Moze to nie jest odpowiednie miejsce ale mam następujące pytanie:
Mając panel logowanie w jaki sposób mozna przeciwdziałać botom czyli skryptom podszywającym sie pod userów .Jest jakaś metoda oprócz uzywania kodów obrazkowych ?

niestety tylko "kody obrazkowe" daja gwarancje. wszystko inne mozna oszukac :]

Kody obrazkowe też można oszukać

Pozdrawiam

Mozna wiedzieć jak? No jak jest prosty to madry program to zrobi ale inaczej?

Nie slyszales o programach OCR'owych? Ta sama zasada dzialania.

Ale jest pewnien banalny i prosty sposób - sesje.

Przed formularzem daj $_SESSION['terefere'] = true;. Po wyslaniu sprawdzaj, czy istnieje sesje $_SESSION['terefere']. Boty przecież nie wypełniają normalnie formularzy, tylko odrazu wysyłają wypełnione..

Pozdrawiam.

Lipne boty nie

Pozdrawiam

Dzicienie proste do omieniecia.Znacie jakiś inny spób oprócz tej metody obrazkowej ?

Obrazki z punktu widzenia usability już są złym pomysłem.
Tym bardziej że mądre boty umieją je czytać.

Są pomysły żeby pod formularzem napisać losowe proste pytania
Ile to 2+2? etc.

Narazie z czymś takim się nie spotkałem.
Mimo wszystko został bym przy obrazku który jest bardziej wygodniejszy niż 2+2.

Pozdrawiam

Co masz na myśli?
Żaden bot nie wypełnia ręcznie formularza.. Chyba, że jest to program który działa przeglądarką, ale o takich nie słyszałem.

Ja osobiście obrazków nie lubię..

a czy Security socet layer w tym przypadku coś daje ?

Nie, SSL nic tutaj nie daje.

Moim zdaniem obrazki sa spoko, mozna je polaczyc z limitem np. trzech prob, po ktorych blokuje sie dany IP na np. godzine. Oczywiscie napisac latwo skrypt, ktory bedzi sie przelaczal na rozne serwery proxy co kilka prob... Ew. mozna wymagac jakiegos czasu (np. 2 minuty) miedzy kolejnymi probami zalogowania, obojetnie z jakiego IP. Normalnego uzytkownika to nie uderzy, a bot bedzie mial taka wydajnosc, ze mu sie odechce.
Dobrym sposobem (chociaz banalnym) jest nieujawnianie adresu do formularza
Czytalem ostanio na forum slackware'a posty ludzi, ktory mieli problem z ciaglymi atakami na ssh. Najlepszym wyjsciem okazalo sie uruchomienie uslugi na innym porcie

A może formularz generowany AJAX'em, z tego co wiem boty i JS nie lubią się nawzajem.
A już napewno flashowy form poskutkuje.

czy wy nie przesadzacie ? CAPTCHA uzywa microsoft, google i cala smietanka, jak widac nie sa zle !

To chyba jedyne co dobrego łączy te dwie firmy
CAPTCHA jest dobrym zabezpieczeniem, jeżeli jest dobrze napisane. Ale tu chodzi o np. niewidomych internautów a nie, że się znaki na obrazku są niewidoczne. Bo powinny byc widoczne, chociaż tak nie zawsze jest. Wg. mnie dla osób niewidomych powinny być pliki z dźwiękiem co jest napisane na obrazku

A tak sobie teraz mysle... Gdyby generować obrazek, ale wstawiać do niego np literke "A", wczesniej podając info żeby wpisać kod z obrazka ale bez znaku "A"

obrazek ma napis: AHAJA8AKA
wpisuje się HJ8K
Do tego literka "A" może być innego koloru... Myśle, że bot tego nie zrozumie...

No cóż może się nieco powtórzę ale:
może jednak flash, już pomijam cały formularz, można zamiast obrazka pokazać kawałek flash'a z textem do przepisania zamienionym na wektory, bot tego nie przeczyta a text może być wyraźny i bez żadnych "brudów" i uniedogodnień.

ale mówicie o tępych botach, ktore chodzą po stroną i robią dziwne rzeczy na nich ? (tylko po co? zbierają informacje?)

czy o "dedykowanych" botach pod np. wasz serwis, które mają się zalogować i robić coś co użytkownik powinien zrobić sam?

jeśli ta druga opcja, to praktycznie nie ma, żadnego skutecznego i nieuciążliwego dla uzytkowników zabezpieczenia. Wiadomo, że autor takiego bota, najpierw wejdzie na strone, zobaczy co bot musiałby robić, żeby działał tak jak człowiek, a potem tak go zaprojektował...

Oni raczej rozmawiają o botach które np. wchodzą na strone i dodają głupie posty na forum z jakimiś beznadziejnymi linkami tylko po to żeby nabić pagerank na google... Jeśli chodzi o obrazki ja bym zmiontował coś takiego aby obrazek wyglądał...




Bot się nie zczai ;] Jeśli chodzi o teksty typu 2+2 to moim zdaniem jest to strasznie niewygodne, pola flashowe też odpadają ponieważ nie każdy ma zainstalowany plugin flasha. Sensownym rozwiązaniem byłoby jeszcze zapytanie ajaxa w momencie gdy ktoś naciska submit. U mnie np. formularz prowadzi do nikąt(nie ma zdefiniowanego action="") tak wiec i bot lekko głupieje(chyba ) ;]

Co za roznica czy formularz jest htmlowy, czy flashowy? Jak zainteresowany chce zobaczyc dokad sa wysylane zmienne i jakie one sa to sobie zrodlo flasha tez odczyta. @SHiP jesli nie masz zdefiniowanego pola action to skrypt Cie zaprowadzi spowrotem na strone z formularzem. Bot, ktory by na tym utknal ... - nawet szkoda gadac.

Generowanie obrazka jest moim zdaniem na te chwile najbezpieczniejszym rozwiazaniem, bo wbrew pozorom powyginany i zabrudzony obrazek nie jest latwo odczytac. Minusem obrazka jest to, ze nie moga go uzywac niewidomi. Ludzie zreszta czesto przesadzaja z poziomem zabezpieczen. Byle blog a tokena generuje i to o ograniczonym czasie waznosci.

Ciagle tu mowicie o niewidomych internautach co nie beda mogli zobaczyc captcha, ale zastanow sie, czy niewidomy moze byc adminem ? nie sadze.

Ja uważam, ze najlepszym sposobem, jest jednak obrazek, i nie musi być wcale niewyraźny, wystarczy każdą literkę/cyferkę losowo trochę obrócić, trochę rozciągnąć lub spłaszczyć, do tego jeszcze losowa czcionka. I jeszcze jak by delikatnie na siebie nachodziły.

poco? jak ocr-y ledwo reczne pismo czytaja, wystarczy "egzotyczny" font

Microsoft na swoich stronach umieszcza obok obrazka plik dzwiekowy, ktory na zyczenie czyta co jest na obrazku aby nie blokowac niewidomych.

A ja nie polecam obrazków, bo żeby były nieczytelne to muszą być "wymyślne".
Jeśli to ma być jakaś forma CAPTCHA to lepiej dac proste zadanko, może przy okazji, ludzie się czegoś nauczą.
Na przykład: 4 + 5 = ?

Nic prostrzego dla bota obliczyc, a jak masz zamiar wstawiac jakies pytanie intelektualne, to nie bedzie sie chcialo myslec dla usera, ja np. jak czesami mam wypelnic jakis forumlaz, i tam jest cos takiego to od razy rezygnuje, (no chyba ze jakies fajne demo cms-u ), a z captcha nie mosisz specialnie zuzywac muzgu

Mozna dac sam plik dzwiekowy
Boty mowy na pewno nie rozpoznaja.

liczba :: obrazek z działaniem :: liczba

Prosty obrazek z plusem, minusem, ... o to mi chodziło.

Lub wszystko na obrazku.

Za duze obciazenie sieci, a po drugie nie kazdy chce/moze sluchac sobie jakiegos pliku tylko po to zeby sie gdzies zarejstrowac, trzeba tez myslec o wygodzie userow, a nie tylko o botach, bo nawet jak sie wedrze jakis bot, to nic takiego strasznego nie zrobi:
dajmy forum: jest knotrola antyfloodawa, za bardzo nie namiesza, z rejestracja tez, e-mail itd.
commentarze w blogach: wystarczy dac limit 5 minut miedzy postami.

@mike_mech - wybacz ale to ma wszystkie wady obrazkow i testow w jednym. Zadanie mialo byc po to aby syntezator mowy mogl to odczytac niewidomym, a tak nie dosc, ze musisz cos wpisac to jeszcze pomyslec. A niewidomy tak czy inaczej nic z tego nie ma.

No masz rację ~bigZbig za daleko popędziłem w swoich marzeniach

Mam pytanie... Na jakiej zasadzie działają boty? Wyszukują formularze i je uzupełniają? czy otwierają wszystkie linki ze strony po kolei... dzialają przeglądarkowo czy po prostu wysyłają gotowe formularze?

Przytoczone rozwiazanie microsoftu to bardzo dobry pomysl, szczegolnie teraz, gdy mamy dobre syntezatory mowy.

bede musial pomyslec nad takim rozwiazaniem.

Nawet nie trzeba syntezatora, nagrywasz 10 plikow dzwiekowych (kazdy z jedna cyfra) - generujesz tokena i laczysz odpowiednie pliki dzwiekowe w jedna calosc i to odtwarzasz. Nie wiem czy w php da sie tak bawic dzwiekiem jak np. obrazkami dzieki GD

Nie da sie w samym php - php nie posiada biblioteki Sound czy cos w tym stylu.

Daloby sie jednak zrobic, zwykly generator cyfr -> przekazanie do syntezatora -> odtworzenie dzwieku

Można edytować WAVy przy użyciu tej klasy:
http://www.phpclasses.org/browse/package/2608.html

Czemu nie?

Dlaczego nie powinno się używać captcha i jakie sa inne sposoby zabezpieczenia.
Dobry tekst i fajne komentarze.

a co powiecie na to, aby wygenerować działanie na obrazku (proste) i coś w stylu: wpisz wynik od tyłu...

ja się z takim czymś już zetknąłem (szczerze mówiąc po 2 minutach zajarzyłem że trzeba od tyłu bo małymi litekami pisał ) bodajże na topliście jakiejś...

pozdro

Witam

Wymyślacie cuda jakbyście chronili dostęp do bazy wojskowej

Jestem ciekaw ile osób z Was napisało w PHPie OCRa (nawet najprostszego, sprowadzającego się do rozpoznania zwyklych literek różnie umeiszcoznych pokreślonych tłem losowym?)

Skrypt generujący obrazek nieco zamotany w PHPie to max 30minut i zabezpieczenie moim zdaniem jest super, osobiście daje Ci gwarancję że nikt tego Ci nie złamie! A jak zastosujesz zabiegli losowe (losowa czcionka dla kazdej litery), losowe kolory z zachowaniem odpowiedniego kontrastu tła itd. No nie ma szans i tyle...

Jak ktoś będzie chciał napisać sobie posta botem to prędzej znajdzie buga w aplikacji.

pozdrawiam

marek220 przeczytaj najpierw poprzednie posty a potem zajmuj glos w dyskusji. Napisac generator captcha mozna latwo i szybko, problem w tym ze masz w *gdzies* niewidomych.


A teraz dopiero pomyslalem... przeciez tworzac pliki dzwiekowe mamy *gdzies* nieslyszacych

Trzebaby wiec zrobic zarowno captcha jak i plik dzwiekowy. Lektor w pliku dzwiekowym czytalby tekst z captcha...

Vomit, taki jestes madry? to napisz. a gwarantuje ci ze zarobisz b.b.b.b.b.duzo hajsu.

Jeśli niewidomy nie może być adminem, tak ty nie możesz być programistą. Pierdzielisz, za przeproszeniem, jak zawsze. I zastanów się kilka razy nad tym co piszesz.

1. Co ma bycie adminem do dodawania komentarzy na stronie?

2. W artykule, ktory przytoczylem wczesniej sa przedstawione sposoby, ktore moze nie daja takiego zabezpieczenia jak token, ale sa za to o wiele przyjazniejsze dla uzytkownika.

Zastanowcie sie czy prywatnego bloga warto zabezpieczac obrazkami? Przed prostymi automatami latwo sie zabezpieczyc, a pisanie rozwiazan pod katem prywatnego bloga zwyczajnie sie nie oplaca. Jaka jest ogladalnosc prywatnego bloga, a np. tego forum? A teraz wyobrazcie sobie, ze dodanie kazdego posta na tym forum zwiazane byloby z wklepaniem kodu z obrazka. Zaloze sie, ze wielu przenioslo by sie na inne fora tylko ze wzgledow ergonomicznych.

Fajnie jest bzdury wygadywać, co ? daj mi jakiś przykład jakiegokolwiek serwisu w którym admin jest niewidomy.

Obejrzyj filmik o dostepnosci, ten o ktorym bylo glosno wsrod programistow webowych. Bartek - administrator sieci.

Administracja strona wcale nie jest niemozliwa dla osob niewidomych, a my powinnismy im to jeszcze ulatwiac.

nasty_psycho, Vomit bzdur nie wygaduje, on po prostu myśli o wszystkich.

W końcu strony są dla wszystkich, a takie nie myślenie o niepełnosprawnych podchodzi praktycznie pod rasizm...

Nota bene, instytucje publiczne mają obowiązek (tylko na papierze :/) tworzenia stron dostępnych dla wszystkich.

To było tak OT.

@Tiraeth

http://www.phpclasses.org/browse/package/3225.html
tu już jest gotowe rozwiązanie

Ja w swojej księdze wyeliminowałem reklamy bootów w następujący sposób, opisany tutaj:

Temat: Prosty i dobry sposob na spam formularze

Myśle, że to dobry sposób, o ile nie jest to forum, gdzie używa się np. bbcode. Ale zawsze można zmodyfikować kod forum i zmienic tagi bbcode z [ b ] na np. { b }

@djmassive - takie rzeczy to tylko w erze...

co z tego że pozbędziesz się bbcoda, jak wiadomości dalej będa dochodziły z tym że niezformatowane? jeszcze większy syf

pozdrawiam

Witam mam pytanie czy boty np przyjmuja ciasteczka?? bo jak nie to czy moglbym np tak zabespieczyc swoja strone ze przy wyswietlaniu formularza dodawania wpisu np w ksiedze gosci wysylam ciastko z informacja ze np ze nie dodano jeszcze wpisu i przy dodawaniu sprawdze czy tamto ciastko jest ustwaione i jak tak to czy jest rowne zero i wtedy dodaje lub nie wpis i po dodaniu zmieniam wartosc ciastka na 1? czy to zabezpieczy mnie przed botem w jakikolwiek sposob. i czy mozna by analogicznie sesje tutaj zastosowac?? czy to wogole zadziala przed botami??