Отключение капчи на хабре

[Mithgol]

Чёрт знает что. А если теперь пароли станут подбирать перебором?

[Maldor]

Используйте сложные пароли. Лично я рад подобным изменениям.

[Mithgol]

Я-то использую сложные. Но не за себя тревожусь. Как бы не оказаться в окружении зомбей со взломанными и похищенными личностями.

[Kicker]

[оффтоп]
да, я себе так и представляю Ваш пароль (: — ѧѯѱѳѵѭMithgol_1978_ѣ
[/оффтоп]

[DaFive]

Части пароля не хватает:

[DaFive]

ужé

[tangro]

>оказаться в окружении зомбей со взломанными и похищенными личностями
Вам бы сценарии к фильмам ужасов писать.

[RainFall]

Капчу показывают сразу после первой попытки ввода неправильного пароля.

[bondbig]

Вот это правильно. Я в большинстве случаев с первой попытки ввожу верно, зачем меня все эти годы заставляли вводить для этого капчу — непонятно. Вторая попытка — будьте добры, докажите человечность, презумция невиновности в действии.

[RainFall]

Я, к примеру, как раз капчу с первого раза далеко не всегда вводил, а пароль правильно!

Не помню, какая фраза показывается при неправильном пароле, а вот «Неверный код защиты» отчетливо отпечаталась в голове.

[jeje]

Бха, а для этого ведется мониторинг (не человеком) и блокируется на несколько минут, если переизбыток активности. Тоже мне нашли проблему

[MiXei4]

А если через кучу разных проксей перебирать?

[jeje]

А какая разница? Неудачные попытки считаются относительно пользователя, а не источника входа.

[eli314]

А если по списку пользователей через прокси? ;)

[jeje]

В таком случае даже google analytics вам подскажет, что login page пользуется крайне большой популярностью ;)

[olololog]

Выход один — блокировать страницу логина =)

[MiXei4]

Ну тогда можно подбирать и пароль и пользователя одновременно.

А если я запущу перебор пароля некоего пользователя, то он сам не сможет залогиниться?

[Mithgol]

Именно так.

Так что если кому не нравится один из пользователей Хабрахабра, или даже целый десяток, то с сегодняшнего дня появилась простая бесхитростная возможность навсегда их отключить. Достаточно нехитрый скрипт зациклить.

[Mithgol]

Правда, я надеюсь, что создателям Хабрахабра всё же хватило ума не включать задержку повторного логина после ошибочного, так что нехитрый скрипт не сработает как способ готовой атаки на пользователя.

[burdakovd]

Просто включится капча. Аккаунт не блокируется, и пользователь сможет залогиниться. Максимальный дос, которого можно добиться брутом — это чтобы пользователь был вынужден вводить капчу при каждом входе.

Вот только неясно, что делать если производят брут, меняя при каждой попытке логин, пароль и прокси…

[burdakovd]

Хотя можно ещё показывать капчу при попытке входа с ip, с которого раньше не было успешных попыток входа — это защитит от мультиаккаунтного брута.

Но это не одобрят пользователи с динамическим ip.

[Boomburum]

Решили инвайт по-легкому срубить? :)

[denver]

Думаю, сказать спасибо за возможность наконец авто-влогиниваться.

[RainFall]

Спасибо, что хоть на «Вы». Извините за короткий топик, люблю лаконичность.

Интересный факт — недавно, когда инвайт был очень нужен, он нашелся в «непринятых». Человек не подтверждал около года. На тот email его уже видимо выслали.

[Boomburum]

Я не в упрек по поводу «короткий топик» — просто отключения капчи действительно многие ждали и повод для поста хороший. Но мы вчера умышленно не стали анонсировать его публично, чтобы лишний раз не привлекать внимания брутфорсеров.

[spmbt]

Кто теперь ответит за годы введения капч?

[jabbarow]

Мне не очень то и сложно было вводить капчу

[kuyantus]

Хех, я вчера когда логинился, испугался, нет капчи, подумал редирект какой произошёл, что попал на фишинговый сайт %) Несколько раз перечитал адрес в строке браузера.

[ZoomLS]

Наконец-то! Они дали нам 1 попытку!