Кана-капча на PHP — это просто!

[rich]

Ждем топика «Взлом кана капчи — это просто»

[Adiost]

А я-то как жду :) Ну что, кто-нибудь решил?

[TheShock]

Там няшная картинка на весь экран ;)

[Adiost]

>.< ну и зачем так спойлерить?

[TheShock]

А зачем вы спрашиваете? =)

[TheShock]

Тем более, будет больше желания увидеть. Более того — почему бы не сделать несколько разных картинок? ;)

[smsteel]

там все поехало в верстке, и уехало за экран

[ArtRoman]

Так опять же, убираем пиксельные линии, обучаем нейронную сеть, словарь замен уже дан последней ссылкой в топике.

[majesty]

Не решил, но чем оно принципиально отличается от взлома любой другой графической капчи? И чем её генерация принципиально отличается от генерации любой другой графической капчи?

Астрологи объявили целый месяц капчи на Хабре? ;)

[ckald]

Еще одна капча, которая взломала меня. Хотя японофаги в восторге

[sam_reaper]

Мне кажется, что скорей всего будет что-то вроде «Взлом кана капчи на Haskell — это просто».

[Levsha100]

Эх, а я ведь планировал в воскресенье пойти погулять…

[YaakovTooth]

… от того же автора.

[brainworm]

У меня есть идея. Линии-то рисуются только чёрным, а в символах катаканы есть сглаживание. Отсеять полностью чёрные пиксели — и границы символов уже обнаружены.

[majesty]

Линии шума сильно тоньше информативных линий. По этому критерию их можно выкинуть. Особенно облегчает задачу то, что линии прямые :) Нашёл чёрный пиксель, с двух сторон которого белые, поискал рядом ещё чёрные и с некоторой вероятностью нашёл продолжение линии. Повторяем до конца линии (когда с трёх сторон будут белые пиксели) — нашли линию, вычистили. Повторяем, пока ещё есть линии. Бьём на символы, сравниваем с образцом и находим ответ.

[brainworm]

Но они же могут слипнуться, например, как тут:

[majesty]

Поскольку линии прямые зацепившись за конец можно дойти до другого конца без особых приключений =)

[brainworm]

В местах «слипания» прямых полученные линии имеют ширину более одного пикселя, а с твоим алгоритмом от них избавиться нельзя.

[majesty]

Почему нельзя? Нашли первый пиксель, у которого сверху и снизу белые пиксели. Пошли искать справа. Если следующий пиксель выше/ниже — имеем параметры для поиска всех последующих (это уже 45 градусов), если на том же уровне — увеличиваем счётчик горизонтальных пикселей и сдвигаемся на пиксель вправо. Таким образом считая горизонтальные пиксели и смещение находим угол и через 10-15 итераций выпиливаем всю линию.

[brainworm]

А. Понятно =)

[fp71g]

Капча всё сложнее и сложнее…

[Templier]

Это точно, скоро сайты и форумы будут населять боты, так как людям будет очень проблематично вводить и разгадывать капчу)))

[Kane]

Я недавно не мог ввести рекапчу при регистрации. После третьего неудачного ввода, для меня стало пройти её уже делом принципа. Но где-то на 15 я решил забить. Вот не понимаю я таких капч, который сложно ввестип ользователю

[el777]

Кстати, такую капчу уже нельзя называть капчей — потому что она не делает главного — не отличает робота от человека.

[VolCh]

Отличает: смог пройти — значит робот :)

[ValdikSS]

А я ночью сидел, и мне рекапча попалась «Wait here». Я уже спать хотел и как дурак сидел и ждал, потом только понял, что это капча.

[atd]

пользуясь наивным использованием md5, эта капча как и предыдущая очень легко разгадывается с помощью md5.thekaine.de/, например

[lukaville]

Просто добавить щепотку соли, и проблема будет решена!

[atd]

тогда можно вручную запастись парами ответ_на_капчу—кука и давать их боту

[ckald]

Книга о вкусной и здоровой сетевой безопасности

[Gavrylyuk]

то есть?

[ckald]

Шутка юмора :) Очень уж кухонный совет вышел. Можно еще посоветовать соды на краю ножа кинуть — чтобы капча не опадала.

[Adiost]

Я сейчас не очень акцентировал внимание на безопасности, скорее на отрисовке и валидации :) Но с помощью вышеупомянутого сервиса хеш рандомного набора символов не разгадывается. Только что проверил.

[atd]

рандомного — нет. но для вашей капчи мне помогло в 5 из 7 раз

[Adiost]

О как… Ну буду знать, спасибо :)

[atd]

да, простое добавление соли не поможет от повторного использования пар, учтите это

[mephisto]

соль можно сделать рандомную и длинную.

[mariofag]

Если соль делать рандомной при каждой генерации капчи, то вы просто не сможете проверить соответствует ли то, что ввёл юзер, реальной капче, т.к. вам известен лишь input и md5(answer + salt) и, очевидно, не зная salt (т.е. в случае, если он рандомен), вы не сможете проверить, равен ли md5(input + salt) и md5(answer + salt).

[mephisto]

В куки можно положить соль и md5(answer + salt).
Ввиду достаточно большой длины answer + salt и рандомности salt использование радужных таблиц потеряет смысл.

[mephisto]

Хотя пожалуй от повторного использования пар это тоже не защитит :(
Нужно в memcache блокировать использование той же пары на некоторое время.

[mariofag]

А можно не париться и просто воспользоваться прекрасными функционалом PHP под названием «сессии» %)

[ArtRoman]

В статье говорится о сессиях, а в реальности опять хеш в куках :(

[xaker1]

Отгадал капчу — значит бот?

[ascending]

В одном известном разделе одного известного форума канакапча вполне успешно применялась.

[KreatoR]

В эту капчу, если я правильно понял, просто добавлены штриховые линии. А представьте каково будет, если в нее добавить, искажение иероглифов под наклоном, разные цвета и максимально сблизить иероглифы. Тогда разгадывание капчи, при регистрации на сайтах, займет чуть больше чем пару недель)

[Adiost]

На ввод капчи есть 120 секунд.

[KreatoR]

Я к тому, что пока руку набьешь при относительно сложной кана-капчи, пройдет не мало времени чтобы наловчиться их правильно понимать. Еще ведь нужно просмотреть что означает каждый символ.

[FSFox]

наклон тут — это жестоко
так как от этого меняются значения, вот я в одной из трех попыток ошибся и так недосмотрев немного.
ЗЫ до сих пор на стене за моником висит вся хирагана распечатаная когда-то учил, но помню уже мало —
これ　から　おせわ　に　なります

[FeNUMe]

при вводе катаканой пишет что ввел неверно, при вводе транскрипцией пропускает…

[Adiost]

На это и был рассчет, честно говоря. Могу конечно и поддержку катаканы добавить.

[z0rc]

Сделайте возможность вводить ответ катаканой и по Поливанову, а то не спортивно даже.

Вообще хотелось бы увидеть ещё про кандзи-каптчу, и не просто иероглифы, а чтобы с сочетаниями или с каким-нибудь условием, например, первый кандзи в онном чтении, второй — в кунном. Канакаптча ничем не страшна (О-о-о, заморские закорючки!) и одинаково легко щёлкается как и обычная каптча. А возможность ввода ответа в ромазди, всё равно что возможность вводить английскую каптчу на русском. В общем немного скучновато, изюминки не хватает.

[Kudesnick]

Вот, здесь, допустим, кандзи-капча cirno.ru/9/wakaba.html

[z0rc]

Знаем, уважаем.

[Sirix]

Эта капча явно претендует на роль фильтра в наших широтах. Ввел правильно — бот, неправильно — «милости просим, гость дорогой»)

[Anexroid]

Ну, есть же анимэ/японофаги. Так что…

[grishkaa]

Жду еще больше топиков вида "%s-капча на PHP — это просто!" =)

[Adiost]

Пожалуй спойлер: Сиськокапча на PHP — это просто! уже в черновиках.
Посоветовавшись с бумбурумом пришел к выводу, что лучше будет иллюстрации немного прикрыть чем-нибудь.

[chEbba]

Недели капчи на хабре

[baka_cirno]

Странно. Два раза ввел 100% правильную капчу, но скрипт со мной не согласился.

[divanikus]

Кстати, а никто капчу на глаголице не пробовал делать?

[oYASo]

Похоже на письмо хищников.

[Anexroid]

Скоро будет топик «Хищник-капча» ))

[Anexroid]

Отображаться будет алфавит хиников, а ввести по-латински надо будет)

[e10]

Все японцы для европейца на одно лицо.

[Veterinar]

А в Сьерра-Леоне негры всех белых китайцами называют, для них все белые на одно лицо.

[Irbis_78]

Эй вы — китаец, не называйте негров неграми!!!

[3al]

Ну, в его словах есть смысл. Отличить ソ от リ и ン с искажениями не так просто. Впрочем, шрифтозависимо.

[KL7]

Кона-чан мной гордится ^_^

[Adiost]

а то!

[Xlab]

Когда искали прошивку для Vogue — на некоторых сайтах была каптча всего в три иероглифа. Я так и не смог её разгадать.

[qmax]

зачем!?

[bad_guy]

[Veterinar]

Скриншот с гертрудой!

[bad_guy]

Не совсем вас понял.

[Veterinar]

Гертруда.

[Veterinar]

Кана-капча — это непросто!

[bad_guy]

Предвкушаю капчу на клингонском…

[ra_me]

извращенец!!!

[Funbit]

Увидев кану, сперва подумал, что попутал ленту. Но нет, хабр! =)
Забавная идея.

[licvidator]

Доберемся до шумерской капчи на брейнфаке?

[Maccimo]

Brainfuck-код при этом, конечно же, в виде картинки на неоднородном фоне и кучей помех.

[DmZ]

Тупого иностранца специально зашифровали, чтобы не отвлекало от прочтения? :)

[SeLarin]

Ага, 外人 — это гайдзин, значит? А 馬鹿外人 — бакагайдзин? Забавно…

[yumitsu]

Этот 老外 мнит о себе невесть что :)

[Nesp]

gb 2 /jp/

[justhack]

скоро появится пост «Как спасти свою капчу длинной в 120 сек от распределенного DDoS разъярёнными гыуками», я думаю, это самый просто способ задолбить сервер однотипными ресурсоемкими операциями перерисовки очередной капчи

[Dexif]

Ещё немного доработать(искажения, цвета) и можно заменить хабраинвайты на хабра-кана-капчу :)

[ZekMan]

Теперь на вашем сайте будет только японский спам, написанный японскими спамботами :D

[S1eng]

Японцы на столько суровы что спамботы им не нужны, японцы справляются сами.

[3al]

(предельной степенью образованности японца считается знание 2-4 тыс. кандзи).

2 тысячи — это JLPT для 馬鹿外人. Для японцев предел — 6 тысяч

за исключением гласных и согласной «н», у этих знаков есть свои символы

Какие исключения? Гласные и ん — тоже слоги. っ больше подходит под исключение.
Мне почему-то кажется, что хираганокапча лучше катаканокапчи. В том числе из-за ソリン и シツ.

[Adiost]

Охх, я где-то читал, что 2 тысячи как раз. Извините.

Не выдирайте из контекста, ア、オ、ウ、エ、オ、ン　ー　слоги, состоящие из одного звука, я об этом говорил ;)

[d1m4]

MD5 от транскрипции это конечно же дырка.
2 или 3 символа, 45 возможных значений.
Всего вариантов 45^2 + 45^3 = 93150 штук.
Можно даже не генерить таблицы, а в реалтайме считать и даже GPU не нужен.

Написать статью взлом катакано-капчи на bash? =)

[qmax]

ну уж на жаваскрипте хотябы.

[d1m4]

Сессий нет, так что вообще генерить ничего не надо и bash-скриптинг не нужен.

$ curl -F go=prodoljit -F code=shiri --cookie captcha=a1f66a880693a06241ee26573988190b xn--80aaaac9cp2ad7b.xn--p1ai/captcha/kana/go.php ; echo

[dio]

тег повеселил :)

[kolpeex]

Не увидел тут принципиальных отличий от обычной капчи. Топик ради топика очевидно

[Adiost]

habrahabr.ru/blogs/net/121032/#comment_3974383
Люди попросили — я сделал.

[VovixLDR]

Ждем появления ломалки под названием Hiroshima.

[SleepingLion]

В вашей реализации не хватает фильтра на вывод. А то в четырьмя символами катаканы много чего написать можно.
Например (без одного символа — кому надо — поставит): ク*ヒト или キミハ*ホ.
P.S. Конечно, по всем правилам, тексты выше должны быть на хирагане, а я написал на катакане т.к. топик про неё, но прочитать и сообразить, что там написалось успеть могут многие. +За абсолютную правильность написания не ручаюсь — не японец.

[giner]

Не понимаю, что-то не работает капча.

Вот картинка:

Ввожу: サクコ

> Ошибка: капча введена неверно!

Как пройти-то её?

[Adiost]

Транскрипцией. Капча-то не для нихонцев, а для гайдзинов.

[giner]

Ой.

[Maccimo]

К слову, кандзи имеют мало общего в произношении с китайскими иероглифами.

«Китайские иероглифы имеют мало общего в произношении с китайскими иероглифами»? :)
Тавтология какая-то.

В разных диалектах китайского одни и те же иероглифы звучат совершенно по-разному т.к. оные означают не набор звуков, а понятие. Ничего удивительного, что в других странах, позаимствовавших китайскую графику иероглифы звучат по-другому.

[ibnteo]

Поставьте такую каптчу на русский сайт (лучше всего для неё подойдёт хабр), и на этом сайте останутся лишь одни русскоязычные японоведы.

[3al]

А также те, кто осилит рукописный ввод в любимой ОС, на некоторых ajax-сайтах, ну и просто таблицу катаканы (хотя бы в википедии). Опыт одного мёртвого форума подтверждает.

[WGH]

Можно немного усложнить: предлагать «разгадывать» записанные катаканой английские слова.