17
-
Epikurosz #17 Utálom a kepcsát, mint a sz.rt.
Apropó: a legnehezebb regelésem egy ír on-line lapon volt. Az volt a kérdés, hogy ki a jelenlegi Taoiseach.
Vazze, Wikipédiát kellett olvasnom, hogy rájöjjek. -
amitakartok #16 Youtube-on van pár könnyen azonosítható captcha. Úgy értem, könnyen azonosítható de még akkor is hibásnak jelzi, ha tökéletesen írtad be. -
#15
capcha.... olyan jó a védelem, hogy már lassan a felhasználótól is megvédi...
megauploadon olyan captcha van, amit általában úgy 3. generálásra tudok elolvasni, még akkor is nehezen. Volt mikor 5x kellett újat generálnom mire dekódolható szöveget kaptam. Az a vicces amikor a szaros captchaknál mondjuk az L-betű alsó részét telibe takarja egy másik, így ha 60 évig dekódolod, és erre áldozod az életed se lehetsz benne biztos hogy az L-e vagy I -
#14
Én annyira utálom a captchát, hogy minden létező helyen kikapcsoltam. A blogomon is, mert úgy van megcsinálva, hogy hiába vagyok én admin, ha egy kommentre szeretnék reflektálni, nekem is meg kell fejteni a rejtvényt. Akkor inkább ne legyen; kommentelhessen mindenki bátran. Ha fel akarják törni az oldalt, úgyis feltörik; ez ellen én nem sokat tehetek, mert nem vagyok infós és nem is érdekel ez a része a dolognak. Viszont az oldalt sincs miért feltörni. -
Gabesz84 #13 a T által osztogatott modemben 1x le kell cserelni a fostalicska kondenzatorokat ujra, es akkor semmi baj nincs vele. En megtettem, es tokeletesen mukodik tovabb :)
Sikeres-e vagyok? -
bakagaijin #12 Vannak drága és óccsó változatok, a doboz tartalma alaposan eltér. A tré által osztogatott DLink adsl modemmel nekem is tele van, most egy külső 12cm-es venti biztosítja a működését... -
AtisH #11 Ízlések és pofonok különbözőek. Nálam spec. csak D-link-es cuccok vannak otthon és nincs vele gondom. Mekkora mázlista vagyok! És így jártam a szerencsejátékkal is, nyertem!!! Hát hiába vannak akiknek összejönnek a dolgok és vannak akiknek nem... :-D
A cikkre visszatérve szerintem sem egy jó ötlet a captchás megoldás és valójában igen kevés ember van, aki távolról szeretné elérni az otthoni rendszerét. Talán a többség igényeire kéne koncentrálni. A maradék 1-2% meg -ha már úgyis profi- keressen magának egyéni megoldást. -
#10
Nekem egy legolcsóbb D-link routerem van otthon, és tudja azt, amiért megvettem: tudok netezni a lakáson belül a PDA-n és a laptopon. Egy éve megy, hiba nélkül.
Ahol nem kell vállalati rendszerbe integrálható faszomtudja milyen fícsörökkel ellátott hipertitkos kapcsolatot létesítő cucc, csak az az egy szempont hogy az asszony tudjon Youtube-on showder klubot nézni amíg én dolgozom az asztali gépen, oda minek a 7000 Ft-os teszkós rúternél komolyabb? -
sonicXX #9 Volt olyan rendszergazda ismerősöm, aki a "délink" hangkombináció hatására könnyes röhögésben tört ki és majd` fél percig úgy is maradt :D de jó tapasztalatom nekem sincs ezzel a "márkával". -
sonicXX #8 Az egyik legjobb védelmi eljárás az, ha a bejelentkezési kísérletek közt időkorlát van. Béluska félregépeli a jelszavát, 15 másodpercig nem tud újra próbálkozni. Ehhez captcha nem kell, a legtöbb ember pedig többnyire elsőre belép. Kiegészíthető captcha-val de majdnem felesleges. A bruteforce és dictionary típusú támadásokat alaposan megnehezíti. És ki lehet egészíteni remekül. Például több hiba nagyobb időkorlát: először csak 15, aztán 20, aztán 25 másodperc és így tovább. Az X-ik (általában 3, 4, vagy 5-ik) próbálkozás után jöhet captcha, azután a felhasználói azonosító tiltása fél vagy egy napra. Erre még rá lehet tenni azzal, hogy a captcha is variálható: képes, találós kérdéses, betűzött matematikai, milyen állat van a képen (SÜN! :D) és társai. Szélsőségesebb esetben a létező legböngésző-specifikusabb JavaScript dialektust használva generálni a beviteli űrlapot és ezzel még a szerveroldali JS értelmezőket is egész barátságosan meg lehet szivatni anélkül, hogy a felhasználó ebből bármit is érzékelne. És tovább is lehet fokozni, de minek.
A captcha jó ötlet, de pettyet túl van értékelve. Volt olyan alig látogatott oldalam amin az akkoriban elterjedt reCAPTCHA nevű megoldást alkalmaztam, fél év múlva minden nap 2-3 botos regisztrációt kellett törölnöm mígnem arra jutottam hogy leveszem a captcha-t és minden regisztrációt kézzel hagyunk jóvá. Nem volt kedvem és nem is érte volna meg ennél tovább cifráni.
Mindegy, nem ragozom tovább nagyon, a captcha önmagában csak a felhasználó életét nehezíti meg ma. A legbiztonságosabb a kikapcsolt számítógép - bár ha hálózatra van kötve, bizonyos esetekben ez se 100% (macera, de lásd pl. WOL). A bekapcsolást követő minden másodpercben fokozatosan nő a biztonsági kockázat és mire a felhasználó eljut a bejelentkező képernyőig rendszertől függően 20-30%-ra is emelkedhet. És ekkor még be sem lépett. A legtöbb biztonsági elemző abban is egyetért, hogy a legsúlyosabb biztonsági kockázatot a felhasználó jelenti - de ebbe már tényleg nem megyek bele, mert annak a vége szociológia lenne, ahhoz meg aztán végképp nem értek. -
#7
Nagyjából én is ugyanezt írtam korábban. :)
Én is találkoztam már olyan oldallal, amelyen a captchákat sokadszorra sem tudtam megoldani, pedig elég jól tudok angolul ahhoz, hogy a szófelismeréssel ne legyen gondom. Csakhogy az a bizonyos oldal értelmetlen betűkombinációkban torzított el egyes betűket a felismerhetetlenségig, így csak jelentés alapján lehetett volna kitalálni - ami persze nem volt. Hagytam is a fenébe az egészet.
D-linket amúgy én sem vennék. -
sonicXX #6 "A D-Link azonban - a többi gyártóhoz hasonlóan - igyekszik lépést tartani a korral"
- Ez meg a legnagyobb vicc az egész cikkben. Captcha-val 3 éve még egész jól be lehetett védeni valamit. Idestova legkevesebb 1 éve azt kutatja a szakma krémje, hogy mivel lehetne kiváltani, mert jövőre már többet fog ártani az üzletnek az alkalmazása mint amennyit használ. Több oldal is leállt a használatáról azért, mert a felhasználóknak a töke tele van az egésszel. Az igazán hatékony captcha az amit a felhasználó is csak negyedjére tud kiolvasni - de ilyet még monopol helyzetben lévő cég se engedhet meg magának hosszú távon. -
sonicXX #5 Különféle cracker csoportok rengeteg warez oldalon és feltehetően néhány legálisan üzemeltetett populárisabb oldalon is évek óta azonosíttat olyan captcha képeket és nem kép típusú captcha-kat, amik egy másik site-hoz tartoznak. Ez a legrégebbi trükk. A kép hash-ét és a megoldást párosítva letárolják, és amikor a bot találkozik egy captcha-val az adott site-on, csak a hash alapján csinál egy ellenőrzést és jó eséllyel maximum néhányszor 10 próbálkozásból talál egy azonosságot. A google és az msn captcha védelmét ettől eltérő technikával törték fel ha jól tudom.
A captcha nem biztonságos, önmagában elégtelen. A biztonságosság sosem egy adott technológia határozza meg, hanem a technológiák megfelelő kombinálása. A megfelelő kombinálásnál át kell gondolni, hogy a célközönséget mennyire korlátozza. Emellett szem előtt kell tartani, hogy biztonsági kockázat mindig van, mivel tökéletes védelem nem létezik és nem is létezhet. Ezért általában olyan védelmet célszerű alkotni, aminek a kijátszására nem éri meg időt feccölni.
A captcha alapú védelmek kijátszására ma nagyon széles a választék, kezdve a fentebb felsoroltakkal és folytatva a legkülönbözőbb kliensoldalra épített megoldásokkal: XSS, böngésző-specifikus rések, adathalászat, vírusok, trójaiak, amikből egész izmos adatkollektor hálózatok építhetőek (a legdurvább botnetek óránként tonnányi jelszót, captcha kulcsot és más értékes információt lapátolnak össze).
Amúgy a D-link tipikusan az a gyártó, akitől akkor se vennék semmit ha ők fizetnének... -
#4
http://en.wikipedia.org/wiki/CAPTCHA#Human_solvers
Paragraph 2 -
#2
A csúnya bácsik egy ideje azt a trükköt alkalmazzák, hogy sokakat érdeklő weboldalakon adják fel a megoldandó captcha-feladványokat, így tömegesen és egyszerűen fejthetik meg őket. A D-Link ezzel kicsit lemaradt, szerintem is inkább reklám az egész. -
lamer the true #1 Azon kívül, hogy reklám nem hiszem, hogy ez a legjobb megoldás. Vagy ne engedj távoli hozzáférést, vagy csak megbízható ip-ről. Sajnos belsős gépeknél ez sem véd, de hát csodák nincsenek.