A windows erre nyujt tamogatast, meg visual basic 6-ban is. (utoljara ott hasznaltam, kb. 10 eve)
"Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sűrűbb helyeken lévő pontokból kiolvasható volt h mit kell beütni."
Lasd fent. Nagyon sok mmo farmer bot ezt hasznalja, igy latjak a valojaban sok kis haromszogbol kirakott kepet.
"Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D"
Az elsot lasd fent, a masodik csak addig er valamit, amig a programiro el nem olvassa egyszer az oldalt, hogy mi a feladat.
"CSS alapú? Megfelelő helyre lerakott bepozicionált divek végül kiadnak egy pár betűt."
Ez csak az internet explorer-rel internetezo embereket zarna ki az oldalrol... :-)
"Esetleg egy sima captcha amire írt szöveget visszafele kell beírni?"
Ilyen mar van, de ez a legegyszerubben felismerhetoek kozze tartozik.
A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember. Abban a pillanatban van gond, ha mar egy gepnek konnyebb, mint egy embernek. A rapidshare-re es tarsaira is egyszerubb programot irni (browser plugin-t), mint mindig kezzel megadni a valaszt. Igy lehet automatizalni a letolteseket.
ps: Ha valaki penzt akarna kerni a megoldasaert a sractol:
Website Title: turdus.hu
Title Relevancy: 100%
Meta Description: homepage of hacker named Turdus
Description Relevancy: 20% relevant.
domain: turdus.hu
org: org_name_eng: Proaction Hungaria Ltd.
org: org_name_hun: Proaction Hungaria Kft.
address: Dísz ter 16. III/4.
address: 1014 Budapest
address: HU
phone: +36-1-225-7744
fax-no: +36-1-225-7743
hun-id: 0991681330
admin-c: 2000686739
tech-c: 3000101064
zone-c: 3000101064
nameserver: eplos.hu
nameserver: ns.blazearts.hu
registered: 2007.10.25 23:18:30
changed: 2007.11.09 09:54:15
registrar: 1000271857
person: Baldaszti Zoltán
address: Tüttõssy u. 7.
address: 8900 Zalaegerszeg
address: HU
phone: +36 30 514 7769
fax-no:
hun-id: 2000686739
role: forpsi.hu Hostmaster
address: Hunyadi u. 12
address: 6090 Kunszentmiklós
address: HU
phone: +36 76 550 153
fax-no: +36 76 550 152
e-mail:
hun-id: 3000101064
role: forpsi.hu Hostmaster
address: Hunyadi u. 12
address: 6090 Kunszentmiklós
address: HU
phone: +36 76 550 153
fax-no: +36 76 550 152
e-mail:
hun-id: 3000101064
org: org_name_eng: BlazeArts Ltd.
org: org_name_hun: BlazeArts Kft. (Registrar)
address: Hunyadi u. 12.
address: 6090 Kunszentmiklós
address: HU
phone: +36 20 3242323
fax-no: +36 76 550175
hun-id: 1000271857
-
bunny #29 A képen látható megoldások a legelső, leggagyibbak. Ezeknél már én is ötletesebbeket használok, pedig nem vagyok egy multi :)
De valamit meg kell érteni. Ahogy a cikk is írja, a komolyabbakat nem programok törik fel, hanem emberek. Ez a tipusu védelem pedig azt tudja, és nem többet, hogy ellenőrzi, ember avagy egy program próbálkozik. Ebből az következik, hogy mivel ember próbálkozik, be tud lépni, és sakk-matt, ha nem tudna akkor ugye a valódi felhasználó sem jutna be.
Megoldás? Teljesen más irányba kell indulni, de nem adok ötleteket, találja ki mindenki magának. Egy ötletem már lenyúlták, nem mindta szabadalomvédett lenne :) -
dondore #28
Elérhetőséget tudsz dobni? -
#27 Hehe. Ne tudtam belépni, ezek szerint program vagyok. -
#26 Ne haragudj de így elsőre én nem fogtam fel, hogy akkor most hogyan lehet belépni:D Mit válasszak ki és hol?:D Szerinted egy átlag mezei halandó (joh meg én is) akár 2 másodpercnél többet el fog tölteni azzal, hogy megfejtse, hogy most mi is a feladata? -
#25 Flash alapu captcha?
Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sűrűbb helyeken lévő pontokból kiolvasható volt h mit kell beütni.
Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D
CSS alapú? Megfelelő helyre lerakott bepozicionált divek végül kiadnak egy pár betűt.
Esetleg egy sima captcha amire írt szöveget visszafele kell beírni? -
duke #24 Az a buzisag a Captcha-ban hogy mar annyira bonyolultak hogy az emberek is alig alig tudjak kitalalni,jo ha 3-4 probalkozasbol sikerul. -
Turdus #23 Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni.
Az, meg hogy mennyi ideig filózik az ember, hogy mi van a képen, jogos felvetés, de erre azt mondom, hogy tesztek igazolják, hogy a vizuális felismerés kevesebb időt vesz igénybe, mint egy értelmetlen, eltorzított írás kibogarászása. Én is teszteltem (csak pár emberrel, szóval nem reprezentatív), de mindenki kivétel nélkül gyorsabban válaszolt, mint pl a google captcha kérdésére. -
Turdus #22 "Mi is a garancia"
A szavam. Vagy elég neked, vagy nem.
"még e fölé is lehetne menni valószínűleg"
A "valószínűleg" elég gyenge, ezt ugye Te is érzed. Ha valóban sikerül megoldanod, állok elébe, kiváncsi vagyok a hogyanra, és hidd el, ki fogom fizetni szó nélkül a pénzt érte.
"Security through obscurity"
Először is security by obscurity, másodszor ez semmiképp nem az, mivel pontosan definiálva vannak a paraméterek és az ellenőrzés menete is az oldalon, elolvashatod. Az, hogy a UUID-k milyen algoritmussal vannak kiszámolva, lényegtelen, mivel feltesszük, hogy két egyforma valószínűsége 0. A kulcsok cseréjének gyakorisága szintén le van írva. Ami SbO alá esik, az a kattintás emulálása, beismerem, de még erre sem jött megoldás, és ha van is, az is MAX 10%-os esélyt ad (amíg be nem bizonyítod az ellenkezőjét). Megjegyzem ismét, az elméletileg maximális 10% messze veri a cikkben említett összes eddigi védelmet (és ráadásul elméleti, gyakorlat az egészen más). -
phoenix1 #21 Biztos jó a captcha, de nem a felhasználónak hanem az oldal üzemeltetőjének. Van néhány egészen extrém captcha *faj* amit mi emberek nem, viszont a gépek 100% pár másodperc alat törnének. És itt van elásva a kutya!
Nem, azért nevetséges, nem fog az ember 2-10+ percet filózni, hogy mi is van a képen, inkább tovább megy. Nehéz kitalálni egy jó megoldást erre. -
#20 A Rapidshare "kutya, macska rendszerét" tutira nem játszotta volna ki, más kérdés, hogy sokszor még én se találtam el. pedig jó szemem van:) -
Villanypásztor #19 "Lássuk azt a programot."
Mi is a garancia arra, hogy megkapja az első sikeres "feltörő" a százezer forintot? Semmi. Akkor meg minek foglalkozna vele bárki is a saját idejét feláldozva?
Kábé 5 percet szántam rá az előbb, és hótziher, hogy meg lehet oldani legalább 10%-osra a tippelgetős módszerrel, de elárulom, ha valaki nagyon ráér, még e fölé is lehetne menni valószínűleg.
Az meg, hogy bannolsz a sikertelen próbálkozásokra, nem megoldás. Ha az lenne, ezt használnák mindenhol, és pillanatok alatt meg lenne oldva a gond.
"Security through obscurity" mond valamit? Nem kéne erőltetni...