| Autor | Zpráva | ||
|---|---|---|---|
| fruity Profil * |
#1 · Zasláno: 8. 7. 2011, 09:36:55
Všem přeji krásné ráno,
chci se zeptat jestli je bezpečnou ochranou proti spamu časové hlídání třeba 4 vteřiny. Obrázky captcha jsou otravný a dneska si myslim, že postrádají význam. Předem děkuju za rady a názory |
||
| johnl Profil |
#2 · Zasláno: 8. 7. 2011, 10:19:33
fruity:
Můžeš použít něco, co je i tady na diskusi.. Do formuláře přidáš input s nějakým příkladem (např. 4+9), pak pomocí javascriptu input skryješ a vyplníš mu hodnotu (tj. 13).. Roboti javascript „neumí“, tudíž budou muset input něčím vyplnit, uživatelům se zapnutým JS se input vůbec nezobrazí a uživatelé co JS mají vypnutý určitě input správně vyplnit zvládnou.. |
||
| fruity Profil * |
#3 · Zasláno: 8. 7. 2011, 10:57:57
johnl:
řešení taky dobré a nejspíš ho použiju, ale chci znát i názor ohledně časového hlídání. |
||
| johnl Profil |
#4 · Zasláno: 8. 7. 2011, 11:30:04
fruity:
Špatné řešení by to být nemuselo, ovšem povede se mu odeslat jeden příspěvek, bude odesílat dál, a za chvilku další, takhle když bude odesílat 10 požadavků za sekundu třeba minutu, tak se na tvůj web dostane 15 příspěvků od robota.. |
||
| fruity Profil * |
#5 · Zasláno: 8. 7. 2011, 11:40:38
To by musel čekat 4 vteřiny na další odeslání, ale to je už cílený útok. Můžu udělat prodlužování: pokud odešle pod 4 vteřiny, tak se přičte čekací doba o další 4
|
||
| _es Profil |
#6 · Zasláno: 8. 7. 2011, 11:57:47
fruity:
„To by musel čekat 4 vteřiny na další odeslání, ale to je už cílený útok.“ Časové oneskorenie odoslania je jednoducho naprogramovateľný úkon, možno ho niektoré roboty robia. Môžeš tým obmedziť aj niektorých normálnych návštevníkov - ak si napríklad text na odoslanie píšu inde ako vo formulári na odoslanie. |
||
| fruity Profil * |
#7 · Zasláno: 8. 7. 2011, 12:11:47
Jasný, ale to potom znamená, že antispam, který se používá tady taky stoji za ...
Pokud text vkládají pomocí kopírování, tak už se dá předpokládat, že uživatel spamuje. |
||
| _es Profil |
#8 · Zasláno: 8. 7. 2011, 12:15:48
fruity:
„tak už se dá předpokládat, že uživatel spamuje.“ Ale ten predpoklad môže byť mylný - ak si napríklad len text formátuje v nejakom svojom obľúbenom editore. „ale to potom znamená, že antispam, který se používá tady taky stoji za ...“ Slúži veľmi dobre na to, na čo slúžiť má - na zabránenie automatických necielených útokov od spamovacích robotov. |
||
| fruity Profil * |
No a na to se ptám. Je fakt, že tady jde o vložení pouze do db a já to chci využívat jak pro návštěvní knihu, tak i pro maily, ale obrana by měla být stejná, ne? Jakou ochranu by jste doporučoval vy?
podle mě se dneska dá prolomit úplně všechno pokud se někdo cíleně zaměří na stránky. |
||
| _es Profil |
#10 · Zasláno: 8. 7. 2011, 12:46:57 · Upravil/a: _es
fruity:
„pokud se někdo cíleně zaměří na stránky.“ Pri malých weboch s nie veľmi veľkou návštevnosťou, ako napríklad v tejto diskusii, stačí cielený ban, či nejaké vhodné cielené obmedzenie. Pri weboch s veľmi veľkou návštevnosťou to treba riešiť napríklad tými obrázkami, návštevníci sú však za to otravovaní nadbytočnými úkonmi. Ide o vhodný pomer medzi vplyvom a reakciou naň. „podle mě se dneska dá prolomit úplně všechno pokud se někdo cíleně zaměří na stránky.“ To je ako tvrdiť, že otvoriť bez kľúča sa dá každý zámok - a predsa sa zámky stále používajú. |
||
| fruity Profil * |
#11 · Zasláno: 8. 7. 2011, 12:53:58
Pokud se používá obrázková captcha, tak jsou stránky pro nevidomé uživatele nepřístupné. Ten člověk za to nemůže a trestat ho za blbost spamařů se mi zdá hloupostí. Jaká je tedy ochrana pro větší weby, které nechtějí trestat takové uživatele?
|
||
| _es Profil |
#12 · Zasláno: 8. 7. 2011, 12:55:34
fruity:
„Jaká je tedy ochrana pro větší weby, které nechtějí trestat takové uživatele?“ Napríklad alternatívne zvukové prehratie. |
||
| fruity Profil * |
_es:
„To je ako tvrdiť, že otvoriť bez kľúča sa dá každý zámok - a predsa sa zámky stále používajú.“ Ano, já neříkám nechránit stránky. Jen captcha už není tak silná jako bývala a která je, tak je nepřístupná i pro normální uživatele. Už nevím na jaké stránce jsem opisoval obrázek, ale byl to horor. Obrázek jsem opisoval celkem 9x než jsem se trefil. Dneska už to není opisování, ale hádání a i takové ochrany, které uživatele zabíjejí roboti začínají taky dešifrovat, tak co je bezpečné? Ano, ale testoval jsem jednu voiceCaptchu, která je volně přístupná a luštění kodu sluchem jsem vůbec nerozuměl. Asi to už zní, že ve všem hledám jen negativa a o radu nestojím, ale tak to není. Rozhodně chci vyřešit problém přístupného a chráněného webu. Nikdo, kdo zná řešení na tenhle problém? Existuje nějaké řešení pro bezpečný a přístupný formulář? Jinak menší problém. Skupina lidí o které jsem mluvil, tak nepoužívají javascritpt a ten voice je pod javascriptem. Jinak by to bylo dobré řešení, ale dodat podrobnější manuál taky můžou :-) Moderátor Str4wberry: Tato diskuse není chat, uvaž to před příštím zmáčknutím tlačítka „Poslat zprávu“.
|
||
| pcmanik Profil |
#14 · Zasláno: 8. 7. 2011, 14:36:11 · Upravil/a: pcmanik
Zatial neprelomena Recaptcha, nemal som s nou problem, jednoducha instalacia. A aj pre nepocujucich.
// A ked budes mat dalsiu myslienku nabuduce, tak je tu tlacitko na editovanie prispevku, tak si to tam dopis. |
||
| fruity Profil * |
#15 · Zasláno: 8. 7. 2011, 15:19:34
reCaptchu znám. Vzhled není nejdůležitější, ale mimo to jak vypadá, tak jsou i uživatelé, kteří neumí anglicky a pro ty by opisování mohlo být taky zničující. Tlačítko na editování je velice užitečná věc, ale pro registrovaný uživatele a to já jak se můžeš podívat nejsem. Jinak moc děkuju za radu. Podle všeho mám pořád závěr, že nejlepší pro přístupnost u kombinace bezpečnosti je časový zámek.
Tak to vidím jen na 2 věci. 1. postřílet autory spamu 2. vykašlat se na uživatele, kteří za nic nemůžou pro bezpečnost vidícíh, kteří nadávají na nečitelný obrázek |
||
| Marek88 Profil |
#16 · Zasláno: 8. 7. 2011, 16:03:45 · Upravil/a: Marek88
[#22] fruity:
Připadá mi, že jseš asi uplně mimo. Už v [#2] ti johnl napsal velmi dobré řešení pro malé weby. U velkých projektů, kde hrozí cílené napadení se musí použít obrázková (plus mluvená) captcha. Pokud si stěžuješ, že je nějaká captcha, co jsi našel na netu špatná, tak si udělej svojí. Jestli se ti nechce dělat svojí (nebo to neumíš), tak se dá usuzovat, že nemáš velký web a tudíš jí nepotřebuješ a stačí ti řešení z příspěvku [#2]. |
||
| fruity Profil * |
#17 · Zasláno: 8. 7. 2011, 16:18:33
Mimoň to už vyřešil elegantně, snadně, efektivně :-) Asi nebudu tak mimo, když jsem vyřešil problém na který jste mi odpovídali samí nepřiměřený ochrany. Já souhlasím, že obrázek je celkem efektivní, ale taky dost nepřátelský. Šlo mi o to vymyslet jak to udělat bezbariérově a přitom neomezovat další část uživatelů. Děkuju Vám za Vaše odpovědi
|
||
| johnl Profil |
#18 · Zasláno: 8. 7. 2011, 17:48:42
fruity:
Můžeš generovat i náhodný příklad, ve tvaru „devět plus čtyři je?“ a input, tohle i program pro nevidomé přečte a robot to nepochopí.. Něco jiného je cílený útok, když někdo bude chtít něco překonat, většinou se mu to podaří.. |
||
| Matty Profil |
#19 · Zasláno: 8. 7. 2011, 23:05:00
fruity:
Dovolím si ještě přispět svou kapkou do mlýna. Již delší dobu zkouším kombinovat metodu s minimálním časem, jak popisuješ Ty, společně se schovanými textovými poli. Ty fungují tak, že v normálním formuláři jsou přidané inputy, které jsou pomocí css schovaný a pro čtečky nevidomých lidí označeny nějakým textem. Člověk je při vyplňování nevidí, a tak je ani nevyplní. Robot je nerozpozná. Pokud je takové textové pole vyplněné, je celkem pravděpodobné, že se jedná o robota. |
||
|
Časová prodleva: 4 dny
|
|||
| fruity Profil * |
#20 · Zasláno: 12. 7. 2011, 11:28:24
Ano, tohle jsem tam použil taky. Šlo mi o to aby i cílený útok byl minimalizován a podstrčení inputu pro robota je dobrá věc, ale cílený útočník toto pole vynechá a proto jsem vytvořil časový zámek, který je šifrovaný i jinak zabezpečený. Nebudu popisovat kvůli bezpečnosti jak jsem ho dělal, ale i cílený útočník bude mít problém prolomit samotný zámek. Captcha je podle mého názoru historie. Obrázek dneska prolomí jako nic a ten se kterým mají problém robůtci, tak uživatelé taky. Já osobně, když vidím opiš kód, tak zdrhám a když opisuju, tak už to musí být hodně prospěšná stránka nebo něčím vyjímečná. At si tady top kodéři říkají co chtějí, tak i voice captcha je na 2 věci. Dnešní doba je přehlcená a dávat uživateli překážky se rovná doporučení konkurenci.
johl Ano, tohle je už pro každého známá ochrana a myslíte si, že se robot nedokáže naučit sčítat? Naučil se číst obrázek a i zvuk jestli se nepletu. Dobrou ochranou je dotaz. Třeba se zeptat jakou barvu má slunce. Podobné a snadné otázky nechat střídat. Pokud tam dáte pár podobných dotazů, tak i cílený útočník bude v haj.... |
||
| fruity Profil * |
#21 · Zasláno: 12. 7. 2011, 11:31:22
Ale co já můžu vědět jako mimoň :-)
|
||
| YoSarin Profil |
#22 · Zasláno: 12. 7. 2011, 11:41:35
fruity:
A podíval ses jak to má řešené tahle diskuze? (ano, pořád omíláme to, co je ve [#2]). Nevím co máš za web, ale myslím si, že tahle diskuze bude o něco větší, známější a profláklejší projekt a nějaké extrémní problémy se spamem jsem tu nezaregistroval (pravda, určitě v tom mají prsty i moderátoři). Nikdo neříká, že tvoje řešení není funkční, ale dost možná bude mít nějaká nepříjemná úskalí omezující uživatele - odeslání napoprvé se nepovede (výpadek spojení či co), po refreshi zůstane textarea vyplněná a čas se počítá znovu od začátku - uživatel se pokusí opakovaně odeslat (pochopitelně dříve než uplyne limit) a nazdar - je označen za spamujícího robota. Navíc záleží také na tom, jak uchováváš a předáváš čas načtení stránky - pokud jako hodnotu v nějakém hidden inputu, robot si ji může bez problémů upravit a nemusí na nic čekat (proč by to někdo ale u malých stránek dělal, že). To samé platí u čekání - není problém robotovi říct aby stránku načetl, počkal 10 vteřin a pak teprve odeslal spam (dodělat do robota tuhle fíčuru je imo o dost jednodušší než naučit ho JS nebo sčítání). Ale zase - kdo by se s tím u malých stránek obtěžoval, že? |
||
| fruity Profil * |
#23 · Zasláno: 12. 7. 2011, 11:58:44
v hidden by jsem určitě takové věci neposílal. Jo, ale má tam hlášku o době čekání, tak to není tak drsný jak popisuješ. Vím, že není problém v době odeslání, ale robot nepozná, že je tam časovej zámek a uživatel samotnej taky ne pokud neotestuje chování, ale i tak bude mít problém s luštěním. Blbě se to vysvětluje, když nemůžu popsat jak jsem to udělal, ale je to rozhodně lepší řešení než nějaký obrázek, kterej je hned jasnej
|
||
| fruity Profil * |
#24 · Zasláno: 12. 7. 2011, 12:10:26
YoSarin:
„A podíval ses jak to má řešené tahle diskuze?“ Právě jsem se mrknul. Ověřuje pomocí hidden a js číslo tématu, časově a možná jsem další přehlídnul. Nechci kopírovat zabezpečení. Když si každej bude dělat svoje vlastní zabezpečení, tak to budou mít ******** težší. Normy se standart se má dodržovat v kódu pro validaci a standartní značky. Zabezpečení by se mohlo lišit :-) |
||
|
Časová prodleva: 13 let
|
|||
0