Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 59
то, что текстовую каптчу можно обойти, знали все
тут вопрос в другом - сколько системного времени тратится на дешифрование
тут вопрос в другом - сколько системного времени тратится на дешифрование
Простой арифметический расчёт показывает, что у Trojan.Spammer.HotLan.A на это уходит чуть больше семи секунд :))
ерунда какая, достаточно не просто рисовать цифры, а сделать набор простейших вопрос-ответов и все!
Отличная идея! Вы готовы продать за приличные деньги Вашу базу простейших вопрос-ответов? Разумеется, вопрос-ответов должно быть не меньше сотни миллионов.
все очень просто - сотня миллионов вариантов получается при использовании не одной пары вопрос ответа а нескольких - тут простая математика, так же можно добавить к вопрос ответам еще и картинку, при чем в систему ответы не набивать в базу, а строить по определенной формуле по принципу как работает открытый ключ шифрования.
ужоас))) конечно, если он код изнутри ломает, то это правда круто, а если снаружи картинку сканирует, но нужно новые способы скрытия искать.
Где-то на Харбе видел топик на счет таких картинок. По-моему некоторые идеи очень даже хорошие.
http://www.securitylab.ru/contest/239642… (приемы обхода)
http://ocr-research.org.ua/teabag.html (прием защиты)
Где-то на Харбе видел топик на счет таких картинок. По-моему некоторые идеи очень даже хорошие.
http://www.securitylab.ru/contest/239642… (приемы обхода)
http://ocr-research.org.ua/teabag.html (прием защиты)
про приемы обхода - очень интересно! Спасибо!
Про защиту :)
Картинки 1 и 6 легко распознаются :) Проверял!!!
Остальные, имхо, и человеку трудно будет распознать :)
Картинки 1 и 6 легко распознаются :) Проверял!!!
Остальные, имхо, и человеку трудно будет распознать :)
это не единственный способ, но по-моему кросивый. еще красивей делать вопрос, типа 10+2=, и пусть ваша распознавалка ломает... или посчитать сколько мух на картинке, а сколько котлет...
справится?:)
справится?:)
Только описанные вами способы никто почему-то не использует :)
Про 10+2= не проблема вообще, распознавалка распознает текст, что с ним делать, скрипту можно сказать :)
Про мух и котлет тоже решаемо, но т.к. никто этим не пользуется, то и распознавалки такой нет ;)
Про 10+2= не проблема вообще, распознавалка распознает текст, что с ним делать, скрипту можно сказать :)
Про мух и котлет тоже решаемо, но т.к. никто этим не пользуется, то и распознавалки такой нет ;)
разберитесь сначала с вопросом, для чего капча нужна в принципе, а потом ещё раз прочтите своё предложение
Здесь видел хорошие статьи по теме с примерами: http://captcha.ru/
уже есть новые идеи по совершенствованию каптча: изображать не символы, а ,например, животных... реализация очень проста, а этот мега-троян просто погибнет.
Интересно, а капча на флэше сильно остановит бота? По идее да:
- ведь флэш - это слоистая система векторных изображений, а не растровая картинка
- особенно если распозноваемые части будут перемещаться друг относительно друга
- если будут применяться анимационные рандомные эффекты
Раньше о таком решении не слышал.
- ведь флэш - это слоистая система векторных изображений, а не растровая картинка
- особенно если распозноваемые части будут перемещаться друг относительно друга
- если будут применяться анимационные рандомные эффекты
Раньше о таком решении не слышал.
как это?
не верю, поясни!
не верю, поясни!
?!
Мы об одном говорим? Флэш ролик - это не растровая картинка. Флэш, не как векторная программа, для создания статичной картинки, а векторная анимационная оболочка. На выходе мы видим векторную мультипликацию.
Или я ничего не понимаю во флэше?
Мы об одном говорим? Флэш ролик - это не растровая картинка. Флэш, не как векторная программа, для создания статичной картинки, а векторная анимационная оболочка. На выходе мы видим векторную мультипликацию.
Или я ничего не понимаю во флэше?
аааа...
ладно, поверю на слово.
Спасибо!
ладно, поверю на слово.
Спасибо!
Нет, не иогу поверить.
Вы можете объяснить, на каком этапе изображение растрируется? На момент вывода на экран? Как в таком случае мне удается взаимодействовать с ним? И как я могу видеть тончайшие векторные линии тончайшими векторными, если они растрированы?
И еще вопрос: как можно растянуть растрированное изображение со скажем дефолтного 320х200 до 14000х9000? или еще больше - важно, что растра не видно.
Вы можете объяснить, на каком этапе изображение растрируется? На момент вывода на экран? Как в таком случае мне удается взаимодействовать с ним? И как я могу видеть тончайшие векторные линии тончайшими векторными, если они растрированы?
И еще вопрос: как можно растянуть растрированное изображение со скажем дефолтного 320х200 до 14000х9000? или еще больше - важно, что растра не видно.
Если сделать скриншот флэша, получим растровую картинку, которую можно распознать.
когда тебе надоест этот диалог, то просто сообщи об этом. Мне на самом деле интересна эта тема.
Вопрос о "моменте растеризации" возник не случайно. Как я и предполагал, еще находясь "в интернете", не дойдя до юзера, а пребывая пока только у бота получается, что вектор остается вектором. И только в момент, когда пользователь хочет тем или иным образом вывести этот векторный документ он растеризуется. Таков механизм PostScript, если я не ошибаюсь. Одна лишь загвоздка - в каждом документе есть свой растеризатор и вирус или бот может этим воспользоваться.
Но я же предложил делать анимацию, ввести интерактивность - например нужно мышой перетащить один блок на другой, чтобы через него как на лакмусе проявились нужные знаки. При этом всё также можно "замулевать" дополнительными граф.элементами + движением. И никакой скриншот не поможет.
На счет плоттеров - знакомо. Довольно часто приходилось резать. Только оператор просил документ в Corel, что меня жутко смущало и мешало работе, потому что документ изначально готовился в автокаде и архикаде - трувекторных программах.
Вопрос о "моменте растеризации" возник не случайно. Как я и предполагал, еще находясь "в интернете", не дойдя до юзера, а пребывая пока только у бота получается, что вектор остается вектором. И только в момент, когда пользователь хочет тем или иным образом вывести этот векторный документ он растеризуется. Таков механизм PostScript, если я не ошибаюсь. Одна лишь загвоздка - в каждом документе есть свой растеризатор и вирус или бот может этим воспользоваться.
Но я же предложил делать анимацию, ввести интерактивность - например нужно мышой перетащить один блок на другой, чтобы через него как на лакмусе проявились нужные знаки. При этом всё также можно "замулевать" дополнительными граф.элементами + движением. И никакой скриншот не поможет.
На счет плоттеров - знакомо. Довольно часто приходилось резать. Только оператор просил документ в Corel, что меня жутко смущало и мешало работе, потому что документ изначально готовился в автокаде и архикаде - трувекторных программах.
читать всё равно будут люди. так что это ничего не изменит
но не люди же, а боты будут ломать. А потом, человек видит не одну картинку, а миллионы вариантов с анимацией, которая генерируется самой этой флэш-капчей.
А где можно подробнее почитать о работе этого трояна? А то что-то совсем не ясно, он распознаёт картинку?
Даёшь видео-капчу!
Уже давно существует распознавалка капчей, причем практически любых :)
Картинку с вашего поста съела за 9 секунд.
7 секунд конечно круче, но эта распознает практически любые :) В том числе и некоторые из http://ocr-research.org.ua/teabag.html
Причем без специальной настройки на конкретную капчу ;)
Картинку с вашего поста съела за 9 секунд.
7 секунд конечно круче, но эта распознает практически любые :) В том числе и некоторые из http://ocr-research.org.ua/teabag.html
Причем без специальной настройки на конкретную капчу ;)
Если кто то писал такой софт или может написать то стукнитесь мне в icq
272077747
Есть очень выгодное предложение
272077747
Есть очень выгодное предложение
Превед!
Для истории:
МВД ликвидировало сеть ботнетов, заразивших 6 миллионов компьютеров.
В результате проведенных оперативно-розыскных мероприятий было установлено, что преступной деятельностью занимается 22-летний молодой человек, широко известный в хакерских кругах под псевдонимами «Гермес» и «Араши».
http://alx.vingrad.ru/fwc/login/example.html - мой вариант :)
может быть пока не очень надежный, зато AJAX. и можно задавать внешний вид (height, width, color, background, font-size и т.п.) картинки через тег style прямо в HTML :)
может быть пока не очень надежный, зато AJAX. и можно задавать внешний вид (height, width, color, background, font-size и т.п.) картинки через тег style прямо в HTML :)
Абсолютно ненадёжная! Всё равно, что её нет
почему? :) если вкратце)
Хорошо, вкратце:
1. Символы одного цвета - легко найти
2. шум - линии тоже одного цвета - легко устранить
3. используется один и тот же шрифт
4. фон не меняется
5. одного вращения недостаточно
6. картинка маленькая - в ограниченном пространстве проще распознавать
...
1. Символы одного цвета - легко найти
2. шум - линии тоже одного цвета - легко устранить
3. используется один и тот же шрифт
4. фон не меняется
5. одного вращения недостаточно
6. картинка маленькая - в ограниченном пространстве проще распознавать
...
Ой, я тут глянул на урл картинки... Ужас...
а что там такое?
?stamp=1184610410677&bg=@cccccc&color=@666666&height=40&width=170&font-size=30&spacing=30&top=32&left=5
stamp это поле соответствующее коду, который на картинке в БД, через него идет поиск и сравнение, а всё остальное - просто параметры внешнего вида, они формируются на основе атрибута style тега img. подразумевалось изначально что юзер сможет настраивать "дизайн" картинки. но после твоих советов почти все это потеряло смысл. разве что ширина и высота...
почему не скажешь про второй скрипт? :)
?stamp=1184610410677&bg=@cccccc&color=@666666&height=40&width=170&font-size=30&spacing=30&top=32&left=5
stamp это поле соответствующее коду, который на картинке в БД, через него идет поиск и сравнение, а всё остальное - просто параметры внешнего вида, они формируются на основе атрибута style тега img. подразумевалось изначально что юзер сможет настраивать "дизайн" картинки. но после твоих советов почти все это потеряло смысл. разве что ширина и высота...
почему не скажешь про второй скрипт? :)
Во-первых, вторая ссылка не работает. А во-вторых, ну что я буду знаниматься анализом вашей капчи? Зачем мне это?
Лучше почитай немного об анализе разных капч на предмет ломаемости и сделай свои выводы http://sam.zoy.org/pwntcha/
Лучше почитай немного об анализе разных капч на предмет ломаемости и сделай свои выводы http://sam.zoy.org/pwntcha/
вдогонку. Посмотрите, какие капчи ломаются http://www.cs.sfu.ca/~mori/research/gimpy/
На первый взгляд очень трудные для взлома. А они посложнее вашей
На первый взгляд очень трудные для взлома. А они посложнее вашей
вот именно параметры текста, указанные в ссылке дают возможность более точно настроить ломалку. Ведь указан и размер текста, и смещение,...
Вот, кстати, пример, когда люди не понимают значения капчи: http://up.spbland.ru/files/07071574/
Посмотрите ссылки на цифрах: 0-iad.gif, 1-yvf.gif, 2-dqm.gif, 3-qzm.gif, 4-tjn.gif, 5-jvs.gif, 6-qes.gif, 7-nfm.gif, 8-yee.gif, 9-gwr.gif
Это что, называется защита от роботов?
Посмотрите ссылки на цифрах: 0-iad.gif, 1-yvf.gif, 2-dqm.gif, 3-qzm.gif, 4-tjn.gif, 5-jvs.gif, 6-qes.gif, 7-nfm.gif, 8-yee.gif, 9-gwr.gif
Это что, называется защита от роботов?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новый спамерский троянец обходит CAPTCHA