PHP | עזרה | הודעות ספאם או שליחה רגילה?! - הוסטס

AlmogBaku · 19-04-09, 21:41

ציטוט:

נכתב במקור על ידי MasterT

אגב - אני לרוב במערכות לא שם קאפטצ'ה - אלא עושה טריקים בג'אווה סקריפט - בשביל העניין INPUT מוחבא, onload הערך שלו הופך ל"TRUE".
אני בודק - אם הערך לא TRUE, אז זה בוט.

עכשיו - מה הבעייה? יש בוטים שיודעים לפרש JAVASCRIPT. ובשביל זה יש כמה משחקים עם display ו-visibility (בשביל העניין, 2 שדות של שם - שניהם מתחילים ריקים, והמערכת מציגה אחד מהם) - כל מיני סיבוכים כאלה. ויש כמובן את המאוד ריאליסטים - וגם להם יש שיטות למנוע - אך שום דבר לא מושלם.
(וכמובן דואג מראש שכל קהל היעד יתמוך בג'אווה סקריפט).

חחחחח
יש סיבה כלשהיא שכל האתרים הגדולים משתמשים בקפצ'ה, ורובם ב reCaptcha.

פשוט, כי לא משנה כמה טריקים מפגרים תעשה אפשר לתכנת רובוט שימלא רק את מה שאמרתי לו. וקפצ'ה זה כבר משהוא מסובך יותר, כי צריך OCR.
אם אתה רוצה להיות משוכלל יותר תלך על טריקים שהם לא קפצ'ה אותיות- למשל זיהוי חיות בתמונה, זיהוי צבעים[מה צבע המכונית בתמונה?], וכו'.

**Daniel** · 20-04-09, 16:36

ציטוט:

נכתב במקור על ידי Baku

חחחחח
יש סיבה כלשהיא שכל האתרים הגדולים משתמשים בקפצ'ה, ורובם ב reCaptcha.

פשוט, כי לא משנה כמה טריקים מפגרים תעשה אפשר לתכנת רובוט שימלא רק את מה שאמרתי לו. וקפצ'ה זה כבר משהוא מסובך יותר, כי צריך OCR.
אם אתה רוצה להיות משוכלל יותר תלך על טריקים שהם לא קפצ'ה אותיות- למשל זיהוי חיות בתמונה, זיהוי צבעים[מה צבע המכונית בתמונה?], וכו'.

חס וחלילה לא אמרתי שאפשר לוותר על קאפטצ'ה,
אמרתי שאני עשיתי את החשבון ובמידה, ומערכת ששמתי בא קאפטצ'ה בעזרת JavaScript ו"יספימו" אותה - לא יגרם שום נזק, או שהתועלת שזה שאין קאפטצ'ה תיהיה גדולה על ה"נזק" כביכול שיגרם בלי קאפטצ'ה.

ציטוט:

לכתוב משהו בצד לקוח בשיל לוודא דברים כאלה זה מטומטם
רובוטים לא נכנסים לעמוד חח הם פשוט שולחים REQUEST לשרת חח אפשר לאנוס לך את השרת עם זה ותסלח לי על המילה

בהצלחה

אם דיברת אליי - אתה כנראה או שלא קראת את ההודעה, או שהחלטת לזלזל בי בלי קשר - אבל אשמח אם תקרא את ההודעה שנית. תשלח REQUEST לשרת? אז אם,
מופיע האינפוט X (למרות שבעזרת JAVASCRIPT דאגתי שהוא "יעלם"),
או לא מופיע באינפוט Y (יצרתי אותו באופן דינאמי באמצעות JAVASCRIPT),

אני לא "אאשר" את השליחה.

daMn · 20-04-09, 20:40

ציטוט:

נכתב במקור על ידי MasterT

חס וחלילה לא אמרתי שאפשר לוותר על קאפטצ'ה,
אמרתי שאני עשיתי את החשבון ובמידה, ומערכת ששמתי בא קאפטצ'ה בעזרת JavaScript ו"יספימו" אותה - לא יגרם שום נזק, או שהתועלת שזה שאין קאפטצ'ה תיהיה גדולה על ה"נזק" כביכול שיגרם בלי קאפטצ'ה.

אם דיברת אליי - אתה כנראה או שלא קראת את ההודעה, או שהחלטת לזלזל בי בלי קשר - אבל אשמח אם תקרא את ההודעה שנית. תשלח REQUEST לשרת? אז אם,
מופיע האינפוט X (למרות שבעזרת JAVASCRIPT דאגתי שהוא "יעלם"),
או לא מופיע באינפוט Y (יצרתי אותו באופן דינאמי באמצעות JAVASCRIPT),

אני לא "אאשר" את השליחה.

מה הבעיה לבדוק מתי אתה מאשר את השליחה ואז להוסיף את הפרמטר הזה בבקשה שנשלחת לשרת...בכ"מ JS בשורה התחתונה לא יכול לעשות כלום אם מישהו רוצה לשלוח ספאם.

**Daniel** · 20-04-09, 21:08

ציטוט:

נכתב במקור על ידי daMn

מה הבעיה לבדוק מתי אתה מאשר את השליחה ואז להוסיף את הפרמטר הזה בבקשה שנשלחת לשרת...בכ"מ JS בשורה התחתונה לא יכול לעשות כלום אם מישהו רוצה לשלוח ספאם.

מה? אם מישהו ידני ירצה לעשות משהו, גם "reCaptcha" לא תעצור אותו - מהסיבה הפשוטה שיש הרבה מאוד מקומות לניצול של הצפה (ואפילו "רק" הצפה על מסד הנתונים).

אם מישהו מאוד ירצה - מאוד מאוד - הוא יוכל לעקוף את ה"הגנה" שלי. אבל אני חישבתי שזה הרבה יותר יעיל מאשר לשים קאפטצ'ה.

daMn · 21-04-09, 01:38

ציטוט:

נכתב במקור על ידי MasterT

מה? אם מישהו ידני ירצה לעשות משהו, גם "reCaptcha" לא תעצור אותו - מהסיבה הפשוטה שיש הרבה מאוד מקומות לניצול של הצפה (ואפילו "רק" הצפה על מסד הנתונים).

אם מישהו מאוד ירצה - מאוד מאוד - הוא יוכל לעקוף את ה"הגנה" שלי. אבל אני חישבתי שזה הרבה יותר יעיל מאשר לשים קאפטצ'ה.

אתה יכול להראות דוגמא של מה שאתה מדבר?..סתם מתוך סקרנות

AlmogBaku · 21-04-09, 01:48

בחיי כל חצי שנה אותו וויכוח מטוטמם.

תבנה לך את האימות JS שלך, בהצלחה! צום קל! שבת שלום!
על מה אתה מתעקש? עם מי אתה נלחם???

אתה נלחם פה איתי- שישבתי וחקרתי את הנושא ושמעתי הרצאות באנגלית?
אתה נלחם פה עם ניצן- שישב וקרא וחקר והגיע לאותה מסקנה?
אתה נלחם פה עם דאממ(אט)- שלא מבין מאפה אתה ממציא את השטויות שלך?
אתה נלחם פה עם כל העולם- שחלקו מכיל פרופסורים ומתכנתים רבים שכולם הסכימו פה אחד שהפתרון לזיהוי גורם אנוש הוא בברים שרק אדם יכול לבצע?
למה לכל הרוחות אתה מנסה להמציא גלגל שהומצא?!!?!?!??!

בבקשה ממך, אם אתה לא בטוח במה שאתה אומר- תבדוק את זה, אתה מטעה פה אנשים. תעשה מחקר[אפילו תיאורטי] תראה הוחכות ותדבר איתנו.

intercooler3819 · 21-04-09, 23:40

ציטוט:

נכתב במקור על ידי MasterT

חס וחלילה לא אמרתי שאפשר לוותר על קאפטצ'ה,
אמרתי שאני עשיתי את החשבון ובמידה, ומערכת ששמתי בא קאפטצ'ה בעזרת JavaScript ו"יספימו" אותה - לא יגרם שום נזק, או שהתועלת שזה שאין קאפטצ'ה תיהיה גדולה על ה"נזק" כביכול שיגרם בלי קאפטצ'ה.

אם דיברת אליי - אתה כנראה או שלא קראת את ההודעה, או שהחלטת לזלזל בי בלי קשר - אבל אשמח אם תקרא את ההודעה שנית. תשלח REQUEST לשרת? אז אם,
מופיע האינפוט X (למרות שבעזרת JAVASCRIPT דאגתי שהוא "יעלם"),
או לא מופיע באינפוט Y (יצרתי אותו באופן דינאמי באמצעות JAVASCRIPT),

אני לא "אאשר" את השליחה.

אז בא בנאדם או רובוט מחוכם
מריץ את הJS ועושה כל מה שבראשו
אחרי הכל הדפדפן הוא למעשה JS INTERPRETER ואפשר לכתוב אחד כזה בקלות

ואני לא חושב שיש בעיה להוסיף לPOST REQUEST עוד שדות, מה שצריך זה רק לעדכן את הCONTENT LENGTH בהתאם

לוודא דברים כאלו בצד לקוח זה טעות - רק בצד שרת

קראתי את המשך הדיון
אנשים התחרפנתם

בכל אופן
אני יסכם את זה מהניסיון שלי ככה
קודם כל תוודאו אם מה שמדובר עליו בכלל שווה לוודא אותו, לדוגמא לא יפריע לי אם בנאדם מוסיף לעצמו צפיות בסרטון יוטיוב שלו, כי זה בסה"כ צפיות, ממש לא אכפת לי אם מישהו יחליט לאנוס את המדד (את האמת זה עקרוני כי ככה מבצעים PROMOTION לוידאואים וזה באמת עובד אבל חפיף.. אין לי דוגמא חארת בראש)

אחרי שאני כבר יודע שזה משהו שבאמת עקרוני לאבטח הייתי נוקט בצעדים הבאים
קודם כל לא בודק את הדברים ברמה של צד לקוח - טעות עצומה לדעתי ובזבוז זמן טוטאלי - אלא אם כן הזמן שלוקח לכם לוודא את הדברים בשרת גדול, מה שלרוב לא נכון כי לרוב רוב הכניסות הם לעמודי שליפת המידע וההזנה היא חד פעמית או זניחה יחסית לשליפות, אבל נניח וכן ורציתם לחסוך - תעברו לJS ותזרקו את זה אצל הלקוח

שנית הייתי מריץ RECAPTCHA או אם הקהל יעד בארץ - משהו יותר מגניב עם אותיות בעברית או איזה משימה מוקרצת "כתוב את האות שבין ג' לה'" וכד', או סתם נותן לחשב נפח סיבוב של איזה פונקציה טריגונומטרית הזויה P:

בסופו של דבר אתם צריכים כמה שפחות להציק ליוזר אבל כמה שיותר לוודא את תקינות המידע - אל תחשבו על היוזר בתור אחד שבא לאנוס את המערכת שלכם ואל תחשבו עליו גם בתור בנאדם תמים - תדאגו לאמצעים מינימלים שלא יציקו לו אך שלא יתנו יד חופשית למערכת שלכם

איך לעשות את זה? -> זה ממש איך שתרצו - נתתי אמצעים שאני מחבב למעלה - אבל זה ממש מה שבא לכם

yard2010 · 22-04-09, 09:16

ממה שהבנתי מידידנו, זה סתם בוט שמשעמם לו, זה לא שמישהו בא ומנסה להשמיד לו את האתר... גם אם כן, למה לא להשתמש ב-2 הטכניקות שציינתם? אני מתכוון באופן כללי, אפשר לעשות גם קפצ'ה וגם את הרעיון שדניאל חשב עליו (שהוא חכם, פעם ראשונה שאני שומע אותו והוא מאוד מקורי)...

אני חשבתי על משהו אחר: ליצור SWF שיוצר מחרוזת רנדומלית, מעביר אותה לשרת (מפעיל קובץ PHP שמעתיק את זה למשתנה סשן) ואז האימות מתבצע מול הסשן... איך?

**Daniel** · 22-04-09, 16:52

ציטוט:

נכתב במקור על ידי nitsanbn

אז בא בנאדם או רובוט מחוכם
מריץ את הJS ועושה כל מה שבראשו
אחרי הכל הדפדפן הוא למעשה JS INTERPRETER ואפשר לכתוב אחד כזה בקלות

ואני לא חושב שיש בעיה להוסיף לPOST REQUEST עוד שדות, מה שצריך זה רק לעדכן את הCONTENT LENGTH בהתאם

לוודא דברים כאלו בצד לקוח זה טעות - רק בצד שרת

קראתי את המשך הדיון
אנשים התחרפנתם

בכל אופן
אני יסכם את זה מהניסיון שלי ככה
קודם כל תוודאו אם מה שמדובר עליו בכלל שווה לוודא אותו, לדוגמא לא יפריע לי אם בנאדם מוסיף לעצמו צפיות בסרטון יוטיוב שלו, כי זה בסה"כ צפיות, ממש לא אכפת לי אם מישהו יחליט לאנוס את המדד (את האמת זה עקרוני כי ככה מבצעים PROMOTION לוידאואים וזה באמת עובד אבל חפיף.. אין לי דוגמא חארת בראש)

אחרי שאני כבר יודע שזה משהו שבאמת עקרוני לאבטח הייתי נוקט בצעדים הבאים
קודם כל לא בודק את הדברים ברמה של צד לקוח - טעות עצומה לדעתי ובזבוז זמן טוטאלי - אלא אם כן הזמן שלוקח לכם לוודא את הדברים בשרת גדול, מה שלרוב לא נכון כי לרוב רוב הכניסות הם לעמודי שליפת המידע וההזנה היא חד פעמית או זניחה יחסית לשליפות, אבל נניח וכן ורציתם לחסוך - תעברו לJS ותזרקו את זה אצל הלקוח

שנית הייתי מריץ RECAPTCHA או אם הקהל יעד בארץ - משהו יותר מגניב עם אותיות בעברית או איזה משימה מוקרצת "כתוב את האות שבין ג' לה'" וכד', או סתם נותן לחשב נפח סיבוב של איזה פונקציה טריגונומטרית הזויה P:

בסופו של דבר אתם צריכים כמה שפחות להציק ליוזר אבל כמה שיותר לוודא את תקינות המידע - אל תחשבו על היוזר בתור אחד שבא לאנוס את המערכת שלכם ואל תחשבו עליו גם בתור בנאדם תמים - תדאגו לאמצעים מינימלים שלא יציקו לו אך שלא יתנו יד חופשית למערכת שלכם

איך לעשות את זה? -> זה ממש איך שתרצו - נתתי אמצעים שאני מחבב למעלה - אבל זה ממש מה שבא לכם

(אגב, yard - גם את זה אפשר לעקוף לשלוח מחרוזת מזוייפת.... אבל זה לא שאיזה מתכנת יתחיל לנתח עם sniffer דווקא לאתר שלו).

שמע - אני לא אמרתי, ואף פעם לא אגיד שיש פיתרון מושלם,
ואף פעם לא אמרתי שמתכנת מספיק טוב יכול תוך מקסימום שעה להכין בוט שיעקוף את ההגנה שהצעתי,

אבל שוב פעם - אז הוא ירשם ידנית, ויציף את הפורום דרך בוט. כל דבר ניתן לעקוף, וכל עוד התועלת גדולה מהנזק הפוטנציאלי (שלא נדבר על זה שבמקרה הכי גרוע שהוא יצליח להציף -> למחוק את כל ההודעות ולעבור לקאפטצ'ה). אבל מבחינת טרחה? הרבה פחות טרחה, הרבה יותר תועלת, ונזק פוטנציאלי נמוך

22-04-09, 09:16	# 8
yard2010 חבר בקהילה מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 152	ממה שהבנתי מידידנו, זה סתם בוט שמשעמם לו, זה לא שמישהו בא ומנסה להשמיד לו את האתר... גם אם כן, למה לא להשתמש ב-2 הטכניקות שציינתם? אני מתכוון באופן כללי, אפשר לעשות גם קפצ'ה וגם את הרעיון שדניאל חשב עליו (שהוא חכם, פעם ראשונה שאני שומע אותו והוא מאוד מקורי)... אני חשבתי על משהו אחר: ליצור SWF שיוצר מחרוזת רנדומלית, מעביר אותה לשרת (מפעיל קובץ PHP שמעתיק את זה למשתנה סשן) ואז האימות מתבצע מול הסשן... איך? __________________ בברכה, ירדן רפאלי, מתכנת PHP. מסנג'ר: yarden00@walla.com אימייל: yard2010[@]gmail.com פיג'מה


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

21-04-09, 01:48	# 6
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	בחיי כל חצי שנה אותו וויכוח מטוטמם. תבנה לך את האימות JS שלך, בהצלחה! צום קל! שבת שלום! על מה אתה מתעקש? עם מי אתה נלחם??? אתה נלחם פה איתי- שישבתי וחקרתי את הנושא ושמעתי הרצאות באנגלית? אתה נלחם פה עם ניצן- שישב וקרא וחקר והגיע לאותה מסקנה? אתה נלחם פה עם דאממ(אט)- שלא מבין מאפה אתה ממציא את השטויות שלך? אתה נלחם פה עם כל העולם- שחלקו מכיל פרופסורים ומתכנתים רבים שכולם הסכימו פה אחד שהפתרון לזיהוי גורם אנוש הוא בברים שרק אדם יכול לבצע? למה לכל הרוחות אתה מנסה להמציא גלגל שהומצא?!!?!?!??! בבקשה ממך, אם אתה לא בטוח במה שאתה אומר- תבדוק את זה, אתה מטעה פה אנשים. תעשה מחקר[אפילו תיאורטי] תראה הוחכות ותדבר איתנו.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)