q1. captcha prolomena, aneb slozitejsi necitelna

[EllE]

Logické otázky jsou sice pěkná věc, ale nedokážu si představit jak by to vypadalo u mě kde jsou řádní členové fóra používající x jazyků.

No staci pouzit dotaz v univerzalni anglictine a to rozhodne zadnej bot automaticky nerozlouskne, pokud mu tedy nepomuze nejaky humanoid Nebo muzes dotaz napsat ve vice jazycich ale tak aby odpoved vzdy znela stejne... cili treba nazev nejakeho mesta, mista ap.
treba: "doplnte nazev nejznamejsiho americkeho mesta" : "New..."

Si myslim ze todle je mnohem lepsi nez obrazkove captchy ktere jsou uz v hodne pripadech necitelne.

[smix]

Kompletní změna captchy za něco jiného také nic neřeší, jen by to oddálilo dobu prolomení ... Bude zřejmě nutné vytvořit kombinace různých náhodně generovaných formulářů nebo si fórum nějak specificky upravit ... Bohužel čím těžší registrace bude, tím více uživatelů to odradí ...

Tak to si nemyslim... zatim mi ty moje logicke otazky za pul roku fungovani neprolomil zadnej bot a to je tam hloupe "kolik je dvě + pět" ... a je to i logicke podle jakeho klice by todle dokazal dekodovat? zas je nesmime precenovat nemaji zadnou vyspelou AI

Logické otázky jsou pěkné, ale pokud by se kompletně vyměnila captcha za tohle, tak to bude jen otázkou času ... Pokud to bude kombinace, tak to bude těžší ...

Je také možnost, že se tam registrují lidští spamměři. Dneska už existují systémy, kdy se ty stránky načtou, CAPTCHA pošle do Indie a někdo ji tam vyplní pro toho bota.

Prave ze registrovani nejsou oto asi zajem nemaji jen si proste postnou ten svuj spam v urcitych intervalech .. odhadem tak kazde 3 hodiny jeden

Za posledních 14 dnů se mi regnulo cca 30 botů ... a cca stejný počet zpráv ... Teď jsou to dva dny od změny nastavení a nic neprošlo ...
Zrušil jsem anonymní přispívání (snad dočasně).
Šum GD captchy jsem měl na 7, což jsem nepřečet - ale boti prošli ... Takže jsem to dal zpátky na 15 a snížil jsem počet chybných pokusů na 1 ... Bohužel to není překážka ... Takže jsem zapnul aktivaci přes email ... Převážně jde o gmaily a mail.ru ... Přes email se to neaktivovalo zatím (snad) žádnému ...

Logické otázky jsou pěkné, ale právě narazíte na tu multijazyčnost ... Pokud se udělá bezpečnostní mod, kterej si pak daj všichni, tak dřív nebo pozdějc se prolomí ... Není přeci těžké zjistit, že tahle otázka zřejmě očekává takovou odpověď ... A pokud to bude anglicky, tak to pochopí i bot ...

Změna agreed nebyla funkční na 100% ... I přes to přecházeli boti ...

[adminsao]

No a on tam doplní: Неш Ёрк protože mu nedocvakne že si má měnit kvůli tomu klávesnici z azbuky na latin když třeba nick si píše v azbuce a je v prd...

Navíc ta univerzální otázka zodpověditelná pastevcem z uzbekistánu přes ruské mužiky přes pobaltské státy, polsko, maďarsko, slovensko, česká republika po občany usa mě hoodně vrtá hlavou.

U mě ten přepis Agreed byl opravdu 100%. Zvolil jsem netradiční slovo a bot nemel přístup k formuláři. Za 1 rok fungovaní s tou změnou žádný bot a předtím ve špičkách i desítky denne (běžně tak do deseti). Zlatá dvojka (lepe řečeno plusko 1.52 - stabilni, vybavene, teď to musím všechno domódovavat ručně + vlastní úpravy templatů tak aby se nelišily od zažité původní dvojky, módy nestíhají dobíhat aktualizace jádra takže to že vyjde nějaká aktualizace na 3.0.5 je sice pěkné, ale pro mě mimo hru )

[WhiteWolfSix]

Momentálne tu na fóre testujeme novú wave captcha, ktorá sa má čoskoro objaviť v aktualizácii fóra 3.0.5. Od jej inštalácie sa tu nezaregistroval žiadny spammer. Samozrejme, je to vždy otázka času, kedy sa spammerom podarí prelomiť aj túto bariéru. Každá univerzálna metóda môže byť ľahko prelomená. Aj preto sú najúčinnejšie individuálne zábrany, ktoré sú však obmedzením pre malú komunitu.

[adminsao]

Je otázka času jestli se dřív spammerům podaří prolomit novou captchu nebo mě za několik měsíců nainstalovat 3.0.5 (po tom až budou všechny mody poupravené a fungovat i v té 3.0.5)

[smix]

Pokud máte fórum jen pro ČechoSlováky, tak jsem oprášil svou úpravu phpBB2, přes kterou nic neprošlo ...

Poznámka : Tato úprava chrání před registrací botů ...

Otevři includes/ucp/ucp_register.php
Najdi

Kód: Vybrat vše

		// Check and initialize some variables if needed
		if ($submit)
		{

na další řádek přidej

Kód: Vybrat vše

			// Smixův fígl proti cizím botům [+]
			$accept_language = substr($_SERVER['HTTP_ACCEPT_LANGUAGE'],0,2);
			if( ($accept_language != "cs") && ($accept_language != "sk") )
			{
				trigger_error('Omlouváme se, ale registrace je pouze pro čechoslováky.<br>Pokud přesto máte problém s registrací, kontaktujte prosím administrátora fóra.');
			}
			// Smixův fígl proti cizím botům [-]

Defaultně nastavené české/slovenské prohlížeče nebudou mít problém ...


@adminsao : Buď rád, že jsi se phpBB+ zbavil ...

[mates]

Nejsem webový vývojář, ani neumím php, ale existuje ještě jedno řešení. Když se registrují boti tak vyplňují prvních pár položek (jak psal adminsao). Řešením je před všechny položky dát další, a to checkbutton "jsem robot?". Uživateli zůstane neviditelný, ale bot ho vidí a zaškrtne. Jeli checkbutton zaškrtlý je to bot.
Není to úplně nejlepší řešení, je lehko odhalitelné, ale dost účinné.

[smix]

@mates : ono to ale nebude tak snadné ... Boti nevyplňují nějaké políčko ... Ale políčko, které se jmenuje uživatelské jméno, heslo, email, potvrzení emailu ... A pokud si dobře pamatuju, tak hidden inputy boti taky ignorují ...

[mates]

Aha, no dříve to tak fungovalo a stačilo to.

[smix]

... ale možná jsi mi vnuknul myšlenku ... Divem překrýt klasické inputy (nebo display:none; - ale na to by mohly přijít) a přidat nové (např. česky popsané) inputy a ty pak přebírat místo původních ...

[adminsao]

smixy vůbec nejsem rád že jsem se phpbb+ zbavil. Nepoužíval jsem zmršenou 1.53, ale stabilní 1.52 se kterou nebyl žádný výrazný problém.

Jinak tito současní boti si v roletkách vybírají vždy první možnost.
z menu jazyk si u mě vyberou ze sedmi jazyků první možnost podle abecedy a to je "British english"
z menu časové pásmo si vyberou první možnost a to je "-12"
z menu country flags si vyberou první možnost z 150 států a to je "afghanistan"

U jazyku je to možná proto, že bot se trefuje do základní instalace fóra které je téměř vždy "British english" a pak jen dál vybírá první možnosti protože neví co tam může být za položky k výběru (třeba u mě countryflags). Možná by stálo pouvažovat nad tím že při kombinaci "british english" + "-12" + "afghanistan" = bot = neregistrovat. To by nešlo nějak ošetřit?

Nebo by stačilo doplnit v country flags před afghanistan položku třeba "aaa" a pokud by si ji uživatel zvolil při registraci tak by registrace neproběhla.

Už jsem tam měl zase další dva afghánce.

[smix]

Nemá cenu rozebírat phpBB+, a pokud ti ho nehackly (a je jedno jestli 52 či 53 nebo 5x ...), tak patříš k těm šťastnějším ... Plusko mělo výhodu v tom, že bylo zmodované, ale to byla právě i jeho nevýhoda ... Nemluvě o bezpečnostních dírách ...

... předpokládám, že by to upravit šlo - vše je zřejmě v tom includes/ucp/ucp_register.php ...
Příkladový kód ...

Kód: Vybrat vše

if( ($use_lang == en) && ($timezone == -12) && ($countryflag == 'afghanistan') )
{
    trigger_error('Jseš bot ...');
}

(pozn. nepamatuju si formát timezone a neznám countryflags ...) ... ale pokud bych to měl programovat já, tak bych určitě zjistil, jestli se mi povedlo registrovat nebo ne a pokud ne, tak zkusim další volby ..

... s jistotou ale tvrdím, že má úprava (zpět pár postů) funguje a nepropustila mi za dva roky na (phpbb2) cz/sk fórum žádného bota (možná ještě lépe, kdyby se nevypisovalo, že nejsou čechoslováci - aby to nehlásilo, kde je chyba - jen kontaktovat administrátora) a nepamatuju si, že by si někdo stěžoval, že mu nejde se registrovat (pak by stačilo požádat ho o email a nick a registrovat ho manuálně ...)

[WhiteWolfSix]

smix: Toto obmedzenie je však dobré len pre užívateľov, ktorí sú v ČR a SR alebo používajú svoj vlastný PC. Ostatní češi a slováci žijúci v cudzine majú smolu. Ja mám niekoľko užívateľov, ktorí sa zaregistrovali počas svojho pobytu/života v UK či USA.

Pre mňa bolo najlepším riešením z čias phpBB2 obrátenie CAPTCHA kódu. Všetci slováci či češi rozumeli pridanému textu, ktorý upozorňoval na túto skutočnosť a tak zadali kód odzadu. Od nasadenia tohto riešenia som nemal ani jedného bota.

[smix]

... Jde však jen o pár uživatelů a i ti mají ve většině případů nastavený prohlížeč česky / slovensky. Pro téměř absolutní počet uživatelů, je to bezproblémů a boty to zastaví ...

[adminsao]

Nevím jak to přesně probíhá v tom registračním skriptu proto se ptám zkušenějších.

Jak složité by bylo do fóra zakomponovat něco takového: http://www.thepcspy.com/contact ?