Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Пришла мне тут в голову идея.. Без использования GD-библиотеки.. Хотелось бы узнать ваше мнение о том что я наваял.. Мне почему-то смешно.. Но вопрос такой: пройдет ли робот?
В папке лежат картинки цифр (0-9) каждая имеет имя отпечатка md5(цифра) соответственно например: 8f14e45fceea167a5a36dedd4bea2543 .jpg
Есть форма для добавления комментария.
Поля:
1) имя
2) мыло
3) хидден-поле
4) текст
Покинул форум
Сообщений всего: 169
Дата рег-ции: Июль 2008 Откуда: Россия, Хабаровск
Помог: 0 раз(а)
А вы внедрите в проект, и месяца через три посмотрите, как много спама будет.
Джур
Отправлено: 13 Января, 2009 - 06:11:30
Посетитель
Покинул форум
Сообщений всего: 423
Дата рег-ции: Март 2007
Помог: 0 раз(а)
нет, данный метод очень плох... В том смысле, что данное поле взламывается вполне быстро. Если даже у робота нет подходящего шаблона, кодер напипшет его в приделах 15 минут.
если надо могу описать принцип взлома вашей капатчи либо предложить вариант чуть более стойкий.
----- Тамбовский каджит тебе товарищ
DeepVarvar
Отправлено: 13 Января, 2009 - 08:42:09
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Джур пишет:
нет, данный метод очень плох... В том смысле, что данное поле взламывается вполне быстро. Если даже у робота нет подходящего шаблона, кодер напипшет его в приделах 15 минут.
если надо могу описать принцип взлома вашей капатчи либо предложить вариант чуть более стойкий.
if ($contr==md5($salt.$введенные циферки)) {bla bla bla...}
Кстати если вы обьясните принцып взлома, то впредь таких ащибок делать не стану... (Добавление)
Ыыы пишет:
А вы внедрите в проект, и месяца через три посмотрите, как много спама будет.
А вы думаете зачем я СЮДА об этом написал? Я абсолютно не уверен в стойкости этого ОООООчень простого скрипта, и в проект внедрять его не собираюсь.. Это игра такая.. Вроде бы не о чём, а внимание и сообразительность развивает.. А если честно то хотелось написать чтото на этом принцыпе нормально работающее (без GD и Header:"bla bla bla: image/jpg")..
Покинул форум
Сообщений всего: 2132
Дата рег-ции: Дек. 2008 Откуда: Москваль
Помог: 52 раз(а)
этот код ни от чего не защитит, т.к. есть прямая зависимость между названиями файлов картинок и строкой, анализатор пишется на коленке за 2 минуты, ещё пара минут на заполнение массива соответствия названия файла с буквой. если уж хочется обойтись без gd-библиотеки, используйте логические вопросы (например, "что светлее, черное или белое", "на какой планете мы живем", "сложите 10 и 15, полученное умножьте на два" ну и в таком духе), только база вопросов должна быть огромной(ну а куда без этого ), часть из них самогенерирующиеся (арифметические, как минимум) .
DeepVarvar
Отправлено: 13 Января, 2009 - 11:48:42
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Stierus пишет:
этот код ни от чего не защитит, т.к. есть прямая зависимость между названиями файлов картинок и строкой, анализатор пишется на коленке за 2 минуты, ещё пара минут на заполнение массива соответствия названия файла с буквой. если уж хочется обойтись без gd-библиотеки, используйте логические вопросы (например, "что светлее, черное или белое", "на какой планете мы живем", "сложите 10 и 15, полученное умножьте на два" ну и в таком духе), только база вопросов должна быть огромной(ну а куда без этого :)), часть из них самогенерирующиеся (арифметические, как минимум) .
Базу вопросов я как-то делал из детских загадок, смотрелось очень даже симпатично..
С "солью" зависимость уже не прямая, в ней ведь может быть все что угодно...
md5() необратим... Брутить? И сколько времени вы будете это делать?
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Зачем же "брутить"... md5 уже давным давно не является надежным способом хеширования данных. Возможно, следует признать его некриптостойким. Причина тому - rainbow tables: http://en[dot]wikipedia[dot]org/wiki/Rainbow_table
Защититься можно, но опять же не 100%
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
DeepVarvar
Отправлено: 13 Января, 2009 - 12:07:56
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Цитата:
Защита от радужных таблиц
Данные таблицы невозможно использовать против необратимых хеш-функций, которые включают salt (соль). Например, рассмотрим следующую функцию для создания хеша от пароля:
Это оттуда.. Я не думаю что кто-то или чт-то будет так рьяно ломать малоизвестный сайтик с никому ненужным содержанием.. Я ведь эту приблуду не собираюсь вешать на серьезный проект..
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Вы, вероятно, прочли русскоязычный вариант статьи, он несколько неточен. Затравка лишь позволяет увеличить длину исходного набора символов, и, следовательно, увеличивает сложность, а так же может исключить возможность взлома в связи с тем, что таблица расчитана на определенную длину.
Ведь, по сути, если злоумышленник может восстановить из md5 исходные данные, то, восстановив
он может просто перебрать все строки, отрезая по 1 символу с конца, к примеру.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
DeepVarvar
Отправлено: 13 Января, 2009 - 12:13:27
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
В любом случае защиты на 100% не бывает..
EuGen пишет:
Вы, вероятно, прочли русскоязычный вариант статьи, он несколько неточен. Затравка лишь позволяет увеличить длину исходного набора символов, и, следовательно, увеличивает сложность, а так же может исключить возможность взлома в связи с тем, что таблица расчитана на определенную длину.
Ведь, по сути, если злоумышленник может восстановить из md5 исходные данные, то, восстановив
он может просто перебрать все строки, отрезая по 1 символу с конца, к примеру.
отпечаток имеет конечную длину символов...
включаем вторую соль которая будет заменять символы "a" на "f" например или работать по иному алгоритму... И 3 года 3 дня и 3 ночи бот будет заниматься подбором находясь на той странице.. А как же время жизни сессии?
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Факт то ведь не в том, что защититься совсем никак нельзя. А в том, что md5 - не есть подходящая защита. То есть при желании можно восстановить исходный текст
А всякие заменяющие и иные "соли" - это уже по сути попытка шифрования, и при этом вряд ли мы с Вами сможем (даже если захотим) придумать нечто действительно криптостойкое.
Даже наука есть такая - криптография; вооружившись ею роботописатель легко обойдет любую "соль", сделанную на коленке - был бы исходный текст, ведь по сути самым сложным будет восстановить текст из md5, так как из всех примененных механизмов защиты в этой схеме md5 по-прежнему будет самым стойким звеном (собственно, md5 придумывался не так просто - какое то время его не могли легко обойти).
Вопрос другой - стоит ли овчинка выделки. Ну так и я обобщаю на случай, если она того действительно стоит.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
DeepVarvar
Отправлено: 13 Января, 2009 - 13:46:08
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Значит так: хеш, хеш(соль(хеш))... Это самое надежное из простого.
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
md5-хеш?...
Ну тогда восстанавливаем 1-й, получаем какую-то строку. Видим, что эта строка имеет длину 32 символа и состоит из 0..f - "что-то тут нечисто" .. и делаем тоже самое снова.. и так далее.
Ладно, это все лишь к тому, что защититься md5 не даст. Уже не даст. Ну так можно использовать более криптостойкие алгоритмы. Возможно, сходу придумать вещи, где мало даже md5, не так просто, но пока что сильнее чем RSA не придумали ничего.(Правда, это уже шифрование, не одно и то же с хешированием)
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Stierus
Отправлено: 13 Января, 2009 - 15:52:48
Рекордсмен по количеству сообщений за 7 дней
Покинул форум
Сообщений всего: 2132
Дата рег-ции: Дек. 2008 Откуда: Москваль
вот сама jfyg75lkfugytr8ilwuxj.jpg ссылается на цифру, например, "3" ... значит, заранее зная, что
вот сама jfyg75lkfugytr8ilwuxj.jpg = 3 мы видим всю нужную строку "3333" ... скрипту нужны лишь пути 9-ти картинок и всё
например, скрипт знает (мы зашли и посмотрели исходник), что :
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Поправлю - хеширования. Вне зависимости от контекста.
Правда в данном случае "ломать" действительно нечего, автору следует подумать как защитить иными средствами.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.