Как стать автором
Обновить

Мистически сопричастная Captcha

Разработка веб-сайтов *
Впервые довелось увидеть ее неделю назад, но ее очень быстро убрали. Мы страшно расстроились — никто не догадался сделать скриншот.
Но вот ее вернули:
Captcha на mail.ru
Спешите опробовать (там в самом низу) это чудо пока его снова не убрали! Убрать не убрали, но шрифт сменили (.
P.S. Мне ссылку кинул dimad, за что ему большое спасибо.
Рейтинг 0
Просмотры 534
Комментарии 6

Методы защиты веб-формы без капчи

Разработка веб-сайтов *

О чём речь?


В последнее время на Хабре было предложено довольно много идей для капчи. Сложная, умная, смешная, капча остаётся одним из основных способов защиты формы от ботов.

Однако, одновременно с этим, капча является проблемой юзабилити, поскольку заставляет пользователя выполнять лишнее действие.

В этом обзорном посте я бы хотел рассмотреть незаметные для пользователя методы защиты от ботов.

Методы защиты


Читать дальше →
Всего голосов 126: ↑117 и ↓9 +108
Просмотры 55K
Комментарии 227

Еще раз о капчах

Чулан
Сейчас на хабре стала очень популярной тема защиты форм от ботов. У меня сложилось впечатление, что большинство писателей не до конца представляют себе эту задачу. Здесь я попытаюсь дать краткий обзор проблем встающих перед разработчиками и некоторые варианты их решения.
Читать дальше →
Всего голосов 10: ↑5 и ↓5 0
Просмотры 321
Комментарии 32

Защита от хабраэффекта

Habr
Предлагаю реализовать смешную функцию для хабратопиков — защита от хабраэффекта.

Защищать, ясен пень, надо не хабратопики, а указанные в них сайты. Потому что бедные сайтовладельцы порой слабо себе представляют, что это такое — опубликовать свой проект в разделе «я пиарюсь» и тем самым положить его на пол дня, не будучи уверенным в его нагрузкоустойчивости.

Реализовать это на стороне пишущего клиента я предлагаю в виде чекбокса «учесть хабраэффект». Можно даже добавить селект 10/100/1000 показов в секунду/минуту и т.п. На стороне сервера — временно скрывать отчекбоксенный таким образом топик из топов и rss лент при достижении указанного порога показов.

А вообще, это юмор со слезами на глазах. Введение такого чекбокса не перевернет мир сайтостроения и не снимет с пиарящихся обязанности думать головой, заниматься оптимизацией и покупать хороший хостинг. Но, возможно, об этом напомнит.

В качестве первого примера использования защиты — я не буду упоминать тут сайт, недавно засветившийся в «я пиарюсь» и схлопотавший себе в итоге «Internal Server Error».
Всего голосов 7: ↑3 и ↓4 -1
Просмотры 691
Комментарии 8

Интересный способ защиты от ботов

Разработка веб-сайтов *
Наткнулся тут недавно на одном сайте на способ защиты от ботов без использования каптчи и javascript.
Все очень просто — достаточно добавить скрытое поле с символом кодированным в HTML сущность (например © — и т. д.). Дело в том что браузер найдя такой символ преобразует его перед отправкой в обычный, а робот использующий парсер форм так и отправить закодированным (причем у меня есть свой парсер форм и он сделал бы именно так). При проверки формы достаточно просто посмотреть длину строки в этом поле. Если отправлял человек то она будет равна числу символов в строке, а если нет значительно больше.
Так что такое решение пусть и не обеспечивает серьезной защиты но вполне может применяться в тех случаях если что то более сложное использовать нельзя.

P. S. пример
P. P. S. Оказывается у меня тут в черновиках статья лежит про методы защиты от ботов и их обходы, стоит дописать?
Всего голосов 93: ↑74 и ↓19 +55
Просмотры 13K
Комментарии 74

Еще один способ защиты от спама

Чулан
Наверное я один такой, кому приходят в голову всякие бредовые идеи в совершенно неподходящем для этого месте. Вот и сегодня, сидя на рыбалке с мотком лески в зубах я придумал очередной способ защиты от спама. Все, хватит отступлений :)

Идея



Читать дальше →
Всего голосов 26: ↑19 и ↓7 +12
Просмотры 394
Комментарии 19

Изменение UserAgent сторонними приложениями

Чулан
При разработке одного интернет-магазина возникла проблема, что не добавляются товары в корзину.
В результате дебаггинга выяснилось, что CMS принимает меня за поискового робота, а им покупать ничего нельзя :-)

Как же так?
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 228
Комментарии 1

Защита выделенных серверов от DDOS-атак с помощью Arbor Peakflow SP

Блог компании HOSTKEY
В начале мая Хосткей совместно с «Синтеррой» запустили новую услугу по защите серверов клиентов от DDoS-атак, расположенных в дата-центре на Мичуринском проспекте в Москве. Для этих целей используется комбинация комплекса Arbor Peakflow SP, собственных разработок «Синтерры» в области защиты сетей операторского класса и значительная емкость апстримов Синтерры, позволящая избежать аварийных ситуаций при флуде.

image
Читать дальше →
Всего голосов 11: ↑7 и ↓4 +3
Просмотры 13K
Комментарии 1

Защита от ботов, основанная на различии в работе с большими числами в JavaScript и PHP

Информационная безопасность *
Из песочницы
Недавно мне пришлось разбираться с защитой от ботов, используемой на нескольких довольно популярных ресурсах.
На первый взгляд защита показалась обычной установкой куки через javascript, справиться с которой — дело 15-ти минут. В самом деле, после небольшого исследования стало понятно где что делается и какие параметры куда передаются, остается только переписать небольшую функцию с javascript на php и дело в шляпе.
Но все оказалось не так просто. И хотя в итоге защита была сломана, на это потребовалось далеко не 15 минут, и сам принцип защиты оказался для меня новым и довольно интересным.

Итак, обо всем по порядку.
Читать дальше →
Всего голосов 81: ↑61 и ↓20 +41
Просмотры 19K
Комментарии 44

Защита от накруток в онлайн играх

Блог компании Enterra Разработка веб-сайтов *Разработка игр *
Это статья о том, как мы делали систему защиты браузерной HTML5 игры от взлома и подделки результатов, с какими трудностями мы при этом столкнулись, как их решали и что получили в итоге. Основной и всем знакомой проблемой таких игр является возможность написания бота, который эту игру автоматически пройдет. Разработку подобного бота облегчает тот факт, что код игры находится в публичном доступе. Ситуация осложнялась тем, что были объявлены реальные призы, среди которых iPad, билеты на концерт, USB флеш накопители и т.п.



Статья будет полезна в основном тем, кто делает HTML5 / Flash игры и заботится об их безопасности; тем, кто платит за разработку этих игр; и немного тем, кто призван бороться с ботами. Ну и, конечно, тем, кто написал эту статью. Потому что мы надеемся, что она станет началом продуктивной дискуссии о том, как разработчики браузерных игр могут противостоять кибер-мошенникам.
Читать дальше →
Всего голосов 45: ↑43 и ↓2 +41
Просмотры 29K
Комментарии 71

Невизуальные методы защиты сайта от спама. Часть 1. Статистика

Блог компании CleanTalk Anti-Spam Информационная безопасность *Разработка веб-сайтов *

Часть 1. Что говорит статистика


Невизуальные методы защиты сайта от спама предполагают автоматический анализ поступающих от посетителя данных. Чем больше данных анализируется, тем полнее и точнее может быть определён посетитель и вынесено решение спамер он или нет.

Системы, анализирующие такие данные, как правило, накапливают статистику данных посетителя и вынесенных решений. Вашему вниманию предлагается краткий обзор статистических данных, накопленных нами (сервисом защиты сайтов от спама CleanTalk).
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 8.2K
Комментарии 17

Невизуальные методы защиты сайта от спама. Часть 2. Истинное лицо символов

Блог компании CleanTalk Anti-Spam Информационная безопасность *Разработка веб-сайтов *
Продолжение статьи Невизуальные методы защиты сайта от спама

Часть 2. Истинное лицо символов


Невизуальные методы защиты сайта от спама используют, в частности, анализ переданного текста. Спамеры используют много приёмов, чтобы усложнить такой анализ. Здесь будут показаны примеры одного из них, а именно подстановки символов. Приведённые примеры взяты из реальных данных компании CleanTalk.

Подстановка символов очень проста, но в результате неё могут не работать фильтры по стоп-словам, могут хуже работать байесовские фильтры, а также фильтры с определением языка. Поэтому перед применением этих фильтров имеет смысл вернуть символам их истинное лицо.
Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 5.5K
Комментарии 19

Невизуальные методы защиты сайта от спама. Часть 3. Повторы

Блог компании CleanTalk Anti-Spam Информационная безопасность *Разработка веб-сайтов *
Продолжение статьи Невизуальные методы защиты сайта от спама

Часть 3. Повторы подстрок


Как уже говорилось, невизуальные методы защиты сайта от спама используют анализ текста. Один из часто встречающихся сигналов спама — это наличие повторяющихся строк. Как всегда, приведённые примеры взяты из реальных данных компании CleanTalk.

Поиск таких повторов должен быть минимально ресурсоёмким. Лучше, если он будет вызываться после тестов из 1 и 2 частей статьи, которые отсеют явный спам и приведут текст к виду, пригодному для анализа. Здесь я приведу некоторую статистику, а также пример кода.
Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 3.9K
Комментарии 5

Обходим коммерческую защиту методом black box и пишем packet hack для lineage 2

Assembler *C *Реверс-инжиниринг *
Из песочницы

Пролог


Все началось год назад, когда один из моих товарищей с форума T предложил переписать известную всему читерскому миру программу l2phx за авторством многоуважаемого xkor`а.
Сам l2phx (l2 packet hack, пакетник, хлапа) представляет из себя сниффер входящих и исходящих пакетов (все реализовано через LSP) клиента lineage 2 (существуют версии для других mmorpg), с возможностью отправки/подмены отдельных пакетов. Xkor постарался как следуют: реализовал методы обхода шифрации, красивый gui и тп. Но злобным админам фришек такое приложение не понравилось: оно существенно убивало их доход на старте очередных однодневок. Да-да, были времена когда любой нонейм мог зайти на любой сервер и устроить полную вакханалию этим инструментом. Тогда же и появились всяческие коммерческие защиты, которые безуспешно блокировали использование пакетника, а самые хитрые из них еще дополнительно шифровали трафик. Одна из таких защит живет на последнем издыхании и по сей день: встречайте, защита S. Сегодня защита S стоит на всех топовых серверах lineage 2. К слову, xkor предусмотрел такой исход и реализовал возможность самостоятельно написать модуль расшифровки пакетов (newxor.dll). Да только писать его было не рационально: новый сервер == новый newxor. Читерство по l2 постепенно начало умирать, ибо новички были не в состоянии отправлять пакеты методами изменения памяти клиента (HxD, cheat engine и тд).

Тогда я отнесся к этой затеи не очень серьезно: написал модуль перехвата пакетов клиент -> сервер и забросил. Почему? Потому. Но буквально 3 дня назад я решил возобновить работу над этим проектом и опубликовать данную статью. Почему? Комьюнити читеров l2 на данный момент мертво. Все баги и отмывы к ним находятся в руках 10 человек, которые общаются между собой в скайпе и на форуме T. И я тоже решил уйти. А если уходить, то лишь красиво)) Два года назад я мечтал о работающем пакетнике, а сегодня он мне не нужен.
Всего голосов 24: ↑22 и ↓2 +20
Просмотры 24K
Комментарии 13

Валидация емейл адресов для защиты от спам ботов на сайте

Блог компании CleanTalk Anti-Spam CMS *Информационная безопасность *Разработка веб-сайтов *
Электронная почта до сих пор остается одним из важнейших и эффективных элементов онлайн бизнеса и маркетинга и является наиболее эффективным каналом получения дохода. Поэтому для любого онлайн бизнеса и владельцев веб сайтов важно быть уверенным, что именно владелец емейла использовал его для регистрации/подписки, чтобы пользователь использовал свой реальный емейл адрес.



Есть несколько важных причин для этого.

Во-первых, это важно для восстановления забытого пароля, например: пользователь допустил опечатку в своем емейл адресе, через некоторое время использовал функцию восстановления пароля и не может получить новый пароль.

Во-вторых, этот пользователь не получит ваших емейл уведомлений.

В-третьих, пользователь, чей емейл был использован спамером для регистраций/подписки, отправит вашу рассылку в спам. В дальнейшем спамеры могут использовать этот емейл для отправки спама, брутфорса и т.д.
Читать дальше →
Всего голосов 13: ↑10 и ↓3 +7
Просмотры 7.2K
Комментарии 33

Как построить защиту от фрода в масштабах корпорации. Лекция на YaC 2018

Блог компании Яндекс Информационная безопасность *Машинное обучение *
29 мая прошла Yet another Conference 2018 — ежегодная и самая большая конференция Яндекса. На YaC этого года было три секции: о технологиях маркетинга, умном городе и информационной безопасности. По горячим следам мы публикуем один из ключевых докладов третьей секции — от Юрия Леонычева tracer0tong из японской компании Rakuten.


Как мы аутентифицируем? В нашем случае ничего экстраординарного нет, но один метод хочу упомянуть. Кроме традиционных видов — капчи и одноразовых паролей — мы используем Proof of Work, PoW. Нет, мы не майним биткоины на компьютерах пользователей. Мы используем PoW, чтобы замедлить атакующего и иногда даже заблокировать полностью, заставив его решить очень сложную задачу, на которую он потратит очень много времени.

Всего голосов 13: ↑13 и ↓0 +13
Просмотры 6.7K
Комментарии 11

Как победить скликивание в Я. Директ и AdWords на 600 тысяч рублей в месяц

Информационная безопасность *Визуализация данных *Веб-аналитика *Интернет-маркетинг *Контекстная реклама *
Из песочницы
За последние полгода нам удалось победить «скликивание» нашей контекстной рекламы с бюджетом в 1 миллион рублей в месяц.

Ключом победы над фродом стал поминутный мониторинг трафика с уведомлениями об аномальных изменениях и отключением проблемных объявлений по API, и ряд отчётов, которые отражают ситуацию в реальном времени.


Рисунок 1. Диаграмма количества посетителей по ключевым словам по декаминутам

Как узнать, что вас атакуют?


Одним из первых признаков «скликивания» рекламы будет увеличение процента возвращаемых средств за фрод в Директе и AdWords.
«В Яндекс Директ расходы на фрод автоматически возвращаются на баланс рекламной кампании. Количество кликов, отсеянных системой защиты от фрода, отображается в отчетах «статистика по дням» «общая статистика» в строке «недействительные клики за весь выбранный период.»
справка Я. Директа «недействительных кликах».

В AdWords отображение уровня «недействительных кликов» можно включить на вкладке «столбцы»:


Рисунок 2. Настроенные столбцы с уровнем «недействительных кликов» в AdWords

В нашем случае, при среднем уровне «недействительных кликов» в Директе ≈ 10%, Яндексе вдруг стал возвращать 40% рекламного бюджета, а через месяц и вовсе 54%.
Читать дальше →
Всего голосов 48: ↑46 и ↓2 +44
Просмотры 73K
Комментарии 59

Прорываемся сквозь защиту от ботов

Информационная безопасность *JavaScript *Delphi *Реверс-инжиниринг *


В последнее время на многих зарубежных сайтах стала появляться incapsula — система которая повышает защищённость сайта, скорость работы и при этом очень усложняет жизнь разработчикам программного обеспечения. Суть данной системы — комплексная защита с использованием JavaScript, который, к слову, многие DDOS боты уже научились выполнять и даже обходить CloudFlare. Сегодня мы изучим incapsula, напишем деобфускатор JS скрипта и научим своего DDOS бота обходить её!
Читать дальше →
Всего голосов 19: ↑17 и ↓2 +15
Просмотры 12K
Комментарии 3

О хранении персональных данных, Роскомнадзоре и сайтах знакомств

Хостинг Информационная безопасность *Хранилища данных *Законодательство в IT


Всем привет.

Написание этой статьи продиктовано чтением вот этого материала. Ну и истории о Фёдоре Власове с его Kate Mobile тоже, но об этом — в конце.

А также случайным изучением логов соединений от рабочих компьютеров сотрудников в одном небольшом офисе.

Изучение показало, что сотрудники в рабочее время сидят на IP 185.203.72.22, что есть Служба Знакомств Мамба. Но речь пойдёт вовсе не о работоспособности сотрудников и рабочем времени. Речь пойдёт о соответствии Федеральным Законам.
Читать дальше →
Всего голосов 41: ↑29 и ↓12 +17
Просмотры 15K
Комментарии 50

DDoS в помощь: как мы проводим стресс- и нагрузочные тесты

Блог компании Variti Высокая производительность *Информационная безопасность *IT-инфраструктура *Сетевые технологии *


Компания Variti разрабатывает защиту от ботов и DDoS-атак, а также проводит стресс- и нагрузочное тестирование. На конференции HighLoad++ 2018 мы рассказывали, как обезопасить ресурсы от различного вида атак. Если коротко: изолируйте части системы, используйте облачные сервисы и CDN и регулярно обновляйтесь. Но без специализированных компаний с защитой вы все равно не справитесь :)
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 9.3K
Комментарии 7
1