Pull to refresh
  • by relevance
  • by date
  • by rating

Мистически сопричастная Captcha

Website development
Впервые довелось увидеть ее неделю назад, но ее очень быстро убрали. Мы страшно расстроились — никто не догадался сделать скриншот.
Но вот ее вернули:
Captcha на mail.ru
Спешите опробовать (там в самом низу) это чудо пока его снова не убрали! Убрать не убрали, но шрифт сменили (.
P.S. Мне ссылку кинул dimad, за что ему большое спасибо.
Rating0
Views491
Comments 6

Методы защиты веб-формы без капчи

Website development

О чём речь?


В последнее время на Хабре было предложено довольно много идей для капчи. Сложная, умная, смешная, капча остаётся одним из основных способов защиты формы от ботов.

Однако, одновременно с этим, капча является проблемой юзабилити, поскольку заставляет пользователя выполнять лишнее действие.

В этом обзорном посте я бы хотел рассмотреть незаметные для пользователя методы защиты от ботов.

Методы защиты


Читать дальше →
Total votes 126: ↑117 and ↓9+108
Views52K
Comments 227

Еще раз о капчах

Lumber room
Сейчас на хабре стала очень популярной тема защиты форм от ботов. У меня сложилось впечатление, что большинство писателей не до конца представляют себе эту задачу. Здесь я попытаюсь дать краткий обзор проблем встающих перед разработчиками и некоторые варианты их решения.
Читать дальше →
Total votes 10: ↑5 and ↓50
Views284
Comments 32

Защита от хабраэффекта

Habr
Предлагаю реализовать смешную функцию для хабратопиков — защита от хабраэффекта.

Защищать, ясен пень, надо не хабратопики, а указанные в них сайты. Потому что бедные сайтовладельцы порой слабо себе представляют, что это такое — опубликовать свой проект в разделе «я пиарюсь» и тем самым положить его на пол дня, не будучи уверенным в его нагрузкоустойчивости.

Реализовать это на стороне пишущего клиента я предлагаю в виде чекбокса «учесть хабраэффект». Можно даже добавить селект 10/100/1000 показов в секунду/минуту и т.п. На стороне сервера — временно скрывать отчекбоксенный таким образом топик из топов и rss лент при достижении указанного порога показов.

А вообще, это юмор со слезами на глазах. Введение такого чекбокса не перевернет мир сайтостроения и не снимет с пиарящихся обязанности думать головой, заниматься оптимизацией и покупать хороший хостинг. Но, возможно, об этом напомнит.

В качестве первого примера использования защиты — я не буду упоминать тут сайт, недавно засветившийся в «я пиарюсь» и схлопотавший себе в итоге «Internal Server Error».
Total votes 7: ↑3 and ↓4-1
Views648
Comments 8

Интересный способ защиты от ботов

Website development
Наткнулся тут недавно на одном сайте на способ защиты от ботов без использования каптчи и javascript.
Все очень просто — достаточно добавить скрытое поле с символом кодированным в HTML сущность (например © — и т. д.). Дело в том что браузер найдя такой символ преобразует его перед отправкой в обычный, а робот использующий парсер форм так и отправить закодированным (причем у меня есть свой парсер форм и он сделал бы именно так). При проверки формы достаточно просто посмотреть длину строки в этом поле. Если отправлял человек то она будет равна числу символов в строке, а если нет значительно больше.
Так что такое решение пусть и не обеспечивает серьезной защиты но вполне может применяться в тех случаях если что то более сложное использовать нельзя.

P. S. пример
P. P. S. Оказывается у меня тут в черновиках статья лежит про методы защиты от ботов и их обходы, стоит дописать?
Total votes 93: ↑74 and ↓19+55
Views12K
Comments 74

Еще один способ защиты от спама

Lumber room
Наверное я один такой, кому приходят в голову всякие бредовые идеи в совершенно неподходящем для этого месте. Вот и сегодня, сидя на рыбалке с мотком лески в зубах я придумал очередной способ защиты от спама. Все, хватит отступлений :)

Идея



Читать дальше →
Total votes 26: ↑19 and ↓7+12
Views394
Comments 19

Изменение UserAgent сторонними приложениями

Lumber room
При разработке одного интернет-магазина возникла проблема, что не добавляются товары в корзину.
В результате дебаггинга выяснилось, что CMS принимает меня за поискового робота, а им покупать ничего нельзя :-)

Как же так?
Total votes 6: ↑5 and ↓1+4
Views191
Comments 1

Защита выделенных серверов от DDOS-атак с помощью Arbor Peakflow SP

HOSTKEY corporate blog
В начале мая Хосткей совместно с «Синтеррой» запустили новую услугу по защите серверов клиентов от DDoS-атак, расположенных в дата-центре на Мичуринском проспекте в Москве. Для этих целей используется комбинация комплекса Arbor Peakflow SP, собственных разработок «Синтерры» в области защиты сетей операторского класса и значительная емкость апстримов Синтерры, позволящая избежать аварийных ситуаций при флуде.

image
Читать дальше →
Total votes 11: ↑7 and ↓4+3
Views13K
Comments 1

Защита от ботов, основанная на различии в работе с большими числами в JavaScript и PHP

Information Security
Sandbox
Недавно мне пришлось разбираться с защитой от ботов, используемой на нескольких довольно популярных ресурсах.
На первый взгляд защита показалась обычной установкой куки через javascript, справиться с которой — дело 15-ти минут. В самом деле, после небольшого исследования стало понятно где что делается и какие параметры куда передаются, остается только переписать небольшую функцию с javascript на php и дело в шляпе.
Но все оказалось не так просто. И хотя в итоге защита была сломана, на это потребовалось далеко не 15 минут, и сам принцип защиты оказался для меня новым и довольно интересным.

Итак, обо всем по порядку.
Читать дальше →
Total votes 81: ↑61 and ↓20+41
Views18K
Comments 44

DARPA финансирует разработку чипа для подтверждения подлинности электронных компонентов

Нордавинд corporate blogInformation Security


Как сообщает DARPA в пресс-релизе, объявляющем о начале разработки системы Supply Chain Hardware Integrity for Electronics Defense (SHIELD), за последние два года на оборудовании, использующемся министерством обороны США, было выявлено более миллиона электронных деталей и компонентов сомнительного качества и подлинности. Это и бывшие в употреблении детали, продающиеся под видом новых, и микросхемы с подправленной в сторону улучшения характеристик маркировкой, и «левые» излишки, которые производители продают полулегально, и откровенные подделки.

Этот поток контрафакта ставит под угрозу надёжность оборудования, от которого могут зависеть жизни людей. DARPA предлагает разработать миниатюрный (100 на 100 мкм) и недорогой (меньше одного цента за штуку) чип, который будет подтверждать аутентичность электронных компонентов. Чип будет находиться внутри корпуса микросхемы, но никак не будет электрически связан с её функциональной начинкой и не должен требовать существенных изменений в процесс производства.
Читать дальше →
Total votes 23: ↑20 and ↓3+17
Views14K
Comments 36

Защита от накруток в онлайн играх

Enterra corporate blogWebsite developmentGame development
Это статья о том, как мы делали систему защиты браузерной HTML5 игры от взлома и подделки результатов, с какими трудностями мы при этом столкнулись, как их решали и что получили в итоге. Основной и всем знакомой проблемой таких игр является возможность написания бота, который эту игру автоматически пройдет. Разработку подобного бота облегчает тот факт, что код игры находится в публичном доступе. Ситуация осложнялась тем, что были объявлены реальные призы, среди которых iPad, билеты на концерт, USB флеш накопители и т.п.



Статья будет полезна в основном тем, кто делает HTML5 / Flash игры и заботится об их безопасности; тем, кто платит за разработку этих игр; и немного тем, кто призван бороться с ботами. Ну и, конечно, тем, кто написал эту статью. Потому что мы надеемся, что она станет началом продуктивной дискуссии о том, как разработчики браузерных игр могут противостоять кибер-мошенникам.
Читать дальше →
Total votes 45: ↑43 and ↓2+41
Views29K
Comments 71

Невизуальные методы защиты сайта от спама. Часть 1. Статистика

CleanTalk Anti-Spam corporate blogInformation SecurityWebsite development

Часть 1. Что говорит статистика


Невизуальные методы защиты сайта от спама предполагают автоматический анализ поступающих от посетителя данных. Чем больше данных анализируется, тем полнее и точнее может быть определён посетитель и вынесено решение спамер он или нет.

Системы, анализирующие такие данные, как правило, накапливают статистику данных посетителя и вынесенных решений. Вашему вниманию предлагается краткий обзор статистических данных, накопленных нами (сервисом защиты сайтов от спама CleanTalk).
Читать дальше →
Total votes 8: ↑8 and ↓0+8
Views8.1K
Comments 17

Невизуальные методы защиты сайта от спама. Часть 2. Истинное лицо символов

CleanTalk Anti-Spam corporate blogInformation SecurityWebsite development
Продолжение статьи Невизуальные методы защиты сайта от спама

Часть 2. Истинное лицо символов


Невизуальные методы защиты сайта от спама используют, в частности, анализ переданного текста. Спамеры используют много приёмов, чтобы усложнить такой анализ. Здесь будут показаны примеры одного из них, а именно подстановки символов. Приведённые примеры взяты из реальных данных компании CleanTalk.

Подстановка символов очень проста, но в результате неё могут не работать фильтры по стоп-словам, могут хуже работать байесовские фильтры, а также фильтры с определением языка. Поэтому перед применением этих фильтров имеет смысл вернуть символам их истинное лицо.
Читать дальше →
Total votes 15: ↑12 and ↓3+9
Views5.4K
Comments 19

Невизуальные методы защиты сайта от спама. Часть 3. Повторы

CleanTalk Anti-Spam corporate blogInformation SecurityWebsite development
Продолжение статьи Невизуальные методы защиты сайта от спама

Часть 3. Повторы подстрок


Как уже говорилось, невизуальные методы защиты сайта от спама используют анализ текста. Один из часто встречающихся сигналов спама — это наличие повторяющихся строк. Как всегда, приведённые примеры взяты из реальных данных компании CleanTalk.

Поиск таких повторов должен быть минимально ресурсоёмким. Лучше, если он будет вызываться после тестов из 1 и 2 частей статьи, которые отсеют явный спам и приведут текст к виду, пригодному для анализа. Здесь я приведу некоторую статистику, а также пример кода.
Читать дальше →
Total votes 12: ↑9 and ↓3+6
Views3.9K
Comments 5

Обходим коммерческую защиту методом black box и пишем packet hack для lineage 2

AssemblerCReverse engineering
Sandbox

Пролог


Все началось год назад, когда один из моих товарищей с форума T предложил переписать известную всему читерскому миру программу l2phx за авторством многоуважаемого xkor`а.
Сам l2phx (l2 packet hack, пакетник, хлапа) представляет из себя сниффер входящих и исходящих пакетов (все реализовано через LSP) клиента lineage 2 (существуют версии для других mmorpg), с возможностью отправки/подмены отдельных пакетов. Xkor постарался как следуют: реализовал методы обхода шифрации, красивый gui и тп. Но злобным админам фришек такое приложение не понравилось: оно существенно убивало их доход на старте очередных однодневок. Да-да, были времена когда любой нонейм мог зайти на любой сервер и устроить полную вакханалию этим инструментом. Тогда же и появились всяческие коммерческие защиты, которые безуспешно блокировали использование пакетника, а самые хитрые из них еще дополнительно шифровали трафик. Одна из таких защит живет на последнем издыхании и по сей день: встречайте, защита S. Сегодня защита S стоит на всех топовых серверах lineage 2. К слову, xkor предусмотрел такой исход и реализовал возможность самостоятельно написать модуль расшифровки пакетов (newxor.dll). Да только писать его было не рационально: новый сервер == новый newxor. Читерство по l2 постепенно начало умирать, ибо новички были не в состоянии отправлять пакеты методами изменения памяти клиента (HxD, cheat engine и тд).

Тогда я отнесся к этой затеи не очень серьезно: написал модуль перехвата пакетов клиент -> сервер и забросил. Почему? Потому. Но буквально 3 дня назад я решил возобновить работу над этим проектом и опубликовать данную статью. Почему? Комьюнити читеров l2 на данный момент мертво. Все баги и отмывы к ним находятся в руках 10 человек, которые общаются между собой в скайпе и на форуме T. И я тоже решил уйти. А если уходить, то лишь красиво)) Два года назад я мечтал о работающем пакетнике, а сегодня он мне не нужен.
Читать дальше →
Total votes 24: ↑22 and ↓2+20
Views21K
Comments 13

Валидация емейл адресов для защиты от спам ботов на сайте

CleanTalk Anti-Spam corporate blogCMSInformation SecurityWebsite development
Электронная почта до сих пор остается одним из важнейших и эффективных элементов онлайн бизнеса и маркетинга и является наиболее эффективным каналом получения дохода. Поэтому для любого онлайн бизнеса и владельцев веб сайтов важно быть уверенным, что именно владелец емейла использовал его для регистрации/подписки, чтобы пользователь использовал свой реальный емейл адрес.



Есть несколько важных причин для этого.

Во-первых, это важно для восстановления забытого пароля, например: пользователь допустил опечатку в своем емейл адресе, через некоторое время использовал функцию восстановления пароля и не может получить новый пароль.

Во-вторых, этот пользователь не получит ваших емейл уведомлений.

В-третьих, пользователь, чей емейл был использован спамером для регистраций/подписки, отправит вашу рассылку в спам. В дальнейшем спамеры могут использовать этот емейл для отправки спама, брутфорса и т.д.
Читать дальше →
Total votes 13: ↑10 and ↓3+7
Views6.9K
Comments 33

Как построить защиту от фрода в масштабах корпорации. Лекция на YaC 2018

Яндекс corporate blogInformation SecurityMachine learning
29 мая прошла Yet another Conference 2018 — ежегодная и самая большая конференция Яндекса. На YaC этого года было три секции: о технологиях маркетинга, умном городе и информационной безопасности. По горячим следам мы публикуем один из ключевых докладов третьей секции — от Юрия Леонычева tracer0tong из японской компании Rakuten.


Как мы аутентифицируем? В нашем случае ничего экстраординарного нет, но один метод хочу упомянуть. Кроме традиционных видов — капчи и одноразовых паролей — мы используем Proof of Work, PoW. Нет, мы не майним биткоины на компьютерах пользователей. Мы используем PoW, чтобы замедлить атакующего и иногда даже заблокировать полностью, заставив его решить очень сложную задачу, на которую он потратит очень много времени.

Читать дальше →
Total votes 13: ↑13 and ↓0+13
Views6.2K
Comments 11

Как победить скликивание в Я. Директ и AdWords на 600 тысяч рублей в месяц

Information SecurityData visualizationWeb analyticsInternet marketingContextual advertising
Sandbox
За последние полгода нам удалось победить «скликивание» нашей контекстной рекламы с бюджетом в 1 миллион рублей в месяц.

Ключом победы над фродом стал поминутный мониторинг трафика с уведомлениями об аномальных изменениях и отключением проблемных объявлений по API, и ряд отчётов, которые отражают ситуацию в реальном времени.


Рисунок 1. Диаграмма количества посетителей по ключевым словам по декаминутам

Как узнать, что вас атакуют?


Одним из первых признаков «скликивания» рекламы будет увеличение процента возвращаемых средств за фрод в Директе и AdWords.
«В Яндекс Директ расходы на фрод автоматически возвращаются на баланс рекламной кампании. Количество кликов, отсеянных системой защиты от фрода, отображается в отчетах «статистика по дням» «общая статистика» в строке «недействительные клики за весь выбранный период.»
справка Я. Директа «недействительных кликах».

В AdWords отображение уровня «недействительных кликов» можно включить на вкладке «столбцы»:


Рисунок 2. Настроенные столбцы с уровнем «недействительных кликов» в AdWords

В нашем случае, при среднем уровне «недействительных кликов» в Директе ≈ 10%, Яндексе вдруг стал возвращать 40% рекламного бюджета, а через месяц и вовсе 54%.
Читать дальше →
Total votes 48: ↑46 and ↓2+44
Views64K
Comments 59

Прорываемся сквозь защиту от ботов

Information SecurityJavaScriptDelphiReverse engineering


В последнее время на многих зарубежных сайтах стала появляться incapsula — система которая повышает защищённость сайта, скорость работы и при этом очень усложняет жизнь разработчикам программного обеспечения. Суть данной системы — комплексная защита с использованием JavaScript, который, к слову, многие DDOS боты уже научились выполнять и даже обходить CloudFlare. Сегодня мы изучим incapsula, напишем деобфускатор JS скрипта и научим своего DDOS бота обходить её!
Читать дальше →
Total votes 19: ↑17 and ↓2+15
Views10K
Comments 3

О хранении персональных данных, Роскомнадзоре и сайтах знакомств

HostingInformation SecurityData storagesLegislation in IT


Всем привет.

Написание этой статьи продиктовано чтением вот этого материала. Ну и истории о Фёдоре Власове с его Kate Mobile тоже, но об этом — в конце.

А также случайным изучением логов соединений от рабочих компьютеров сотрудников в одном небольшом офисе.

Изучение показало, что сотрудники в рабочее время сидят на IP 185.203.72.22, что есть Служба Знакомств Мамба. Но речь пойдёт вовсе не о работоспособности сотрудников и рабочем времени. Речь пойдёт о соответствии Федеральным Законам.
Читать дальше →
Total votes 41: ↑29 and ↓12+17
Views15K
Comments 50
1