ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
11.01.2009, 01:21
|
|
Reservists Of Antichat - Level 6
Регистрация: 25.04.2008
Сообщений: 827
Провел на форуме:
2769640
Репутация:
1304
|
|
DDoSька Вместо двух запросов, как для обычной капчи - будет 3, только процесс можно будет автоматизировать.
1) HEAD для того чтобы установилась переменная cf_salt
2) ПОСТ, чтобы получить хэш для формы
3) пост сообщения
|
|
|
11.01.2009, 09:15
|
|
Познавший АНТИЧАТ
Регистрация: 16.04.2006
Сообщений: 1,488
Провел на форуме:
2209675
Репутация:
537
|
|
нет желания возиться с чем-то чужим.
вот что можно сделать исходя из вышесказанного:
при онкейпресс ставить яваскриптом куку с рандомным значением и в хидден это значение вставлять.
а затем проверять на сервере наличие куки, её значение и значение хиддена.
интересно это избавит от ботов?
|
|
|
|
11.01.2009, 09:21
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Защита одна - человек что то сам должен вводить.
Либо капча, либо задача сложение чисел, и т.д...
В противном случае всё можно подделать.
Бота можно написать который и куки принимает и яву и т.д... на любом языке.
Тоже самое про парсинг страниц, и поиск в HTML коде чего либо...
Вот подумайте ©
|
|
|
|
11.01.2009, 13:25
|
|
Новичок
Регистрация: 06.01.2009
Сообщений: 13
Провел на форуме:
73311
Репутация:
19
|
|
Абсолютно ничего нового.
Лично я с 2002ого (!) года использую хэш, зависящий от некоторых серверных констант (время, IP, ...) в хиддене рядом с каптчей, который добавляется самим PHP и действителен один раз, т.е. работать всё это будет безо всяких джаваскриптов.
Разумеется от ботов не спасёт (для них у меня оригинальная каптча, списывать из которой нужно только определённые символы, например только гласные или только цифры, кратные трём), НО вот для чего всё-таки этот хеш нужен:
данные сгенерированных каптч у меня хранятся в БД, но если хэш не передан или неверен, то мы посылаем пользователя, не проверяя верность каптчи (и всего остального), т.е. экономим запрос, а может быть и несколько.
Изобретал велосипед кстати сам, нигде не подсматривал, хоть это ничего и не значит, но всё же :-).
|
|
|
|
11.01.2009, 14:27
|
|
Постоянный
Регистрация: 05.05.2008
Сообщений: 403
Провел на форуме:
2375039
Репутация:
1160
|
|
Сообщение от Nightmarе
Защита одна - человек что то сам должен вводить.
Либо капча, либо задача сложение чисел, и т.д...
В противном случае всё можно подделать.
Бота можно написать который и куки принимает и яву и т.д... на любом языке.
Тоже самое про парсинг страниц, и поиск в HTML коде чего либо...
Вот подумайте ©
Но ведь капча, задачки - не панацея
хз, мне и предложить нечего, все можно обмануть, конечно можно замудрить капчу сложную , но это не айс
ЗЫ: Ничто не спасет, защита от дураков...ИМХО, умный людь найдет выход
|
|
|
|
11.01.2009, 14:46
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Самое крутое, что я видел - это не капча, а рандомные имена полей ввода из заранее сделанного массива. Реализация очень проста на javascript.
|
|
|
|
11.01.2009, 15:08
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Сообщение от Pashkela
Самое крутое, что я видел - это не капча, а рандомные имена полей ввода из заранее сделанного массива. Реализация очень проста на javascript.
и + ко всему в куки пихнуть определёный код.
Это защита от ламеров, обходится так-же банально парсингом кода.
|
|
|
|
11.01.2009, 15:14
|
|
Постоянный
Регистрация: 23.11.2007
Сообщений: 342
Провел на форуме:
1215706
Репутация:
310
|
|
Парсим код, парсим кукисы, все в одном запросе 
круто сделано на
Рандомные имена переменных + рандомные значения. Степень обхода такой защиты стремится к нулю. |
|
|
|
11.01.2009, 15:32
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
и + ко всему в куки пихнуть определёный код.
Это защита от ламеров, обходится так-же банально парсингом кода.
Это имелась в виду защита от автоботов при регистрации и спаме (стандартных)
Если речь идет о человеке - то тут кроме сложной капчи на мой взгляд ничего круче нет, и то, всё обходится. Но с капчей злобному флудерасту таки придется потрудится больше всего + элементарная 1-минутная защита от флуда, например, между каждым постом. Если 20 постов таких сделал, где интервал ровно 1 минута (+/-) - бот, автобан, чонить вроде этого
|
|
|
|
11.01.2009, 17:19
|
|
Постоянный
Регистрация: 05.05.2008
Сообщений: 403
Провел на форуме:
2375039
Репутация:
1160
|
|
Думаю, на данный момент актуальна капча.
ЗЫ:Подскажите статьи по обходу капчи, пожалуйста.
Где-то видал в инете
Последний раз редактировалось DDoSька; 11.01.2009 в 17:34..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
