Zabezpieczenie "captcha" precelkow przed automatami

[koniu]

- trzecia grupa, osoby tworzące dodawarki i wciskające ciemnotę, że to tylko ułatwia samą rejestracię. Biedaczki, nie potrafią przewidzieć, że jak komuś nie chce się zarejestrować, to tym bardziej prawdopodobne jest, że nie będzie mu się chciało pisać nowego tekstu

Samo narzędzie powinno być wykonane w taki sposób aby automatyzowało pracę ale również uniemożliwiało spamowanie. Jednak prędzej czy później pojawi się jakiś program czy skrypt, który nie będzie chronił przed zaspamowaniem katalogu czy precla. Może ktoś go udostępni publicznie a może ktoś napisać go na potrzeby własne i samemu z niego korzystać.

Nie ma sensu wieszać psów na twórcach automatycznych dodawarek.

Lepiej zastanowić się jak się przed nimi zabezpieczyć. A zabezpieczenie katalogu czy precla przed dodawarkiami nie jest trudne, i sposób tu polegający np. na rozpoznawaniu płci jest bardzo dobry. Jego moc polega na niestandardowym podejściu i stworzeniem unikalnego rozwiązania.

Jeśli jego złamanie zajęło 30 minut (zakładając, że został złamany bo nie podano dowodów) to wcale nie oznacza, że zabezpieczenie jest słabe.

Załóżmy, że istnieje 600 precli, z których każdy ma jakieś unikalne, stworzone przez właściciela precla zabezpieczenie. 30min x 600 precli daje 180000 minut czyli 12,5 dni nieustannej pracy aby przeanalizować wszystkie niestandardowe zabezpieczenia.

Jeśli łamaniem zabezpieczeń będzie zajmowala sie jedna osoba przez 10godzin dziennie analiza wszystkich precli zajmie około miesiąca.

A przecież można wprowadzić drugie zabezpieczenie w preclu (działające na innej zasadzie niż pierwsze przy zakładaniu konta, pytajace np. o wynik działania) przy logowaniu co spodowduje, że czas łamania jedego precla wzrośnie do godziny. A gdyby wprowadzić kolejne zabezpieczenie przy dodawaniu artykułu (np. ), znów wzrośnie czas łamania. Grunt aby budowa wewnętrzna tych 3 zabezpieczen byla nieco inna.

3 zabezpieczenia wcale nie muszą byc uciążliwe dla użytkowników wpisujących kody ręcznie, wystarczy zamiast tak jak w tym przypadku pytac o plec 6 osob, zmniejszyć ilość osób do dwóch (dla dodawarki, w której autor pokusił się i złamał zabezpieczenie jest bez różnicy czy głów jest 20, 6 czy 2 a dla człowieka to znaczne ułatwienie).

Siła w zabezpieczeniu precli czy katalogów nie polega na sile pojedyńczego zabezpieczenia ale na dużej ilości niestandardowych, autorskich zabezpieczeń występujących w wielu preclach.

Ba, próbują przekonać aby nie stosować żadnych zabezpieczeń, bo i tak je złamią. Jestem raczkujący w php, ale w swoim CnCacie zrobiłem sobie zabezpieczenie bardzo łatwe dla ludzi, ale którego guru jeszcze nie pokonali. Być może dlatego, że jako laik zrobiłem coś tak niesztampowego, iż na to nie wpadli. Z góry piszę, że nie podam o jaki katalog chodzi (na pewno nie ten ze stopki, bo on jen na Mini Piotrka).

Jest to dowód na to o czym pisałem wyżej. Myśle, że zabezpieczenie nie zostało załamane, nie dla tego, że jest trudne a dla tego, że nikomu nie chciało się łamać zabezpieczenia, które występuje w jednym katalogu.

Wina za zaśmiecenie wielu Qlwebów nie leży po stronie autorów dodawarek czy użytkowników z nich korzystających a po stronie właścicieli tych katalogów, którzy ograniczyli się do wykorzystania standardowego skryptu, często bez zabezpieczenia tokenem, a jeśli już zabezpieczyli katalog tokenem, to było to zabezpieczenie standardowe. Wystarczyło je rozgryść aby zaśmiecić wiele Qlwebów.

Pytanie czy gdyby każdy z katalogów miał własne, autorskie zabezpieczenie, nawet bardzo proste, jakas modyfikacja standardowego to czy komukolwiek chciałoby się rozgryzać tyle unikalnych zabezpieczeń? Przeciez qlwebow są tysiące.

A przecież gdy właściciel precla czy katalogu zorientuje sie że jest zaśmiecany przez jakiś automat, to wystarczy ze lekko zmodyfkuje swoje zabezpieczenia i juz bedzie mial spokoj na długo.

Zabezpieczenia i ich lamanie to ciągły wyścig, tyle tylko że to właściciele precli czy katalogów są zawsze o krok w przód od łamaczy.

A co maja zrobić własciciele precli ktorzy nie znaja php? Nauczyc sie podstaw, wystarczy nie wiele aby stowrzyc jakies proste zabezpieczenie (patrz cytat wyzej). A moze autor postu i zaprezentowanego zabezpieczenia zechcialby w tym poscie opisac linijka po linijce jak dziala jego zabezpieczenie. Bylby to dobry punkt wyjsciowy dla innych poczatkujacych w php, ktorzy mogliby po eksperymentowac, pozmieniac kod i stowrzyc wlasne unikalne rozwiazanie.

Nie stosujcie standardowych zabezpieczen lecz je modyfikujcie, aby byly w jakis sposob niestandardowe a nic nie zaspamuje waszego precla. Czy lepiej poswiecic 2 godzinki na zabezpieczenie precla czy tez wiele godzin na moderowanie wpisow i czyszczenie ze smieci? Pamietajcie ze koles od addera pracuje nad preclami, jesli sie nie zbezpieczycie w sposób niestandardowy to was wkrótce zasmiecą!

[Mion]

Jeśli jego złamanie zajęło 30 minut (zakładając, że został złamany bo nie podano dowodów) to wcale nie oznacza, że zabezpieczenie jest słabe[....] Myśle, że zabezpieczenie nie zostało załamane, nie dla tego, że jest trudne a dla tego, że nikomu nie chciało się łamać zabezpieczenia, które występuje w jednym katalogu.

Nie chce się powtarzać, ale dopóki ktoś mi nie przedstawi namacalnego dowodu -"dowodu życia" [czytaj systemu] łamiącego przedmiotowe zabezpieczenie jego wiarygodność jest równa osobie opowiadającej historyjki o ogrodowych krasnalach i leśnych ludkach.

To wszystko co mam do powiedzenie na temat złamania zabezpieczenia.

[salab]

Bardzo fajny skrypcik - DZIĘKI!

[Mion]

To co Kobis, kita pod siebie

13 min z zegarkiem w ręku.

Widać dla ciebie za przeproszeniem OSZOŁOMIE do dzisiaj trwa 13 minut. Albert Einstein miał rację, czas jest relatywny. Jeśli cię moje wypowiedzi dotykają -> wiesz co masz zrobić! Wtedy cię oficjalnie przeproszę....

[Ptaq]

Nie ma to jak napisać własne zabezpieczenie - moze nawet być banalne - nawet do przejscia przez łamiącyh zabezpieczenia w 3 min - ale jezeli takie zabezpieczenie bedzie tylko osoby piszacej je i na jej kilku(nastu) preclach to niktomu nie bedzie sie chcialo osobnego skryptu łamiącego pisać do tego promila precli.

Takie rozwiązanie jest najlepsze - i sam je stosuje

[jachu]

Wystarczy mi że znam oskryptowanie z jakiego korzystasz choć nie powiem że twój kod mi przyspieszył prace i zamiast zająć mi to max 30 min zajęło mi to dosłownie 13 min z zegarkiem w ręku. [...]

O ile zakład że mam już to rozkodowane ?

Każdą metodę Ci rozkoduje w kilka minut. I do tego nie trzeba być fachowcem wystarczy znać tylko kilka funkcji php bo wszystko sie wykonuje po mojej stronie

link

Wszystkie możliwe zabezpieczenia złamane, Anioł jesteś super... 13 minut + kilka .. ile to będzie dni, miesięcy? Bo zarówno w tamtym i tym temacie nie udowodniłeś niczego ... Ja śledzę wątek i czekam z niecierpliwością na jakieś potwierdzenia..

[yoogii]

Ma ktoś może pod ręką jakieś proste zabezpieczenie przed automatami?

Próbowałem wgrać to do najnowszej wersji 2.2.3 ale sypie błędami po podmianie tych 2 plików.

Z góry dzięki za pomoc

[mkr]

Skuteczne, nieco "trudne" dla usera: https://recaptcha.net/ łatwie w użyciu. Tam gdzie sprawdza login wordpress wrzuć kod z przykładu i gotowe Wystarczy znajomość podstaw PHP ( ify ;p )

W akcji: spis stron internetowych

[Lesiu]

mkr, fajne to reCaptcha, ale jest bardziej niż "nieco" trudne dla usera. No ale wiadomo, gotowe i ogolnodostepne rozwiazania nie moga byc ciezkie dla skryptow a latwe dla usera.

[Bielack]

... Wystarczy znajomość podstaw PHP ( ify ;p )

Czy będę bardzo bezczelny, gdy poproszę o gotową stronę logowania? Uruchomiłem widget, potem przykład i fajnie jest, ale nie potrafię tego zintegrować z formularzem logowania. Moje koderskie umiejętności nie, są jak widać, nawet podstawowe.

Byłbym bardzo wdzięczny za namiar na plik wp-login.php (bo to tam trzeba dołożyć reCaptcha, prawda?)

[Lesiu]

Bielack, a której wersji WP używasz?

[Bielack]

Na precelku mam 2.2.1, jakoś nie mam serca do aktualizacji na Dextera - każdy blog musiałem poprawiać.

[Maximus Marius]

Do autora: A nie dało by sie przerobić tego na plugin ? Po aktualizacji WP zabezpieczenie znika, a ja mam dobra pamięć ale krótka i wolał bym nie musieć pamiętać.

[testkonto99]

Proponuje użyć captchy z ipb czyli:

Nie trudna do odczytania przez człowieka - niemal niemożliwa dla robota.

[AdamAGP3]

Jak dla mnie to zabezpieczenie z płciami jest o wiele mniej wnerwiające niż litery i cyfry, które trzeba wpisywać wszędzie.

A tak w ogóle, co do osób dziwiących się, sprzeciwom wobec dodawarek do precli, które to niby ułatwiają tylko rejestracje - oczywiste jest, że dodawarka kusi do spamu i przypuszczam, że 99% artów z dodawarek to shit, bo się jedzie masówką i nawet nie zwraca się uwagi na prośby, ostrzeżenia, brak możliwości publikacji - po prostu po kolei shita się ładuje.

A ja muszę potem odsiewać tony tego shitu i przez to moderwonie polega na wrzuceniu w google akapitu - jest cały pogróbiony to leci, inaczej nie dał bym rady.