|
Adeptus
|
 |
« : 27.03.2010, 17:08:22 » |
|
Не знаю - кому как, а мне надоела жутко...  То символов в ней не разглядеть, то ввел да ошибся, то вообще многабукофф предлагает писать... И вот я решил - КАПТЧАМ БОЙ!  Попробую обойтись без того, чтобы заставлять пользователей рассматривать и вводить какие-то буквоцифры... Смотрим и оцениваем новый способ защиты (в данном случае - защиты регистрации)...  |
|
|
|
« Последнее редактирование: 27.03.2010, 17:22:01 от Adeptus »
|
Записан
|
|
|
|
| |
|
Adeptus
|
 |
« Ответ #31 : 02.04.2010, 01:44:04 » |
|
Не могу и здесь не сказать Александру спасибо!! за компонент, пока не пробовал - мне для этого нужно заливать 1.0 версию, но была мысля тоже попробовать перевести на 1.5 По идее дел немного... |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #32 : 03.04.2010, 20:43:14 » |
|
Итак - неделя эксплуатации на реальном сайте! Ни одной регистрации бота.Поздравляю сам себя с успехом - новая CAPTCHA оправдала себя на 1000%...  |
|
|
|
|
Записан
|
|
|
|
Шмайсер
JComments Tester
Репутация: +27/-2
 Offline
Сообщений: 801
|
|
« Ответ #33 : 03.04.2010, 21:21:49 » |
|
Александр, я в аське просил скинуть версию для 1.5, ты наверное не заметил))
|
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #34 : 03.04.2010, 21:28:01 » |
|
Александр, я в аське просил скинуть версию для 1.5, ты наверное не заметил)) Наверное. Но так случилось, что версию для 1.5 я случайно прибил...  Так что пока нету. |
|
|
|
|
Записан
|
|
|
|
Шмайсер
JComments Tester
Репутация: +27/-2
Offline
Сообщений: 801
|
|
« Ответ #35 : 03.04.2010, 21:39:32 » |
|
а тогда другой момент - сложно вообще будет выдернуть из компонента систему слайдера и привинтить к другому модулю? или компоненту, где есть форма. Мне она теоритически нужна для ком контакт банально
|
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #36 : 06.04.2010, 19:21:51 » |
|
а тогда другой момент - сложно вообще будет выдернуть из компонента систему слайдера и привинтить к другому модулю? или компоненту, где есть форма. Мне она теоритически нужна для ком контакт банально Да не сильно сложно. Я бы даже сказал - средне...  |
|
|
|
|
Записан
|
|
|
|
Шмайсер
JComments Tester
Репутация: +27/-2
Offline
Сообщений: 801
|
|
« Ответ #37 : 06.04.2010, 20:14:43 » |
|
руки никак не дойдут заняться, но делать буду полюбому)
|
|
|
|
|
Записан
|
|
|
|
Rutger
Осваиваюсь на форуме
Репутация: +7/-0
Offline
Пол: 
Сообщений: 53
|
|
« Ответ #38 : 10.04.2010, 20:35:16 » |
|
руки никак не дойдут заняться, но делать буду полюбому) А вы если сделаете - доступно для нас будет? А то тоже хочется а Адептуса просить неудобно... |
|
|
|
|
Записан
|
|
|
|
Шмайсер
JComments Tester
Репутация: +27/-2
Offline
Сообщений: 801
|
|
« Ответ #39 : 11.04.2010, 11:37:33 » |
|
если Александр даст добро - не вопрос))
|
|
|
|
|
Записан
|
|
|
|
Escalade
Давно я тут
Репутация: +25/-0
Offline
Пол: 
Сообщений: 303
http://gagra.vkontakte.ru
|
|
« Ответ #40 : 13.04.2010, 11:11:55 » |
|
слайдер это конечно хорошо, но при заходе на сайт с самого айфона упорно получаю версию для pda и никакого слайдера не вижу Так что рановато говорить "Замена стандартной CAPTCHA". |
|
|
|
|
Записан
|
|
|
|
|
smart
|
|
« Ответ #41 : 13.04.2010, 11:18:09 » |
|
ну защиты тут никакой совершенно нет - боты, которые спамят, сайт в браузере не смотрят... Так что толку от этой всей красоты - никакой, абсолютно... |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #42 : 13.04.2010, 13:58:30 » |
|
ну защиты тут никакой совершенно нет - боты, которые спамят, сайт в браузере не смотрят... Так что толку от этой всей красоты - никакой, абсолютно... Шеф, вы не погорячились? Защита и основана именно на том, что боты в броузере не смотрят. А в коде страницы - никакой формы регистрации НЕТ. Практика уже подтвердила: за 3 недели работы ни единой «левой» регистрации. При отсутствии защиты было по десятку регистраций ботов каждый день. |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #43 : 13.04.2010, 14:09:38 » |
|
слайдер это конечно хорошо, но при заходе на сайт с самого айфона упорно получаю версию для pda и никакого слайдера не вижу Ну наверное это потому, что его там и нет? Так что рановато говорить "Замена стандартной CAPTCHA". А я такого и не говорил Я говорю лишь о том, что при примерно равной эффективности моя «CAPTCHA» приятнее и удобнее «стандартной»... |
|
|
|
|
Записан
|
|
|
|
|
smart
|
|
« Ответ #44 : 13.04.2010, 14:45:15 » |
|
А в коде страницы - никакой формы регистрации НЕТ. ну в коде страницы почему-то форму вижу (я знаю, что она там не вся, но всю получить не проблема) и вот в текущей реализации оно ничего не защищает, а вот чтобы защищало, нужно как минимум, убрать одно hidden поле в загружаемый AJAX'ом блок. А с другой стороны, что мешает слить текст страницы, выдернуть форму с ссылки (/components/com_registration/js/myform.php), вставить ее в контейнер #myform (тоже ведь не проблема) и засабмитить? Да и самое главное, вопрос ведь не в том, есть на странице форма или нет, а примет ли сервер данные или нет. И вот в корректной реализации CAPTCHA, отлуп ботам производится сервером, а само по себе отсутствие на странице формы ни от чего не защищает. Вот если в этой реализации, будет еще одно дополнительное скрытое поле, которое будет как-то хитро формироваться, и без него сервер не примет данных - тогда да. А так, просто красотулька, но и только. |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #45 : 13.04.2010, 15:15:15 » |
|
ну в коде страницы почему-то форму вижу и вот в текущей реализации оно ничего не защищает, а вот чтобы защищало, нужно как минимум, убрать одно hidden поле в загружаемый AJAX'ом блок. То что есть на странице - бесполезный огрызок. Отправляй его хоть сто раз - никакой регистрации не случиться. А с другой стороны, что мешает слить текст страницы, выдернуть форму с ссылки (/components/com_registration/js/myform.php), вставить ее в контейнер #myform (тоже ведь не проблема) и засабмитить? Я сказал об этом выше - придется писать специального бота. Написанием специального бота, под конкретную реализацию, можно наверное обойти практически любую защиту... Вряд ли кто-то будет это делать, верно? А те, так сказать, «стандартные» боты, которые в основном просто ищут и заполняют формы в страницах - те обломаются. Не готовы они пока что к такой реализации... И полное отсутствие левых регистраций - тому подтверждение. |
|
|
|
|
Записан
|
|
|
|
|
smart
|
|
« Ответ #46 : 13.04.2010, 15:26:25 » |
|
Я сказал об этом выше - придется писать специального бота. зачем нужен специальный бот? просто отправить данные для формы на com_registration и все... боты которые постят спам или регистрируются, вообще не грузят страницу с формой, а просто напрямую отправляют данные на сервер. И до тех пор, пока на сервере не будет проверяться нечто, защиты никакой не будет. Это в случае, если мы говорим о ботах. Теперь далее, в последнее время, намного более часто используется так называемый метод леммингов - просто сидят какие-нибудь китайцы, и за 1000 распознанных CAPTCHA получают свои 10 центов (цена с потолка, но на самом деле это не очень дорого). И в этом случае, предложенная защита упрощает ситуацию, ибо быстрее дернуть мышью, чем напрягать зрение и набивать код. И теперь насчет специализированного бота. Есть автоматизированные решения, типа XRumer, и как только подобное решение станет хоть немного популярным, под него будет сделан модуль обхода такой защиты. Так что я пока остаюсь при своем мнение - как красотулька - безусловно интересно, а практического значения не вижу. |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
 |
« Ответ #47 : 17.04.2010, 13:12:13 » |
|
Ну собственно мне-то главное - чтобы боты не регистрировались.
И этой цели я вполне достиг. Ни единой «левой» регистрации не наблюдается.
|
|
|
|
|
Записан
|
|
|
|
|
smart
|
|
« Ответ #48 : 20.04.2010, 12:19:30 » |
|
Ну собственно мне-то главное - чтобы боты не регистрировались.
И этой цели я вполне достиг. Ни единой «левой» регистрации не наблюдается.
ну это как бы временно, станет популярным данная красотень - появятся и регистрации... в принципе, Саш, того же эффекта можно достичь, просто переименовав в безумные имена поля формы - боты будут пытаться заполнить стандартные, а они не будут приниматься, и как следствие регистраций не будет. |
|
|
|
|
Записан
|
|
|
|
|
Виталик
|
|
« Ответ #49 : 20.04.2010, 12:24:02 » |
|
того же эффекта можно достичь, просто переименовав в безумные имена поля формы
а если поля формы динамически переименовывать при каждом открытии страницы? |
|
|
|
|
Записан
|
|
|
|
|
smart
|
|
« Ответ #50 : 20.04.2010, 12:26:10 » |
|
а если поля формы динамически переименовывать при каждом открытии страницы?
от того, что вы поля переименуете в форме ничего по сути не изменится, надо еще чтобы на сервере принимались они с новыми названиями, а со старыми - просто не обрабатывались. ведь боты не пользуются формой, а просто закидывают post-запрос на нужный адрес, с заполненными стандартными полями, и вот тут, изменение названий полей может помочь... |
|
|
|
|
Записан
|
|
|
|
|
Виталик
|
|
« Ответ #51 : 20.04.2010, 12:39:43 » |
|
надо еще чтобы на сервере принимались они с новыми названиями, а со старыми - просто не обрабатывались. ведь боты не пользуются формой, а просто закидывают post-запрос на нужный адрес, с заполненными стандартными полями
На сервере при создании формы можно сохранять в сессиях динамические имена полей формы. И из этих полей, в течение сессии обрабатывать данные. В таком случае боту придётся каждый раз парсить форму для того что-бы узнать имена полей. |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #52 : 20.04.2010, 23:25:06 » |
|
ведь боты не пользуются формой, а просто закидывают post-запрос на нужный адрес, с заполненными стандартными полями Не факт. И несколькими постами выше ты сам говорил, что « надо бы скрытое поле убрать» - если боты не пользуются формой, то зачем? Пользуются, куда ж без этого! Другое дело, что броузить страницы им не нужно - глаз у них все равно нету... Можно просто скачивать страницы и парсить на предмет тегов FORM, INPUT и т.д. Без точного знания ожидаемого сервером набора полей и их названий, а так же action-ов форм -- никакой POST не поможет, я полагаю... |
|
|
|
|
Записан
|
|
|
|
yunoshev
Разработчик расширений для Joomla 1.0
Репутация: +132/-1
Offline
Пол:
Сообщений: 958
|
|
« Ответ #53 : 21.04.2010, 11:56:50 » |
|
@Adeptus, smartВ качестве "НЕЧТО" для ботов можно, полагаю, использовать любые события, по реакции на которые можно определить "человек/нечеловек", типа " onKeyDown/onKeyUp, onMouseDown/onMouseUp, ...". Вот, и если не было ни единой реакции на подобное событие, то это бот. Результаты наблюдений заносить, к примеру, в куки, на сервере проверять их. В самой форме реакции на события не подключать явно, а подключать через отдельный скрипт самому либо с помощью JS-фреймворков (jQuery, Mootools), благо они это позволяют сделать весьма доступно. Но данный подход может не уберечь от программ, подобных XRumer'у, так как можно спокойно запрограммировать эти события отрабатываться... сам такое программировал раньше, но для других задач, когда каждые 15 минут надо было в другой комнате на работе нажимать в приходящих сообщениях на кнопку "ОК" -- не буду же я, программист, отвлекаться на такие пустяки!.. сидеть и каждые 15 мин подтверждать дурацкие сообщения... за меня это делала программа
|
|
|
|
|
Записан
|
|
|
|
|
smart
|
|
« Ответ #54 : 21.04.2010, 12:02:07 » |
|
если боты не пользуются формой, то зачем? потому, что это название и значения этого поля зависят от сессии, и они нужны для корректного сабмита, а сама форма - не нужна Без точного знания ожидаемого сервером набора полей и их названий, а так же action-ов форм -- никакой POST не поможет, я полагаю... именно, поэтому достаточно поменять набор полей, и не заморачиваться с красотами |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #55 : 24.04.2010, 01:54:25 » |
|
именно, поэтому достаточно поменять набор полей, и не заморачиваться с красотами Ну а как же без красот?! Красота спасет мир... |
|
|
|
|
Записан
|
|
|
|
mahoune
Осваиваюсь на форуме
Репутация: +1/-0
Offline
Сообщений: 51
|
|
« Ответ #56 : 12.05.2010, 10:05:21 » |
|
Вообще предлагаю сделать собрание всеразличных методов где не надо разглядывать цифробуквы, тут или в отдельном топике. А вот подобной никто не видел для Joomla? |
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #57 : 12.05.2010, 17:16:45 » |
|
Вообще предлагаю сделать собрание всеразличных методов где не надо разглядывать цифробуквы, тут или в отдельном топике. А вы полагаете что их очень много? Моя «псевдо-CAPTCHA» - чуть ли не единственная, по крайней мере для Joomla... |
|
|
|
|
Записан
|
|
|
|
belwater
Осваиваюсь на форуме
Репутация: +0/-0
Offline
Сообщений: 28
|
|
« Ответ #58 : 13.05.2010, 17:26:07 » |
|
Adeptus, как я хочу для 1.5 получить такую капчу. Когда вы реанимируете ее?
|
|
|
|
|
Записан
|
|
|
|
|
Adeptus
|
|
« Ответ #59 : 14.05.2010, 11:30:03 » |
|
Adeptus, как я хочу для 1.5 получить такую капчу. Когда вы реанимируете ее? Да никогда. Мне она не нужна, я Joomla 1.5 нигде не пользуюсь... |
|
|
|
|
Записан
|
|
|
|
belwater
Осваиваюсь на форуме
Репутация: +0/-0
Offline
Сообщений: 28
|
|
« Ответ #60 : 14.05.2010, 12:25:06 » |
|
жаль. буду искать еще че нить
|
|
|
|
|
Записан
|
|
|
|
|
