Witam

Zrobilem sobie najprostszy mozliwy token.. Robie sobie losowanie liczby od 1000 do 9999 i zapisuje do zmiennej.. Uzytkownik ma ten kod ze zmiennej przepisac do formularza.. I wtedy porownuje czy obie liczby sa takie same.. Mam tylko pytanie czy taki banalny token jest bezpieczny.. ? Czy robot moze jakos to ominac, odczytac co wylosowalem lub cos takiego ? Nie znam sie na tego typu zabezpieczeniach dlatego pytam tutaj a chcialem ominac korzystanie z gotowych tokenow z netu.. Dla mnie wydaje to sie bezpieczne ale moze ktos mi wytknie czy cos moze jednak pojsc nie tak ?

Z gory dziekuje za pomoc

PS. Czy token jest na tyle wystarczajacym zabezpieczeniem zeby odpuscic sobie aktywacje email ?

No jeżeli nigdzie nie pokazujesz tego tokena, to robot go nie odczyta, bo niby jak? Problem w tym, że człowiek też nie. Jeżeli natomiast go gdzieś na stronie pokazujesz, to kwestia jedynie jak trudne będzie dla robota odczytanie tego tokena. Powiedz coś więcej... Skąd użytkownik bierze ten token?

Kod pokazuje sie jako tekst:

Przepisz kod : 9780

tuz nad polem formularza gdzie ma byc wpisany, wyswietlam poprostu wylosowana zmienna..

Takie zabezpieczenie to żadne zabezpieczenie. Robot sparsuje stronę i już ma kod.

A jesli bym dal z 5 obrazkow z 5 roznymi kodami robot przeciez nie odczyta z obrazkow ? i potem dam sprawdzenie jesli wylosowalo obrazek nr 3 z liczba 25 to czy liczba 25 rowna sie liczbie wpisanej przez uzytkownika.. Takie cos by przeszlo ? czy tez da rade odczytac ?

Kolego, google nie gryzą. Poszukaj sobie informacji o tokenach i nie wymyślaj na nowo koła.
A na marginesie: owszem, roboty poradzą sobie z obrazkami.

Zrób np taki coś: Wpisz sume: 4+6 do inputa, bedziesz sobie losowal np liczby ktore dodac. Prosty sposob bez tokena

Wniosek z tego, że chcesz mieć jakąś określoną ilość obrazków i na każdym jakąś liczbę. W takiej sytuacji robot (/człowiiek) musi po prostu przejrzeć wszystkie obrazki i poznać te liczby, a potem już automatycznie wpisywać odpowiedzi. Najlepiej rób dynamiczne obrazki, za pomocą biblioteki GD.

Znalazlem w miare przystepny token

http://webmade.org/porady/token-generator-...azowych-php.php

Mam juz tylko pytanie czy po zastosowaniu tokena mozna odpuscic sobie aktywacje email czy jednak jest ona konieczna do zabezpieczenia ? Zalezy mi na jak najlepszych zabezpieczeniach dlatego tak mecze ten temat

Dziekuje tym ktorzy juz mi pomogli

Aktywacja email, to tylko potwierdzenie adresu email, funkcja przydatna, aczkolwiek niekonieczna, skoro tak ci zależy na tokenie to przy okazji powinno ci zależeć na kodzie żeby nie był dziurawy.

Nie wiem czy dobrze Cie zrozumialem jesli chodzi o Twoj pomysl na token..

Liczby do zsumowania ustalasz z gory czy one sa losowane ? I porownujesz je zapewne rowniez do dzialania a nie do jego wyniku tak ? Nie wiem czy boty umieja liczyc Czy moze losujesz obie liczby i je wtedy kazesz dodac ?

Masz np tak:

[PHP] pobierz, plaintext 
<?php
$s = rand(0, 5);
$d = rand(0, 5);
$a = $s + $d;
$_SESSION['token'] = $a;
echo "Dodaj $s plus $d";
?>
[PHP] pobierz, plaintext 

Pozniej spradzasz czy sesja token rowna sie wpisana wartos i jest.

[PHP] pobierz, plaintext 
<?php
$linia = "Dodaj 3 plus 2";
$tmp = explode(' ', $linia);
 
if($tmp[2] == 'plus') $token = $tmp[1] + $tmp[3];
elseif($tmp[2] == 'minus') $token = $tmp[1] - $tmp[3];
?>
[PHP] pobierz, plaintext 

Tak na szybko złamałem Twój token @potreb ;-)

@potreb:
Twoje rozwiązanie jest tak proste co nieskuteczne. Czym się ono różni od "Wpisz kod: ABC123"? Wystarczy pobrać zawartość strony, odpowiednie wyrażenie regularne i token staje się kompletnie zbędny.

Jedyne skuteczne rozwiązanie to generowanie obrazka z kodem. Tło obrazka powinno zawierać różne bazgroły (proste, krzywe, kropki itd), natomiast sama czcionka również nie powinna być standardowa. Dodatkowo należy pamiętać o zapamiętywaniu tokena w sesji, a nie w polu hidden

// EDIT:
hehehe właśnie, ~kszychu okazał się bardziej konkretny

Jeszcze nie spotkałem się z botem który nauczył się liczyć, dlatego to stosuje. I nie myślę żeby ktoś specjalnie robił bota pod tym kątem, chyba że krzychu

Moim zdaniem to tylko kwestia czasu... przecież jak było...? wymyślono obrazkowe CAPTCHA na boty... no to napisano lepsze boty które potrafią złamać i obrazek... Dlatego moim zdaniem należy postawić na własne rozwiązania a nie korzystać z gotowych bibliotek które już dawno zostały dodane do botów...

Nie znam się ale boty chyba parsują tylko kod strony... czyli np. dynamiczne dodanie na stronę kodu przy pomocy Javascript, który nie będzie bezpośrednio widoczny było by jakimś utrudnieniem...

Moim zdaniem takie działanie (a przynajmniej tekst co należy zrobić) powinien być w miarę losowy. Bo jeśli na stronie masz za każdym razem "Dodaj x do y" to nie problem cos takiego złamać. Utrudnieniem byłoby wpisanie jakiegoś w miarę losowego tekstu, w który byłoby wplecione zadanie. Czyli np: "to jest jakiś losowy tekst, zignoruj go, bot go nie odczyta, bo nie wie gdzie jest prawdziwe dzialanie, a jest ono tutaj: 4 musisz dodac do 6 i wpisac na dole wynik"
Albo zadania w stylu: "Co to jest pływa i kaczka się nazywa?"

A może napisalibyście jakiś token "trudny" do złamania i opisali co do czego??

a może jeszcze frytki do tego?

To ja poproszę