q1. captcha prolomena, aneb slozitejsi necitelna

[EllE]

Zdarec
Nevim jak je to mozny ale uz zhruba tyden po roce klidu opet boti prolomili schopnosti rozlusteni meho nastaveni captcha (GD, GD sum, x+y sum na 10) (phpbb 3.0.1). Bohuzel slozitejsi nastaveni captcha uz hranici s necitelnosti i pro bezneho uzivatele takze se ptam, zdali nejde integrovanou captchu nahradit nejakou jinou spolehlivejsi ale hlavne citelnou (konkretne jakou resp. s jakou mate dobre zkusenosti) a nebo uplne vymenit za treba "logicky dotaz" ... tim myslim otazky typu kolik je "třináct plus dvanáct"
Zpusob ochrany logickym dotazem se mi uz osvedcil na jinych projektech.

[gmvasek]

Než budeme dále probírat tvé problémy okamžitě aktualizuj na 3.0.4.

[EllE]

Než budeme dále probírat tvé problémy okamžitě aktualizuj na 3.0.4.

pokud se nepletu od verze 3.0.3 to vyzaduje vyssi php verzi tusim ze 5

[christian]

phpBB 3.2 bude pouze pro php5..

[EllE]

phpBB 3.2 bude pouze pro php5..

jj doslo k chybe jednalo se o inzertni system ktery vyzaduje novejsi verzi php kazdopadne dohodnout se s hostingem na upgradovani php je jak jiste vite z vlastni zkusenosti neco nemozneho

[WhiteWolfSix]

Nemožné? Len ak u freehostingu. Ja som pred vyše rokom potreboval prejsť na server s vyššou verziou MySQL i PHP, po požiadaní som bol okamžite vybavený bez akýchkoľvek problémov.

[EllE]

Nemožné? Len ak u freehostingu. Ja som pred vyše rokom potreboval prejsť na server s vyššou verziou MySQL i PHP, po požiadaní som bol okamžite vybavený bez akýchkoľvek problémov.

pokud mas vlastni nebo virtualni server tak proc ne... ale ja myslim standardni system kde na jednom serveru mas jeste X tisic jinych uzivatelu... to je pak pochopitelne ze to na zadost nejde

nicmene hadam ze verze 3.2 je jeste docela daleko

[WhiteWolfSix]

ee, žiadny vlastný alebo virtuálny server. Mám štandardný platený webhosting, v rámci ktorého moju doménu presunuli fyzicky z jedného servera na iný server, ktorý spĺňal moje požiadavky. Potom len prepísali DNS údaje, chvíľku som musel počkať a bolo hotovo.

[ameeck]

Verze 3.2 má ještě před sebou hodně práce.

Jinak zkus počkat na 3.0.5, bude přibalen nový druh "GD Wave CAPTCHA", který by měl být o trochu silnější.

[EllE]

No doufam ze se jedna o nejakou chybu primo v 3.0.1, protoze nezalezi na slozitosti captcha a bot to obejde pokazde.
Kazdopadne moznost kompletni zmeny captcha za neco jineho by se taky hodilo.

[smix]

Nejedná se o chybu jakékoliv verze phpBB, ale o to, že jen captcha už prostě nestačí ... Boti našli cestu skrz, zatím jen malou, ale našli, a dříve nebo později se ještě zlepší ... Nová captcha by je mohla opět na chvíli zdržet ...
Kompletní změna captchy za něco jiného také nic neřeší, jen by to oddálilo dobu prolomení ... Bude zřejmě nutné vytvořit kombinace různých náhodně generovaných formulářů nebo si fórum nějak specificky upravit ... Bohužel čím těžší registrace bude, tím více uživatelů to odradí ...

[ameeck]

Je také možnost, že se tam registrují lidští spamměři. Dneska už existují systémy, kdy se ty stránky načtou, CAPTCHA pošle do Indie a někdo ji tam vyplní pro toho bota.

[gmvasek]

To je pak jediná ochrana ban a mazaní...

[EllE]

Kompletní změna captchy za něco jiného také nic neřeší, jen by to oddálilo dobu prolomení ... Bude zřejmě nutné vytvořit kombinace různých náhodně generovaných formulářů nebo si fórum nějak specificky upravit ... Bohužel čím těžší registrace bude, tím více uživatelů to odradí ...

Tak to si nemyslim... zatim mi ty moje logicke otazky za pul roku fungovani neprolomil zadnej bot a to je tam hloupe "kolik je dvě + pět" ... a je to i logicke podle jakeho klice by todle dokazal dekodovat? zas je nesmime precenovat nemaji zadnou vyspelou AI

Je také možnost, že se tam registrují lidští spamměři. Dneska už existují systémy, kdy se ty stránky načtou, CAPTCHA pošle do Indie a někdo ji tam vyplní pro toho bota.

Prave ze registrovani nejsou oto asi zajem nemaji jen si proste postnou ten svuj spam v urcitych intervalech .. odhadem tak kazde 3 hodiny jeden

[adminsao]

Registrují se. Já zatím mazal 3. Z roletkových menu v registračním formuláři vybírají vždy první možnost (jazyk, časové pásmo a u mě i countryflags). Podle toho je i lehce identifikuji najednou se mi objeví ve výpise kolik členů je odkud i položka afghanistan - vyfiltruji a vymažu. Ještě jeden postřeh nedokázali si účet ihned aktivovat např registrace včera v 23:50 a dnes v 16:00 ještě nebyl účet zaktivován.

V phpbb 2.xxx byla jednoduchá, ale 100% účinná finta jak předejít registracím botů. Vyžadovalo to úpravy (nahrazení řetězce agreed něčím jiným) ve třech souborech. Ve dvojce se totiž od stránky s Agreed na registrační formulář přecházelo přes url která obsahovala agreed a bot si ji generoval hned. Po takové úpravě jsem měl definitivně od botů klid. Kéž by něco takového jednoduchého a účinného šlo vymyslet i na trojku.

Logické otázky jsou sice pěkná věc, ale nedokážu si představit jak by to vypadalo u mě kde jsou řádní členové fóra používající x jazyků.