58
  • Dj Faustus #58
    Ha elolvasod az egész hozzászólást, olvashatod, hogy a hangfelismerésről értekezett. Tehát a 2. szövegfelismerés hangfelismerés.
  • Tsol
    #57
    ez a tizenötös hozzászólásra volt a "válasz"
  • Tsol
    #56
    Míg a szövegfelismerés viszonylag fejlett tecnológia, addig a szövegfelismerés nagyon gyerekcipőben jár.

    Mivan?
  • Max7
    #55
    nem értetted meg amit írok! két képet kell párosítani az egyik a felismerendő a másik meg a párosított tehát felismerem hogy az a kép kutyás kép vagy cicás kép ebből van 1000 a másik oldalon lévő képeket is lementem és mivel méretük egyezik mindig nem nehéz azonosítani minden képet hiába más a neve vagy a kiterjesztése!
  • Turdus
    #54
    "valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!"
    Én voltam az... :-)

    "letölteném a képet amit fel kell ismernem"
    Na itt van a gond, ugyanis egyszer lekéri a teszt, és ha te mégegyszer le akarod kérni, már másik képet fogsz kapni. Próbáld csak ki.

    "Adatbázis felépítése: 1000+1000 kép letöltése"
    Nemnem, tévedésben vagy. Az nem 1000+1000, hanem 1000*1000. Nem mindegy...

    "viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!"
    Köszönöm, de az a helyzet, hogy nincs mit befoltozni, mivel erre már számítottam. Elárulom egyébként, hogy a képet eleve script állítja elő (nem akarok feleslegesen erőforrást pazarolni, ezért nem módosítja a képet on-the-fly lekérdezéskor, inkább berakok még 100 variációt).
  • Max7
    #53
    Turdus: Mint azt te is beláttad, nincs olyan rendszer ami törhetetlen, elolvasva az összes hozzászólást, valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!

    Alapvetően egy adatbázist kell felállítanom, hogy melyik képhez melyiket kell párosítani! Ismerve a háttéradatokat, 1000 képről beszéltünk! de legyen 1000 kép amit fel kell ismerni és 1000 kép amivel párosítani kell...

    Az adatbázisom úgy nézne ki hogy a párosítandó kép-et címszóval látnám el pl kutyás kép = kutya macskás kép = macska virágos = virág ésatöbbi ésatöbbi! ugyan ezt eljátszanám a párosítandó 1000 képpel!

    A feladat végrehajtásakor a következőt tenném: letölteném a képet amit fel kell ismernem majd megkeresném melyik az a kép utánna adatbázisból kikeresném a címszót majd szintén lementeném a párosítani kívánt képet megkeresném melyik vonatkozik a címszóra és megvan a megoldás!

    Adatbázis felépítése: 1000+1000 kép letöltése + címszavazása 10 diák alkalmazásával 4 óra munkával megtörténne (80 munkaóra) +2-3 óra scriptírás!

    A futásra (törés) ramdisk-et használnék és már pörögne is a dolog!

    jelenleg a kiadásom kb 10 diák órabére 400ft egyenként az a 10 diákra 4000ft és mindezt 4 óra munkával 16.000ft + az én baszakodásom kb 20e ft maradék 80e tiszta haszon!

    ha meg 10x-eznéd a képeket akkor a kiadásom is meg 10x-eződne 160.000 lenne ekkor már nem érné meg 100.000ft-ért

    alapvetően 10.000 kép közül a script válogatna hát kissebb terhelés és tárhelyfoglaltság senki nem alkalmazná....

    de ha egy otp-ről van szó akkor 160e ft-os kiadást megérne több milliárd számla adatáért cserébe!

    Nincs sajnos sem szabadidőm sem 16.000ft befektetni való tőkém most ezért bebizonyítani nem tudom hogy működik, viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!

    ezzel a módszerrel a kép összehasonlításnál megbukna a rendszer bár még itt is lehet hibaarány, de már nem 100%-os aztán bonyolíthatnád még hogy csíkokat is raksz a képbe pl mindig véletlenül generált hexa színű csíkokat 2 vastagsági érték között ekkor már ismét csökkentenéd az esélyeim!

    De mutatok neked mást ilyen módszerrel (beúszással) mozognának a csíkok a képen... felismerési esély ismét felére csökkenne! (a nulla értéket soha nem tudnád elérni!)
  • Turdus
    #52
    nagylzs: én sem szeretem a flameket, de itt annyira beképzeltek vagytok, hogy egyáltalán nem veszitek a fáradságot, hogy végigolvassátok amiket írtam.
    A több kép egyébként jó ötlet, én is gondoltam már rá, de pont amiatt vetettem el, amit írtál.

    vajon kiki: "megszerezni Brute Force technikával"
    Hahaha :-)

    Ha elolvastátok volna, amit írtam, tudnátok, hogy ezen módszerek egyike sem célravezető, mivel ezekre direkt számítottam, és beraktam védelmet ellene.
    A brute force kifejezetten nevetséges, mivel minden teszt egyedi. kb annyi az esély, mint lottónál: valszámosok gyakran esnek abba a hibába, hogy kapcsolatot keresnek a húzott számok között, de ez alapvetően hibás: az egyik húzás egyáltalán nem befolyásolja a következőt, és itt is ez a helyzet: minden egyszer megjelent teszt garantáltan egyedi a legelső próbálkozásig, nem lehet mégegyszer reprodukálni.

    Szóval még mindig ott tartunk, hogy ha szerencsések vagytok, akkor elméleti max 10%. (Gyakorlatilag ennél kisebb, mert annak az esélye, hogy az a válasz lesz a jó, amit kinéztetek, még kisebb (teszem azt az elsőt néztétek ki, és 1000 próbálkozásból egyszer sem dobja a program az elsőt jó válasznak)).
  • bm823
    #51
    Még mindig az sms alapú megoldást látom a legjobbnak. 1 mobilszám 1 júzer. Belépéskor 1x smsben ellenőrizni kell a felhasználót, aztán már csak letiltani hogy 1 másodperc alatt ne küldhessen ezer hozzászólást. Nyilván ez meg költséges.
  • Adamul
    #50
    ja és azt nem értem,hogy ha ilyen jó az arány, hogy a zsándékosan eltorzított karaktereket fel tudják ismerni már... akkor egy hagyományos szövegfelismerő program egy egyszerű kézírást nem ismer fel? Hatalmas áttörést jelentene szerintem, ha ezt jóra használnák!
  • Adamul
    #49
    hát hogy rohadnának meg, azóta kapom gmailen a sok szennyet.... Oké h egyből kiszűri a spam kategóriába, de mégis van, és jön... Ez azért veszélyes mert nem gmailes címre is küldik, ahol nem vszínű h suzintén kiszűrik, hisz a gmail mint megbízható szolgáltató van rangsorolva... közben meg simán küldheti a sok szennyt nem gmailes címről is a szerverükön keresztül.. :(
  • nagylzs
    #48
    De mondjuk tovább lehetne fejleszteni Turdus módszerét a következő módon:

    - egy képhez 20 választási lehetőség, ezt még egy ember átlátja
    - egyszerre 4 választást kell csinálni

    Itt 20 a negyediken lehetőség van ami 160 000. Próbálgatásos módszerrel ez
    0.000625% esély.

    Na ez már nem rossz, és még emberileg át is lehet látni.

    Viszont fölmerül a kérdés, hogy egy regisztráció kedvéért ki fog átnézni ötször húsz képet...
  • vajon kiki
    #47
    Javascript, Flash, CSS egyéb stb.. alapú CAPTCHA : mind- mind negatív ! egy egyszerű ScreenShottal + Croppal megvan a kép amit az ember is lát (a videomemóriából) .. és innentől tkp. ugyanúgy rá lehet ereszteni az XRumer vagy hasonló recognizer felismerő programot, ami akár kézírásokból is felismeri a latinbetűs szövegeket kontrasztozással és egyéb grafikai trükkökkel és mindezt a másodperc tört része alatt. Más kérdés hogy nehéz egy ilyen Makrót megírni de akit érdekel az megcsinálja ha akarja és kész .. ennyi.
  • vajon kiki
    #46
    >"megfelelő programmal szimulálom a kattintást"
    >Lássuk azt a programot

    Macro Express

    >"Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció.
    > Ez közel sem "feltörhetetlen"."
    >
    > Másodpercenként nem tudsz ellenőrizni, arről gondoskodik a késleltetés.

    felesleges itt néhány másodpercen szarakodni, aki CAPTCHA-t játszik ki az egy makróprogramot futtat egy server gépen és annyi ideje van egy-egy kód feltörésére mint a tenger.

    > Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy
    > kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol.
    > Nem ugyanaz...

    itt is ugyanaz a magyarázat: aki CAPTCHA feltörésre adja a fejét az belépési jelszót akar megszerezni Brute Force technikával. nem számít, ha néha nem jól ismeri fel a program a CAPTCHA-t mert a következő próbálkozásra is ugyanazt a kódot fogja kipróbálni. (még én sem ismerem fel mindig a CAPTCHA-t pedig én ember vagyok !) egy makrót meg is lehet úgy is írni, ha nem ismeri fel a CAPTCHA-t akkor kér egy másikat és ha mégis elhibázza akkor is onnan folytatja a kód próbálgatását ahol a legutóbbi sikeres CAPTCHA beírásnál tartott.
  • nagylzs
    #45
    Nem szeretem az ilyen flame-eket de Turdus annyi beképzelt hogy ezt nem lehet kihagyni. :-) Szóval:

    >"megfelelő programmal szimulálom a kattintást"
    >Lássuk azt a programot.

    http://www.autoitscript.com/autoit3/

    Szeretném hangsúlyozni hogy ez csak 1 példa, vannak más lehetőségek is!

    >"Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció.
    > Ez közel sem "feltörhetetlen"."
    >
    > Másodpercenként nem tudsz ellenőrizni, arről gondoskodik a késleltetés.

    Mármint úgy érted hogy egy IP-ről nem tudok. Na és akkor mi van? 10 IP címről percenként így is meglesz 6 regisztráció, akkor az egy óra alatt 360 . Ez bőven elég flood-olásra. Persze lehet növelni a késleltetés idejét, írhatod rá hogy akkor nem 1 másodpercet vársz hanem ötöt, meg egyéb trükköket, de akkor én meg azt írom rá hogy nem 10 IP-ről próbálkozom hanem 20-ról stb. Az alap módszered hatékonysága ettől még nem fog megváltozni, ezeket a trükköket meg más módszerekkel is el lehet játszani. A lényeg nem változik.

    > Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy
    > kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol.
    > Nem ugyanaz...

    Már bocs, de előszöris te nem a "feltörést" hanem az "átverést" szabtad feltételül. Ne szépítsünk! "A MINDIG jól válaszol" típusú programok nem léteznek a többi módszerre sem, mégis úgy tekintenek rájuk mint idejétmúlt, gyenge védelemre. Ez pedig a tiédre is igaz.

    Egyébként meg a "próbálgatásos módszer" egy létező, ismert és bevált módszer. Ez nem "mázli", hanem elismert dolog. A 10%-os arány pedig már átverésnek számít. Lehet hogy van olyan alkalmazás ahol a 10% még nem probléma, de a legtöbb helyen az. Tehát a szoftvered átverhető. Pont.

    A feltörésben nem vagyok biztos (100% arány elérése), de erre nincs is szükség.
  • ensomhet
    #44
    Gondolom ezek nagy része nem szimpla szövegfelismerésreépül, hanem betanítható eljárások. A képösszepárosítósdi is ugyanígy betanítható, az, hogy 10 vagy 1000 kutyás/macskás/virágos képed van a lényegen nem fog változtatni. Ha olyan elterjedt lenne, hogy megérje pénzt fektetni a visszafejtésébe, akkor megoldanák. Akár egy primitív kis játékot is lehet írni rá, hogy namivanaképen, nyomjad, aztán szépen logolja az eredményt és kész.
  • MerlinW
    #43
    Sok oldalon van hangos captcha is. (hangszóró ikon)
  • tomsolo
    #42
    a vakok jabbere hogyan tudha használni azt az oldalt ahol ilyen van?
  • Turdus
    #41
    minden ilyen kód törhető. A kulcs az, hogy a törés több erőfeszítást igényeljen, mint amennyi a törésből remélhető profit, ezáltal éri el a biztonságot.
  • Turdus
    #40
    Teljesen jogos. A részletek:
    én adom a pénzt, privbe írsz egy üzenetet, és megbeszélünk egy személyes találkozót.
    Nagy ötlet nincs, mindössze annyi, hogy végignyálaztam a teljes szakirodalmat, és próbáltam az összes korábbi törési módszert kiküszöbölni, a buktatóikat elkerülni.
    A feltétel pedig az, hogy emberi időn belül, programmal elfogadható arányban választ adni (tehát mondjuk 1 perc alatt 70-80%-ban törni). Logok nem kellenek, csak egy személyes demonstráció, igazából a törés hogyanja az érdekes, hogy bele tudjam építeni a védelmet a rendszerbe. Ezáltal ugye a feltörő hozzájárul a rendszer biztonságának növeléséhez, ezért jár a pénz.

    A távol keletiek ellen definíció szerint nem véd, mert csak arra alkalmas a teszt, hogy eldöntse, program vagy ember válaszol-e.
  • Villanypásztor
    #39
    "Mutasd be"

    Egy ilyen felhívást úgy szokás közzétenni, hogy kiderüljön belőle:
    - ki adja a pénzt
    - az adott rendszerben mi a "nagy ötlet", miért is gondolja a készítő, hogy jobb, mint a többi
    - pontosan mi a feltétele annak, hogy elfogadd a feltörhetőség tényét. X% arány? X db/perc? Vagy van valahol valami levédve, amihez ha sikerül percenként x-szer hozzáférni, az utána bizonyítékként belengethető? Vagy mégis mi a kihívás lényege?

    Amúgy meg az, hogy száz, ezer, vagy százezer kép van benne, tökmindegy. Szorgos távol-keleti kezek megfejtik az ismeretleneket, utána meg már adatbázisból mehet az egész. Nem tudsz gyorsabban berakni új képeket, mint ahogy azt fejtik meg.
  • DrGreen
    #38
    A legtöbb szöveg alapú captcha ott hibázik, amikor nekiáll minden betűt más színnel jelölni, míg a háttér ezektől teljesen eltérő. Így aztán hű de nagyon nehéz elkülöníteni a betűket.
    Flashnél használható akármilyen flashdecompiler, és az már csak az elemeket látja, nem a szép animációt. A megjelenítendő szöveg/kép ha futásidőben töltődik le, a forrásba belenézve lenyúlható azok címe - vagy a generáló script címe.
    Esetleg egy előbb említett pontos módszer, de animált gifen, ahol egy-egy képkocka nem adja ki a teljes képet, de egymás után lejátszva már igen. De ez is törhető, csak a képeket egybe kell olvasztani...
  • benczurzs
    #37
    Mo-n, mi a gond ?
    nyugodtan használjuk a Captcha-ban, az ékezetes betűket.
    A program valszeg erre nincs felkészítve.
  • Turdus
    #36
    A lényeg az, hogy nem csak 10 kép van (ez egyenlőre pre-pre-alpha változat, ezért csak 1000 kép van benne).
  • Turdus
    #35
    "De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon"
    Ez aligha program.

    "Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja"
    Az vegye a fáradtságot, és küldjön egy privet. Értelmetlen, farok floodolás volt csak a whois másolása, akárcsak a js másolása.

    "Lasd man wget"
    Ha wget-el töltöd le, akkor esélyed sincs, mivel a következő kérésnél már más lesz a teszt.

    "Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet"
    Pénz működő programért jár. Eddig csak szócséplés volt.
  • Charybdis
    #34
    Én olyan flash-alapú captchat csinálnék, ahol nem egy helyben állnak a betűk, hanem folyamatosan mozognak, de közben kicsit a háttér is mozog. Ezt nem hiszem, hogy bármelyik program fel tudná törni.
    Mivel Flash alapú, ezért az akadálymentesítést figyelembe véve lenne benne audió captcha is.
  • irkab1rka
    #33
    "Plato Captcha".

    Bocsi, javasolnám, hgoy keress egy komolyabb munkát. A kép párosítással az a baj, hogy a képek azonosíthatóak egyszerűen (van 10 kutyás, 10 cicás képed, stb) és onnantól a párosítás is automatikus.
  • kvp
    #32
    ""A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb"
    Mutasd be."

    Fogod az eppen aktualis javascript-et, amit visszaad a kod:

    document.write("<INPUT type='hidden' name='captcha' id='v3c43bf0672328d15751aee85f9b1511f'><TABLE border='0' cellspacing='0' cellpadding='0'><TR><TD><A href='http://captcha.turdus.hu/'><IMG id='captchafe213deae4c66d290fa3d9980ab331b0' src='ht"+"tp://captcha.turdus.hu/im"+"age/8fe7180bb0c224212dcd293e4896633c/green' alt='' width='64' height='64' border='0'></A></TD><TD><DIV style='overflow:auto;height:68px;width:72px;text-align:right;'><IMG id='i635f817b26fbe50d9e9baedd8548dc8d' src='http://captcha.turdus.hu/picto/ship' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ia06ae6f5b1aa3f1b00c692fe2577eda0' src='http://captcha.turdus.hu/picto/bird' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ibcb45f0de12345dffd488c01bea09a4c' src='http://captcha.turdus.hu/picto/tree' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='id216d758575a4e38b7603f79a909ce9b' src='http://captcha.turdus.hu/picto/mountain' alt='' width='48' height='48' style='border:so
    id 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ic96b987c96490d261348e932a9df7c78' src='http://captcha.turdus.hu/picto/door' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i6401ea49409b510f3ef33ce337a5a2f8' src='http://captcha.turdus.hu/picto/fish' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ibd4d8077e06e4c135c8890853a4346ff' src='http://captcha.turdus.hu/picto/flower' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i266ae71ce213050b639467e9594ac0c6' src='http://captcha.turdus.hu/picto/dog' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i2928027d5f10126a06d167eaa725e14d' src='http://captcha.turdus.hu/picto/cat' alt='' width='48' height='48' style='border:solid 2px w
    ite;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i4d242f5b300aea6c71c4e31a2b47a972' src='http://captcha.turdus.hu/picto/butterfly' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br></DIV></TD></TR><TR><TD colspan='2' align='center'><A href='http://captcha.turdus.hu/' style='font-family:Helvetica;font-size:10px;color:green;text-decoration:none;'>
    Pi;C Plato CAPTCHA Engine©</A></TD></TR></TABLE>");document.getElementById('captchafe213deae4c66d290fa3d9980ab331b0').src='http://captcha.turdus.hu/image/8fe7180bb0c224212dcd293e4896633c/green';function fe16fd84a33c244b5efbd28d2e6140691(o){var i=document.getElementById('v3c43bf0672328d15751aee85f9b1511f');if(i!=null&&i.value!=''&&document.getElementById('i'+i.value)!=null)document.getElementById('i'+i.value).style.border='solid 2px white';i.value=o.id.substr(1,32);o.style.border='solid 2px green';"

    Lefuttatod, kiveszed az elso id-t es ez 10%-os valoszinuseggel jo lesz. Harom probalkozasbol ez mar 27% (lasd valszam). De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon, ahol az internetezo hulyegyerekek megoldjak azert hogy be tudjanak lepni a 'kepgalleriaba'. A legtobb orosz spammer ezt hasznalja, mivel buta emberbol tobb van mint cpu idobol.

    ""A belinkelt feladatra a megoldas a wget hasznalata"
    Mutasd be, hogyan."

    Lasd man wget, --post-data mezo hasznalata... (nem fogom bemasolni a manpage-et)

    ""Ha valaki penzt akarna kerni a megoldasaert a sractol"
    Ismered a whoist, gratulálok. ... Dumálni majdnem mindenki tud"

    Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja, akkor tudja hova erdemes menni 'penzt kerni'. :-) (meg erdekelt hogy ki az aki hacker-nek hivja magat)

    A lenyeg, hogy lehet bonyolitani, de nem erdemes. Ma mar letezik rengeteg mi alapu es rengeteg human alapu captcha feltoro megoldas. Ha van benne eleg penz meg az is elofordul, hogy a spammer/farmer felvesz par olcso azsiai 'tavmunkast' es megcsinaljak azok. Ha meg nincs benne penz, akkor a legjobb megoldas sem er anyagilag semmit sem. (mint pl. a demo oldal) Kicsi az eselye hogy barki valaha is onkent fizessen ezert. Viszont ilyet irni iskola utan jo szorakozas es a keszito igazi 'hacker'-nek erezheti magat. Aztan tobbnyire rajon hogy megsem. :-)

    ps: Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet... :-)))))
  • Turdus
    #31
    "A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb"
    Mutasd be.

    "A belinkelt feladatra a megoldas a wget hasznalata"
    Mutasd be, hogyan.

    "Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind"
    Megint tévedsz. Jelenleg több, mint ezer kép van, és az adatbázis bővül. Senki nem mondta, hogy ugyanarra az url-re mindig ugyanaz a kép jelenik meg...
    Ezenkívül, mint már említettem volt, minden letöltés megváltoztatja a tesztet.

    "Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet."
    Csak épp a variációk száma egy hangyabránernyit nagyobb, pont annyival, hogy már komoly kihívást jelentsen. Betűből 26 van, kutyát ábrázoló képből szerinted mennyi?

    "A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember"
    Amikor elvont fogalmakat, ábrákat kell felismerni, akkor nem. Ahhoz MI kéne. Ha ilyen egyszerű lenne, akkor a googli használná, és nem kéne labeller.

    "Ha valaki penzt akarna kerni a megoldasaert a sractol"
    Ismered a whoist, gratulálok. De a pénzért le is kéne tenni valamit az asztalra, nemcsak jératni a szád... Dumálni majdnem mindenki tud (itt különösen sokan).

  • kvp
    #30
    "Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni."

    A microsoft megoldasa 6 masodperc alatt 17 szazalek. A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb. A harom probalkozas utani letiltas azert nem jarhato, mert sok cegnek es kisebb szolgaltatonak osszesen 1 kulso ip cime van, tehat 1 buta felhasznalo denial of service-t valthat ki az egesz tartomanyon.

    A belinkelt feladatra a megoldas a wget hasznalata, ahol az elso keres letolti az oldalt, a masodik kuld egy valasz post kerest, a generalt parameterekkel. Ez meg egy windows-os batch file-bol is megoldhato.

    Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind, majd kezi cimkezes utan egy sima image diff megmondja hogy melyik kepet adta a rendszer es az melyik valasz osztalyba tartozik. Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet.

    "Flash alapu captcha?"

    Jo, viszont sima kepernyokep + eger szimulacioval kikerulheto. A windows erre nyujt tamogatast, meg visual basic 6-ban is. (utoljara ott hasznaltam, kb. 10 eve)

    "Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sűrűbb helyeken lévő pontokból kiolvasható volt h mit kell beütni."

    Lasd fent. Nagyon sok mmo farmer bot ezt hasznalja, igy latjak a valojaban sok kis haromszogbol kirakott kepet.

    "Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D"

    Az elsot lasd fent, a masodik csak addig er valamit, amig a programiro el nem olvassa egyszer az oldalt, hogy mi a feladat.

    "CSS alapú? Megfelelő helyre lerakott bepozicionált divek végül kiadnak egy pár betűt."

    Ez csak az internet explorer-rel internetezo embereket zarna ki az oldalrol... :-)

    "Esetleg egy sima captcha amire írt szöveget visszafele kell beírni?"

    Ilyen mar van, de ez a legegyszerubben felismerhetoek kozze tartozik.

    A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember. Abban a pillanatban van gond, ha mar egy gepnek konnyebb, mint egy embernek. A rapidshare-re es tarsaira is egyszerubb programot irni (browser plugin-t), mint mindig kezzel megadni a valaszt. Igy lehet automatizalni a letolteseket.

    ps: Ha valaki penzt akarna kerni a megoldasaert a sractol:

    Website Title: turdus.hu
    Title Relevancy: 100%
    Meta Description: homepage of hacker named Turdus
    Description Relevancy: 20% relevant.

    domain: turdus.hu
    org: org_name_eng: Proaction Hungaria Ltd.
    org: org_name_hun: Proaction Hungaria Kft.
    address: Dísz ter 16. III/4.
    address: 1014 Budapest
    address: HU
    phone: +36-1-225-7744
    fax-no: +36-1-225-7743
    hun-id: 0991681330
    admin-c: 2000686739
    tech-c: 3000101064
    zone-c: 3000101064
    nameserver: eplos.hu
    nameserver: ns.blazearts.hu
    registered: 2007.10.25 23:18:30
    changed: 2007.11.09 09:54:15
    registrar: 1000271857

    person: Baldaszti Zoltán
    address: Tüttõssy u. 7.
    address: 8900 Zalaegerszeg
    address: HU
    phone: +36 30 514 7769
    fax-no:
    hun-id: 2000686739

    role: forpsi.hu Hostmaster
    address: Hunyadi u. 12
    address: 6090 Kunszentmiklós
    address: HU
    phone: +36 76 550 153
    fax-no: +36 76 550 152
    e-mail:
    hun-id: 3000101064

    role: forpsi.hu Hostmaster
    address: Hunyadi u. 12
    address: 6090 Kunszentmiklós
    address: HU
    phone: +36 76 550 153
    fax-no: +36 76 550 152
    e-mail:
    hun-id: 3000101064

    org: org_name_eng: BlazeArts Ltd.
    org: org_name_hun: BlazeArts Kft. (Registrar)
    address: Hunyadi u. 12.
    address: 6090 Kunszentmiklós
    address: HU
    phone: +36 20 3242323
    fax-no: +36 76 550175
    hun-id: 1000271857
  • bunny
    #29
    A képen látható megoldások a legelső, leggagyibbak. Ezeknél már én is ötletesebbeket használok, pedig nem vagyok egy multi :)
    De valamit meg kell érteni. Ahogy a cikk is írja, a komolyabbakat nem programok törik fel, hanem emberek. Ez a tipusu védelem pedig azt tudja, és nem többet, hogy ellenőrzi, ember avagy egy program próbálkozik. Ebből az következik, hogy mivel ember próbálkozik, be tud lépni, és sakk-matt, ha nem tudna akkor ugye a valódi felhasználó sem jutna be.

    Megoldás? Teljesen más irányba kell indulni, de nem adok ötleteket, találja ki mindenki magának. Egy ötletem már lenyúlták, nem mindta szabadalomvédett lenne :)
  • dondore
    #28

    Elérhetőséget tudsz dobni?
  • mad mind
    #27
    Hehe. Ne tudtam belépni, ezek szerint program vagyok.
  • smv
    #26
    Ne haragudj de így elsőre én nem fogtam fel, hogy akkor most hogyan lehet belépni:D Mit válasszak ki és hol?:D Szerinted egy átlag mezei halandó (joh meg én is) akár 2 másodpercnél többet el fog tölteni azzal, hogy megfejtse, hogy most mi is a feladata?
  • smv
    #25
    Flash alapu captcha?

    Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sűrűbb helyeken lévő pontokból kiolvasható volt h mit kell beütni.

    Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D

    CSS alapú? Megfelelő helyre lerakott bepozicionált divek végül kiadnak egy pár betűt.

    Esetleg egy sima captcha amire írt szöveget visszafele kell beírni?
  • duke
    #24
    Az a buzisag a Captcha-ban hogy mar annyira bonyolultak hogy az emberek is alig alig tudjak kitalalni,jo ha 3-4 probalkozasbol sikerul.
  • Turdus
    #23
    Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni.

    Az, meg hogy mennyi ideig filózik az ember, hogy mi van a képen, jogos felvetés, de erre azt mondom, hogy tesztek igazolják, hogy a vizuális felismerés kevesebb időt vesz igénybe, mint egy értelmetlen, eltorzított írás kibogarászása. Én is teszteltem (csak pár emberrel, szóval nem reprezentatív), de mindenki kivétel nélkül gyorsabban válaszolt, mint pl a google captcha kérdésére.
  • Turdus
    #22
    "Mi is a garancia"
    A szavam. Vagy elég neked, vagy nem.

    "még e fölé is lehetne menni valószínűleg"
    A "valószínűleg" elég gyenge, ezt ugye Te is érzed. Ha valóban sikerül megoldanod, állok elébe, kiváncsi vagyok a hogyanra, és hidd el, ki fogom fizetni szó nélkül a pénzt érte.

    "Security through obscurity"
    Először is security by obscurity, másodszor ez semmiképp nem az, mivel pontosan definiálva vannak a paraméterek és az ellenőrzés menete is az oldalon, elolvashatod. Az, hogy a UUID-k milyen algoritmussal vannak kiszámolva, lényegtelen, mivel feltesszük, hogy két egyforma valószínűsége 0. A kulcsok cseréjének gyakorisága szintén le van írva. Ami SbO alá esik, az a kattintás emulálása, beismerem, de még erre sem jött megoldás, és ha van is, az is MAX 10%-os esélyt ad (amíg be nem bizonyítod az ellenkezőjét). Megjegyzem ismét, az elméletileg maximális 10% messze veri a cikkben említett összes eddigi védelmet (és ráadásul elméleti, gyakorlat az egészen más).
  • phoenix1
    #21
    Biztos jó a captcha, de nem a felhasználónak hanem az oldal üzemeltetőjének. Van néhány egészen extrém captcha *faj* amit mi emberek nem, viszont a gépek 100% pár másodperc alat törnének. És itt van elásva a kutya!
    Nem, azért nevetséges, nem fog az ember 2-10+ percet filózni, hogy mi is van a képen, inkább tovább megy. Nehéz kitalálni egy jó megoldást erre.
  • DjDano
    #20
    A Rapidshare "kutya, macska rendszerét" tutira nem játszotta volna ki, más kérdés, hogy sokszor még én se találtam el. pedig jó szemem van:)
  • Villanypásztor
    #19
    "Lássuk azt a programot."

    Mi is a garancia arra, hogy megkapja az első sikeres "feltörő" a százezer forintot? Semmi. Akkor meg minek foglalkozna vele bárki is a saját idejét feláldozva?

    Kábé 5 percet szántam rá az előbb, és hótziher, hogy meg lehet oldani legalább 10%-osra a tippelgetős módszerrel, de elárulom, ha valaki nagyon ráér, még e fölé is lehetne menni valószínűleg.

    Az meg, hogy bannolsz a sikertelen próbálkozásokra, nem megoldás. Ha az lenne, ezt használnák mindenhol, és pillanatok alatt meg lenne oldva a gond.

    "Security through obscurity" mond valamit? Nem kéne erőltetni...