Mootools селекторы текут в IE. У нас сейчас обратный процесс, с Mootools перебираемся на jQuery, MooTools по сравнению с jQuery оказалась намноооого хуже.
у меня получается поддерживать в весьма не простом дизайне все 14 браузеров (ff2/ff3 win+mac+lin, safari2/3 win+mac, konqueror-3.5.8/3.5.9, ie6, ie7, ie8beta, opera 9.2x/9.5x) без ветвлений в верстке вообще.
если знать чего нужно передать серваку, чтобы тот посчитал, мол ты взял пароль, применил к нему непонятночто на яваскрипте и выдал - какой смысл вообще узнавать пароль если нужен только хеш?
я вот что то не понял чего ж в этом безопасного? И идентификатор и все пароли и все хеши - всё передаётся по сети открытым текстом. Собственно нужно только просёрфить траф в момент логина пользователя (бляха, а когда ж ещё?).
глупости короче.
в ssh наиболее безопасный метод авторизации - с открытым ключом. Авторизация по паролю там работает несколько иным способом:
1) сначала устанавливается зашифрованный канал связи
2) потом уже пересылается хеш от пароля
если у вас есть только http-прокся на 80-м порту - то никакие ухищрения не помогут - все ваши пароли (впрочем, не только) через проксю легко проглядываются.
При ssl-содениении _ни_один_ узел между вашим браузером и конечным сервером не способен разпотрошить трафик.
http-протокол сам по себе - это передача открытого текста по дебрям инета. Даже без прокси, а просто разглядывая пакеты между вами и конечным узлом (а делатьь это можно на любой точке между вами и сайтом - коих будет с полдесятка) можно и пароли выдрать и все остальное.
мне казалось всем было понятно что мы говориле не о массовом взломе тонны сайтов с целью кражи траффика, а о направленном с целью кражи меньшего, но более качественного трафика на серьёзном ресурсе. В таком случае спамбота всегда пишут уникального. Более того - ну не глупо ли автоматом регестрироваться, если на сайте ни одной стандартной софтинки нет.
Мне ваш "тест" вообще по барабану, у меня и других дел полно. Будет свободное время - гляну ваш AS чтобы ухмыльнуться супер "защите". Кстати без флеша вообще не даст зайти? Уж лучше котов на картинке выглядывать.
Кто я такой вас волновать вообще не должно с точки зрения этикета данной беседы, и последним утверждением вы ставите себя в совсем некрасивое положение. Нет я не спаммер и никогда им не был. Нужно быть настоящим дебилом чтобы в подобных топиках делится своими мыслями, будучи спаммером.
давайте тогда уж так. Завтра сделаю (или вы думаете actionscript выдрать из флешки - архипроблемно?) и если сделаю - вы навсегда перестанете писать об этом публично?
все тесты с таймаутами и прочей атрибутикой ломаются на раз-два
все тесты с яваскриптом и прочими попытками отличить браузер от бота - ломаются тоже на раз-два (симитировать логику браузера проще, чем может показаться на первый взгляд. Тем более интерпретатор яваскрипта вроде как паблик +))
иными словами - симитировать "механические" действия пользователя - проще простого. В этом случае разобрать автоматом картинку на рапидшаре мноооого сложнее. Смысл там прост: почти нереально разбирать автоматом картинки с процентом попаданий близком к 100. Самое лучшее - процентов 30-50 (даже и того меньше, в случае рапидшары). Тут уже айпи бота быстро "светится" уймой неверных попаданий.
я уже говорил - самое лучше - не пытаться изо всех сил ловить ботов в начале, а дать им возможность зайти и уже потом пристально следить за первыми дейтсвиями. Тут отсев производить намного проще. Это если говорить о проектах где у пользователя после регистрации есть много вариантов будущих действий, а не только "ввести каптчу -> ткнуть на линк -> скачать файл".
на самом деле я разозлился по целому ряду причин. Информации в инете достаточно, особенно качественной, в отличие от вашей стататьи. Вы хоть в курсе что CAPTCHA - это не изображение? Это автоматизированный реверсивный тест тьюринга. "Completely Automated Public Turing test to tell Computers and Humans Apart".
и терминология не верная — это у вас никакой не плагин, а просто «что-то» при помощи Mootools.
Плагины подразумевают расширение функционала, которое будет доступно без дополнительных манипуляций. Ну например добавление функционала к Element.
Так что сидите смирно =).
Разве что о Dojo можно подумать.
у меня получается поддерживать в весьма не простом дизайне все 14 браузеров (ff2/ff3 win+mac+lin, safari2/3 win+mac, konqueror-3.5.8/3.5.9, ie6, ie7, ie8beta, opera 9.2x/9.5x) без ветвлений в верстке вообще.
И вам советую так же.
хотя защита на основе закрытия алгоритма - используется в 99% случаев проверки лицензионных ключей (: Не очень удачно, правда.
Но все равно это была придирка к словам и ничего более (: Я не хочу об этом спорить! ))))
но вприниципе можно делать хеш пароля на стороне клиента, а потом уж делать хеш и хеша и секретного числа. И отправлять эту только эту штуку серверу.
ssl и точка. Остальное - глупости.
если знать чего нужно передать серваку, чтобы тот посчитал, мол ты взял пароль, применил к нему непонятночто на яваскрипте и выдал - какой смысл вообще узнавать пароль если нужен только хеш?
И, поверьте, мой алгоритм вам не известен.
вот это самые большие глупости из всех глупостей в этой идее.
глупости короче. (:
перед тем как передавать какие-либо данные устаканивается зашифрованный канал.
глупости короче.
в ssh наиболее безопасный метод авторизации - с открытым ключом. Авторизация по паролю там работает несколько иным способом:
1) сначала устанавливается зашифрованный канал связи
2) потом уже пересылается хеш от пароля
ssh очень похож на ssl в этом плане.
При ssl-содениении _ни_один_ узел между вашим браузером и конечным сервером не способен разпотрошить трафик.
http-протокол сам по себе - это передача открытого текста по дебрям инета. Даже без прокси, а просто разглядывая пакеты между вами и конечным узлом (а делатьь это можно на любой точке между вами и сайтом - коих будет с полдесятка) можно и пароли выдрать и все остальное.
Мне ваш "тест" вообще по барабану, у меня и других дел полно. Будет свободное время - гляну ваш AS чтобы ухмыльнуться супер "защите". Кстати без флеша вообще не даст зайти? Уж лучше котов на картинке выглядывать.
Кто я такой вас волновать вообще не должно с точки зрения этикета данной беседы, и последним утверждением вы ставите себя в совсем некрасивое положение. Нет я не спаммер и никогда им не был. Нужно быть настоящим дебилом чтобы в подобных топиках делится своими мыслями, будучи спаммером.
давайте тогда уж так. Завтра сделаю (или вы думаете actionscript выдрать из флешки - архипроблемно?) и если сделаю - вы навсегда перестанете писать об этом публично?
все тесты с таймаутами и прочей атрибутикой ломаются на раз-два
все тесты с яваскриптом и прочими попытками отличить браузер от бота - ломаются тоже на раз-два (симитировать логику браузера проще, чем может показаться на первый взгляд. Тем более интерпретатор яваскрипта вроде как паблик +))
иными словами - симитировать "механические" действия пользователя - проще простого. В этом случае разобрать автоматом картинку на рапидшаре мноооого сложнее. Смысл там прост: почти нереально разбирать автоматом картинки с процентом попаданий близком к 100. Самое лучшее - процентов 30-50 (даже и того меньше, в случае рапидшары). Тут уже айпи бота быстро "светится" уймой неверных попаданий.
я уже говорил - самое лучше - не пытаться изо всех сил ловить ботов в начале, а дать им возможность зайти и уже потом пристально следить за первыми дейтсвиями. Тут отсев производить намного проще. Это если говорить о проектах где у пользователя после регистрации есть много вариантов будущих действий, а не только "ввести каптчу -> ткнуть на линк -> скачать файл".
на самом деле я разозлился по целому ряду причин. Информации в инете достаточно, особенно качественной, в отличие от вашей стататьи. Вы хоть в курсе что CAPTCHA - это не изображение? Это автоматизированный реверсивный тест тьюринга. "Completely Automated Public Turing test to tell Computers and Humans Apart".
пропиарить php-классик чтоль?
сложная captcha - против сложной логики внутри сервера? Я прекрасно понимаю почему крупные проекты используют именно первый вариант =).
А вообще - почему бы не распозновать бота по действиям ПОСЛЕ регистрации?