Witam,
na początku nie wiedziałem, w który dział to wpisać, ale w końcu padło na Hydepark, więc...

Znalazłem w Sieci taką rysowaną Captchę: http://www.josscrowcroft.com/demos/motioncaptcha/.

Chciałem poznać opinię specjalistów, czyli Waszą.
Czy ten sposób autoryzacji jest bezpieczny? Trudny (niemożliwy) do złamania?

Pozdrawiam

nie jestem ekspertem, ale wydaje mi się, że wystarczy przeanalizować kod js, który de facto nie jest w żaden sposób tutaj zaencryptowany, żeby dowiedzieć się jak działa i jak ją złamać

Taka captcha jest bardzo łatwa do złamania. W ogóle nie wiem po co ktoś wymyślił coś tak bezsensownego.

ok, dzięki za wyjaśnienie

1. captchy w js się nie robi.
2. roboty łamiące captchy nie obsługują js.

moim zdaniem, jesli strona nie wymaga silnego uwierzytelniania - a jedynie zabezpieczenie przed robotami - jest ok.

tak naprawde im bardziej nietypowe zabezpieczenie tym lepsze.
zwykla captcha jest do zlamania, albo nieczytelna zwlaszcza dla ludzi ktorzy maja klopot ze wzrokiem, chocby z tego powodu nie polecam tego(czyli zwyklej captchy) jako rozwiazania na masowa skale.

tutaj, masz dwojakie zabezpieczenie - wywalenie adresu z form i zablokowanie samego submita, bardziej czasochlonne jest przeszukiwanie skryptow w poszukiwaniu adresu, jesli jeszcze jakos by go zabezpieczyc - to wcale nie jst tak trywialne do obejscia.
jasne : na upartego jest to do zlamania - ale, jesli ktos sie uprze naprawde to 99% stron jest do zlamania/obejscia etc.

sumujac:
jesli nie potrzebujesz mega silnego zabezpieczenia - wg mnie - to jest ok.

j.

żebyś się nie zdziwił, ktoś już kiedyś powiedział coś takiego na forum i bodajże erix to obalił - chodziło o coś w stylu emulowania przeglądarki

Oczywiście, jest to możliwe, ale nie opłacalne. Nie tworzysz robota za kilka tysięcy, aby miał taką opcje, bo nie tworzy się captchy w JS z prostego powodu... js jest tylko dodatkiem w tworzeniu stron, a nie podstawą. Żaden rozbudowany serwis sobie na coś takiego nie pozwoli bo może stracić kilka % UU.

hmmm... no ja bym byl ostrozny przy tego typu stwierdzeniach...
http://nodejs.org/

A jak nodejs ma się do captchy?

Node JS działa po stronie servera, a tam nie obchodzi ciebie czy klient ma JavaScript.

Błagam Cie...

... o co? Może dodasz do swojej wypowiedzi cokolwiek co pozwoliło by mi się do niej lepiej odnieść?

Czyli mam się odwołać do czegoś, co mi zwróci coś, czego ja nie mam? Wiesz w ogóle do czego jest wykorzystywane node.js?

Tak.

Myślę że naskakujesz na mnie bo założyłeś że myślę że pisanie w node.js magicznie sprawi że js będzie działać też u klienta.

Ok. Idźmy dalej. Załóżmy że generujesz taką captche po stronie serwera, użytkownik ma ją u siebie (w magiczny sposó i niby jak chcesz się do niej odwołać?

Może jeszcze raz: mówię tylko i wyłącznie o tym że node.js działa po stronie servera, jego zastosowanie nie ma wpływu na dostępność JS po stronie klienta.

A teraz EOT, bo rozmowy w taki sposób toczyć nie będę.

Nie negowałem tego. Ale chcesz użyć interpretera JS, bez JS, więc jaki jest tego sens? Nie odwołasz się chociażby bez JS do serwera, a połączenia tradycyjne, wykluczają raczej używanie node.js bo niby po co byłby potrzebny. Node.js powstał, gdy nie było jeszcze słychać o html5 i websocets i w 2009 było to b.dobre.

Eh? Gdzie napisałem że chcę użyć interpretera JS bez JS? Napisałem wyłącznie alegornowi że jego przykład jest z innej bajki bo w temacie mowa jest o JS po stronie klienta a node działa po stronie servera.

Mniej złośliwości i czepialstwa następnym razem.

hm, ja odnioslem sie tylko co do zdania/stwierdzenia .


no coz, nie zgadzam sie z zacytowanym zdaniem, i tyle. nie bym byl fanem js, ale to zdanie jest troche na wyrost.

moim zdaniem to i tak cala dyskusja jest bez sensu.
ja twierdze ze dla zwykledo serwisu - zabezpieczenie o ktorym mowimy jest wystarczajace.


jesli chodzi o powazne zabezpieczenia - no to badzmy powazni, zwykla, tradycyjna captcha ma byc niby czyms lepszym?? smiech na sali.

poza tym, captcha jest niezalecana na 'powaznych' stronach, z uwagi na problemy osob z wzrokiem, nie mowiac o niedowidzacych. (czyli dyskyminacja )
kurde, nieraz sam mam problem odcyfrowac, co niby mialbym odczytac... ok, jesli jest dolaczane nagranie, byc moze wtedy... ale i tak..
tak czy inaczej - uwazam, ze captcha jest powaznym utrudniemiem dla usera i zniecheca do korzystania z serwisu.
sa inne skuteczniejsze i sensowniejsze zabezpieczenia.

Jacek.

Mógłbyś powiedzieć coś więcej? Mówimy oczywiście o userach NIE zalogowanych

choćby logiczne, kontekstowe np.:
* wpisz wynik równania (np napis,obrazek :"dwa plus 8" ) << to tez do zlamania, ale nie w banalny sposób
* dokończ zdanie, przysłowie, etc. np: "Ala ma..." << każdy zna odpowiedź, ale jest nie do odczytania przez bota.

nawet i policzenie ile kotów jest na obrazku wydaje się być sensowniejsze.
coś co jest proste, i nie da się w banalny sposób zlamac poprzez ocr.

to, jeśli chodzi o bardziej rozwinięte captche


innym zabezpieczeniem - i stosowanym z większym powodzeniem jest sprawdzanie czasu między odwołaniami, i ich ilości. (blokowanie adresu IP)
np.: jeśli ktoś w w czasie minuty odwoła się powyżej 100 (200? jakakolwiek sensowna wartość) to mamy bota.
formularz? jesli ktos wysyla formularz 10 raz z rzedu - to tez wydaje sie byc podejrzane (zwlaszcza jesli nie przechodzi to walidacji)


tak naprawde rodzaj zabezpieczenia zalezy od tego co chcesz chronic... to co tutaj jako przedmiot dyskusji zostało zaprezentowane - nie jest 'kiepskie', 'latwe do zlamania' ,'bo tak sie nie robi' etc.
zwlaszcza ten ostatni argument uwazam za nie do zbicia. w odpowiednim miejscu - spelnia swoje zadanie i tyle, jest wygodne dla uzytkownika, estetyczne, zachęcające do uzycia i blokuje formularz... czego chciec wiecej?

latwy do zlamania? no ok, byc moze, ale napewno nie w 5 min. wymaga "umiejetnosci"
a zwykla captcha - wymaga jedynie odpowiednich skryptow, programow. nie wymagaja wiedzy, jedynie co - to skad ow skrypt sciagnac.

przecietny uzytkownik tego nie zlamie.
przecietny haker szybciej zlamie standartowa captche niz omawiana tutaj. ba, on nie musi jej lamac. juz dawno temu zlamal. wczesniej niz ty zrobiles ten formularz.

j.

Odczytasz ze źródła strony/obrazka + podstawianie odpowiednich słów.



Szczególnie obcokrajowcy, będą wiedzieli o co chodzi.



Zależy jakie to koty. Te rysowane nie zdają egzaminu, a te ze zdjęć... baza zdjęć musiałaby być b. duża.

oczywiscie ze sie da- napisalem ze do zlamania - ale juz wymaga napisania dedykowanego skryptu




tak rozwiazanie, regionalne. ale nie oznacza ze zle. dla sporej czesci serwisow wystarczy. zawsze mozna sie pytac o kolejnych prezydentow usa, papierzy etc. do wyboru do koloru. ba, mozesz nawet podawac link do strony gdzie znajdziesz odpowiedz .


tu masz rozwiazanie z fotkami (taaaa znowu js ..)
http://research.microsoft.com/en-us/um/red...rojects/asirra/

zreszta, dlaczego rysowane odpadaja?
ale ok. pal szesc koty.
rysuj obrazek z losowa iloscia figur, i pytaj o ilosc jednej z nich, spytaj sie ile jest czerwonych, pytaj losowo o cokolwiek.
gwarantuje ze bedzie bezpieczniejsze niz zwykle przepisanie liter/cyfer z obrazka.

Daltoniści mogą mieć problem



Tak, ten wynalazek miałem na myśli, JS, cóż, to go dyskwalifikuje, ale załóżmy że jest napisany w php, to takie złamanie jest o wiele prostsze, niż odczytanie tekstu z obrazka.

Widziałem zagadki w stylu "W koszyku są dwa kociaki, ile łap jest w koszyku?", to z dokończeniem "Ala ma..." też jest dobre, i uważam że to najlepsze podejście, do momentu kiedy staniesz się kolejnym n-k przynajmniej, bo wtedy z pewnością ktoś zada sobie trud rozpracowania bazy pytań.

Fajnym wyjściem i łatwym jest również przeciągnięcie danej rzeczy na obrazek.

@rafio mylisz się i to bardzo. Soft do rozpracowywania tego typu rzeczy po prostu zapisze pytanie do pliku, a my potem sobie na te pytania dopiszemy odpowiedzi Wiem, że iCaptcha nie jest jeszcze czytana przez żaden dostępny OCR.

hmm, a tak sobie pomyślałem... może zrobić coś takiego jak odblokowywanie klawiatury w Androidzie: 9 kółek, które należy odpowiednio połączyć, a obok znajdowałby się gif pokazujący jak to zrobić.
Przy zaznaczaniu kolejnych kółeczek dopisywałaby się jakaś odpowiednia wartości w polu hidden i formularz byłby wysyłany przez formularz i sprawdzany w PHP.
Chyba dobry sposób, co nie?
Oczywiście dla osób używających JS, ale ich jest prawie 100% użytkowników Internetu

A urządzenia mobilne starszego typu? Pozbawisz właścicieli dostępu do serwisu? Tak samo jak osoby niepełnosprawne? Temat był wałkowany wielokrotnie, JavaScript to tylko i wyłącznie dodatek w budowie stron.

Opieranie się na captacha która działa tylko w JS jest wytłumaczone wyłącznie przy aplikacjach dedykowanych, których działanie bez JS nie ma racji bytu np. gry, wszytko co wykorzystuje websocety itp.

Racja... ale jak już powiedziałem to wymaga przygotowania się ataku i stworzenia bazy pytań, i pojawia się pytanie czy dostęp do jakieś podrzędnego forum jest naprawdę tak ważny aby bawić się coś takiego? Ja w to nie wierzę.

A ja wierzę Link zewsząd się przydadzą. A im większa baza pytań tym większa skuteczność programu. Nie wiem jak to dokładnie wygląda, jeżeli pytanie jest zapisane na obrazku.