הרשם שאלות ותשובות רשימת חברים לוח שנה חיפוש הודעות מהיום סמן פורומים כנקראו

   
|!|

השב
 
כלים לאשכול תצורת הצגה
ישן 21-04-09, 16:09   # 31
גורילה
עסק רשום [?]
 
מיני פרופיל
תאריך הצטרפות: Apr 2009
הודעות: 581

גורילה לא מחובר  

ציטוט:
נכתב במקור על ידי MasterT צפה בהודעה
Baku, אני רוצה להבהיר את זה בתחילת ההודעה כדי שזה יהיה ברור. אם אתה מעוניין לנהל כאן דיון - אשמח. אם אתה מעוניין לנהל כאן דיון שבו תזלזל באדם השני, תודיע לי מייד - כי לא אגיב בנושא הזה יותר, המטרה שלי היא לא לריב איתך, ואתה מוזמן לראות שיש אנשים שהביעו את דעתם בצורה טיפה יותר מאופקת.

daMn, FuZuL: תודה רבה, ולצערי הרב השבוע אני עסוק אבל בשישי אני אכין דף דוגמא עם העיקרון שלי.

Baku: מוזר. למה אני אומר מוזר? כי לפי הגישה שלך - הדרך היחידה לזהות בן אדם היא על ידי קאפטצ'ה. נניח שזה נכון - דבר שקרה הרבה בעבר. אני רוצה לבצע הצפה המונית של ההרשמה בהוסטס. פתחתי בשביל העניין אתר משחקים לילדים (או פורנוגראפיה - כמו הדבר המקורי), וכל מי שירצה לשחק במשחק - יצטרך לכתוב מה רשום בתמונה. אני כל פעם אקח את התמונה מההרשמה של הוסטס - מישהו ירשום, ואז הבוט שלי יוכל להירשם, עוד פעם. יש לי אתר של 1000 גולשים כל יום? אני אבקש מכל אחד לכתוב 3 פעמים? יש לי 3000 הרשמות להוסטס למרות הקאפטצ'ה.

אז מה עם הדבר הזה? אפשר להמשיך להתחכם ולמצוא עוד דברים...

בנוסף - נניח והאדם הזדוני נרשם לאתר שלך. אם יש דבר אחד - דבר אחד בלי בקרת הצפה, בשביל העניין - הודעות בפרופיל - הוא יכול להירשם פעם אחת באופן ידני, ולהכין בוט שיציף את כל ההודעות בפרופיל. הודעות בפרופיל מוגנות? הוא כבר ימצא משהו אחר. הכל מוגן? אני אריץ אותו ב-12 בלילה עד 6 בבוקר, נגיד ואפשר לשלוח הודעה פרטית כל 30 שניות? זאת אומרת 120 הודעות לשעה? הנה כבר שלחתי בערך 800 הודעות. אפשר להמשיך ולתת עוד ועוד רעיונות איך ניתן לעקוף דברים כאלה - וכמו שהסברתי - גם הקאפטצ'ה לא תעצור את זה.

חבל שלא קראת את הודעותי בעיון, כתבתי במפורש שהשיטה שלי זה לא "חסין לספאם".
אבל בשבילי, אם אני יודע שכל עוד מישהו לא ירצה בכוונה להתלבש על האתר שלי (וכמו שציינתי למעלה - גם אז קאפטצ'ה לא תעצור אותו) - ואין שום נזק גם אם מישהו יחליט - למה לא? ואם אני דואג לעשות את זה מספיק טוב, גם אם מישהו יחליט, הוא יצטרך לדעת איך לשחק עם דברים, להבין דברים ו"לנחש" דברים כדי ליצור דבר שבכל זאת יציף את זה. אני לא הולך עכשיו להסביר בדיוק מה אני אעשה כדי לדאוג שהסיכוי שזה יקרה יהיה כמעט אפסי, אבל יש גם דברים כגון Askimet שיכולים לעבוד מצויין.

ועוד פעם - אם ההודעה הבאה תבוא כתקיפה עליי במטרה לסתור את הדעה שלי ולא להעשיר את הדיון, לא נעלמתי - אני פשוט לא אגיב בנושא זה.

יום טוב, דניאל.
תראה , כאן לקחת את זה ממש ממש רחוק.
אתה אומר שתוכל להציף את ההודעות בפרופיל , אני אלך איתך בראש הזה , אעשה בדיקה האם המשתמש הגיב בפרופיל ב-5 דקות האחרונות , אם כן לא אאפשר לו להגיב שנית.

בקשר לשיטה שבה "עברת" כביכול את הקאפטצ'ה בהרשמה של הוסטס , אותו דבר ו/או חסימת הרשמה מאותו IP (שכאן אני קצת פוגע בנוחיות המשתמש).

מחכה לתגובה , כי אני אוהב את הקו מחשבה שלך
__________________
בניית אתרים
  Reply With Quote
ישן 21-04-09, 16:17   # 32
Daniel
אחראי פורום
 
מיני פרופיל
תאריך הצטרפות: Mar 2007
הודעות: 2,875

Daniel לא מחובר  

ציטוט:
נכתב במקור על ידי גורילה צפה בהודעה
תראה , כאן לקחת את זה ממש ממש רחוק.
אתה אומר שתוכל להציף את ההודעות בפרופיל , אני אלך איתך בראש הזה , אעשה בדיקה האם המשתמש הגיב בפרופיל ב-5 דקות האחרונות , אם כן לא אאפשר לו להגיב שנית.

בקשר לשיטה שבה "עברת" כביכול את הקאפטצ'ה בהרשמה של הוסטס , אותו דבר ו/או חסימת הרשמה מאותו IP (שכאן אני קצת פוגע בנוחיות המשתמש).

מחכה לתגובה , כי אני אוהב את הקו מחשבה שלך
אם תעשה בדיקה כזאת, אתה רק תתחיל לפגוע במשתמשים. כי אז אני אספים בעזרת עשרות אשכולות והודעות חדשות בנושאים - ואז גם תחסום שם כל 5 דקות? ואז זה יהיה ממש אי-נוחות.

הצפות לא נעשות על ידי אותו IP, אלא על ידי בוטנט. הצפות לפי IP אפשר לחסום.
  Reply With Quote
ישן 21-04-09, 20:59   # 33
AlmogBaku
חבר וותיק
 
AlmogBaku's Avatar
 
מיני פרופיל
תאריך הצטרפות: Nov 2007
מיקום: מודיעין
הודעות: 1,022

AlmogBaku לא מחובר  

ציטוט:
נכתב במקור על ידי MasterT צפה בהודעה
Baku, אני רוצה להבהיר את זה בתחילת ההודעה כדי שזה יהיה ברור. אם אתה מעוניין לנהל כאן דיון - אשמח. אם אתה מעוניין לנהל כאן דיון שבו תזלזל באדם השני, תודיע לי מייד - כי לא אגיב בנושא הזה יותר, המטרה שלי היא לא לריב איתך, ואתה מוזמן לראות שיש אנשים שהביעו את דעתם בצורה טיפה יותר מאופקת.

daMn, FuZuL: תודה רבה, ולצערי הרב השבוע אני עסוק אבל בשישי אני אכין דף דוגמא עם העיקרון שלי.

Baku: מוזר. למה אני אומר מוזר? כי לפי הגישה שלך - הדרך היחידה לזהות בן אדם היא על ידי קאפטצ'ה. נניח שזה נכון - דבר שקרה הרבה בעבר. אני רוצה לבצע הצפה המונית של ההרשמה בהוסטס. פתחתי בשביל העניין אתר משחקים לילדים (או פורנוגראפיה - כמו הדבר המקורי), וכל מי שירצה לשחק במשחק - יצטרך לכתוב מה רשום בתמונה. אני כל פעם אקח את התמונה מההרשמה של הוסטס - מישהו ירשום, ואז הבוט שלי יוכל להירשם, עוד פעם. יש לי אתר של 1000 גולשים כל יום? אני אבקש מכל אחד לכתוב 3 פעמים? יש לי 3000 הרשמות להוסטס למרות הקאפטצ'ה.

אז מה עם הדבר הזה? אפשר להמשיך להתחכם ולמצוא עוד דברים...

בנוסף - נניח והאדם הזדוני נרשם לאתר שלך. אם יש דבר אחד - דבר אחד בלי בקרת הצפה, בשביל העניין - הודעות בפרופיל - הוא יכול להירשם פעם אחת באופן ידני, ולהכין בוט שיציף את כל ההודעות בפרופיל. הודעות בפרופיל מוגנות? הוא כבר ימצא משהו אחר. הכל מוגן? אני אריץ אותו ב-12 בלילה עד 6 בבוקר, נגיד ואפשר לשלוח הודעה פרטית כל 30 שניות? זאת אומרת 120 הודעות לשעה? הנה כבר שלחתי בערך 800 הודעות. אפשר להמשיך ולתת עוד ועוד רעיונות איך ניתן לעקוף דברים כאלה - וכמו שהסברתי - גם הקאפטצ'ה לא תעצור את זה.

חבל שלא קראת את הודעותי בעיון, כתבתי במפורש שהשיטה שלי זה לא "חסין לספאם".
אבל בשבילי, אם אני יודע שכל עוד מישהו לא ירצה בכוונה להתלבש על האתר שלי (וכמו שציינתי למעלה - גם אז קאפטצ'ה לא תעצור אותו) - ואין שום נזק גם אם מישהו יחליט - למה לא? ואם אני דואג לעשות את זה מספיק טוב, גם אם מישהו יחליט, הוא יצטרך לדעת איך לשחק עם דברים, להבין דברים ו"לנחש" דברים כדי ליצור דבר שבכל זאת יציף את זה. אני לא הולך עכשיו להסביר בדיוק מה אני אעשה כדי לדאוג שהסיכוי שזה יקרה יהיה כמעט אפסי, אבל יש גם דברים כגון Askimet שיכולים לעבוד מצויין.

ועוד פעם - אם ההודעה הבאה תבוא כתקיפה עליי במטרה לסתור את הדעה שלי ולא להעשיר את הדיון, לא נעלמתי - אני פשוט לא אגיב בנושא זה.

יום טוב, דניאל.
הבעיה היא שהוויכוח הזה חוזר כל חצי שנה, וכל חצי שנה אתה מתעקש וחושב שמצאת את העולם. חביבי לא המצאת כלום..

לגבי ה"רק קפצ'ה!" לא, יש עוד אפשרויות. אבל מה שאתה הצעת לא כלול בתוכם.
  Reply With Quote
ישן 21-04-09, 21:49   # 34
Daniel
אחראי פורום
 
מיני פרופיל
תאריך הצטרפות: Mar 2007
הודעות: 2,875

Daniel לא מחובר  

ציטוט:
נכתב במקור על ידי Baku צפה בהודעה
הבעיה היא שהוויכוח הזה חוזר כל חצי שנה, וכל חצי שנה אתה מתעקש וחושב שמצאת את העולם. חביבי לא המצאת כלום..

לגבי ה"רק קפצ'ה!" לא, יש עוד אפשרויות. אבל מה שאתה הצעת לא כלול בתוכם.
ברצינות? כל שנה אני חושב שמצאתי את העולם?
אני נתתי את דעתי אלמוג, ומה שאני אומר זה עוד דבר לניסיון להפחתת כמות הספאם.

כשיהיה לי זמן אני אכין אתר דוגמא פשוט באנגלית להדגים את העיקרון שלי. אגב - אתה מוזמן להסתכל על Askimet כעוד דוגמא.
  Reply With Quote
ישן 21-04-09, 23:40   # 35
intercooler3819
חבר וותיק
 
מיני פרופיל
תאריך הצטרפות: Jul 2008
הודעות: 1,056

intercooler3819 לא מחובר  

ציטוט:
נכתב במקור על ידי MasterT צפה בהודעה
חס וחלילה לא אמרתי שאפשר לוותר על קאפטצ'ה,
אמרתי שאני עשיתי את החשבון ובמידה, ומערכת ששמתי בא קאפטצ'ה בעזרת JavaScript ו"יספימו" אותה - לא יגרם שום נזק, או שהתועלת שזה שאין קאפטצ'ה תיהיה גדולה על ה"נזק" כביכול שיגרם בלי קאפטצ'ה.


אם דיברת אליי - אתה כנראה או שלא קראת את ההודעה, או שהחלטת לזלזל בי בלי קשר - אבל אשמח אם תקרא את ההודעה שנית. תשלח REQUEST לשרת? אז אם,
מופיע האינפוט X (למרות שבעזרת JAVASCRIPT דאגתי שהוא "יעלם"),
או לא מופיע באינפוט Y (יצרתי אותו באופן דינאמי באמצעות JAVASCRIPT),

אני לא "אאשר" את השליחה.
אז בא בנאדם או רובוט מחוכם
מריץ את הJS ועושה כל מה שבראשו
אחרי הכל הדפדפן הוא למעשה JS INTERPRETER ואפשר לכתוב אחד כזה בקלות
ואני לא חושב שיש בעיה להוסיף לPOST REQUEST עוד שדות, מה שצריך זה רק לעדכן את הCONTENT LENGTH בהתאם

לוודא דברים כאלו בצד לקוח זה טעות - רק בצד שרת



קראתי את המשך הדיון
אנשים התחרפנתם

בכל אופן
אני יסכם את זה מהניסיון שלי ככה
קודם כל תוודאו אם מה שמדובר עליו בכלל שווה לוודא אותו, לדוגמא לא יפריע לי אם בנאדם מוסיף לעצמו צפיות בסרטון יוטיוב שלו, כי זה בסה"כ צפיות, ממש לא אכפת לי אם מישהו יחליט לאנוס את המדד (את האמת זה עקרוני כי ככה מבצעים PROMOTION לוידאואים וזה באמת עובד אבל חפיף.. אין לי דוגמא חארת בראש)

אחרי שאני כבר יודע שזה משהו שבאמת עקרוני לאבטח הייתי נוקט בצעדים הבאים
קודם כל לא בודק את הדברים ברמה של צד לקוח - טעות עצומה לדעתי ובזבוז זמן טוטאלי - אלא אם כן הזמן שלוקח לכם לוודא את הדברים בשרת גדול, מה שלרוב לא נכון כי לרוב רוב הכניסות הם לעמודי שליפת המידע וההזנה היא חד פעמית או זניחה יחסית לשליפות, אבל נניח וכן ורציתם לחסוך - תעברו לJS ותזרקו את זה אצל הלקוח

שנית הייתי מריץ RECAPTCHA או אם הקהל יעד בארץ - משהו יותר מגניב עם אותיות בעברית או איזה משימה מוקרצת "כתוב את האות שבין ג' לה'" וכד', או סתם נותן לחשב נפח סיבוב של איזה פונקציה טריגונומטרית הזויה P:

בסופו של דבר אתם צריכים כמה שפחות להציק ליוזר אבל כמה שיותר לוודא את תקינות המידע - אל תחשבו על היוזר בתור אחד שבא לאנוס את המערכת שלכם ואל תחשבו עליו גם בתור בנאדם תמים - תדאגו לאמצעים מינימלים שלא יציקו לו אך שלא יתנו יד חופשית למערכת שלכם

איך לעשות את זה? -> זה ממש איך שתרצו - נתתי אמצעים שאני מחבב למעלה - אבל זה ממש מה שבא לכם
__________________

Last edited by intercooler3819; 21-04-09 at 23:51..
  Reply With Quote
ישן 22-04-09, 09:16   # 36
yard2010
חבר בקהילה
 
מיני פרופיל
תאריך הצטרפות: Jul 2008
הודעות: 152
שלח הודעה באמצעות ICO אל yard2010 שלח הודעה באמצעות MSN אל yard2010

yard2010 לא מחובר  

ממה שהבנתי מידידנו, זה סתם בוט שמשעמם לו, זה לא שמישהו בא ומנסה להשמיד לו את האתר... גם אם כן, למה לא להשתמש ב-2 הטכניקות שציינתם? אני מתכוון באופן כללי, אפשר לעשות גם קפצ'ה וגם את הרעיון שדניאל חשב עליו (שהוא חכם, פעם ראשונה שאני שומע אותו והוא מאוד מקורי)...

אני חשבתי על משהו אחר: ליצור SWF שיוצר מחרוזת רנדומלית, מעביר אותה לשרת (מפעיל קובץ PHP שמעתיק את זה למשתנה סשן) ואז האימות מתבצע מול הסשן... איך?
__________________
בברכה, ירדן רפאלי, מתכנת PHP.
מסנג'ר: yarden00@walla.com
אימייל: yard2010[@]gmail.com
פיג'מה
  Reply With Quote
ישן 22-04-09, 16:52   # 37
Daniel
אחראי פורום
 
מיני פרופיל
תאריך הצטרפות: Mar 2007
הודעות: 2,875

Daniel לא מחובר  

ציטוט:
נכתב במקור על ידי nitsanbn צפה בהודעה
אז בא בנאדם או רובוט מחוכם
מריץ את הJS ועושה כל מה שבראשו
אחרי הכל הדפדפן הוא למעשה JS INTERPRETER ואפשר לכתוב אחד כזה בקלות
ואני לא חושב שיש בעיה להוסיף לPOST REQUEST עוד שדות, מה שצריך זה רק לעדכן את הCONTENT LENGTH בהתאם

לוודא דברים כאלו בצד לקוח זה טעות - רק בצד שרת



קראתי את המשך הדיון
אנשים התחרפנתם

בכל אופן
אני יסכם את זה מהניסיון שלי ככה
קודם כל תוודאו אם מה שמדובר עליו בכלל שווה לוודא אותו, לדוגמא לא יפריע לי אם בנאדם מוסיף לעצמו צפיות בסרטון יוטיוב שלו, כי זה בסה"כ צפיות, ממש לא אכפת לי אם מישהו יחליט לאנוס את המדד (את האמת זה עקרוני כי ככה מבצעים PROMOTION לוידאואים וזה באמת עובד אבל חפיף.. אין לי דוגמא חארת בראש)

אחרי שאני כבר יודע שזה משהו שבאמת עקרוני לאבטח הייתי נוקט בצעדים הבאים
קודם כל לא בודק את הדברים ברמה של צד לקוח - טעות עצומה לדעתי ובזבוז זמן טוטאלי - אלא אם כן הזמן שלוקח לכם לוודא את הדברים בשרת גדול, מה שלרוב לא נכון כי לרוב רוב הכניסות הם לעמודי שליפת המידע וההזנה היא חד פעמית או זניחה יחסית לשליפות, אבל נניח וכן ורציתם לחסוך - תעברו לJS ותזרקו את זה אצל הלקוח

שנית הייתי מריץ RECAPTCHA או אם הקהל יעד בארץ - משהו יותר מגניב עם אותיות בעברית או איזה משימה מוקרצת "כתוב את האות שבין ג' לה'" וכד', או סתם נותן לחשב נפח סיבוב של איזה פונקציה טריגונומטרית הזויה P:

בסופו של דבר אתם צריכים כמה שפחות להציק ליוזר אבל כמה שיותר לוודא את תקינות המידע - אל תחשבו על היוזר בתור אחד שבא לאנוס את המערכת שלכם ואל תחשבו עליו גם בתור בנאדם תמים - תדאגו לאמצעים מינימלים שלא יציקו לו אך שלא יתנו יד חופשית למערכת שלכם

איך לעשות את זה? -> זה ממש איך שתרצו - נתתי אמצעים שאני מחבב למעלה - אבל זה ממש מה שבא לכם
(אגב, yard - גם את זה אפשר לעקוף לשלוח מחרוזת מזוייפת.... אבל זה לא שאיזה מתכנת יתחיל לנתח עם sniffer דווקא לאתר שלו).

שמע - אני לא אמרתי, ואף פעם לא אגיד שיש פיתרון מושלם,
ואף פעם לא אמרתי שמתכנת מספיק טוב יכול תוך מקסימום שעה להכין בוט שיעקוף את ההגנה שהצעתי,

אבל שוב פעם - אז הוא ירשם ידנית, ויציף את הפורום דרך בוט. כל דבר ניתן לעקוף, וכל עוד התועלת גדולה מהנזק הפוטנציאלי (שלא נדבר על זה שבמקרה הכי גרוע שהוא יצליח להציף -> למחוק את כל ההודעות ולעבור לקאפטצ'ה). אבל מבחינת טרחה? הרבה פחות טרחה, הרבה יותר תועלת, ונזק פוטנציאלי נמוך
  Reply With Quote
השב

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

Tags
בניית אתר, בניית אתרים

כלים לאשכול
תצורת הצגה

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה

קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 22:40.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ