Защита от авто-заполнения форм
Вопрос ясен вот я знаю 2 метода защити это:
1. код подтверждения
2. если используются сессии то в формах в элемент hidden пихаем id сессии (<input type=hidden name=id_ses value=<? echo id_session(); ?>>) ну или что-то такое :))) а потом проверяем $_POST[‘id_ses’]== id_session() то выполняем действие если нет выводим ошибка
какие есть еще способы и какой из них посоветуете??
И вопрос не по теме )) какие функции JS возвращают ширину и длину экрана
1. код подтверждения
2. если используются сессии то в формах в элемент hidden пихаем id сессии (<input type=hidden name=id_ses value=<? echo id_session(); ?>>) ну или что-то такое :))) а потом проверяем $_POST[‘id_ses’]== id_session() то выполняем действие если нет выводим ошибка
какие есть еще способы и какой из них посоветуете??
И вопрос не по теме )) какие функции JS возвращают ширину и длину экрана
Первое однозначно.
Второе весьма сомнительно, откуда сессия, как сессия? Когда-то писал (причем на ПХП) фиговину для отправки мыла через веб-интерфейс почтовиков АВТОМАТОМ, все что требовалось - логин, пароль (для авторизации), получатель, тема и данные письма, все "шаги" для работы с конкретной системой хранились в маленькой базе, т.е. автоматом шло все, от авторизации и получения UIDa сессии до обработки некоторых специфических вещей.
К чему это я. Именно в данном случае все что можно сделать в браузере, возможно организовать автоматом.
В случае же картинок можно конечно распознать (знаю одного извращенца, правда коды в таком внятном виде мало кто дает на пикчах), но это куда сложнее, да и заметил более новый вид подтверждений, типа "скажите сколько предметов изображено на картинке" и там на маленькой площали слитые машики, шарики, фотики, такое точно ни одна распознавалка не возьмет (если конечно картинки динамические, а не заведомо ограниченное кол-во) :)
Второе весьма сомнительно, откуда сессия, как сессия? Когда-то писал (причем на ПХП) фиговину для отправки мыла через веб-интерфейс почтовиков АВТОМАТОМ, все что требовалось - логин, пароль (для авторизации), получатель, тема и данные письма, все "шаги" для работы с конкретной системой хранились в маленькой базе, т.е. автоматом шло все, от авторизации и получения UIDa сессии до обработки некоторых специфических вещей.
К чему это я. Именно в данном случае все что можно сделать в браузере, возможно организовать автоматом.
В случае же картинок можно конечно распознать (знаю одного извращенца, правда коды в таком внятном виде мало кто дает на пикчах), но это куда сложнее, да и заметил более новый вид подтверждений, типа "скажите сколько предметов изображено на картинке" и там на маленькой площали слитые машики, шарики, фотики, такое точно ни одна распознавалка не возьмет (если конечно картинки динамические, а не заведомо ограниченное кол-во) :)
InterWen то значит 2 не рекомендовано ??
просто нсчет картинок не катит так как мне для дипломной работы и нужно чтобы было на пхп буз лишних библиотек ))
просто нсчет картинок не катит так как мне для дипломной работы и нужно чтобы было на пхп буз лишних библиотек ))
З.Ы. PHP - сам лишняя библиотека :)
Ну сам подумай, откуда будет браться предполагаемый id сессии? А лучше сделай, выложи куда-то и с радостью предоставлю тебе спам-бота на твою форму ;)
Ну сам подумай, откуда будет браться предполагаемый id сессии? А лучше сделай, выложи куда-то и с радостью предоставлю тебе спам-бота на твою форму ;)
Неплохо, неплохо (все читать ниасилил, так, выборочно). Вот скажем хеширование имен инпутов - это готично :) Только одна проблема, кто ж мне мешает получить всю необходимую инфу не очень строго пропарсив страницу?
Так или иначе требую полученное творение для тестирования, извините конечно, но лучше картинок (и с каждым годом они отрисованы все извращеннее, что возможно о чем-то да говорит) метода ещё не придумано.
Хотя в принципе можно совместить множество извратов, вплоть до рандомного тыканья этих honeypots, но... НО, не поверю вообщем, пока не увижу, трудно на глаз без примера взвесить все ЗА и ПРОТИВ.
Добавлено:
А может не один я читал между строк ;) , цитирую автора статьи:
In theory, it is possible for a spambot to defeat any of these measures. But in practice, bots are very stupid, and the simplest trick will confuse them
т.е. если автору топика нужна верняковая защита (по крайней мере ВЫСШАЯ из практически возможных), то свое ИМХО я уже выразил, если же так-сяк на знание предмета, то в принципе можно заюзать идругие методы.
Spammers don't make software that can post to any form, they make software that can post to many forms.
За всех не отвечал бы, Я - живое опровержение данного аргумента :) да, и что самое страшное, один БОЛЬНОЙ СПАМер в разы страшнее тысячи обычных.
Т.е. в какой-то степени автор дает намек на необходимость избегать употребления имен инпутов как name, email, subject, message и все будет ОК. Увы, но черезчур банально и польза от этих советов будет прямо пропорционально зависить от ценности, представляемой СПАМерам конкретным теоретическим проектом.
Так или иначе требую полученное творение для тестирования, извините конечно, но лучше картинок (и с каждым годом они отрисованы все извращеннее, что возможно о чем-то да говорит) метода ещё не придумано.
Хотя в принципе можно совместить множество извратов, вплоть до рандомного тыканья этих honeypots, но... НО, не поверю вообщем, пока не увижу, трудно на глаз без примера взвесить все ЗА и ПРОТИВ.
Добавлено:
А может не один я читал между строк ;) , цитирую автора статьи:
In theory, it is possible for a spambot to defeat any of these measures. But in practice, bots are very stupid, and the simplest trick will confuse them
т.е. если автору топика нужна верняковая защита (по крайней мере ВЫСШАЯ из практически возможных), то свое ИМХО я уже выразил, если же так-сяк на знание предмета, то в принципе можно заюзать идругие методы.
Spammers don't make software that can post to any form, they make software that can post to many forms.
За всех не отвечал бы, Я - живое опровержение данного аргумента :) да, и что самое страшное, один БОЛЬНОЙ СПАМер в разы страшнее тысячи обычных.
Т.е. в какой-то степени автор дает намек на необходимость избегать употребления имен инпутов как name, email, subject, message и все будет ОК. Увы, но черезчур банально и польза от этих советов будет прямо пропорционально зависить от ценности, представляемой СПАМерам конкретным теоретическим проектом.
InterWen насчет бота согласен попробуем как вас найти когда допешу предполагаю что-то будет уже на выходных
С радостью заценю :)
Отойдя от серьезного течения темы...
Немного пораскинув содержимым черепной коробки (х.з. че там такое звякает) в контексте необходимости создания реальной защиты "стратегически важного обьекта", пришел к выводу, что картинки с текстом - также весьма больная тема, иначе (повторюсь) подобные конфирматоры не доводили бы до абсурда, когда имея 101% зрение и точность восприятия нереально понять - ЧТО НАДО ВВОДИТЬ.
Вот пример - на рапидшаре буквально 6 дней назад "подкрутили" шрифт, теперь на этих конфирмюшках один черт (не наделав ошибок) отличит "6" от "G", "1" от "l" и "0" от "9". Хотя и там есть небольшой ИМХО недочет (если кто и вправду настолько болен, чтобы анализировать растр), символы стабильно масштабированы и уж тем более имеют стабильный градус наклона, что в принципе (заметка: я параноик) не дает той же безопасности от автоопределения, что и описанная методика с подсчетом предметов на картинке, что кстати ещё и удобно, куда легче не выламывать закисленные за ночь глаза думая какому символу равна та или иная завитушка, а просто посчитать - "кошечка, собачка, зайчик, машинка".
НО с любой "картиночной" методикой возникает риск пусть если не автоматизации СПАМ-процесса, то его облегчения точно, когда злоумышленнику придется потратить силы лишь на ввод значений-подтверждений (можно кучей!) в своей программе и подтвердить все это одним нажатием на кнопку. Впрочем это уже слишком и представляет интерес малому кругу извращенцев по отношению к определенным ресурсам.
[COLOR="DimGray"]В итоге, пока не создан ни Artifical Intelligence, ни хотя бы Artifical Imbecility, единственным верным способом защиты (и полного избавления от посетителей) можно считать составление уникальных кроссвордов, "хочешь запостить - реши кроссвордик" ;)
Ладно, меня на садизм так и прет сегодня.[/COLOR]
Отойдя от серьезного течения темы...
Немного пораскинув содержимым черепной коробки (х.з. че там такое звякает) в контексте необходимости создания реальной защиты "стратегически важного обьекта", пришел к выводу, что картинки с текстом - также весьма больная тема, иначе (повторюсь) подобные конфирматоры не доводили бы до абсурда, когда имея 101% зрение и точность восприятия нереально понять - ЧТО НАДО ВВОДИТЬ.
Вот пример - на рапидшаре буквально 6 дней назад "подкрутили" шрифт, теперь на этих конфирмюшках один черт (не наделав ошибок) отличит "6" от "G", "1" от "l" и "0" от "9". Хотя и там есть небольшой ИМХО недочет (если кто и вправду настолько болен, чтобы анализировать растр), символы стабильно масштабированы и уж тем более имеют стабильный градус наклона, что в принципе (заметка: я параноик) не дает той же безопасности от автоопределения, что и описанная методика с подсчетом предметов на картинке, что кстати ещё и удобно, куда легче не выламывать закисленные за ночь глаза думая какому символу равна та или иная завитушка, а просто посчитать - "кошечка, собачка, зайчик, машинка".
НО с любой "картиночной" методикой возникает риск пусть если не автоматизации СПАМ-процесса, то его облегчения точно, когда злоумышленнику придется потратить силы лишь на ввод значений-подтверждений (можно кучей!) в своей программе и подтвердить все это одним нажатием на кнопку. Впрочем это уже слишком и представляет интерес малому кругу извращенцев по отношению к определенным ресурсам.
[COLOR="DimGray"]В итоге, пока не создан ни Artifical Intelligence, ни хотя бы Artifical Imbecility, единственным верным способом защиты (и полного избавления от посетителей) можно считать составление уникальных кроссвордов, "хочешь запостить - реши кроссвордик" ;)
Ладно, меня на садизм так и прет сегодня.[/COLOR]
Я вот сегодня так подумал если защитой является картинки и там задается вопрос сколько треугольников вы видите (например), их туда много не налепишь максимум до 10 (я так думаю) разве спам бот не может вводить постоянно число 5 (например) – рано или поздно совпадет мне кажется данная защита будет похуже чем буквы.
Ваше мнение ??
Ваше мнение ??
Несомненно :)
(Тут-то и следует позаботиться о подозрительных "попытках подбора". Обходимо? ФАКТ! Но все же.)
В остальном, меня от этого метода просто прет из-за его дружелюбнсти к пользовател и при этом все же более высокой надежностью по сравнению с http://www.nedbatchelder.com/text/stopbots.html (пока хотя бы за относительную уникальность и редкоиспользуемость).
Переборы вариантов СПАМботами - ИМХО весьма сомнительное действо.
(Тут-то и следует позаботиться о подозрительных "попытках подбора". Обходимо? ФАКТ! Но все же.)
В остальном, меня от этого метода просто прет из-за его дружелюбнсти к пользовател и при этом все же более высокой надежностью по сравнению с http://www.nedbatchelder.com/text/stopbots.html (пока хотя бы за относительную уникальность и редкоиспользуемость).
Переборы вариантов СПАМботами - ИМХО весьма сомнительное действо.
хм ороки то сколько от этих спамеров ;) вот а как такая защита http://demiurg.livejournal.com/70914.html или http://ocr-research.org.ua/teabag/2.X.html такое врятли распосзнает :)
Цитата: Robinnovich
хм ороки то сколько от этих спамеров ;) вот а как такая защита http://demiurg.livejournal.com/70914.html или http://ocr-research.org.ua/teabag/2.X.html такое врятли распосзнает :)
Задай себе вопрос - а оно спамерам надо обходить защиту даже простенькую на твоем сайте? Стоит ли овчинка выделки?
ну так как это для курсовой а потом дипломной то можно было бы и попробовать сделать так как больше наворотов больше шансов не задавать экзамены )
вот еще один метод хотелось бы узнать у знатоков действительно ли на таких глупостях будет спотыкаться бот ??
вот еще один метод хотелось бы узнать у знатоков действительно ли на таких глупостях будет спотыкаться бот ??
RussianSpy кратко и ясно выразил мои заключения о собственно целесообразности.
Но т.к. необходимо не для практического применения, да и тема все же весьма интересная, можно продолжить жевать кирзовые сапоги со стороны подошвы :)
ПО поводу http://ocr-research.org.ua/teabag/2.X.html
С виду все идеально, НО если немного поразмыслить, вот скажем тут (не "слитый" вариант) - http://ocr-research.org.ua/images/teabag/20/01.png (увы, отображен не весь алфавит) контуры каждого символа очерчивают довольно уникальную геометрическую фигуру, что в принципе можно подправить, слепив буквы как на втором варианте - http://ocr-research.org.ua/images/teabag/20/02.png (хотя тут не все так гладко, но все же), вдобавок сделав рандомный угол наклона и разумеется подгадив картинку какой-нибудь тупой штриховкой, хотя "дружелюбная" к пользователю "штрих-кака" (в большинстве случаев) не очень надежна, а реально действующие варианты отсеют юзверей с неидеальным зрительным аппаратом :D Рекомендуется остановиться на среднем варианте, но все же ИМХО ближе к удобству пользоателя, т.к. СПАМеров теоретически уже большая половина шуганется от одной мысли о конфирмюшках.
З.Ы. должен заметить, я не эксперт в распознавании растровых матриц, хотя и доводилось извращаться, но большинство экспериментов основывалось на необходимости т.н. bool определения (т.е. есть то что меня итересует на картинке или нет, скажем для сбора "бонусов" с одного сайта), так в случае с подобным 3Д текстом только ОЧЕНЬ ОСТРАЯ необходимость заставила бы меня попариться над программным выделением контуров и прочей мурой.
ПО поводу http://demiurg.livejournal.com/70914.html
ГЫ, мое любимое. Вариант (ИМХО!) прекрасный... как анти-СПАМ, но некоторых пользователей, х.з. почему, ужасно пугает. Впрочем это не самый садистский по отношению к ним метод, так что смело можно было бы взять на вооружение.
Но т.к. необходимо не для практического применения, да и тема все же весьма интересная, можно продолжить жевать кирзовые сапоги со стороны подошвы :)
ПО поводу http://ocr-research.org.ua/teabag/2.X.html
С виду все идеально, НО если немного поразмыслить, вот скажем тут (не "слитый" вариант) - http://ocr-research.org.ua/images/teabag/20/01.png (увы, отображен не весь алфавит) контуры каждого символа очерчивают довольно уникальную геометрическую фигуру, что в принципе можно подправить, слепив буквы как на втором варианте - http://ocr-research.org.ua/images/teabag/20/02.png (хотя тут не все так гладко, но все же), вдобавок сделав рандомный угол наклона и разумеется подгадив картинку какой-нибудь тупой штриховкой, хотя "дружелюбная" к пользователю "штрих-кака" (в большинстве случаев) не очень надежна, а реально действующие варианты отсеют юзверей с неидеальным зрительным аппаратом :D Рекомендуется остановиться на среднем варианте, но все же ИМХО ближе к удобству пользоателя, т.к. СПАМеров теоретически уже большая половина шуганется от одной мысли о конфирмюшках.
З.Ы. должен заметить, я не эксперт в распознавании растровых матриц, хотя и доводилось извращаться, но большинство экспериментов основывалось на необходимости т.н. bool определения (т.е. есть то что меня итересует на картинке или нет, скажем для сбора "бонусов" с одного сайта), так в случае с подобным 3Д текстом только ОЧЕНЬ ОСТРАЯ необходимость заставила бы меня попариться над программным выделением контуров и прочей мурой.
ПО поводу http://demiurg.livejournal.com/70914.html
ГЫ, мое любимое. Вариант (ИМХО!) прекрасный... как анти-СПАМ, но некоторых пользователей, х.з. почему, ужасно пугает. Впрочем это не самый садистский по отношению к ним метод, так что смело можно было бы взять на вооружение.
Цитата: Robinnovich
ну так как это для курсовой а потом дипломной то можно было бы и попробовать сделать так как больше наворотов больше шансов не задавать экзамены )
вот еще один метод хотелось бы узнать у знатоков действительно ли на таких глупостях будет спотыкаться бот ??
вот еще один метод хотелось бы узнать у знатоков действительно ли на таких глупостях будет спотыкаться бот ??
Ну раз так... Тогда давайте немного и я посру тут:
1) Можно создавать динамически мр3 файл, который надо прослушать и вписать соотв. слово или цифры
2) Можно использовать сложный фон с различным расположением искомой надписи (например взять фотку девушки и выводить надпись ввиде татуировки на разных частях тела)
3) можно вставить флешовую анимацию опять таки динамически генерируемую на сервере и там уже показывать код ввиде колбасящихся буквоцифр
4) вариант 3 только вместо флешовой анимации -небольшое видео
+1
Хотя в случае динамического аудио вероятность отсутствия на целевой машине средств воспроизведения звуковых импульсов куда выше вероятности отсутствия монитора :)
Хотя в случае динамического аудио вероятность отсутствия на целевой машине средств воспроизведения звуковых импульсов куда выше вероятности отсутствия монитора :)