Вместо этого я расскажу о человеческом лице, а точнее ушах портала Госуслуг, о том, почему мы ценим критику, и как пользователи помогают сделать Госуслуги лучше.
Никак. Последний год я постоянно получаю бредовые отписки от робота в чате. Почему почту саппорта убрали?
Идея была хороша в теории - использовать детали от Шатлла в новой ракете. Но время вышло - детальки уже морально устарели. Не считая проблем с надежностью двигателей и ТТУ.
Не полетит SLS.
Результативнее делать совсем новую ракету на новых технологиях.
там мы же с не хакерами боремся. а с тупыми программерами, которые создают тупых ботов.
мой рекорд - 500 писем в час (через форму) на тему открытия торгового центра в Пекине (Китай), текст на иероглифах (перевел через гугль), email случайно сгенерирован, IP каждый раз разный.
там реальный был только адрес и телефон в Китае. кто-то запустил рекламную компанию с таргетингом по всем миру и без анализа, куда он её уже отправил. и пошел пиво пить.
пришлось ваять защиту на коленке.
и защиту от наличия иероглифов в тесте сообщения добавил, сообщение в форме на иероглифах теперь в принципе не отправляется
sleep не получится - так как бот умеет динамически IP менять, пока один IP будет ждать, с другого зайдут.
тут именно задержка на клиентской машине от ввода данных до возможности их отправить. - придется ждать в любом случае.
а если еще кнопку "отправить" рисовать JS через 1 сек = то 90% ботов вообще выпадет, они тупо через парсинг html работают, без запуска JS и кнопку они вообще не увидят
надо целый модуль спамерам уже писать - что вот в этой картинке вопрос, его надо через OCR прогнать и вытащить этому вопросу правильный ответ из своей базы
ps
все-таки надо разделять спамеров и взломщиков. спамеры в основном по площадям работают и иногда дописывают своего бота, что бы % размещения был выше.
а взлом - другое дело. тут уже целевая атака на конкретную защиту.
pss
и да - у меня ответ на вопрос 1го января ежегодно сам меняется :)
если стоит вопрос сломать вход в конкретном сайте - то с привлечением людей быстро сломают.
а вот если вопрос - написать универсальный код для взлома - тут на порядок сложнее. вопрос текстовый, ответ цифровой, подсказка цифровая. стандартный бот анализирует что может - и получает бан.
но конечно - вопрос времени. пока ни одного бота не прошло. все-таки это не 22 порт, где китайские сервера дают 10-20 запросов в секунду.
самая простая и тупая капча - "какой сейчас год" и 4 цифры ввода - но длину ввода не ограничивать.. и в поле ввода образец "1913"
90% ботов понимают вариант "сколько будет 2+3" и не понимают полностью текстовый вопрос без цифр. это уже ИИ нужен или бота заранее на такой вопрос настроить.
но у меня работает. за два года ни одного бота не прошло. 50% ботов тупо берут ответ из подсказки в форме :) я их потом в логах вижу.
1913
11111
1111111
12345
123456
так сказать - решение на коленке.
и да - после третьей попытки fail2ban отправляет IP в бан на неделю.
ID отдельных плат прошиты в BIOS - нельзя просто так заменить, например, модуль WiFi. Т.е. заменить то можно - только он без бубна с BIOS работать не будет.
Это самое главное во всей этой истории. Есть какая-то база (блокчейн - да), в которой если все сложить, мы получим "итоги" голосования. И в этой базе нельзя подделать отдельные записи.
Как соотносится эта база с конкретными избирателями (их выбором, который они сделали) - не известно.
у Сбера сертификат выдан на организацию (как и должно собственно быть в большом бизнесе), а на госуслугах сертификат выдан просто на домен, как у любого простого частного сайта...Причем у Сбера сертификаты отдельные на все их поддомены (сервисы), а на госуслугах - один общий на всё
Да - они все идут как правило без диска. А диск там только (с вероятностью 99%) - NVMe. Одно дело - диск под систему (на 128-256 Гиг) и работа в качестве удаленного ПК для сервера. Да - имеет смысл. На столе большой монитор и сзади коробочка мини-ПК.
А если мы хотим локальный рабочий ПК - то диск нам нужен 1-2 Тб и это совсем другие деньги. А HDD там не возможен.
Русская рулетка - да, это ближе. При выполнении действия (явно разрешенного) всё нормально до определенного момента. Этот момент можно вычислить (в реальности - не всегда).
Красный светофор - это явное запрещение. Можно даже не знать почему именно. Но периодичность нарушения приводит к проблеме.
Режим зануды офф.
:)
ps
Про STS-27 не знал, спасибо.
На твердотопливных ускорителях стояли новые, более легкие, носовые обтекатели. И на 85 секунде полёта носовой обтекатель правого ТТУ стал разрушаться, и его осколки ударили по теплозащитному покрытию шаттла. Происходящее фиксировалось на наземные камеры и не осталось незамеченным. После выведения экипаж развернул манипулятор "Канадарм" с камерой и стал осматривать нижнюю поверхность "Атлантиса". Зрелище было неважным - плитки теплозащиты словно обстреляли из зенитного орудия (а командир Роберт Гибсон воевал во Вьетнаме и видел результат работы зениток). Но, странное дело, ЦУП Хьюстона не видел проблемы. Изображение с камеры передавалось по шифрованному каналу связи (напомним, это военная миссия), шифрование сильно снизило качество изображения, и инженеры на Земле решили, что повреждения являются всего лишь игрой света и тени. И, по совершенно непонятной причине, астронавтам, устно описывающим проблему, не поверили! Хуже того, ЦУП Хьюстона не предпринял никаких мер для получения дополнительной информации. За STS-27 не следили с Земли, не использовали спутники-шпионы, проблему посчитали незначительной. Посадка прошла нормально, но инженеров ждал неприятный сюрприз - при личном осмотре повреждения теплозащитного покрытия выглядели ещё хуже. "Атлантис" получил 707 ударов, пришлось менять от 125 до 175 плиток теплозащиты, а одна плитка с нижней поверхности вообще была сорвана, и алюминий под ней стал плавиться при торможении о плотные слои атмосферы. Астронавтам STS-27 повезло - именно на этом месте крепилась антенна, и корпус был толще обычного.
Никак. Последний год я постоянно получаю бредовые отписки от робота в чате. Почему почту саппорта убрали?
Из метана :)
т.е. сначала добываем метан, потом из метана добываем водород а куда деваются атомы углерода при такой добычи? а как раз в СО2
а уже потом будем сжигать водород и получать чистый выхлоп в виде паров воды.
можно еще из воды получать - откуда то будет браться электричество, но это не важно.
Грета вообще сказала, что нужно закрыть все электростанции и брать электричество из розетки.
из всего этого безумия результат походу будет как и всегда:
получать будем водород в бедных странах
а сжигать будем его в богатых странах
а потом богатые страны будут говорить бедным - фу, у вас много выбросов СО2
Вай. Какие у них удивительные "обычные" смартафоны с мощность передатчика на 500 км...И что это за обычные смартафоны с 2G... Они вообще еще бывают?
Я понимаю, еще принять сигнал с расстояния 500 км не проблема (если передатчик мощный и антенна приемника хорошая).
Но вот как отправить сигнал с маломощного устройства на 500 км...
Что-то темнят ребята.
Идея была хороша в теории - использовать детали от Шатлла в новой ракете. Но время вышло - детальки уже морально устарели. Не считая проблем с надежностью двигателей и ТТУ.
Не полетит SLS.
Результативнее делать совсем новую ракету на новых технологиях.
Проблема не в цифрах. Цифры отражают только текущую ситуацию. Основных глобальных проблем несколько:
тяжелая и сверхтяжелая ракета - сейчас есть только Протон (с Байконура) и Ангара-5 с двумя экспериментальными полетами
если у казахов начнется битва за экологию, то минус Протон (он летает на ядовитом топливе) и минус геостационар, луна и планеты
космодром Восточный - в процессе
а буржуи не захотят продавать России свои запуски - санкции и прочее
а не будет чем запускать тяжелую нагрузку - нет смысла её разрабатывать
PS
у амеров тяжелые ракеты:
Атлас 5 (на росс. движках в первой ступени) - делают замену Вулкан
Дельта IV
Фалкон Хеви
Старшип (в разработке)
Оффтоп. Сорри.
Рейтинг:
Американцы не были на Луне
Земля плоская
Добыча водорода из алюминия - зеленая энергетика (не спрашивайте как)
Безтопливный генератор электричества
Добили вертолетик :)
Он в принципе был рассчитан на 1 полет на 30 сек. Там на тему надежности особо не планировали.
В следующей версии подправят.
:)
там мы же с не хакерами боремся. а с тупыми программерами, которые создают тупых ботов.
мой рекорд - 500 писем в час (через форму) на тему открытия торгового центра в Пекине (Китай), текст на иероглифах (перевел через гугль), email случайно сгенерирован, IP каждый раз разный.
там реальный был только адрес и телефон в Китае. кто-то запустил рекламную компанию с таргетингом по всем миру и без анализа, куда он её уже отправил. и пошел пиво пить.
пришлось ваять защиту на коленке.
и защиту от наличия иероглифов в тесте сообщения добавил, сообщение в форме на иероглифах теперь в принципе не отправляется
а вот это хорошо :)
уже не работает в 50% случаев
бот анализирует (что увидит пользователь) и не заполняет скрытые поля
ps
50% - из моих логов видно статистику
sleep не получится - так как бот умеет динамически IP менять, пока один IP будет ждать, с другого зайдут.
тут именно задержка на клиентской машине от ввода данных до возможности их отправить. - придется ждать в любом случае.
а если еще кнопку "отправить" рисовать JS через 1 сек = то 90% ботов вообще выпадет, они тупо через парсинг html работают, без запуска JS и кнопку они вообще не увидят
можно вопрос картинкой сделать :)
конечно - человек и вопрос прочитает и ответ правильный сделает.
а как бот вопрос прочитает? да, OCR есть. как именно бот узнает, в какой картинке вопрос?
прогонять все картинки через OCR.....замучается пыль глотать ©
надо целый модуль спамерам уже писать - что вот в этой картинке вопрос, его надо через OCR прогнать и вытащить этому вопросу правильный ответ из своей базы
ps
все-таки надо разделять спамеров и взломщиков. спамеры в основном по площадям работают и иногда дописывают своего бота, что бы % размещения был выше.
а взлом - другое дело. тут уже целевая атака на конкретную защиту.
pss
и да - у меня ответ на вопрос 1го января ежегодно сам меняется :)
согласен.
если стоит вопрос сломать вход в конкретном сайте - то с привлечением людей быстро сломают.
а вот если вопрос - написать универсальный код для взлома - тут на порядок сложнее. вопрос текстовый, ответ цифровой, подсказка цифровая. стандартный бот анализирует что может - и получает бан.
но конечно - вопрос времени. пока ни одного бота не прошло. все-таки это не 22 порт, где китайские сервера дают 10-20 запросов в секунду.
самая простая и тупая капча - "какой сейчас год" и 4 цифры ввода - но длину ввода не ограничивать.. и в поле ввода образец "1913"
90% ботов понимают вариант "сколько будет 2+3" и не понимают полностью текстовый вопрос без цифр. это уже ИИ нужен или бота заранее на такой вопрос настроить.
но у меня работает. за два года ни одного бота не прошло. 50% ботов тупо берут ответ из подсказки в форме :) я их потом в логах вижу.
1913
11111
1111111
12345
123456
так сказать - решение на коленке.
и да - после третьей попытки fail2ban отправляет IP в бан на неделю.
Леново в части ноутов так же делает.
ID отдельных плат прошиты в BIOS - нельзя просто так заменить, например, модуль WiFi. Т.е. заменить то можно - только он без бубна с BIOS работать не будет.
Да, теперь пользователю нужно делать дополнительные усилия (клац-клац мышкой) и смотреть свойства сертификата :(
Это самое главное во всей этой истории. Есть какая-то база (блокчейн - да), в которой если все сложить, мы получим "итоги" голосования. И в этой базе нельзя подделать отдельные записи.
Как соотносится эта база с конкретными избирателями (их выбором, который они сделали) - не известно.
у Сбера сертификат выдан на организацию (как и должно собственно быть в большом бизнесе), а на госуслугах сертификат выдан просто на домен, как у любого простого частного сайта...Причем у Сбера сертификаты отдельные на все их поддомены (сервисы), а на госуслугах - один общий на всё
CN = *.gosuslugi.ru
----
CN = sberbank.ru
O = Sberbank of Russia PJSC
L = Moscow
S = Moscow
C = RU
Да - они все идут как правило без диска. А диск там только (с вероятностью 99%) - NVMe. Одно дело - диск под систему (на 128-256 Гиг) и работа в качестве удаленного ПК для сервера. Да - имеет смысл. На столе большой монитор и сзади коробочка мини-ПК.
А если мы хотим локальный рабочий ПК - то диск нам нужен 1-2 Тб и это совсем другие деньги. А HDD там не возможен.
Режим зануды он
Русская рулетка - да, это ближе. При выполнении действия (явно разрешенного) всё нормально до определенного момента. Этот момент можно вычислить (в реальности - не всегда).
Красный светофор - это явное запрещение. Можно даже не знать почему именно. Но периодичность нарушения приводит к проблеме.
Режим зануды офф.
:)
ps
Про STS-27 не знал, спасибо.