Autor Zpráva
Darker
Profil
Trochu se mi nezdála moje captcha fungující pomocí SESSION (ačkoli je bez OCR neprolomitelná), a tak jsem vymyslel trochu jiný princip.
Základ je v tom, že mám nějaký předem daný kód, který se převede na nějaký hash. Potom se zobrazí podle GET parametru ID nějaká část toho hashe. No má to samosebou tu mouchu, že když si někdo chytrý opíše jeden kód, bohatě to stačí pro vytvoření robota.
V tom případě je totřebo to občas změnit. Chtěl bych to dělat nějak podle data, ale moje konstrukce se zatím nebezpečně podobají Lopíkovu řádku osm.

Stará captcha.
Nová.
jenikkozak
Profil
Tak jo. :-)
No na té nové captche se mi nelíbí, že je tak dlouhá. V tom je ta první lepší. Ta stará sice lépe zapadá do celkového designu stránky, ale zase hrozí, že ji někdo přehlédne.

Trochu mimo: Zatím vždycky, když jsem dumal nad captchou, vyřešil jsem to přes skryté políčko formuláře, je to snazší.
ShiraNai7
Profil
Darker:
a tak jsem vymyslel trochu jiný princip.

Proč? Session je uložená na serveru a čistý kód nikdo nepřečte, pokud to neumožníš.
Já mám svou 3D captchu, která funguje právě přes sessions. Vygeneruje se náhodný kód a ten se přes sessions může JEN JEDNOU vykreslit a JEN JEDNOU validovat, jinak se jedná o neplatný pokus a generuje se nová captcha. Také mám omezený počet neplatných pokusů z jedné IP adresy za určitou dobu.
Darker
Profil
jenikkozak:
No na té nové captche se mi nelíbí, že je tak dlouhá.
Dálka je konstanta, která jde měnit. Mám to dlouhé jen proteď, abych viděl, jestli se bez problému generuje.

vyřešil jsem to přes skryté políčko formuláře, je to snazší.
Pokud změníš GET[id] té nové captchy, změní se kód. A ten se bude házet do inputu.

ShiraNai7:
Proč?
Protože závisí na funkčnosti SESSION. (a navíc session zasírá daty, která mě matou při debugování jiných věcí)

Session je uložená na serveru a čistý kód nikdo nepřečte, pokud to neumožníš.“ - vím
-Darker: : „ačkoli je bez OCR neprolomitelná

Já mám svou 3D captchu ... atd
Moc pěkné, že máš captchu, ale pokud neřekneš víc než základní obecný princip captchy (a mohl sis všimnout, že ten moje první vzládá), zní to trochu spíš jako chlubění se, než jako rada. Mohl bys upřesnit, co myslíš tím 3D?

Mimochodem pár doplnění k podstatě dotazu:
Jde mi o tom, abych měl kód, ve kterém libovolný člověk upraví jedno proměnnou, a získá proměnnou sérii klíčů, kterou nebude možné bez zadaného kódu předvídat.
A naprosto teď neřeším grafické provedení.
ShiraNai7
Profil
Darker:
zní to trochu spíš jako chlubění se, než jako rada
O to tu nejde. Mě jen přišlo divné to neřešit přes sessions a vymýšlet nějaké šílenosti přes hashovací funkce, navíc když samotná captcha je dost slabá. Hlavní text je jednou barvou.. dál už není moc co řešit. On by se takový robot asi nezabýval několika malými weby se slabou captchou, ale když už se dělá captcha, tak proč ji nedělat pořádně?

Protože závisí na funkčnosti SESSION. (a navíc session zasírá daty, která mě matou při debugování jiných věcí)
A captcha bývá stejně u registrace nebo zasílání příspěvku na dynamické stránce, která se necachuje.
To není argument proti použití SESSION. Že zasírá daty? Nesmysl. Stačí 1 proměnná.

Mohl bys upřesnit, co myslíš tím 3D?
Prostě text vykreslený v lineární perspektivě, např:

(původní základ samotného vykreslovacího kódu je z doublethink.cleverweb.cz, který už neběží delší dobu)

Lze to rotovat, posouvat, měnit kopce na důlky a opačně, přidávat šum... A když se to spojí s podmínkou, že jednu generovanou captchu lze vykreslit a validovat pouze jednou, tak to může být docela odolné.
Darker
Profil
ShiraNai7:
O to tu nejde. Mě jen... ...navíc když samotná captcha je dost slabá.
Nerad se opakuji - „A naprosto teď neřeším grafické provedení.
Na hraní si z obrázkovými funkcemi je vždycky času dost. Že jde captcha snadno přečíst botem vím.

která se necachuje.
Irelevantní.
Problém je jednoznačně v tom, že kdo má vyplé cookies, dohrál.

je z doublethink.cleverweb.cz
Vypadá to luxusně, ten základ ještě máš? Byl bych ti za něj moc vděčný, ušetřilo by mi to hodiny googlení a hledání chyb.
EDIT:
Aktuální verze je již OCR vzdorná. Takže bych se rád vrátil k původnímu problému.
ShiraNai7
Profil
Darker:

Vypadá to luxusně, ten základ ještě máš?
Ano mám, později to uploadnu a dám tu link (teď nejsem na svém pc).
edit: zde ke stažení .. není to úplně původní verze (tu už nemám), ale nejsou tam žádné funkční změny - pouze byl celý skript sloučen do 1 souboru + font
Není nic moc čitelná, ale po úpravě kamery a zmenšení výstupu je to lepší (viz má verze).

Problém je jednoznačně v tom, že kdo má vyplé cookies, dohrál.

Citace mojich reakcí na tohle téma z jiného topicu:

Nesouhlasím. Kolik lidí ze tisíce? 1? Nejsme snad v 90tých letech, kdy to bylo běžné.
Mám svůj jednoduchý redakční systém který pro přihlášení používá cookies (přes sessions). Používají jej stovky stránek a za dobu asi 4 let jsem neviděl jedinou zmínku o tom, že by si někdo stěžoval na "nefunkční přihlášení kvůli vypnutým cookies". I když bez cookies skutečně přihlášení nefunguje.

A to byl jen příklad.. spousta stránek cookies používá a nefunguje bez nich správně a nikdo se tomu nediví, protože všichni mají cookies zapnuté :)

Chamurappi:
„současné prohlížeče jsou schopné běžet v ‚privátním režimu‘, takže stát se bezsušenkovým brouzdalem je mnohem snazší než v devadesátých letech.“

ShiraNai7: Ano.. ale to nejsou cookies vypnuté, nýbrž jsou po vypnutí toho režimu či celého prohlížeče akorát smazány. Takže přihlášení a podobné věci používající cookies normálně fungují i v "privátním režimu". Já tu řeším hlavně tvrzení „Cookies nedoporučuji! Ne každý je má povoleny.“, které je nepravdivé.. a to je celé.
Medvídek
Profil
Darker:
Aktuální verze je již OCR vzdorná.
A uživatelsky taky, nepřečtu to ani náhodou. Nechápu, proč se všichni honí za tím, udělat CAPTCHU nečitelnou.
Chamurappi
Profil
Reaguji na ShiraNaiho7:
Když cituješ, odkazuj na zdroj a nevybírej si jen to, co se ti hodí do krámu.

Já tu řeším hlavně tvrzení ‚Cookies nedoporučuji! Ne každý je má povoleny.‘, které je nepravdivé.
Nijak jsi ho nevyvrátil ani tam, ani tady. To, že ne každý má povoleny cookies, je fakt.
Pokud není závislost na cookies nutná (v tomto případě není), tak bych se jí vyhnul (bez obtíží). Krom toho u návštěvníka s funkčními cookies už je docela velká pravděpodobnost, že je to člověk (i když tedy jsou i chytří spamboti).
ShiraNai7
Profil
Chamurappi:
Není nutná.. ale aby byla captcha skutečně náhodná, tak se ten vygenerovaný kód musí někam na serveru uložit. Dělat to bez ukládání daných dat na serveru by umožnilo manipulaci s captchou. A nejjednodušší to je přes sessions. Vaše argumenty o vypnutých cookies jsou sice validní, ale takových uživatelů je zanedbatelné minimum (méně než uživatelů s vypnutým javascriptem).
Chamurappi
Profil
Reaguji na ShiraNaiho7:
Dělat to bez ukládání daných dat na serveru by umožnilo manipulaci s captchou.
Omezuješ-li počet pokusů z jedné IP adresy, tak už si stejně musíš něco ukládat i mimo session. Stačí, aby to něco nebyl jen pouhý počet, ale seznam tokenů a k nim příslušných textů.

takových uživatelů je zanedbatelné minimum (méně než uživatelů s vypnutým javascriptem)
Máš na to nějaká skutečná data, nebo se opíráš jen o zkušenosti s malým hloučkem lidí, se kterými jsi přišel do styku?
Příště místo své citace rovnou dodej odkaz na nějakou autoritativní statistiku a to, jaké množství lidí už je zanedbatelné ve vztahu k pracnosti vývoje alternativního postupu, nech na individuálním posouzení tazatele.
VitaZ
Profil
Darker:
Člověče ty s tím antispamem vyvádíš jako by Ti na stránky chodila spamovat celá Čína i s Indií a Ruskem ;-)
Řešení s captcha je obecně špatné proto, že prudí mnohem víc lidi než roboty. Pokud by to šlo, určitě bych se mu vyhnul. Elegantní řešení je např. to, které se používá v této diskusi. A mám důvod se domnívat, že je i maximálně účinné. Provozuju totiž také jedno poměrně navštěvované fórum na miniBB. A dříve jsem měl denně několik set až několik tisíc pokusů o registraci spamerských účtů. Po nasazení řešení z fóra JPW jsem za několik měsíců nezaznamenal ani jediný úspěšný pokus.
ShiraNai7
Profil
Chamurappi:
Máš na to nějaká skutečná data, nebo se opíráš jen o zkušenosti s malým hloučkem lidí, se kterými jsi přišel do styku?

0.68% - http://17799-news.the-hamster.com/issue02-news8.htm
3.7% - http://smorgasbork.com/component/content/article/84-a-study-of-internet-users-cookie-and-javascript-settings
2.5% - http://tech.groups.yahoo.com/group/webanalytics/message/18027

tak už si stejně musíš něco ukládat i mimo session
Ukládám, je to redakční systém. Nebudu kvůli kódu a stavu vykreslení dělat tabulku v databázi, jen aby to exotům s vypnutými cookies fungovalo (těm nefunguje prakticky žádná webová služba která není jen "ke čtení").
Darker
Profil
Medvídek:
Už mám vymyšlený font, která čověk přečte a robot ani náhodou (pokud na to nebude stavěný).

VitaZ:
Elegantní řešení je např. to, které se používá v této diskusi.
Tohle má být antispam proti botům zaměřeným přímo na ten konkrétní formulář. Jinak máš pravdu.

ShiraNai7:
Uvědomuješ si, i se všemi tvými argumenty, že je vždycky lepší použít k danému úkolu co nejjednodušší technologii? V jednoduchosti je síla.
ShiraNai7
Profil
Darker:
Uvědomuju. V jednoduchosti je síla - pro jednoduché případy. Tady to je a funguje jen protože to je jen tady. Kdyby to bylo v celém miniBB, tak by to bylo celkem k ničemu. A to je moje pointa. Stejně jako můžeš mít slabou captchu na pár webech - roboti se nebudou přispůsobovat pár individuálním případům.
Chamurappi
Profil
Reaguji na ShiraNaiho7:
0.68% - http://17799-news.the-hamster.com/issue02-news8.htm
Připadá ti deset let starý průzkum relevantní? Chápu, chci statistiky, vygoogluješ mi nějaké statistiky, když už to musí být :-)

Ukládám, je to redakční systém.
U redakčního systému bych těch jeden a čtvrt procenta také obětoval. Darker dělá jen CAPTCHu, nepotřebuje redukovat cílovou skupinu.

aby to exotům s vypnutými cookies fungovalo
Třeba zrovna DJPW jim funguje.
Darker
Profil
ShiraNai7:
slabou captchu na pár webech - roboti se nebudou přispůsobovat
Myslím že budu muset udělat ty otázky, jinak mě ne nenecháš žít :P
ShiraNai7
Profil
Darker:
Nechám, žádný problém. Nemám žádný důvod někomu vnucovat svoje řešení. Konec konců na mém webu tvůj výtvor nebude.
Darker
Profil
ShiraNai7:
Tím jsem myslel, že neuznáš, že nemáš pravdu, nic víc. A to je víceméně normální a správné.
ShiraNai7
Profil
Darker:
V čem nemám pravdu? Netvrdím, že vaše řešení jsou špatně. Tvrdím, že nejsou použitelné v globálnějším (= systém nasazený na více webech) měřítku (třeba redakční systémy, fóra).
Darker
Profil
ShiraNai7:
V čem nemám pravdu? Netvrdím, že vaše řešení jsou špatně
Pokud ne, není co řešit. Měl jsem jiný dojem, obvzláště přihlédnu-li k délce vlákna, kde toto řešíš se mnou a Chamurappim.
V případě že se o ničem nedohadujeme, není co řešit.

Tvrdím, že nejsou použitelné v globálnějším (= systém nasazený na více webech) měřítku (třeba redakční systémy, fóra).
Dolož, prosím.
ShiraNai7
Profil
Darker:
Jste tak nechápaví nebo to jen děláte? Když uděláte primitivní ochranu proti spamu založenou na vyplňování pořád stejného čísla a nasadíte to do redakčního systému/fóra co je globálně nasazován (nebo hodně známý třeba), tak se to roboti naučí a budou spamovat. Netvrdím, že to není účinné pro pár individuálních případů.

Dolož, prosím.
Proč je všude ve větších redakčních systémech/fórech a na stránkách (gmail, seznam, yahoo a statisíce dalších) obrázková captcha a ne tyhle vaše "řešení"?
Chamurappi
Profil
Reaguji na ShiraNaiho7:
Teď tedy nechápu doopravdy. Bavíte se tu o CAPTCHe, která by odolala cílenému útoku, ne?
Darker
Profil
ShiraNai7:
Taky jsem trochu mimo.
Pokud vím, captcha, na kterou jsem odkázal nezobrazuje pořád to samé (mimo to, že po změně parametru ID se kód změní), každý den tam bude něco jiného.

Mám trochu pocit, že sis nedopatřením spetl vlákno. (s ohledem na „brázková captcha a ne tyhle vaše "řešení"?“)

Vaše odpověď

Mohlo by se hodit

Odkud se sem odkazuje


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: