Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 130
>1) В форме сообщения об ошибке не следует использовать CAPTCHA — это уже неуважение. Пользователь хочет сообщить вам об ошибке, а вы его с роботом сравниваете и просите пройти еще какой-то тест.
ага конечно, и заспамят вам эту форму роботами, неоднократно с таким связывался
ага конечно, и заспамят вам эту форму роботами, неоднократно с таким связывался
лучше вообще потерять пользователя вообще? :)
После кучи спама на мыле приходит мысль, что да, лучше потерять пару юзеров, чем терпеть это дальше.
наверное стоит использовать хороший антиспам фильтр и будет счастье, нет?
Не совсем. Ведь обычно антиспам работает по незнакомым разным мылам. А тут всё будет идти из одного источника — и спам, и нормальные письма. Соответственно, антиспам не сможет нормально работать и будет пропускать часть спама и блокировать часть нормальных писем.
Как вариант — использовать фильтры типа akismet, которые работают не по email-адресу, а по тексту сообщения
Письма же определенные как спам можно не удалять, а складировать, чтобы, скажем, раз в неделю просматривать на предмет неверно определенных
Письма же определенные как спам можно не удалять, а складировать, чтобы, скажем, раз в неделю просматривать на предмет неверно определенных
Если антиспам будет фильтровать по емайл адреса что вам мещает спросить пользователя его емайл и сделать: From: user@email?
хороший, внимание ключевое слово ХОРОШИЙ!!!, антиспам фильтр не опирается на одни лишь адреса отправителей!!!
любой бейзов фильтр избавит вас от этой проблемы, со временем… Возможно…
облегчение своей жизни за счёт посетителей — не самая удачная мысль в этом случае. они не дураки, и тоже это понимают и будут относиться соответственно.
Поставьте honeypot.
вот чесно не понимаю смысла спамить форму фидбэка. Ведь и ежу понятно что все прийдет на один и тот же ящик…
Флуд, DoS, DDoS.
флуд на один почтовый ящик не актуально
досы можно и без формы видбека провернуть
досы можно и без формы видбека провернуть
Как же не актуально? Это спам не актуально, а флуд актуально! Например, надо вам конкурентам на сайте сделать так, чтобы пользователи не могли написать в суппорт, и вуаля :)
> 1) В форме сообщения об ошибке не следует использовать CAPTCHA — это уже неуважение. Пользователь хочет сообщить вам об ошибке, а вы его с роботом сравниваете и просите пройти еще какой-то тест.
А каптча при авторизации на Хабре Вас не смущает?
А каптча при авторизации на Хабре Вас не смущает?
На Хабре можно сообщить об ошибке в капче по email, хотя бы :)
вставлю свои пять копеек :). Лично меня смущает и злит, лично для меня хабр далеко не самый приятный ресурс как для пользователя. Так же раздражает запрет комментировать чаще, чем раз в 5 минут. Уверен, что есть еще куча таких запретов, но с ними не сталкивался, так как в основном читаю. Да и комментировать активно все-равно не дают :)
а зачем мне это? У меня нет несдерживаемого желания поделиться с людьми своими мыслями. Именно поэтому мне абсолютно все-равно, какая у меня карма на этом ресурсе, и что ставят за мои комментарии :)
Адрес каптчи
www.hip-hop.ru/forum/image.php?type=hv&hash=cb8ab824a4e1a3cc7cce1d205f73ca2c
Если вы это имеете в виду. На странице: www.hip-hop.ru/forum/sendmessage.php
Если вы это имеете в виду. На странице: www.hip-hop.ru/forum/sendmessage.php
Извиняюсь за непроизвольную отправку, так вот, адрес каптчи
.....hash=d8a193ec9e322e30c74640ede88514bf
это md5 хеш, надо расшифровать и ТОЛЬКО ТОГДА, ВОЗМОЖНО, получится написать фидбек :))
.....hash=d8a193ec9e322e30c74640ede88514bf
это md5 хеш, надо расшифровать и ТОЛЬКО ТОГДА, ВОЗМОЖНО, получится написать фидбек :))
если это значение вставить теперь в поле ввода капчи то получатся заветные 6 букв цифр
только все равно не отправляется…
только все равно не отправляется…
разве по хешу можно определить исходный текст? :-)
ух ты, круто! :)
Ну исходный текст можно восстановить только с некоторой долей вероятности, я так понимаю.
Одному и тому же хешу может соответствовать бесконечно много вариантов исходного текста…
Одному и тому же хешу может соответствовать бесконечно много вариантов исходного текста…
какая разница какой из вариантов мы найдём, если проверка всё равно будет по хешу.
Всё понятно. Но это не «исходный текст»…
Например я могу представить такой вариант: допустим в md5-хэше мы храним пароль. Но кроме md5-хэша запоминаем ещё длину исходного пароля и пропускаем только при соответствии этих двух параметров. В данном случае подобрать «исходный текст» будет проблематичнее.
Например я могу представить такой вариант: допустим в md5-хэше мы храним пароль. Но кроме md5-хэша запоминаем ещё длину исходного пароля и пропускаем только при соответствии этих двух параметров. В данном случае подобрать «исходный текст» будет проблематичнее.
коллизий то может быть много, но под наши ограничения (6 символов) попадет их мало.
Да и благодаря известной длине исходного текста подобрать его можно гораздо быстрее
Да и благодаря известной длине исходного текста подобрать его можно гораздо быстрее
Ознакомился. Метод, конечно, хороший, но по сути является упрощённым подбором.
20 минут на поиск пароля… легче руками ввести каптчу :) Если, конечно, есть что вводить XD
При этом вероятность нахождения пароля с помощью данных таблиц составит 0.7542 (75.42 %), сами таблицы займут 596 Гб, генерация их на компьютере уровня Пентиум-3 1ГГц займёт 3 года а поиск 1 пароля по готовым таблицам не более 22 минут.
20 минут на поиск пароля… легче руками ввести каптчу :) Если, конечно, есть что вводить XD
Можно, кстати,
Если хэш «солёный» — то нельзя.
search string: salted hash
search string: salted hash
Ну «не нашли пока метода» != «нельзя»
На вскидку — надо мутить что-то вроде двумерных rainbow-таблиц (сам объект хэширования × «salt»)
На вскидку — надо мутить что-то вроде двумерных rainbow-таблиц (сам объект хэширования × «salt»)
Кстати, не смотря на то, что у меня отключены теги, html-сущности (как &+times выше) я, похоже, использовать могу.
(сорри за оффтоп)
(сорри за оффтоп)
Не двухмерных, а многомерных. Причем оченьмногомерных. ))
Так как придется перебрать все возможные варианты подсаливания:
md5(pass+salt)
md5(md5(pass)+md5(salt))
и так далее.
еще менять местами слагаемые… в общем вариантов множество… так что это утопия…
Так как придется перебрать все возможные варианты подсаливания:
md5(pass+salt)
md5(md5(pass)+md5(salt))
и так далее.
еще менять местами слагаемые… в общем вариантов множество… так что это утопия…
конечно можно. Есть такая штука, rainbow tables называется, есть даже сервисы, которые в онлайн-режиме вам хеш вскроют.
эээ вопщем чет я прогналась ))) сорри
Супер, идея!
Возле своих каптч поставлю «Если вдруг на сервер пропал шрифт, отпишите на почту support@domain.com — починим!»
Возле своих каптч поставлю «Если вдруг на сервер пропал шрифт, отпишите на почту support@domain.com — починим!»
Угу, и далее: «Если вдруг упал почтовый сервер, шлите телеграммы по адресу…» :)
:-) что-то в этом есть
«Если вдруг война, то вам нужно добраться до дата-центра по такому-то адресу, обеспечить его электроэнергией и организовать оборону…» :)
помните «Землю Сисадминов» Кори Доктороу? www.computerra.ru/lib/354693/
А еще классный топик о подземном дата центре: habrahabr.ru/blogs/the_future_is_here/44845/
А еще классный топик о подземном дата центре: habrahabr.ru/blogs/the_future_is_here/44845/
Вот так один сломавшийся путь к файлику со шрифтами лишил центр хип-хопа новых пользователей.
это у них не баг а фича )
Отличная капча для форума экстрасенсов.
Вспомнился анекдот:
— Нострадамус, иди кушать.
— А что на обед, мама?
— А то, ты, су#@, сам не знаешь!
— Нострадамус, иди кушать.
— А что на обед, мама?
— А то, ты, су#@, сам не знаешь!
типичная капча для форума времён глубокого будущего: полного превосходства идей всеобщей свободы доступа к информации, абсолютного равноправия*, искусственного интеллекта, обещанного коммунизма. Времён, где «random правит миром»; словом: что ни введи — сойдет.
________
*все люди, нелюди, боты и прочие равны. А капчу не упразднили потому, что она тоже имеет право на существование.
________
*все люди, нелюди, боты и прочие равны. А капчу не упразднили потому, что она тоже имеет право на существование.
Ого, прям таки модерн арт.
если вам действительно «горит» там зарегестрироваться, то попробуйте, может, послать письмо владельцу домена. наверняка он что-то предпримит. вот его почтовый ящик: kurdin@gmail.com
так же жоступен его телефон, но это уже вам на страницу whois.domaintools.com/hip-hop.ru
так же жоступен его телефон, но это уже вам на страницу whois.domaintools.com/hip-hop.ru
Если не заполнить одно из полей…
«1. Пожалуйста, заполните поля темы и текста сообщения. Вернитесь назад, заполните поля и попробуйте снова.»
Хитрый набор действий блин… :)
«1. Пожалуйста, заполните поля темы и текста сообщения. Вернитесь назад, заполните поля и попробуйте снова.»
Хитрый набор действий блин… :)
1. Глюк скорее всего из-за того, что потерялись шрифты, или просто кто-то удалил функцию вывода текста. Бороться с таким очень просто — поставил, работает и не трогай.
2. Вариант контакта без капчи — E-Mail, телефон, ICQ.
А вот без капчи сейчас трудно. Недавно читал сообщения с такой же формы (без капчи) на своем сайте, так за одну ночь мне пришло около 500 сообщений от программы-сканера уязвимостей.
2. Вариант контакта без капчи — E-Mail, телефон, ICQ.
А вот без капчи сейчас трудно. Недавно читал сообщения с такой же формы (без капчи) на своем сайте, так за одну ночь мне пришло около 500 сообщений от программы-сканера уязвимостей.
Последние пару месяцев форум страшно штормит. Несколько раз меняли оборудование и сервер, совсем недавно форум пролежал в дауне неделю из-за хака. Админы на ресурсе не зарабатывают миллионов, к сожалению. В последние несоклько дней тоже часто появляются сообщения об ошибках. Можно почитать в этой теме на последних страницах и не только.
какие каптчи уже только не ломали!
кто сломает каптчу которая уже сломана?=)
кто сломает каптчу которая уже сломана?=)
нет человека — нет проблемы =)
а может ты робот?
Пока под хабракат не залез, думал, что пойдет обсуждение о новых оригинальных методах проверки пользователей :)
Это капча защита от человека и предназначена для регистрации на сайте роботов О_о
Пользуясь случаем задам вопрос. Существует ли исходник программы которая генерирует rainbow table и потом ищет пароль, на C++? Я сейчас осваиваюсь с Intel Parallel Studio, вот и подумал, а че бы и не распараллелить :)
Люди так боятся спама, что не публикуют адреса электронной почты. А это самый простой способ для связи. Для непопулярных ресурсов лучше поставить защиту на Javascript, и не мучить пользователей каптчей. Я именно так и делаю.
На самом деле рядом с каптчей просто стоит не та подпись. Правильная должна звучать примерно так: «Пожалуйста, кратко опишите эмоции, возникающие у вас при просмотре изображения справа».
Такую каптчу точно не пройдет ни один робот — ведь у них эмоций!
Такую каптчу точно не пройдет ни один робот — ведь у них эмоций!
Видимо нужно угадать название фильтра в фотошопе
Думаю, что опубликовав это на Хабре вы уже известили разработчиков этого ресурса.
Именно так. Другого способа, к сожалению, не было :)
«Перегрузить Изображение» — это сильно. Люди по-русски написать правильно не могут, а вы хотите от них рабочую капчу. :)
вы ничего не поняли! это такой ПЕАР ))
сломай капчу и засветись на хабре!
сломай капчу и засветись на хабре!
Проблема, думаю, в библиотеке GD.
Неужели никто не видит цифр на этих картинках? Это же элементарно!!!
Ну бывает же такое! Написал это сообщение, и через две минуты попал на сайт, где все каптчи такие:
![[Снимок.png]](https://habrastorage.org/getpro/habr/comment_images/9ce/e39/185/9cee391858ecd356f9d3e31775a59db0.png)
хм… Фотка получилась так откадрированой, что кажется, что это news.ru. На самом деле это сайт, который заканчивается на ...news.ru
я один вижу [Снимок.png] вместо изображения?
Трудно сказать… Я вижу своё изображение…
попробуйте здесь глянуть. stebanoid.blogspot.com/
попробуйте здесь глянуть. stebanoid.blogspot.com/
А здесь все просто. Нужно лишь подсчитать количество точек и дверь откроется
А баги то красивые получаются
чтобы сообщить об ошибке — нужно сообщить об ошибке
интересно получается ;)
интересно получается ;)
кстати, у меня все нормально отобразилось
и тут: www.hip-hop.ru/forum/register.php?do=register
и тут: www.hip-hop.ru/forum/sendmessage.php
что я не так делаю?
как можно видеть, приведенные вами снимки капчи — это просто фон от капчи, сами же буквы другие по цвету и фактуре
поэтому у меня подозрение, что у вашей капчи просто буквы не отобразились, почему — хз, может как раз попали в тот момент, когда они не работали или не генерились ;)
и тут: www.hip-hop.ru/forum/register.php?do=register
и тут: www.hip-hop.ru/forum/sendmessage.php
что я не так делаю?
как можно видеть, приведенные вами снимки капчи — это просто фон от капчи, сами же буквы другие по цвету и фактуре
поэтому у меня подозрение, что у вашей капчи просто буквы не отобразились, почему — хз, может как раз попали в тот момент, когда они не работали или не генерились ;)
хм. эти картинки навеяли одну теорию, по комментариям видно что проблема скорее всего действительно со шрифтами, но что если использовать в качестве капчи стерео-картинки (когда сосредотачиваешь зрение на одну точку, а потом отводишь глаза и видно изображение), не знаю на сколько это реально реализовать, но возможны проблемы с распознанием этого человеческим глазом:
— не у всех получается
— вариант распознавания долгий
— возможно на экранах монитора сложно будет это понять и определить что изображено!
— не у всех получается
— вариант распознавания долгий
— возможно на экранах монитора сложно будет это понять и определить что изображено!
автор, а вы не пробовали ничего не вводить, может соль именно в этом и была? робот будет пытаться взломать, а человек должен догадаться, что поле нужно оставить пустым.
а hip-hop.ru раньше другой был…
Самое прекрасное что я видел современном вебе — сайт с неработающей регистрацией, где для отправки уведомления саппорту о проблемах регистрации нужно зарегистрироваться на сайте.
У меня на проекте никогда не было никаких каптч, регистрация идет с подтверждением по мылу, везде, где что-то куда-то постится, делается это при помощи jsHTTPRequest, за 3 года работы проекта на сайте не отписался ни один робот. На сайте конкурентов форум постоянно пробивается спам-ботами, хоть и имеет каптчу, хотя можно сделать скидку на убогий phpBB.
А популярный видно движок для капчи.
Вот, кстати, навеяло вариант, как ещё усложнить каптчу. Итак, введите код, указанный на стереокартинке:
надо было null ввести, попробывать
Не понял… там же ясно видно: b426zwk, 32e4hj, 4js99n и tb67p3, соответственно!
Использовать форму обратной связи с саппортом — идиотизм в целом. Для этого достаточно просто указать e-mail саппорта. Просто и каждый понимает. И никаких:
— лишних шагов
— левого спама (нарисуйте емейл на картинке, чтобы роботы не грабили его)
— «обязательных» полей
— выбора «департамента»
— глюков отправки писем через скрипты (когда может глючить)
Единственная необходимость в форме связи — это заказ обратного звонка. Когда клиент пишет, когда ему позвонить и на какую тему будет разговор.
— лишних шагов
— левого спама (нарисуйте емейл на картинке, чтобы роботы не грабили его)
— «обязательных» полей
— выбора «департамента»
— глюков отправки писем через скрипты (когда может глючить)
Единственная необходимость в форме связи — это заказ обратного звонка. Когда клиент пишет, когда ему позвонить и на какую тему будет разговор.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пара слов о каптче…