Пара слов о каптче…

    Путешествуя по просторам интернета, я набрёл на интересный экземпляр на сайте довольно крупного ресурса:



    Это показывается при регистрации.

    Ладно, думаю. Напишу в техподдержку письмо «у вас, ребята, баг.» Но… не тут-то было :) Чтобы отправить письмо, естественно нужно ввести каптчу :(

    Разумеется, по клику «Перегрузить изображение» показывается ещё пара шедевров:



    Внимание, вопросы:
    1) Вот и как (нет, даже не зарегистрироваться) сообщить об ошибке?
    2) К разработчикам: Из-за чего глюк? Как бороться? (Нет ли аналогичного бага на ваших сайтах?)
    3) К разработчикам: Может, нужно-таки предусматривать вариант контакта БЕЗ каптчи?
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 130

    • UFO just landed and posted this here
        –8
        >1) В форме сообщения об ошибке не следует использовать CAPTCHA — это уже неуважение. Пользователь хочет сообщить вам об ошибке, а вы его с роботом сравниваете и просите пройти еще какой-то тест.

        ага конечно, и заспамят вам эту форму роботами, неоднократно с таким связывался
          +14
          лучше вообще потерять пользователя вообще? :)
            +3
            После кучи спама на мыле приходит мысль, что да, лучше потерять пару юзеров, чем терпеть это дальше.
              –2
              наверное стоит использовать хороший антиспам фильтр и будет счастье, нет?
                +2
                Не совсем. Ведь обычно антиспам работает по незнакомым разным мылам. А тут всё будет идти из одного источника — и спам, и нормальные письма. Соответственно, антиспам не сможет нормально работать и будет пропускать часть спама и блокировать часть нормальных писем.
                  0
                  Как вариант — использовать фильтры типа akismet, которые работают не по email-адресу, а по тексту сообщения

                  Письма же определенные как спам можно не удалять, а складировать, чтобы, скажем, раз в неделю просматривать на предмет неверно определенных
                    0
                    Если антиспам будет фильтровать по емайл адреса что вам мещает спросить пользователя его емайл и сделать: From: user@email?
                      0
                      Тогда будет видно, что отправляется не с родного адреса (т.е. не с адреса-хостера мыла) -> велика вероятность спама
                      +1
                      хороший, внимание ключевое слово ХОРОШИЙ!!!, антиспам фильтр не опирается на одни лишь адреса отправителей!!!
                        0
                        любой бейзов фильтр избавит вас от этой проблемы, со временем… Возможно…
                • UFO just landed and posted this here
                    0
                    Я тоже часто задумываюсь над альтернативными методами определения человечности, но, по-моему, CAPTCHA пока что лучший вариант.

                    Скажем, проверка по количеству обращений не очень хороша тем, что никто не мешает автоматически обращаться с разных IP через proxy. Та же проблема и у временного интервала.
                      +11
                      метод определения человечности = CAPTCHA
                      CAPTCHA != картинка с буквами
                        +1
                        пока что второе утверждение практически не верно, в отличии от теории.
                        Жаль.
                    0
                    облегчение своей жизни за счёт посетителей — не самая удачная мысль в этом случае. они не дураки, и тоже это понимают и будут относиться соответственно.
                      –1
                      Поставьте honeypot.
                      0
                      вот чесно не понимаю смысла спамить форму фидбэка. Ведь и ежу понятно что все прийдет на один и тот же ящик…
                        0
                        Флуд, DoS, DDoS.
                          0
                          флуд на один почтовый ящик не актуально

                          досы можно и без формы видбека провернуть
                            0
                            Как же не актуально? Это спам не актуально, а флуд актуально! Например, надо вам конкурентам на сайте сделать так, чтобы пользователи не могли написать в суппорт, и вуаля :)
                              0
                              и зачем же мне, что бы клиенты не написали в саппорт?

                              я там понимаю что б клиенты не совершали покупок, что бы клиенты не могли пользоваться навигацией на сайте, но саппорт…
                              да и Вы действительно думаете что офильтровать поток флуда из формы фидбэка составит проблему?
                                0
                                На войне все методы хороши:)
                                Да, думаю составит.
                      +2
                      > 1) В форме сообщения об ошибке не следует использовать CAPTCHA — это уже неуважение. Пользователь хочет сообщить вам об ошибке, а вы его с роботом сравниваете и просите пройти еще какой-то тест.

                      А каптча при авторизации на Хабре Вас не смущает?
                      • UFO just landed and posted this here
                          0
                          А как это? я ее вижу каждый раз, когда перезагружаю браузер, несмотря на то, что пароль вбит в хранилище, и когда я нажимаю «авторизоваться», требуется только ввести капчу…
                          • UFO just landed and posted this here
                          +1
                          На Хабре можно сообщить об ошибке в капче по email, хотя бы :)
                            0
                            вставлю свои пять копеек :). Лично меня смущает и злит, лично для меня хабр далеко не самый приятный ресурс как для пользователя. Так же раздражает запрет комментировать чаще, чем раз в 5 минут. Уверен, что есть еще куча таких запретов, но с ними не сталкивался, так как в основном читаю. Да и комментировать активно все-равно не дают :)
                            • UFO just landed and posted this here
                                0
                                а зачем мне это? У меня нет несдерживаемого желания поделиться с людьми своими мыслями. Именно поэтому мне абсолютно все-равно, какая у меня карма на этом ресурсе, и что ставят за мои комментарии :)
                                  0
                                  вы же сами писали, что вас это «смущает и злит» и «раздражает запрет комментировать чаще, чем раз в 5 минут» :)

                                  а теперь пишете, что вам всё равно и нет желания писать комментарии :)
                                    0
                                    я не писал, что нет желания писать комментарии, я писал, что могу без этого жить. Просто когда читаю, может появиться желания ответить — а мне — запрет :).

                                    Если бы не местами интересный контент, уже давно бы с удовольтствием забыл об этом сайте
                          0
                          Адрес каптчи
                            0
                              +2
                              Извиняюсь за непроизвольную отправку, так вот, адрес каптчи
                              .....hash=d8a193ec9e322e30c74640ede88514bf
                              это md5 хеш, надо расшифровать и ТОЛЬКО ТОГДА, ВОЗМОЖНО, получится написать фидбек :))
                                +2
                                если это значение вставить теперь в поле ввода капчи то получатся заветные 6 букв цифр
                                только все равно не отправляется…
                                  +1
                                  разве по хешу можно определить исходный текст? :-)
                                      –1
                                      ух ты, круто! :)
                                        +1
                                        Ну исходный текст можно восстановить только с некоторой долей вероятности, я так понимаю.
                                        Одному и тому же хешу может соответствовать бесконечно много вариантов исходного текста…
                                          +3
                                          какая разница какой из вариантов мы найдём, если проверка всё равно будет по хешу.
                                            0
                                            Всё понятно. Но это не «исходный текст»…
                                            Например я могу представить такой вариант: допустим в md5-хэше мы храним пароль. Но кроме md5-хэша запоминаем ещё длину исходного пароля и пропускаем только при соответствии этих двух параметров. В данном случае подобрать «исходный текст» будет проблематичнее.
                                              0
                                              Можно еще хранить несколько хэшей (что плохо, лучше один последовательный), полученных разными алгоритмами(ГОСТ, md-5, md-4, sha-1,sha-2, и.т.д.) =)
                                              Но это мы отвлеклись…
                                            0
                                            коллизий то может быть много, но под наши ограничения (6 символов) попадет их мало.

                                            Да и благодаря известной длине исходного текста подобрать его можно гораздо быстрее
                                            +2
                                            Ознакомился. Метод, конечно, хороший, но по сути является упрощённым подбором.
                                            При этом вероятность нахождения пароля с помощью данных таблиц составит 0.7542 (75.42 %), сами таблицы займут 596 Гб, генерация их на компьютере уровня Пентиум-3 1ГГц займёт 3 года а поиск 1 пароля по готовым таблицам не более 22 минут.

                                            20 минут на поиск пароля… легче руками ввести каптчу :) Если, конечно, есть что вводить XD
                                              0
                                              Можно, кстати,
                                                0
                                                *Можно, кстати, заюзать брутер md5, использующий CUDA.
                                                +1
                                                Если хэш «солёный» — то нельзя.
                                                search string: salted hash
                                                  –1
                                                  Ну «не нашли пока метода» != «нельзя»
                                                  На вскидку — надо мутить что-то вроде двумерных rainbow-таблиц (сам объект хэширования × «salt»)
                                                    0
                                                    Кстати, не смотря на то, что у меня отключены теги, html-сущности (как &+times выше) я, похоже, использовать могу.
                                                    (сорри за оффтоп)
                                                      +1
                                                      Не двухмерных, а многомерных. Причем оченьмногомерных. ))
                                                      Так как придется перебрать все возможные варианты подсаливания:
                                                      md5(pass+salt)
                                                      md5(md5(pass)+md5(salt))
                                                      и так далее.
                                                      еще менять местами слагаемые… в общем вариантов множество… так что это утопия…
                                                  0
                                                  конечно можно. Есть такая штука, rainbow tables называется, есть даже сервисы, которые в онлайн-режиме вам хеш вскроют.
                                                    0
                                                    «вскройте» пожалуйста хеш: 1cacdbb35ac5db51166841f3f33a3c91
                                                    ответ: nt3XaXsTQ

                                                    это я к тому, что «тупоперебратьмноговариантов» это само по себе не вариант, когда используется богатая коллекция символов и увеличинное число символов.
                                                  +1
                                                  эээ вопщем чет я прогналась ))) сорри
                                                    +1
                                                    Не за что вам извиняться, со всеми бывает :)

                                                    На самом деле, попытки сделать невозможное часто приводят к каким-то очень хорошим промежуточным решениям (изобретениям). Так что, может быть, стоит подумать над тем, как обратить необратимую последовательность :)
                                              0
                                              Супер, идея!

                                              Возле своих каптч поставлю «Если вдруг на сервер пропал шрифт, отпишите на почту support@domain.com — починим!»
                                                +32
                                                Угу, и далее: «Если вдруг упал почтовый сервер, шлите телеграммы по адресу…» :)
                                                  0
                                                  :-) что-то в этом есть
                                                  • UFO just landed and posted this here
                                                      +1
                                                      «Если вдруг война, то вам нужно добраться до дата-центра по такому-то адресу, обеспечить его электроэнергией и организовать оборону…» :)
                                                      • UFO just landed and posted this here
                                                          0
                                                          помните «Землю Сисадминов» Кори Доктороу? www.computerra.ru/lib/354693/
                                                          А еще классный топик о подземном дата центре: habrahabr.ru/blogs/the_future_is_here/44845/
                                                    +7
                                                    Вот так один сломавшийся путь к файлику со шрифтами лишил центр хип-хопа новых пользователей.
                                                      +2
                                                      Вполне вероятно, что на какое-то время он лишился и уже имеющихся (я про хабраэффект)
                                                        –2
                                                        Лишил нас новых звезд хип-хопа! Они расстроились и решили забить на хип-хоп :)
                                                          +3
                                                          какой удар по гангста-культуре… :(
                                                          +3
                                                          это у них не баг а фича )
                                                            +50
                                                            Отличная капча для форума экстрасенсов.
                                                              +18
                                                              Вспомнился анекдот:
                                                              — Нострадамус, иди кушать.
                                                              — А что на обед, мама?
                                                              — А то, ты, су#@, сам не знаешь!
                                                                +1
                                                                типичная капча для форума времён глубокого будущего: полного превосходства идей всеобщей свободы доступа к информации, абсолютного равноправия*, искусственного интеллекта, обещанного коммунизма. Времён, где «random правит миром»; словом: что ни введи — сойдет.
                                                                ________
                                                                *все люди, нелюди, боты и прочие равны. А капчу не упразднили потому, что она тоже имеет право на существование.
                                                                +1
                                                                Ого, прям таки модерн арт.
                                                                  +1
                                                                  если вам действительно «горит» там зарегестрироваться, то попробуйте, может, послать письмо владельцу домена. наверняка он что-то предпримит. вот его почтовый ящик: kurdin@gmail.com
                                                                  так же жоступен его телефон, но это уже вам на страницу whois.domaintools.com/hip-hop.ru
                                                                    +8
                                                                    :-) представляю себе лицо владельца домена, если позвонить ему в три часа ночи и срывающимся голосом сказать: «У ВАС КАПТЧА ПОЛОМАЛАСЬ!!!!»
                                                                      +4
                                                                      Не, просто позвонив по телефону Вам придет ММС с этой каптчей и Вас попросят ввести таки эти символы на телефоне…
                                                                        +1
                                                                        Лучше по почте. В закрытом конверте. С защитным слоем, который нужно стирать ногтем :)
                                                                          +1
                                                                          «отправь СМС с кодом капчи на короткий номер… ». И в защиту от брута каждая следующая СМС в 2 раза дороже предыдущей ))
                                                                        +1
                                                                        Администрация форума уведомлена об ошибке.
                                                                        +2
                                                                        Если не заполнить одно из полей…
                                                                        «1. Пожалуйста, заполните поля темы и текста сообщения. Вернитесь назад, заполните поля и попробуйте снова.»
                                                                        Хитрый набор действий блин… :)
                                                                          +2
                                                                          1. Глюк скорее всего из-за того, что потерялись шрифты, или просто кто-то удалил функцию вывода текста. Бороться с таким очень просто — поставил, работает и не трогай.
                                                                          2. Вариант контакта без капчи — E-Mail, телефон, ICQ.
                                                                          А вот без капчи сейчас трудно. Недавно читал сообщения с такой же формы (без капчи) на своем сайте, так за одну ночь мне пришло около 500 сообщений от программы-сканера уязвимостей.
                                                                            0
                                                                            Последние пару месяцев форум страшно штормит. Несколько раз меняли оборудование и сервер, совсем недавно форум пролежал в дауне неделю из-за хака. Админы на ресурсе не зарабатывают миллионов, к сожалению. В последние несоклько дней тоже часто появляются сообщения об ошибках. Можно почитать в этой теме на последних страницах и не только.
                                                                            +4
                                                                            какие каптчи уже только не ломали!
                                                                            кто сломает каптчу которая уже сломана?=)
                                                                              0
                                                                              Недавно проскакивали статьи с алгоритмами лома капчей.
                                                                              Ждём от автора солюшн на это :-)
                                                                                0
                                                                                см выше
                                                                              0
                                                                              нет человека — нет проблемы =)
                                                                                +4
                                                                                а может ты робот?
                                                                                  –4
                                                                                  хм… возможно :) в терминаторе-4 тоже был мужик, который считал себя человеком, пока не увидел собственный металлический скелет :)
                                                                                    +12
                                                                                    Спойлер = оторваные яйца.
                                                                                  +6
                                                                                  Пока под хабракат не залез, думал, что пойдет обсуждение о новых оригинальных методах проверки пользователей :)
                                                                                    +11
                                                                                    Это капча защита от человека и предназначена для регистрации на сайте роботов О_о
                                                                                      0
                                                                                      Пользуясь случаем задам вопрос. Существует ли исходник программы которая генерирует rainbow table и потом ищет пароль, на C++? Я сейчас осваиваюсь с Intel Parallel Studio, вот и подумал, а че бы и не распараллелить :)
                                                                                        0
                                                                                        Люди так боятся спама, что не публикуют адреса электронной почты. А это самый простой способ для связи. Для непопулярных ресурсов лучше поставить защиту на Javascript, и не мучить пользователей каптчей. Я именно так и делаю.
                                                                                          0
                                                                                          На самом деле рядом с каптчей просто стоит не та подпись. Правильная должна звучать примерно так: «Пожалуйста, кратко опишите эмоции, возникающие у вас при просмотре изображения справа».
                                                                                          Такую каптчу точно не пройдет ни один робот — ведь у них эмоций!
                                                                                            0
                                                                                            Думаете, роботы не способны испытать когнитивный диссонанс?
                                                                                              0
                                                                                              Человек запрограммирует робота материться при отсутствии капчи.
                                                                                              +6
                                                                                              Видимо нужно угадать название фильтра в фотошопе
                                                                                                0
                                                                                                Думаю, что опубликовав это на Хабре вы уже известили разработчиков этого ресурса.
                                                                                                +1
                                                                                                «Перегрузить Изображение» — это сильно. Люди по-русски написать правильно не могут, а вы хотите от них рабочую капчу. :)
                                                                                                  0
                                                                                                  вы ничего не поняли! это такой ПЕАР ))

                                                                                                  сломай капчу и засветись на хабре!
                                                                                                  • UFO just landed and posted this here
                                                                                                      0
                                                                                                      Администрация починила уже.
                                                                                                      Ещё раз убеждаюсь, на сколько полезен хабр в подобных ситуациях.
                                                                                                        0
                                                                                                        уже починили
                                                                                                        0
                                                                                                        Проблема, думаю, в библиотеке GD.
                                                                                                          0
                                                                                                          Неужели никто не видит цифр на этих картинках? Это же элементарно!!!
                                                                                                            +1
                                                                                                            Ну бывает же такое! Написал это сообщение, и через две минуты попал на сайт, где все каптчи такие:
                                                                                                            [Снимок.png]
                                                                                                              0
                                                                                                              хм… Фотка получилась так откадрированой, что кажется, что это news.ru. На самом деле это сайт, который заканчивается на ...news.ru
                                                                                                                0
                                                                                                                я один вижу [Снимок.png] вместо изображения?
                                                                                                                  0
                                                                                                                  Трудно сказать… Я вижу своё изображение…
                                                                                                                  попробуйте здесь глянуть. stebanoid.blogspot.com/
                                                                                                                  0
                                                                                                                  А здесь все просто. Нужно лишь подсчитать количество точек и дверь откроется
                                                                                                                    0
                                                                                                                    А! Стопудов! Эти точки — нули и единицы.
                                                                                                                    1. Дешифруем
                                                                                                                    2. Вводим
                                                                                                                    3. ??????
                                                                                                                    4. PROFIT
                                                                                                                  0
                                                                                                                  А баги то красивые получаются
                                                                                                                    0
                                                                                                                    чтобы сообщить об ошибке — нужно сообщить об ошибке
                                                                                                                    интересно получается ;)
                                                                                                                      –4
                                                                                                                      кстати, у меня все нормально отобразилось

                                                                                                                      и тут: www.hip-hop.ru/forum/register.php?do=register
                                                                                                                      и тут: www.hip-hop.ru/forum/sendmessage.php

                                                                                                                      что я не так делаю?
                                                                                                                      как можно видеть, приведенные вами снимки капчи — это просто фон от капчи, сами же буквы другие по цвету и фактуре
                                                                                                                      поэтому у меня подозрение, что у вашей капчи просто буквы не отобразились, почему — хз, может как раз попали в тот момент, когда они не работали или не генерились ;)
                                                                                                                        0
                                                                                                                        хм. эти картинки навеяли одну теорию, по комментариям видно что проблема скорее всего действительно со шрифтами, но что если использовать в качестве капчи стерео-картинки (когда сосредотачиваешь зрение на одну точку, а потом отводишь глаза и видно изображение), не знаю на сколько это реально реализовать, но возможны проблемы с распознанием этого человеческим глазом:
                                                                                                                        — не у всех получается
                                                                                                                        — вариант распознавания долгий
                                                                                                                        — возможно на экранах монитора сложно будет это понять и определить что изображено!
                                                                                                                          +2
                                                                                                                          автор, а вы не пробовали ничего не вводить, может соль именно в этом и была? робот будет пытаться взломать, а человек должен догадаться, что поле нужно оставить пустым.
                                                                                                                            0
                                                                                                                            как это ни странно — пробовал :)

                                                                                                                            но уже всё ОК, баг исправили (за что спасибо)
                                                                                                                            0
                                                                                                                            а hip-hop.ru раньше другой был…
                                                                                                                              0
                                                                                                                              Самое прекрасное что я видел современном вебе — сайт с неработающей регистрацией, где для отправки уведомления саппорту о проблемах регистрации нужно зарегистрироваться на сайте.
                                                                                                                                +1
                                                                                                                                «Регистрация на сайте доступна только зарегистрированным пользователям!»
                                                                                                                                +1
                                                                                                                                У меня на проекте никогда не было никаких каптч, регистрация идет с подтверждением по мылу, везде, где что-то куда-то постится, делается это при помощи jsHTTPRequest, за 3 года работы проекта на сайте не отписался ни один робот. На сайте конкурентов форум постоянно пробивается спам-ботами, хоть и имеет каптчу, хотя можно сделать скидку на убогий phpBB.
                                                                                                                                  0
                                                                                                                                  А популярный видно движок для капчи.
                                                                                                                                    +2
                                                                                                                                    Вот, кстати, навеяло вариант, как ещё усложнить каптчу. Итак, введите код, указанный на стереокартинке:
                                                                                                                                      0
                                                                                                                                      0919937
                                                                                                                                        +1
                                                                                                                                        А ещё, эта капча легко обходится машинным способом. Вычисляется шаг паттерна. Копируется слой. Верхнему слою выставляется режим «разница» или «вычитание». Слой сдвигается на шаг паттерна. Код чётко виден чёрным на рябом фоне. :)
                                                                                                                                        0
                                                                                                                                        надо было null ввести, попробывать
                                                                                                                                          +1
                                                                                                                                          Не понял… там же ясно видно: b426zwk, 32e4hj, 4js99n и tb67p3, соответственно!
                                                                                                                                            0
                                                                                                                                            Использовать форму обратной связи с саппортом — идиотизм в целом. Для этого достаточно просто указать e-mail саппорта. Просто и каждый понимает. И никаких:
                                                                                                                                            — лишних шагов
                                                                                                                                            — левого спама (нарисуйте емейл на картинке, чтобы роботы не грабили его)
                                                                                                                                            — «обязательных» полей
                                                                                                                                            — выбора «департамента»
                                                                                                                                            — глюков отправки писем через скрипты (когда может глючить)

                                                                                                                                            Единственная необходимость в форме связи — это заказ обратного звонка. Когда клиент пишет, когда ему позвонить и на какую тему будет разговор.

                                                                                                                                            Only users with full accounts can post comments. Log in, please.