Как стать автором
Обновить

Комментарии 106

НЛО прилетело и опубликовало эту надпись здесь
В чём проблема-то? Я ж не регистрируюсь заново, а ввожу пароль к своему аккаунту.
И прошу только одну попытку без капчи, для брутфорса это явно недостаточно.
НЛО прилетело и опубликовало эту надпись здесь
А посчитать сколько раз неверно ввели пароль для данного логина нельзя что ли?
Можно и логины перебирать, не только пароли, чтобы логины не очень часто повторялись.
А смысл перебирать логины? Обычно логин проверяется на предмет есть такой или нет. И вполне можно запомнить сколько раз ввели неправильный пароль для данного логина. Ввели правильный пароль — в следующий раз при авторизации капчу не показываем. Ввели неправильно — показываем.
По-моему, собрать базу логинов для хабра труда не составляет. А для брутфорса в общем-то всё равно, один и тот же пароль вводить или разные :)
Т.е. вводить один пароль для разных логинов? Ну это весьма кастрированный способ бутофорса. Лично я бы согласился дать бутафорсеру возможность ввести один раз пароль к моему логину без капчи. В обмен на возможность самому не вводить капчу когда сбрасываются куки
Опечатка. Следует читать:
А для брутфорса в общем-то всё равно, один и тот же логин вводить или разные :)
Это не меняет сути. Неправильный пароль без капчи можно ввести только один раз. Потом будет капча. А как бутафорсят в общем-то всё равно.
Для успешного брутфорса надо много попыток беспрепятственного ввода логина/пароля. Того, что для каждого логина пароль можно ввести не более одного раза — недостаточно. Если есть много попыток, успехи будуть статистически. Конечно, взломают скорее тех, у кого пароли простые, но мы ведь и о них заботимся, верно?
что-то мешает поставить на пароли такое же ограничение, что и на логины?
Если сделать одну попытку не на юзера, а на IP — то эт нужен будет уже ботнет на миллионы компов… С другой стороны, особо упорный научится распознавать капчу.
у некоторых провайдеров и операторов сотовой связи 1 апйпи ка кучу пользователей
ну пускай они и вводят капчу!
а у меня белый айпи, без капчи хочу!
А вы не ходите на хабр с мобильных устройств? Или на них у вас тоже белый айпи?

Меня например на десктопе не так раздражает вводить капчу как на телефофне с оперы мини
да, я не хожу на хабр с моильных устройств, только с десктопа, и практически всегда с одного и того-же.

тут дело даже не в том, какой у кого айпи. технически это можно по разному реализовать. в том числе не привязываясь к айпи.
к примеру сохранять в куке однаразовый уникальный токен для «однократной попытки входа без капчи», который автоматом генерится при успешном входе, и привязан к логину.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Спамеры и боты на Хабре?
Тратить инвайт на то чтобы пригласить бота или спамера довольно глупо, не находите?
НЛО прилетело и опубликовало эту надпись здесь
не забывайте про карму ее на много флуда не хватит
и как можно подобрать пароль с одного раза?!
и чем помешает капча войти на сайт если человек знает Ваш логин и пароль. он просто зайдет в ручную а дальше вперед бот
НЛО прилетело и опубликовало эту надпись здесь
Хорошая идея, но мне кажется где-то есть дырка и ей, при такой схеме, можно будет воспользоваться.
В первоначальной формулировке дырка есть, я добавил уточнение, которое её закрывает. Других дырок не вижу.
А как можно стопроцентно определить, что компьютер действительно один и тот же?
Передать на него куки, а в следующий раз запросить. Уж прям совсем 100% тут не надо.
НЛО прилетело и опубликовало эту надпись здесь
Создавать куку сгенерированую по логину без срока устаревания
Точнее со сроком устаревания в пару лет и обновлением при успешном входе, ибо кука не может быть без срока устаревания. Другое дело, что куку можно будет подобрать… Вместо капчи. Хотя всё ж маловероятно. Однако — нагрузка на БД за счёт хранения и обработки данных о ключах таких кук (капча то генерится «на лету»).
Да ну, подобрать нереально ) Хотя бы использовать несимметричное шифрование — и проблема решена. Хранить приватный ключ, публичный — в куке.
В случае с ботом — он просто не будет выдавать эти куки при обращении к серверу. Так что этот способ здесь работать просто не будет.
нет куки — просим капчу ) и всего делов ) А куку создавать при успешном логине ) так что Вы неправы.
НЛО прилетело и опубликовало эту надпись здесь
Уточнение не нужно. Разрешить вводить один раз пароль для данного логина с любого компа. Ибо по кукам узнать что это тот же комп не получится — куки то слетели. По IP тем более.
Никаких дырок нет. Для отдельного логина у бота будет всего одна бесплатная попытка угадать пароль. Вероятность, что это правильный пароль ничтожна. Для всех логинов вместе вероятность угадать, кажется будет больше. Т.е. если вводить пароль 123123 для миллиона миллионов логинов, то может у кого и совпадет. Но мне как отдельному пользователю это не важно.
Категорически поддерживаю. Хабр — один из редких сайтов, где я не могу идентифицироваться по отпечатку пальца. На всех остальных — провел по детектору, который сейчас практически на каждом ноуте, и ты в системе.
Ни одного сайта не видел с отпечатками. о_0

Это же тогда революция в юзабилити — не надо логин/пасс, и все дела. Только я таких сайтов не встречал. Ни единого. о_0
Напрягите фантазию, подумайте немного, перечитайте коммент :)
Единственное, что пришло в голову — начал перебирать все возможности HTML5, джаваскрипта, флеша… а потом дошло, что это — тупой менеджер паролей.)))
Guderian имеет ввиду я так понимаю, сканер отпечатков пальцев на ноутбуке, и есть специальный софт, который предоставляет возможность ввода логина\пароля и прочего для различных программ так и браузеров только лишь провести пальцем по сканеру отпечатков, ну и соответсвенно нужное активное окно.
Смущает только то, что дла этого софта иногда приходят security update.
Видно надежность не абсолютна… :) и вот стоит ли ему доверять все пароли?..
А вы знаете софт кторый абсолютно надежен?
Ну, например, в случае с TrueCrypt — я немного представляю как он устроен, где используется, кем сделан и чего от него ожидать.

А тут — черный ящик… к которому иногда приходят апдейты безопасности. :)

Естественно ничего абсолютного не бывает. В данном случае только допрос доверия к бренду и уровню личной паранойи. Безусловно HP сотрудничает с серьезными компаниями. Но легче от этого не становится )
а что за по? хочу себе такое *о*
Digitalpersona Fingerprint Software www.digitalpersona.com/

Идет в комплекте с ноутбуками HP
Ну это уже другой вопрос, доверять ли вообще менеджерам паролей свои пароли или хранить все на бумаге ну и т.д.
Пока не начали приходить Software Update для мозга — доверять можно только ему. ;)
именно так и реализовано на rutracker.org (torrents.ru). Первая попытка — без капчи, ошибся — будь добр, докажи, что ты не бот. Просто и эффективно, в большинстве случаев, до капчи дело не доходит, и нервы юзера целы и брутфорс неинтересен.
НЛО прилетело и опубликовало эту надпись здесь
бесит это =\
перенесите в блок «хабрахабр», что-ли…
*блог
Я в затруднении, в какой именно?
Это уже не первый раз тут предлагалось, но
Этот топик — хит!
Яростно плюсую. Для себя, когда слетают куки, заходжу из почты — кликом «Ответить» в любом письме о коментарии. Просто потому что вводить капчу влом. Хотя возможность эта — потенциально огромная дыра в безопасности.
Господи, смешно слушать, что капча панацея от ботов.
Давно есть сервисы, где руки руками вводят чужие капчи.

Но на хабре капча при логине — бесит ужасно! Она непонятная!
Капча на самом деле перебор. Не нужно её.
еще один бесполезный пост на хабре. это нужно отправлять в тех. службу хабра, а не сюда.
не согласен. открытое обсуждение помогает выявить истину. скажем, написал бы автор в техподдержку первоначальный вариант поста, получил бы отказ по причине «возможен перебор», разочаровался и забил бы. А тут уже подсказали, как улучшить его предложение
Одно недовольное письмо в «тех. службу хабра» вряд ли что-то решит. А топик позволяет обсудить, придумать разумный выход и показать админам число недовольных =)
Обычно захожу на хабр с помощью ссылки «ответить» в письмах о комментах — и никаких проблем)
Если бы Хабр (да и другие) стал использовать мою капчу* (заявку на патент которой я уже подал), то жить было бы легче. Я даже готов лично Хабру предоставить её безвозмездно, лишь бы люди не мучались.

sketch-turner.livejournal.com/526657.html
По запросу яблоко из гугла:
Первая страница:


Вторая страница:
<img src=«t2.gstatic.com/images?q=tbn:v_mOxBOgvD2foM:http://www.ferra.ru/images/165/165863.jpg />


В общем ваша капча будет дико раздражать, я думаю.
одна картинка со второй страницы побилась
Мы с вами разным гуглом чтоли пользуемся?
Мой Гугл выдает 100% результат по яблокам. Даже если и выдал бы результат с большей погрешностью, эта не проблема по сравнению с распознаванием неразборчивых капч. А ведь люди последнее терпят и ничего. Хотя вот она дико раздражает. А моя будет радовать людей, и глаз, и мозг, которые будут считывать картинку за долисекунды, а не секунды, как с текстовыми капчами.

Кроме того никто не мешает выдавать сразу всю первую страницу картинок, где уж точно будут преобладать яблоки.

Что касается распознавания картинок, то пока нет ни единого действительно рабочего сервиса, который выдавал бы годный результат.
можно даже выдавать 3 картинки за раз
не дочитал коммент, да х)
Есть сервисы, которые распознают картинки и говорят, что на них изображено. www.snaptell.com/ например (правда, там нужно приложение для андроида/айфона), но кому надо, сломают.

P.S. Патент? лол
Вы бы сначала вопрос нормально изучили, а потом заявки на патенты подавали.
По существу, могу даже вам помочь. Напишите прототип каптчи, работающей по вашему алгоритму. Мой бот не заставит себя ждать )
Я вопрос как раз хорошо изучил. Прототип капчи сейчас проходит проверку. И что-то ботам её взять гораздо, гораздо сложнее, чем остальные капчи, а людям наоборот — легко и просто. Как придумаете столь же эффективную капчу, приходите.

п.с. только русские могут советовать не давать заявки на патенты. только в этой стране всем так завидно до любой годной идеи.
В чём идея? Использовать гугл как большую «базу данных» картинок? Тут две проблемы: база эта общедоступна и нет однозначной обратной связи. Это смертельные проблемы, обойти их без костылей нельзя. Т.е. ничего принципиально нового тут нет, это первая идея, которая приходит в голову всем начинающим «каптчестроителям». Удивление вызывает желание её патентовать. Нет, если бы вы патентовали хоть те костыли, которые позволяют решить обозначенные проблемы, и над которыми ещё надо немало поработать, было бы понятно. Только имейте ввиду, что успешного решения нет не потому, что раньше это никому не приходило в голову, а потому, что костыли не могут быть успешным решением по определению.
п.с. может только в этой стране люди считают всех вокруг завистливыми дураками? а кто тогда они сами?
Люто, бешено плюсую. По непонятным для меня причинам моя авторизация на хабре очень часто сбрасывается, в среднем раз в примерно 1-2 дня приходится логиниться заново, хотя я неделями читаю хабр с одного и того же айпи, компьютера и браузера. Необходимость каждый раз вводить капчу неимоверно раздражает.
Тогда уж первые три попытки… Разницы уже особо нет.
реально, задрало
почему куки то скидываются?
Иногда из-за того, что вошел с тем же логином с другого компа
Нельзя ли для первого раза сделать капчу попроще, ведь бывают такие?
Или сделать в профиле кнопку для отключения капчи, там же можно сделать проверку пароля. Если пароль простой или короткий — вводи капчу всегда, отключить ее система не даст.
Или сделайте капчу попроще хотябы. Я еще ни разу с первого раза правильно не набирал
да как вы так? о_О
еще ни разу в хабра-капче не ошибался
Практически ниразу с первого раза правильно не вводил, уже привык
у меня тоже проблем особых никогда не было
а я обычно обновляю картинку и не пытаюсь вводить пока не буду на 100% уверен
Пользователь %USERNAME% написал комментарий к хабратопику "%TOPIC%":

%TEXT%

Ответить (Внимание! По этой ссылке можно зайти в ваш профиль без ввода пароля)

С приветом, Хабрахабр.
НЛО прилетело и опубликовало эту надпись здесь
Ага, и такая ссылочка ещё и вечная в придачу.
такие ссылки появились где-то с год назад.
щас проверил по тем сообщениям — действительно авторизует!
>>«Надо разрешить одну попытку входа без капчи только с того компьютера, с которого был предыдущий вход.»

А если куки сбросились, как вы определите что компьютер тот же?
Всё проще.

Добавляем в БД пользователей одно малюсенькое поле — время последнего неуспешного логина. Всё, и ботнеты не страшны, и нормальные юзеры не страдают.

Если, допустим, последний раз неуспешная попытка входа была более 3 часов назад, капчу не выводим. Если последняя попытка была успешной (поле обнулено) — тоже не выводим капчу. Во всех остальных случаях — выводим.

При успешном входе поле обнуляется.

Можно даже не дату хранить, а просто флаг — была ли последняя попытка входа неуспешной.

Это из совсем простых вариантов.

А если подумать, то можно ещё запоминать ip с которых заходил пользователь или класть в куки особо секратную закладочку (шифрованную, например, с ключиком в БД), которая будет означать только одно: данному юзеру можно дать пару попыток без капчи.
А в статье типа не об этом же самом говорится?
Нет. В статье предлагается опираться каким-то образом на клиента — на куки, ip или ещё что. Что при наличиии достаточно большого ботнета становится неэффективным.

Я же предлагаю не опираться на данные клиента вообще (или опираться, но только на надёжные и только для тех клиентов с чьих машин уже был осуществлён успешный вход).
Ну это уже автор добавил потом. Изначальная идея не показывать каптчу при первой попытке верна. А как определять первую попытку — вопрос второй.
поддерживаю, с одной оговоркой. я захожу на хабр с двух компов — рабочего и домашнего. одноразовый ввод юзер/пароль без картинки меня не спасает и не особо помогает. запоминание IP — тоже. динамический будет все «валить»

может можно отключить «капчу при логине» в профиле, после показывания капчи для сохранения установок?
Крамола: капчи все изощрение, распознавать их человеку все сложнее. Однако если человек будет редко их видеть, то разучится распознавать :)))
Так что для тренировки — надо, чтобы почаще эту капчу видеть, а то вдруг куки слетят через пару лет, а капча там уже и вовсе нечитаемая человеком… ;)
удобно через почту входить, куда отчёты об ответах на коммент шлют — вообще ничего вводить не надо
Хорошая идея. Надо просто такую ссылочку в закладках держать )
Как бы еще ее сделать универсального вида (чтобы открывалась главная страница), а не чтобы открывалась страница с ответом на коммент?..
Надо покрутить этот authkey, посмотреть, есть ли у него ограничения по времени, по количеству входов… А вообще, это извращение. Проще правильные куки показывать )
Еще бы очень хотелось кнопочку «Войти», на странице «Доступ к публикации ограничен».
капча это издевательство
очень бесит эта штука на торрентс.ру я на них каждый раз не тот пароль ввожу случайно, из-за этого меня перекидывает на страничку ввода пароля уже с капчой =( ещё бесит что с двух компов там нельзя сидеть — я на одном ищу, то что мне надо, а на другом ставлю на закачку…
можно было бы выключать в профиле эти функции — было бы очень удобно. Я всё таки имею право сам заботиться о своей безопасности.
Незнаю как все, но я очень редко комментирую Хабр только из-за того, что описано в топике. Тупо впадлу логиниться высматривая эти сраные буквы.
НЛО прилетело и опубликовало эту надпись здесь
Полностью согласен!
У меня RoboForm — он умеет вводить пароли сам.
А хабракапча — это отдельная песня. Такое ощущение, что она сделана не против роботов, а против человеков.
Лучше запоминать не один компьютер пользователя а несколько. Чтобы можно было и с работы заходить и из дома.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории