Podstrony
- telcocafe
- [PHP+MySQL] Problem z połączeniem mysqli('localhost', 'xxx', 'xxx', 'xxx'
- [PHP] Wyrażenia regularne. Zamienić name="info_imie" na name="{info_imie}"
- [php] Dodanie textu do pliku. Problem... :) POMOCY!!!!!!!!!!!!!
- [PHP] Skrypt cenzury Chcę cenzury!!!
- Dobre programy do edycji php Dobre programy do edycji php
- [PHP] podział na strony php: podział na strony
- [PHP i MySQL] jak pobrac liczbe rezultatow Jak pobrac liczbe rezultatow???
- jak zrobic aktualizacje php? pomocy!!!!!
- Błąd w PHP-Fusion pomocy !!!!!
- Daczego nie dziala?? skrypt php nie chce działać!!!
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- kudrzwi.htw.pl
telcocafe
Chcę zaimplementować system ochrony przed botami Asirra. Nie chce mi się pisać klasy do jego obsługi, więc znalazłem gotową: Asirra-PHP. Mam jednak wątpliwości, czy zabezpieczenie jest skuteczne.Popatrzcie tutaj: http://code.google.c...sirra.class.php
Znajdźcie metodę existsValidAsirra(). Skrypt szyfruje wartość ciasteczka algorytmem AES. Klucz bazowy składa się z adresu serwera, oprogramowania, adresu IP i identyfikatora przeglądarki User-Agent.
Przecież te dane można spreparować. Bot może mieć wątpliwości co do oprogramowania serwera (czy czasami ta zmienna i tak nie jest pusta lub nie zawiera domyślnej wartości?), ale z pozostałymi sobie dobrze poradzi. Już chyba lepiej przechowywać informacje w sesji?
Poza tym część serwerów blokuje CURL, więc lepszą alternatywą jest fsockopen()?
Czy szyfrowanie AES w ogóle jest potrzebne? Z tego, co widzę, minimalizuje ryzyko podrobienia ciasteczek.
Chyba i tak napiszę własną klasę, ale chcę się dowiedzieć więcej na temat zabezpieczeń w gotowej klasie.
Masz wątpliwości - zapytaj twórców projektu, a nie tutaj. Chcesz robić skrypt na "każdy" ograniczony hosting - zapomnij o fajnych rozwiązaniach i nowych technologiach.
Napisałem własne biblioteki. Asirra jest trudna w instalacji client-side, ale przeanalizuję jutro jego źródła.
Mimo wszystko nie widzę przeszkód, aby poruszyć temat zabezpieczeń tutaj :)
Na czym polega zabezpieczenie Asirra? Trzeba zaznaczyć wszystkie koty spośród 12 zdjęć. Boty jeszcze nie potrafią rozróżniać kotów od psów, więc zabezpieczenie, choć mało popularne, zdaje się skuteczne, ale...
Czy boty nie będą grać w totolotka?
Ilość kotów jest zmienna, więc prawdopodobieństwo jest małe, ale większe od 0. ;)
Użytkownik Ferrari edytował ten post 19 styczeń 2010, 23:28
Na amatorskim forum liczysz na dyskusję o zaawansowanych zabezpieczeniach antybotowych? Wątpliwe.
Pytanie po co ci aż takie zabezpieczenia, cholernie irytujące ludzi? Niewiele serwisów wychodzi ponad zwykłe captcha, a te bardziej user-friendly stawiają na proste logiczne pytania. Rapidshare nie robisz więc stosowanie technologii kosmicznych do zabezpieczania przed botami jest zbędne.
Użytkownik Riklaunim edytował ten post 20 styczeń 2010, 02:05
W zasadzie wystarczy jakiekolwiek niestandardowe zabezpieczenie - wątpliwe, żeby ktoś pisał specjalnego bota na Twoją platformę - podobno bardzo skuteczna(i przyjazna dla ludzi) jest wtyczka do wordpressa, która umieszcza w formularzu ukryte cssem pole - boty je wypełniają, ludzie nie. Innym skutecznym sposobem jest rozwiązanie googla - image captcha - wpisujesz nazwę przedmiotu na zdjęciu(oczywiście musisz się postarać, żeby były jednoznaczne). Boty mają problemy z formularzami ajaxowymi. Jest też ReCaptcha, która podaje właśnie wyrazy z zeskanowanych książek z którymi nie radziły sobie OCRy.
Wszystkie powyższe metody są mniej wkurzające niż szukanie kotów. Szyfrowanie ciastek AESem to już czysta paranoja. fsockopen też bywa blokowane, więc jeśli koniecznie chcesz robić skrypt na każdy serwer to raczej radź sobie bez pobierania zewnętrznych treści na poziomie serwera.
I na koniec zła wiadomość - spamerzy podobno coraz szybciej przerzucają się na farmy turinga, więc generalnie nie ma co się za bardzo wygłupiać z zabezpieczeniami, bo jeśli Twój skrypt faktycznie będzie wart uwagi spamerów, to dowolne zabezpieczenie możesz za przeproszeniem o tyłek potłuc.
Krótko mówiąc - zrób prosto i bez zbędnych udziwnień(szczególnie widocznych dla usera) i zadbaj, żeby dało się to łatwo wymienić w razie potrzeby.
Użytkownik someone edytował ten post 20 styczeń 2010, 19:10