Zabezpieczenie "captcha" precelkow przed automatami

[Mion]

W odpowiedzi na "Dodawarka do precelkow" postanowiłem utrudnić co niektórym spamerskie praktyki i napisałem system autoryzacji podczas zakładania konta.

Moj "captcha" działa na innej zasadzie niż klasyczne ponieważ ładowany jest za pomocą javascript co powinno skutecznie zabezpieczać przed systemami łamiącymi tego typu zabezpieczenia

IMPLEMENTACJA

Do katalogu gdzie mamy zainstalowany WP należy wgrać plik:

- kod_captcha.js;

- zmienić plik wp-login.php za na przygotowaną przeze mnie wersje z zabezpieczeniem ;

- wgrać katalog cyfry zawierający pojawiające się cyfry captcha w formularzu rejestracji konta;

Tutaj pobierzesz zabezpieczenie

Zabezpieczenie w akcji - demo

To wszystko...

[mkr]

30 sekund i złamana może być... błędnie myślisz Wystarczy wysłać dodatkowo POST kod_captha z dowolna liczba i kod_captha2 podac ta sama i mamy rejestracje Widać brak doświadczenia w walce ze spamem na wielką skalę

[Mion]

Skupiłem się na uniemożliwianiu odczytu kodu z grafiki i zapomniałem o najistotniejszych zagadnieniach.

Doświadczenie to faktycznie nie miałem w tej kwestii

Jednym słowem "dałem ciała" i w związku informuję, że zabezpieczenie w obecnym stanie jest niefunkcjonalne musze zmienić koncepcje...

[Bełdzio]

w więkości przypadków wystarczy zmienić nazwy pól i dodawarki leżą

[Mion]

Przygotowałemnową wersje captcha opartą na sesji i grafice generowanej przez php.

Osoba rejestrująca konto musi określić płeć postaci występujących na grafice i podać w formularzu autoryzacji.

W tym sposobie program do OCR musi rozpoznać płeć osób losowo pojawiających się na grafice

Kolejne uwagi odnośnie obejścia zabezpieczenie mile widzenie...

Demo-> TUTAJ

Do pobrania -> TUTAJ

[mkr]

if($_POST[kod_captha]!= $_POST[kod_captha2] )

{

$errors['captcha_eror'] = __('<strong>BĹÄ„D</strong>: BĹ‚Ä™dny kod z grafiki');

}

To już nie potrzebne. Reszta raczej ok

[Mion]

W ferworze walki zapomniałem skasować swój bubel. Warto jeszcze dodać, że użytkownik może zdefiniować swoje postacie w programie graficznym i zapisać jako php z ustawioną przezroczystością i zastąpić nimi moje.

Proponuje również zmienić ścieżkę do katalogu z twarzami w zmiennej $katalog_grafik oraz prefixy grafik w pliku moj_captcha.ph.

Dzięki tym zmianą prawie niemożliwe będzie pobranie plików źródłowych grafik w celu ich analizy przez oprogramowanie do OCR

Większość znanych captcha opartych na literach została złamana więc swoją koncepcje oparłem na podawaniu płci postaci z obrazka. W przeciwieństwie do człowieka automat nie jest wstanie jej rozpoznać, co powinno stanowić skuteczne zabezpieczenie

Implementacja polega na podmianie 2 plików i dodaniu pliki i katalogu obrazków, czyli jest bardzo prosta.

Wiec jestem ciekaw Waszej opinii na ten temat...

[Sylwin]

Cześć Mam kilka pytań:

1. Po co chcecie zabezpieczać swoje Precelki skoro nie ma do nich dodawarek automatycznych?

2. Dodawarka Pawała nie jest automatem! - To prawda sama rejestruje sie na Presellach ale wpisy dodaje człowiek wchodzi normalnie do presella i dodaje wpis ręcznie... Więc 2 raz po co człowiek ma sie męczyć w pobieranie haseł z poczty i ich zmianę?

3. Dodając takie zabezpieczenie tylko tracicie cenny content który mogli dodać ludzie (głównie pozycjonerzy) korzystający z dodawarki Pawała. Więc 3 raz po co utrudniać sobie i innym życie ?

[shad]

Token moze i nie do złamania, ale ma jedną poważną wadę ........... za długo trzeba się nad nim zastanawiać, jest po prostu wkurzający. Jakbym miał wiecej tak się zastanawiać nad tokenami to dnia by brakło.

Pozdrawiam

[-macgyver-]

Brawo!

Czy mogę wykorzystać skrypcik na prywatnych stronach (nie chodzi o precelki) bo koncepcja bardzo oryginalna i nie do przejścia Gratuluje

[Mion]

@Sylwin - Po co się zabezpieczyć? Głównie żeby znacznie utrudnić zaspamowanie takimi samymi wpisami dodawanymi do wielu precli. Znając życie, jeśli będzie możliwość masowego dodawania do precli z automatu to nie jeden SEO pokemon będzie to robił = SPAM;

Jeśli chcesz dodać wartościowy dla Ciebie i dla mnie artykuł ręczne jego wprowadzenie nie stanowi problemu – do tego nie potrzeba automatu!

@shad – wpisanie 6 literek z dwiema możliwościami wyboru Uważasz za coś uciążliwego!? Na to wystarczy mniej niż 30 sekund Na wyszukiwanie i kasowanie spamów już 30 sekund Ci nie wystarczy.

@-macgyver- tak, można korzystać dowolnie oraz dowolnie modyfikować moją koncepcję

[Paweł Kobis]

Złamane - proszę dalej kombinować

[Mion]

No to udowodnij - przedstaw dowód a nie samo lakonicznie stwierdzenie...

[Paweł Kobis]

user: spam dodawarka

Odpalone z mojego serwera i bez problemu założyłem konto teraz tylko maila pobrać i mam full dostęp

Podpowiedź jak to zrobiłem : aHR0cDovL3ByZWNlbC53aWVteS5ldS93cC1sb2dpbi5waHA/YWN0aW9uPXJlZ2lzdGVy

Dodano:

Kolega zapomniał że ma do czynienia z osobą która zrobiła dodawarkę do katalogów co obchodziła wszystkie zabezpieczenia Ale tak poważnie mówiąc zabezpieczenie jest bardzo wnerwiające dla ludzi a dla bota i programisty który zna się na programowaniu to około 30 min żeby to obejść ale jak dla mnie może być bo ja dodaję wszystko z automatu jeśli już muszę to robić tak więc mnie to nie drażni

[Mion]

Ale to jeszcze nie koniec

Masz o tyle łatwiej, że masz wgląd do kodu...