Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundację Dzieciom „Zdążyć z Pomocą”.
Więcej informacji na dug.net.pl/pomagamy/.

#1 2010-07-19 23:16:28

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Jeśli nie CAPTCHA, to co?

No właśnie, jak zabezpieczyć się przed spamem, żeby oprócz wycięcia części botów, nie wyciąć również części ludzi? Czyli czym zastąpić tak popularną ostatnio captchę, które — jak powszechnie wiadomo — dzielą się na złe i bardzo złe*?
___
*) ręka w górę — kto nigdy nie miał problemu z odszyfrowaniem bohomazów?

reCaptchę lub inny system, który oprócz grafiki ma również opcję dźwiękową, nie uważam za dobre rozwiązanie. Po pierwsze: nie zawsze i wszędzie dźwięk jest dostępny (a to z powodu braku karty dźwiękowej lub głośników), po drugie: wydaje mi się, że to nie jest dobre rozwiązanie dla użytkowników nieanglojęzycznych, po trzecie: podejrzewam, że to dodatkowa słabość — jeśli nie da się złamać grafiki OCR-em, to może systemem rozpoznawania mowy?

Na DUG-u podczas rejestracji stosujemy obecnie prostą captchę, ale ona może utrudnić rejestrację również ludziom. Nawet mi się udało po jakimś czasie dostrzec ten problem jakiś czas temu i od kilku miesięcy jest możliwość założenia konta mailowo za pośrednictwem prymitywnego narzędzia jakim jest admin. Nie jest to jednak rozwiązanie problemu, a jego obejście.


Pomyślałem o następującym sposobie — jedno pole-atrapa proszące o wpisanie czegoś jeśli jest się botem (odrzuca rejestrację jeśli pole będzie niepuste) i drugie proszące o rozwiązanie prostego zadania matematycznego.

Pierwsze będzie dla większości ludzi ukryte za pomocą CSS, dla reszty będzie wyraźne ostrzeżenie, że tutaj niczego nie należy wpisywać. Wydaje mi się, że to nie powinno nikomu przeszkodzić w rejestracji.

Problem z drugim polega na tym, że przecież komputer też potrafi liczyć. Dlatego dodałbym proste (ba, prymitywne, ale zawsze jakieś dodatkowe) zabezpieczenie w postaci „zakodowania” tekstu z prośbą encjami.

Pytanie czy czytniki ekranowe nie zgłupieją? O ile ktoś korzysta z programu odczytującego treść w Firefoksie czy innej normalnej przeglądarce, pewnie nie będzie problemu, jednak z tego co wiem istnieją również specjalne przeglądarki dla niewidomych (fakt istnienia Aural CSS z atrybutami takimi jak speak, voice-family i innymi by to potwierdzał). Czy takowe odszyfrują bez problemu zdanie zapisane w encjach?


Błogosławieni, którzy czynią FAQ.
opencaching :: debian sources.list :: coś jakby blog :: polski portal debiana :: linux user #403712

Offline

 

#2 2010-07-20 01:10:29

life
Użytkownik
Zarejestrowany: 2009-10-30

Re: Jeśli nie CAPTCHA, to co?

Fakt jest to pewnego rodzaju problem na WP jest plugin do filtrowania spamu w komentarzach Akismet, podejrzewam że działa podobnie jak RBL-e oraz baza treści. Dostępna jest klasa PHP i adaptacje na inne platformy niż Wordpress. Tak więc może warto się przyjrzeć bliżej.

Inna metoda która mi wpadła teraz choć z jej skutecznością może być różnie to sprawdzanie adresu IP w listach RBL jeśli jest to wielce prawdopodobne że to część botnetu, ale równie dobrze może być to człowiek bez świadomości że jego maszyna to część botnetu.

Tak więc może połączyć te rozwiązania i jeśli adres IP nie jest na listach RBL można przyjąć że to człowiek i go wpuścić bez niczego. Jeśli adres jest w bazie RBL to wyświetlić zapytanie ale nie captche tylko włąsnie jakieś logiczne lub matematyczne. Jeśli to tylko dla naszej lokalizacji to zamiast "Ile to jest 2+2" można się pokusić o "Ile to jest dwa plus dwa", ewentualnie pytanie typu "Ile jest kropek [....]" itp. :)

Offline

 

#3 2010-07-20 09:15:18

Minio
Użyszkodnik
Skąd: Brno, Česko
Zarejestrowany: 2007-12-22
Serwis

Re: Jeśli nie CAPTCHA, to co?

Ja mam wrażenie że porneL sam sobie odpowiada:

Można w parę minut napisać bota rozwiązującego proste działanie matematyczne albo klikającego n-ty guzik formularza.

Do atakowania nie jest potrzebna 100% skuteczność. Wystarczy zaledwie kilkuprocentowa skuteczność do zalania spamem — bot ma dzień i noc na próbowanie.

Skoro spamera interesuje również skuteczność na poziomie kilku procent, nie będzie sobie zadawał trudu na uzupełnianie bota o dostęp do forum które korzysta z całkowicie niestandardowego formularza rejestracji. Zwłaszcza że, było nie było, to forum nie jest wcale nie wiadomo jak duże.

Ja bym uderzał w hermetyczne kompetencje Polaków, ponieważ niniejsze forum jest przeznaczone tylko dla nich. Oczywiście pytanie należałoby z czasem zmienić, ale na chwilę obecną wystarczy np.: "Rozwiń skrótowiec PO", albo "podaj imię i nazwisko poprzedniego prezydenta RP". "Podaj rok bitwy pod Grunwaldem/chrztu Polski/Zjazdu Gnieźnieńskiego" etc. Są to rzeczy które zdecydowana większość Polaków wie, a jeśli nie wie to zawsze może sobie w chwilę sprawdzić w Wikipedii. Żeby natomiast zarejestrował się bot, musiałby mieć na twardo wpisane że na tym forum musi w pewnym miejscu wklepać odpowiedni tekst — czyli opiera się o założenie że spamerom po prostu by się nie chciało ;) .

Offline

 

#4 2010-07-20 09:25:43

ippo76
fakam fszycho
Zarejestrowany: 2009-02-22
Serwis

Re: Jeśli nie CAPTCHA, to co?

Minio napisał(-a):

...

Ja bym uderzał w hermetyczne kompetencje Polaków, ponieważ niniejsze forum jest przeznaczone tylko dla nich. Oczywiście pytanie należałoby z czasem zmienić, ale na chwilę obecną wystarczy np.: "Rozwiń skrótowiec PO", albo "podaj imię i nazwisko poprzedniego prezydenta RP". "Podaj rok bitwy pod Grunwaldem/chrztu Polski/Zjazdu Gnieźnieńskiego" etc. ....

Hehe, dobre. Polecam również nieśmiertelne cytaty z filmów, w tym nie tylko grypsy Klossa o kasztanach, deszczu ze śniegiem itp. ;)
Z polskich komedii można czerpać garściami ;)

To śpiewałem ja, Jarząbek ;)


ippo76@jid.dug.net.pl

Moja składka do ZUS = 2/3, moja składka do OFE = 1/3;
Stan mojego konta w ZUS = 2XYZ, stan konta w OFE = 3XYZ.

Offline

 

#5 2010-07-20 09:36:07

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

life napisał(-a):

na WP jest plugin do filtrowania spamu w komentarzach Akismet, podejrzewam że działa podobnie jak RBL-e oraz baza treści. Dostępna jest klasa PHP i adaptacje na inne platformy niż Wordpress. Tak więc może warto się przyjrzeć bliżej.

Jeszcze jest sblam.

jeśli adres IP nie jest na listach RBL można przyjąć że to człowiek i go wpuścić bez niczego.

Ja bym był bardziej ostrożny. Założyłbym że jeśli IP jest w bazie Sblama to jest bot i taki pan nas nie interesuje. Jeśli nie - możemy sprawdzać dalej.


Dlatego dodałbym proste (ba, prymitywne, ale zawsze jakieś dodatkowe) zabezpieczenie w postaci „zakodowania” tekstu z prośbą encjami.

A jaka to różnica czy tekst jest w encjach czy czymkolwiek? Robot przekoduje sobie encje na literki, screenreader przeczyta to co mu zapodała przeglądarka...

Ja bym do sprawy podszedł zupełnie inaczej.

1) Zakładamy że pan X zapisuje się z adresu IP który przepuścił sblam. Zapodajemy mu captchę (nie tekstową, uczciwą, obrazkową, średnio trudną). Jak przejdzie - to pewnie człowiek.

2) Jeśli z jakiejś przyczyny pan X nie jest w stanie odczytać captcha, może np. skorzystać z double opt-in (mail potwierdzający i zapisanie się dopiero po odpowiedzi na maila). Tu może być jakiś dodatkowy test (właśnie w stylu "nie wypełniaj tego pola" z display:none, screenreadery w większości przypadków takie coś respektują i display:none pominą).

3) W różnych przypadkach nietypowych zostaje kontakt z administratorem, który pana X może zapisać ręcznie (po pozytywnej weryfikacji - np. poprzez komunikator, SMS-a czy co). Taka możliwość musi istnieć - trudno przewidzieć zachowanie wszystkich możliwych przeglądarek i co takowa może wyświetlić.

Logiczna captcha może być czasem też trudna do rozwiązania - szczególnie dla użytkownika dla którego język captcha nie jest tym który zna najlepiej...

I jeszcze jedno: style aural obsługiwał chyba tylko FireVox (i to w bardzo ograniczonej postaci)... a "specjalne przeglądarki dla niewidomych" to coś co producenci oprogramowania (ze szczególnym uwzględnieniem pewnej firmy na literkę 'I') bardzo chcieliby komuś wcisnąć, ale jelenia coraz trudniej upolować :)

Pytanie dodatkowe: co właściwie ma być zabezpieczone? Jeśli po prostu zapisanie się do forum - podane przeze mnie metody pewnie wystarczą. Jeśli coś więcej - (coś do czego opłaca się napisać specjalizowanego bota) - na 100% nie...


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#6 2010-07-20 09:51:42

Graffi
Użytkownik
Skąd: Sulejówek
Zarejestrowany: 2005-10-03
Serwis

Re: Jeśli nie CAPTCHA, to co?

do filtrowania botów to używam tak:
formularz jest sobie a pola nazywają się losowo: głowa, noga, nos, palec, watroba, jelita, etc...
na divah które dziedziczą po ukrytych divach są natomiast pola: mail, www, jabber, xmpp, body, icon - takie mądrzej nazwane z których każda przeglądarka nie pokaże bo same NIE są hidden, ale tam gdzie leżą ten kawałek jest hidden z powodu dziedziczenia po czymś hidden (zamotałem? przeczytać jeszcze raz)

i jeżeli dowolne z pół które są de facto ukryte zostało wypełnione to oznaczam to jako spam :)

Offline

 

#7 2010-07-20 10:00:24

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

Graffi napisał(-a):

takie mądrzej nazwane z których każda przeglądarka nie pokaże bo same NIE są hidden, ale tam gdzie leżą ten kawałek jest hidden z powodu dziedziczenia po czymś hidden

a) pokaże przeglądarka z wyłączonymi stylami (a to mi się często przydarza, szczególnie przy przeglądaniu stron tworzonych przez "webmajstrów" uważających jasnoszary tekst 10px na bladobłękitnym tle za szczyt gustu)

b) pokaże Lynx, Links, EdBrowse (tak, takie zwierza też w przyrodzie istnieją, sam czkawki dostałem jak edbrowsa w logach zobaczyłem)

Przy okazji - jeśli style masz wszyte w kod to jest spora szansa że bot to wychwyci ;)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#8 2010-07-20 11:13:02

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: Jeśli nie CAPTCHA, to co?

ethanak napisał(-a):

life napisał(-a):

na WP jest plugin do filtrowania spamu w komentarzach Akismet, podejrzewam że działa podobnie jak RBL-e oraz baza treści. Dostępna jest klasa PHP i adaptacje na inne platformy niż Wordpress. Tak więc może warto się przyjrzeć bliżej.

Jeszcze jest sblam.

Z którego z sukcesem korzystamy na portalu. Dlaczego tego nie robimy na forum? Dobre pytanie, na które nie znam odpowiedzi.

Aczkolwiek to raczej obrona przed wysłaniem czegoś w treści (komentarz), a nie rejestracją (choć można banować IP z listy, sblam podaje listę najczęstszych spamerów codziennie).

ethanak napisał(-a):

Dlatego dodałbym proste (ba, prymitywne, ale zawsze jakieś dodatkowe) zabezpieczenie w postaci „zakodowania” tekstu z prośbą encjami.

A jaka to różnica czy tekst jest w encjach czy czymkolwiek? Robot przekoduje sobie encje na literki, screenreader przeczyta to co mu zapodała przeglądarka...

Nie każdy robot sobie przekoduje, te bardziej prymitywne tego nie zrobią.

Z podobnego prymitywnego zabezpieczenie korzysta np. Markdown, który adresy e-mail prezentuje jako href="encje" zamiast href="mailto:adres".

ethanak napisał(-a):

2) Jeśli z jakiejś przyczyny pan X nie jest w stanie odczytać captcha, może np. skorzystać z double opt-in (mail potwierdzający i zapisanie się dopiero po odpowiedzi na maila).

Żadne zabezpieczenie, boty nie mają poblemu z mailami potwierdzającymi, co udowodniły również tutaj przed dodaniem captchy.

ethanak napisał(-a):

screenreadery w większości przypadków takie coś respektują i display:none pominą

O ile nie działa na przeglądarce bez CSS, np. tekstowej.

ethanak napisał(-a):

I jeszcze jedno: style aural obsługiwał chyba tylko FireVox (i to w bardzo ograniczonej postaci)... a "specjalne przeglądarki dla niewidomych" to coś co producenci oprogramowania (ze szczególnym uwzględnieniem pewnej firmy na literkę 'I') bardzo chcieliby komuś wcisnąć, ale jelenia coraz trudniej upolować :)

Aha, czyli nie ma co sobie zaprzątać głowy. :)

ethanak napisał(-a):

Pytanie dodatkowe: co właściwie ma być zabezpieczone?

Rejestracja konta.

Minio napisał(-a):

Skoro spamera interesuje również skuteczność na poziomie kilku procent, nie będzie sobie zadawał trudu na uzupełnianie bota o dostęp do forum które korzysta z całkowicie niestandardowego formularza rejestracji.

Ciekawostka: na portalu FluxboxPL.org działającego na MediaWiki jest — cytując pornela — słabusieńka captcha matematyczna — od czasu jej dodania (będzie z rok albo i lepiej) nie napisał ani jeden spamer — autorom botów nie chce się pisać jej obsługi, kiedy w sieci jest mnóstwo wiki bez żadnych zabezpieczeń. :)

Ostatnio edytowany przez azhag (2010-07-20 11:14:03)


Błogosławieni, którzy czynią FAQ.
opencaching :: debian sources.list :: coś jakby blog :: polski portal debiana :: linux user #403712

Offline

 

#9 2010-07-20 11:45:17

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

azhag napisał(-a):

ethanak napisał(-a):

Jeszcze jest sblam.

Z którego z sukcesem korzystamy na portalu. Dlaczego tego nie robimy na forum? Dobre pytanie, na które nie znam odpowiedzi.

Pewnie byłoby to możliwe (np. przepuszczenie przez sblama pierwszych N postów danego użytkownika). Ale zauważ, że cały czas potrzebna by była opcja dodania posta poprzez kulturalne zwrócenie się do admina czy moda danego działu (sblam też człowiek i się może pomylić).

Aczkolwiek to raczej obrona przed wysłaniem czegoś w treści (komentarz), a nie rejestracją (choć można banować IP z listy, sblam podaje listę najczęstszych spamerów codziennie).

O to właśnie mi chodziło.

ethanak napisał(-a):

A jaka to różnica czy tekst jest w encjach czy czymkolwiek? Robot przekoduje sobie encje na literki, screenreader przeczyta to co mu zapodała przeglądarka...

Nie każdy robot sobie przekoduje, te bardziej prymitywne tego nie zrobią.

Takim robotem to ja bym się chyba nie przejmował :)

ethanak napisał(-a):

2) Jeśli z jakiejś przyczyny pan X nie jest w stanie odczytać captcha, może np. skorzystać z double opt-in (mail potwierdzający i zapisanie się dopiero po odpowiedzi na maila).

Żadne zabezpieczenie, boty nie mają poblemu z mailami potwierdzającymi, co udowodniły również tutaj przed dodaniem captchy.

Pewnie można by było na to coś poradzić - ale jeśli taki przypadek wystąpił to wycofuję się z pomysłu. Cały czas jednak musi pozostać ostatnia możliwośc rejestracji.

ethanak napisał(-a):

screenreadery w większości przypadków takie coś respektują i display:none pominą

O ile nie działa na przeglądarce bez CSS, np. tekstowej.

...o czym nadmieniłem w poprzednim poście ;) BTW. zdaje się że napisałem "w większości przypadków".

Reasumując: ja bym zostawił albo tak jak jest albo zmienił captchę np. na matematyczną. Tyle że tu też jest problem: nie każdy screenreader przeczyta prawidłowo "6-4" (chociaż przy przełączeniu na czytanie pełnej interpunkcji "sześć myślnik cztery" większość pewnie zrozumie), nie każdy potrafi wymówić znaki '×' i '÷'.

A oprócz tego dał możliwość kontaktu z administratorem w celu ręcznego dopisania.

A tak w ogóle o ile do samego procesu rejestracji można w ostateczności oko pożyczyć, o tyle miłoby było aby później w forum można by się było jakoś połapać. A wczorajsze testy (Orca + Firefox + navigation bundle) wypadły raczej mizernie... ale to już temat do innego wątku.

Ostatnio edytowany przez ethanak (2010-07-20 11:51:22)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#10 2010-07-20 11:48:20

Graffi
Użytkownik
Skąd: Sulejówek
Zarejestrowany: 2005-10-03
Serwis

Re: Jeśli nie CAPTCHA, to co?

ethanak napisał(-a):

Graffi napisał(-a):

takie mądrzej nazwane z których każda przeglądarka nie pokaże bo same NIE są hidden, ale tam gdzie leżą ten kawałek jest hidden z powodu dziedziczenia po czymś hidden

a) pokaże przeglądarka z wyłączonymi stylami [...]
b) pokaże Lynx, Links, EdBrowse [...]

Przy okazji - jeśli style masz wszyte w kod to jest spora szansa że bot to wychwyci ;)

mam podpięty zewnętrzny arkusz styli, nie podejrzewam aby bot tak dokładnie parsował stronę aby nie wypełnić pola "mail" ani "www" :]

elinks pokazuje tak jak trzeba :)
lynx - j.w.
tego ostatniego zwierza nie widze nigdzie pod ręką :]

i uważam że każda metoda jest dobra jeżeli przynosi pożądane efekty i czym bardziej odjechana od przeciętnej tym skuteczniejsza :)

Offline

 

#11 2010-07-20 11:58:45

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

Graffi napisał(-a):

elinks pokazuje tak jak trzeba :)
lynx - j.w.

A możesz pokazać? Pliiiiiiz! Ja chcę zobaczyć kod!

tego ostatniego zwierza nie widze nigdzie pod ręką :]

Można sobie skompilować :)

i uważam że każda metoda jest dobra jeżeli przynosi pożądane efekty i czym bardziej odjechana od przeciętnej tym skuteczniejsza :)

Też się z tym zgadzam - kiedyś miałem Syrenkę, przekręcenie kluczyka (tak jakby się rozrusznik chciało uruchomić) włączało zamiast tego klakson. Rozrusznik miałem w miejscu przełącznika świateł na długie (pod nogą), a przełącznik świateł przerobiony z kierunkowskazów od Jelcza. Kilka razy słyszałem w nocy włączony klakson i zastawałem rano otwarty samochód :)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#12 2010-07-20 12:15:15

Graffi
Użytkownik
Skąd: Sulejówek
Zarejestrowany: 2005-10-03
Serwis

Re: Jeśli nie CAPTCHA, to co?

o ja pierniczę, masz rację, sa pola... jak się je ładnie ułoży to jakoś "poginęły" :(
no dobra, sorry za zamieszanie... ciuj... widać :(
w dillo też :>

Offline

 

#13 2010-07-20 17:23:07

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańsk
Zarejestrowany: 2008-03-31
Serwis

Re: Jeśli nie CAPTCHA, to co?

ethanak napisał(-a):

jeśli adres IP nie jest na listach RBL można przyjąć że to człowiek i go wpuścić bez niczego.

Ja bym był bardziej ostrożny. Założyłbym że jeśli IP jest w bazie Sblama to jest bot i taki pan nas nie interesuje. Jeśli nie - możemy sprawdzać dalej.

Ja powiem tak RBL - bardzo dobra metoda do walki ze spamem na serwerach pocztowych. Jak to się będzie sprawować np przy rejestracji na forum? Ciężko powiedzieć, należy jednak uważać ponieważ zdecydowana większość DSLi znajduje się na takich listach...


Moje IP - Multimedia Rzeszów, zewnętrzne 89.230.XX.XX znajduje się na multi-rbl:http://www.anti-abuse.org/ A spamu nie wysyłałem, w żadnym botnecie nie jestem, itd, itp...  Także ja bym się poważnie zastanowił nad użyciem RBLi.

Ostatnio edytowany przez winnetou (2010-07-20 17:26:56)


LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#14 2010-07-20 18:23:46

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

winnetou napisał(-a):

ethanak napisał(-a):

Założyłbym że jeśli IP jest w bazie Sblama to jest bot i taki pan nas nie interesuje. Jeśli nie - możemy sprawdzać dalej.

Ja powiem tak RBL - bardzo dobra metoda do walki ze spamem na serwerach pocztowych. Jak to się będzie sprawować np przy rejestracji na forum? Ciężko powiedzieć, należy jednak uważać ponieważ zdecydowana większość DSLi znajduje się na takich listach...

Hej hej, pobudka!

Sblam != RBL.


A spamu nie wysyłałem, w żadnym botnecie nie jestem, itd, itp...

No to nie jesteś na liście Sblama.

Zresztą:

a) sprawdź sam (o tutaj) i napisz czy jesteś.

b) zawsze zostaje metoda "kontaktu z administratorem" który pewnie byłby niezmiernie zainteresowany tym, dlaczegóż to osoba której IP znajduje się na liście Sblama chce zarejestrować się na forum. Nie, to nie żart, myślę że taki przypadek byłby bardzo interesujący i godzien opublikowania.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#15 2010-07-20 18:37:10

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańsk
Zarejestrowany: 2008-03-31
Serwis

Re: Jeśli nie CAPTCHA, to co?

ethanak easy wyciąłeś połowę cytatu i stracił sens. Na mówiłem o RBL'ach o których pisał life na temat Sblam'a nic nie wspominałem. Powiedziałem tylko że RBL jest nienajlepszą metodą weryfikacji człowiek/bot i tylko tyle, że to rozwiązanie (RBL) świetnie sprawuje się na serwerach pocztowych.


LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#16 2010-07-20 20:12:52

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

winnetou napisał(-a):

ethanak easy wyciąłeś połowę cytatu i stracił sens. Na mówiłem o RBL'ach o których pisał life na temat Sblam'a nic nie wspominałem.

a) to odpowiadaj na właściwy post, ponieważ jeśli odpowiadasz na mój mam pełne prawo sądzić że odnosisz się do mojej wypowiedzi a nie fafnaście postów wcześniej.

b) Czarna lista Sblama to przecież RBL (Realtime Blocking List) więc nie bardzo rozumiem czego się czepiasz. Chyba tego że life pisał o akismecie a nie sblamie (w sumie 1H tylko w innej opakowce).

Powiedziałem tylko że RBL jest nienajlepszą metodą weryfikacji człowiek/bot i tylko tyle, że to rozwiązanie (RBL) świetnie sprawuje się na serwerach pocztowych.

Ośmielam się (jako admin m.in. serwerów pocztowych) być diametralnie przeciwnego zdania. No - chyba że masz serwerek dla jednej osoby bądź niewielkiego grona znajomych. A szacownemu gronu znajomych często-gęsto zdarza się zaszczytna funkcja bycia członkiem co najmniej trzech botnetów ;)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#17 2010-07-20 20:29:24

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańsk
Zarejestrowany: 2008-03-31
Serwis

Re: Jeśli nie CAPTCHA, to co?

ostatni flejm - przytoczyłem dwa cytaty - właśnie life'a i Twój - Ty wyciąłeś tylko tę część odnośnie Twojego postu - patrzmy na pełne wypowiedzi a nie tylko na to co nam leży.

Co do RBLi i MX'ów to mam z tym do czynienia codziennie zawodowo. Wprowadzenie samych RBLi potrafiło odciążyć antyspam w około 50-60%. Nie twierdzę że jest to jedyne i słuszne rozwiązanie i pozostałe są do d* Ale sama filtracja IP na podstawie RBLi (np z anti-abuse) już na samym wstępie sporo spamu odsiewa - w końcu po to jest m.in. rev i autoryzacja żeby z tego korzystać - jak nie trzeba się liczyć że zostanie się potraktowanym jako spamer.  Z doświadczenia zawodowego wiem, że Pani Zosia z warzywniaka nie zawsze włącza opcję zwaną "serwer wymaga uwierzytelnienia" i dziwi się że jej mejle nie dochodzą. Ale to jest temat na zupełnie inną dyskusję i dobry flejm.

ethanak napisał(-a):

(w sumie 1H tylko w innej opakowce).

Nie chcę się czepiać ale to "piękne" słówko piszę się przez "ch" - jak już klniemy to klnijmy jak należy ;]


howgh


LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#18 2010-07-21 10:02:00

life
Użytkownik
Zarejestrowany: 2009-10-30

Re: Jeśli nie CAPTCHA, to co?

z RBL-ami chodziło mi bardziej o to że jeśli IP jest na liście to należy zwrócić na niego uwagę i dodatkowo zweryfikować, bo jest podejrzenie.

Ewentualnie listę z http://www.projecthoneypot.org

Offline

 

#19 2010-07-22 03:25:00

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Jeśli nie CAPTCHA, to co?

Co do wpisywania zamiast Captcha - radzę spróbować dodać komentarz tutaj: http://www.chleb.info.pl/?id=2
Akurat to rozwiązanie  mi się bardzo podoba :)

azhag napisał(-a):

Pomyślałem o następującym sposobie — jedno pole-atrapa proszące o wpisanie czegoś jeśli jest się botem (odrzuca rejestrację jeśli pole będzie niepuste) i drugie proszące o rozwiązanie prostego zadania matematycznego.

Pierwsze będzie dla większości ludzi ukryte za pomocą CSS, dla reszty będzie wyraźne ostrzeżenie, że tutaj niczego nie należy wpisywać. Wydaje mi się, że to nie powinno nikomu przeszkodzić w rejestracji.

Problem z drugim polega na tym, że przecież komputer też potrafi liczyć. Dlatego dodałbym proste (ba, prymitywne, ale zawsze jakieś dodatkowe) zabezpieczenie w postaci „zakodowania” tekstu z prośbą encjami.

Co do pola atrapy, wystarczy pole, które będzie istniało w kodzie, ale nie będzie widoczne na stronie,
np. wys. 1 px - robot analizujący kod spróbuje tam napisać, i z buta.

Inna fajna opcja (dla widzących):
wyświetlamy obrazek i pytamy: na obrazku jest:
- kotek
-piesek
-słoń
-papuga
-tygrys
--  zaznaczamy odpowiedź.

Bota, który to przejdzie ciężko znaleźć, pod warunkiem - że obrazków jest kilkadziesiąt i się zmieniają, i pojawiają się nowe,  bo inaczej ktoś może bota wytresować, każąc mu sprawdzać sumy kontrolne.

Generalnie każde zabezpieczenie (z wyjątkiem RBLi) ma jakiś czas przydatności do spożycia.

Do tego jest np. libapache-mod-spamhaus i podobne badziewia.

A zawsze, jak ktoś nie przejdzie np. testu z pieskiem i kotkiem, może trafić na normalnego captha.

PS:

Problem z drugim polega na tym, że przecież komputer też potrafi liczyć. Dlatego dodałbym proste (ba, prymitywne, ale zawsze jakieś dodatkowe) zabezpieczenie w postaci „zakodowania” tekstu z prośbą encjami.

Były sobie 2 obrazki, a na nich - dość wyraźnie dwie liczby np 6 i 7.
Pomiędzy obrazkami trzeci: losowo pokazuje się tam (wyraźnie) + lub - lub *.
pacjent wpisuje wynik tego, co zobaczył na 3 obrazkach.

Zawartość obrazków może być generowana w locie, byle nie była tak skomplikowana jak captcha w odczycie.

A robot niech liczy, jak potrafi najlepiej.

Na jednej stronie (sklep) - kiedyś zrobiłem maile  zakodowane javascriptem - i nawet to działa.

Co do niewidomych - doświadczenia nie mam.


Natomiast często mam kłopoty z Capthą, zwłaszcza, gdy ktoś zaszaleje.
Pozdrawiam
;)

Ostatnio edytowany przez Jacekalex (2010-07-22 03:56:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#20 2010-07-22 08:59:18

grzegorz.85
Członek DUG
Skąd: Ostrołęka
Zarejestrowany: 2007-07-12
Serwis

Re: Jeśli nie CAPTCHA, to co?

Po wybraniu opcji rejestracji, zakładana jest sesja dla użytkownika, w której zapisywany jest czas rozpoczęcia rejestracji. Po wysłaniu formularza pobierany jest ponownie czas. Jeśli różnica czasów jest mniejsza niż XX sekund, to zakładamy, że formularz był wypełniony przez bota. Aby nie dopuścić do pomyłki dajemy drugą szansę: prosimy o wpisanie losowej danej podanej przez niego przy rejestracji (można polu INPUT dla zmyłki nadać nazwę innej danej, np. użytkownik ma podać swój adres e-mail, a pole nazywamy login).

PS. Pisząc o nadawaniu nazwy polu INPUT mam na myśli np.

Kod:

<label for="sup">Podaj e-mail:</label><input type="text" name="login" id="sup" />

Offline

 

#21 2010-07-22 10:00:03

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

Jacekalex napisał(-a):

Co do wpisywania zamiast Captcha - radzę spróbować dodać komentarz tutaj: http://www.chleb.info.pl/?id=2
Akurat to rozwiązanie  mi się bardzo podoba :)

...i jest ograniczone do pewnego kręgu kulturowego (ludzi nie tylko znających język polski, ale tych którzy przeszli naszą rodzimą edukację z Kolbergiem na czele).

Co do pola atrapy, wystarczy pole, które będzie istniało w kodzie, ale nie będzie widoczne na stronie,
np. wys. 1 px - robot analizujący kod spróbuje tam napisać, i z buta.

Co prawda to już było przerabiane parę postów wyżej ale wyjaśnij mi jak Lynx czy EdBrowse mają wyświetlić inputa o wysokości 1 px. Szczególnie na brajlowskim wyświetlaczu ;)

Inna fajna opcja (dla widzących):
wyświetlamy obrazek i pytamy: na obrazku jest:
- kotek
-piesek
-słoń
-papuga
-tygrys
--  zaznaczamy odpowiedź.

Bota, który to przejdzie ciężko znaleźć, pod warunkiem - że obrazków jest kilkadziesiąt i się zmieniają, i pojawiają się nowe,  bo inaczej ktoś może bota wytresować, każąc mu sprawdzać sumy kontrolne.

To akurat jest całkiem dobre zabezpieczenie, z sumami kontrolnymi można sobie poradzić bardzo łatwo (w sumie można generować obrazek troszkę inny za każdym razem) - a wątpię aby przy czymś takim jak rejestracja na forum ktoś próbował wtryniać do bota analizę kształtu (co wcale trywialne nie jest).

Były sobie 2 obrazki, a na nich - dość wyraźnie dwie liczby np 6 i 7.
Pomiędzy obrazkami trzeci: losowo pokazuje się tam (wyraźnie) + lub - lub *.
pacjent wpisuje wynik tego, co zobaczył na 3 obrazkach.

Zawartość obrazków może być generowana w locie, byle nie była tak skomplikowana jak captcha w odczycie.

a) jaka jest różnica między jednym a trzema obrazkami? Dla mnie to 1H *)
b) jeśli "dość wyraźnie" to już leżysz
c) to dalej nie rozwiązuje problemu przeglądarek tekstowych i screenreaderów.

grzegorz.85 napisał(-a):

Kod:

<label for="sup">Podaj e-mail:</label><input type="text" name="login" id="sup" />

Dobry robot będzie analizował label a nie nazwy pól. Skopane roboty można wyeliminować prościej:

Kod:

<div style="display:none">
<label for="confirm_email">Pole do zmyłki - jak tu coś wpiszesz to formularz nie przejdzie</label>
<input id="confirm_email" name="confirm_email" type="text">
</div>

---
*) Tak, winnetou - wiem że nieortograficznie ale mi się ten skrótowiec podoba. Zresztą na tej samej zasadzie istnieje "hgw why" :)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#22 2010-07-22 10:19:58

life
Użytkownik
Zarejestrowany: 2009-10-30

Re: Jeśli nie CAPTCHA, to co?

teraz teoretyzuje ale zazwyczaj captcha jest w jednym obrazku przez co boty zapisują ją i poddają OCR a gdyby tak każda z liter była w oddzielnych obrazkach np. 5 obrazków koło siebie i losowo wyświetlane hasło typu "podaj pierwszą i ostatnią literę", czy też "trzecią i czwartą"

1) utrudni to wczytywanie całego ciągu (bo jest rozbity na części), które można przemieszać w kodzie HTML a żeby były koło siebie użyć position z CSS
2) podawanie tylko niektórych liczb pozwoli zabezpieczyć się jeśli 1 opcja zawiedzie :)

no ale cały czas będzie to  captcha :)

Ostatnio edytowany przez life (2010-07-22 10:21:24)

Offline

 

#23 2010-07-22 10:30:01

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Jeśli nie CAPTCHA, to co?

life napisał(-a):

teraz teoretyzuje ale zazwyczaj captcha jest w jednym obrazku przez co boty zapisują ją i poddają OCR a gdyby tak każda z liter była w oddzielnych obrazkach np. 5 obrazków koło siebie i losowo wyświetlane hasło typu "podaj pierwszą i ostatnią literę", czy też "trzecią i czwartą"

Jeśli to miałoby być nietypowe utrudnienie to pewnie tak... przy typowym robot ma ułatwione zadanie (wyraźne litery).

1) utrudni to wczytywanie całego ciągu (bo jest rozbity na części), które można przemieszać w kodzie HTML a żeby były koło siebie użyć position z CSS

Dalej nie rozwiązuje to ani przeglądarek tekstowych ani screenreaderów. Nawet jeśli będą jakieś alty w obrazkach które umożliwią poprawne odgadnięcie litery na obrazku - przeglądarki tekstowe oleją style. Współpracująca ze screenreaderem przeglądarka graficzna (IE, Fx) przekazuje screenreaderowi strukturę strony, a nie jej wygląd. W teorii przełączenie na "odczyt ekranu" mogłoby pomóc - ale po pierwsze przeglądarka musiałaby mieć włączone style (a nie zawsze ma), po drugie trzeba na to wpaść że obrazki są przemieszane i że czwarty to pierwszy a trzeci to drugi i trzeba screenreadera włączyć w flat mode :)
IMHO zbędna komplikacja, i...

2) podawanie tylko niektórych liczb pozwoli zabezpieczyć się jeśli 1 opcja zawiedzie :)

powiedzmy "powinno wystarczyć".


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#24 2010-07-22 14:24:29

life
Użytkownik
Zarejestrowany: 2009-10-30

Re: Jeśli nie CAPTCHA, to co?

no nie jest powiedziane że litery mają być czarnym Arialem na białym tle :P, można przygotować kilkanaście różnych teł na których będą osadzane litery z plików png z przezroczystością.

Offline

 

#25 2010-07-22 14:33:43

grzegorz.85
Członek DUG
Skąd: Ostrołęka
Zarejestrowany: 2007-07-12
Serwis

Re: Jeśli nie CAPTCHA, to co?

ethanak napisał(-a):

Dalej nie rozwiązuje to ani przeglądarek tekstowych ani screenreaderów.

Wszystkie mieszanie w kodzie, czy zamieszczanie treści niejawnych (CAPTCHA) będzie generowało tego typu problemy.
Jednak bez tego typu rozwiązań nie utrudnimy też zadania robotem. Trzeba pójść czasem na mały kompromis.

ethanak napisał(-a):

Dobry robot będzie analizował label a nie nazwy pól.

Sztuczna inteligencja jest na tyle zaawansowana, że dobry robot będzie praktycznie nie do odróżnienia od ZU. Podany przeze mnie przykład wymaga od robota, że zrozumie treść przekazaną użytkownikowi przez LABEL, a przecież wpisać tam też można "Podaj adres poczty elektronicznej który podałeś podczas rejestracji" co będzie zrozumiałe dla człowieka, a robot może mieć problem ze zrozumieniem kontekstu. Natomiast przykład podany przez Ciebie jest do obejścia w następujący sposób: Tworzymy drzewo DOM strony, usuwamy z niego gałęzie, które mają style  "display: none;", "visible: hidden;", "position: absolute;" i współrzędne ujemne. Następnie przetwarzamy tak powstały dokument.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)