Skocz do zawartości
xfilokolo

Niezawodność reCaptcha

Polecane posty

Witam, posiadam stronę. Dla osób znających się trochę na technologi Bitcoina powiem od razu że jest to faucet. Strona bardzo narażona na ataki wszelkich botów, które mają za zadanie wyłudzać coiny bez udziału człowieka. Które z poniższych zabezpieczeń będzie najrozsądniejsze na stronie tak narażonej na ataki botów?

Mam do wyboru:

reCaptcha Are You A Human SolveMedia FunCaptcha

Które z poniższych zabezpieczeń będzie najrozsądniejsze na stronie tak narażonej na ataki botów?
Wiem, że bezpieczeństwo i wygodę trudno połączyć ale zależy mi również na wygodzie dla użytkowników. Najwygodniejsza jest oczywiście reCaptcha, ale czy jest też najbezpieczniejsza.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To co dziś uznamy za niezawodne jutro może stać się zawodne.

Najlepszym rozwiązaniem by było stworzyć coś swojego, unikalnego

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Osobiście, gdybym miał robić coś, z czego korzysta się kilka razy dziennie, oparłbym o Google Auth - moim zdaniem jest to nie do zbicia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

reCaptcha działa w miarę dobrze i jest dość wygodna, aczkolwiek żadne rozwiązanie nie gwarantuje "bezpieczeństwa" i możesz być prawie pewien, że na każde z nich są już napisane obejścia, tyle że żadne nie jest publiczne.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Rafiki

Ja polecam rozwiązanie z pustym ukrytym pole które w 99% bot wypełni a użytkownik nie.

Bardzo wysyka skuteczność walki z niechcianymi wiadomościami a po za tym nie zmuszamy użytkownika do żadnego dodatkowego przepisywania kodu.

Edytowano przez Rafiki (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Ja polecam rozwiązanie z pustym ukrytym pole które w 99% bot wypełni a użytkownik nie.

Bardzo wysyka skuteczność walki z niechcianymi wiadomościami a po za tym nie zmuszamy użytkownika do żadnego dodatkowego przepisywania kodu.

 

Ciekawe, akurat teraz będę mógł to przetestować. Możesz podesłać kilka przykładów?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@ Spoofy

Przyjrzyj się choćby opcji "ukryte pole captcha" w MyBB. Warto jest dobrać "zachęcającą" do wypełnienia nazwę takiego pola.

Wordpressa z kolei zmodyfikowałem tak, że poza dodaniem pustego pola pozamieniałem również nazwy pól formularza do komentowania.

Sprawdza mi się od wielu lat również proste pytanie "jesteś botem? tak/nie" przy rejestracji na forum SMF.

 

 

To wszystko oczywiście działa świetnie, dopóki nie jest zbyt powszechne, dopóki rozwiązanie jest indywidualne, *unikalne* i na niezbyt wielkiej stronie, dla której nikt nie będzie się silił, by specjalnie tworzyć dla niej bota. To może zupełnie nie sprawdzić się na stronach dużych, popularnych, lub na takich, które stanowią dużą zachętę dla twórców botów jak wspomniana przez xfilokolo jego strona związana z bitcoinami, w takim przypadku ktoś pewnie jak najbardziej może zechcieć się wysilić i napisać bota specjalnie pod tę stronę.

 

Innymi słowy: maluczcy mogą ustawić sobie coś prostego, nieinwazyjnego, ale unikalnego i skutecznego, jednak duże portale i/lub takie, które są z jakichś względów szczególnym magnesem dla botów i ich twórców muszą prowadzić ciągłą walkę.

Edytowano przez Piotr GRD (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Znacie sie tutaj wszyscy na botach jak moja babka na konfiguracji linuxa :blink:

 

Żadne ukryte pola nie pomogą, bot to obejdzie.

Recaptcha jest lamana programowo ze skutecznością 25-100% więc nie jest żadnym zabezpieczeniem.

Fun captcha już lepiej, ale najlepsze byłoby autorskie rozwiązanie, np konieczność wypełnienia kilku captcha na raz - kcaptcha, funcaptcha, recaptcha i coś jeszcze. Człowiek sobie poradzi, skuteczność bota z każdą dodatkową captcha konieczną do rozwiązania będzie spadała co powinno Cie uchronić.

 

odkąd używam cloudflare

 

Cloudflare jest skuteczne w przypadku standardowych botów, nie dedykowanych dla strony. Jak ktoś zrobi dedykowanego bota (a w przypadku takiej strony to prawdopodobne) cloudflare nie pomoże.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

@ Spoofy

Przyjrzyj się choćby opcji "ukryte pole captcha" w MyBB. Warto jest dobrać "zachęcającą" do wypełnienia nazwę takiego pola.

Wordpressa z kolei zmodyfikowałem tak, że poza dodaniem pustego pola pozamieniałem również nazwy pól formularza do komentowania.

Sprawdza mi się od wielu lat również proste pytanie "jesteś botem? tak/nie" przy rejestracji na forum SMF.

 

 

To wszystko oczywiście działa świetnie, dopóki nie jest zbyt powszechne, dopóki rozwiązanie jest indywidualne, *unikalne* i na niezbyt wielkiej stronie, dla której nikt nie będzie się silił, by specjalnie tworzyć dla niej bota. To może zupełnie nie sprawdzić się na stronach dużych, popularnych, lub na takich, które stanowią dużą zachętę dla twórców botów jak wspomniana przez xfilokolo jego strona związana z bitcoinami, w takim przypadku ktoś pewnie jak najbardziej może zechcieć się wysilić i napisać bota specjalnie pod tę stronę.

 

Innymi słowy: maluczcy mogą ustawić sobie coś prostego, nieinwazyjnego, ale unikalnego i skutecznego, jednak duże portale i/lub takie, które są z jakichś względów szczególnym magnesem dla botów i ich twórców muszą prowadzić ciągłą walkę.

 

Dziękuję bardzo za otworzenie mi oczu na ten problem i obszerne wyjaśnienie :)

Ciekawi mnie tylko jak np. taki cloudflare wyłapuje właśnie tego typu boty, tym bardziej że

ostatnimi czasy dziurawe wordpress'y zmieniają useragent np. na mozilla/win 7 i wyglądają jak zwykli użytkownicy którzy (uwaga) mogą korzystać z js'a.

Ja chyba jednak zostanę przy captch'y tej google'owej :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Spoof najbadziej skuteczne są metody własne tzn. indywidualne - ale tylko do czasu. Jeśli Twój serwis będzie na tyle interesujący dla "recaptecherów" to zaprogramują dla niego rozwiązanie i tak będzie ci cieżko to obejść.

 

Moim zdaniem jeżeli serwis nie jest międzynarodowy, tzn. jeśli jesteś nastawiony na dany kraj - to najłatwiej filtrować użytkowników po IP np. przy wykorzystaniu bazy maxmind. Większość spamu idzie z serwerów proxy lub firm hostingowych - a to jest bardzo proste do wychwycenia.

 

W chwili obecnej obejście captchy, która wymaga interakcji ludzkiej jest po prostu dziecinnie proste - wszystkie nowe decaptcher są tworzone na bazie np. firefoxa lub np. silnika przeglądarki. Nawet google poległ w tym temacie i jedyne co ma dopowiedzenia to blokowanie delikwentów po adresie IP.

 

Pamiętaj, aby captcha nie była powodem, z którego powodu, Twoi użytkownicy zrezygnują z wykonania akcji. Najlepszym wyjściem byłaby filtracja dwupoziomowa np. po IP a następnie w razie wątpliwości możesz np. wysłać sms weryfikujący na nr telefonu odwiedzającego (koszt max kilka groszy).

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

@Spoof najbadziej skuteczne są metody własne tzn. indywidualne - ale tylko do czasu. Jeśli Twój serwis będzie na tyle interesujący dla "recaptecherów" to zaprogramują dla niego rozwiązanie i tak będzie ci cieżko to obejść.

 

Moim zdaniem jeżeli serwis nie jest międzynarodowy, tzn. jeśli jesteś nastawiony na dany kraj - to najłatwiej filtrować użytkowników po IP np. przy wykorzystaniu bazy maxmind. Większość spamu idzie z serwerów proxy lub firm hostingowych - a to jest bardzo proste do wychwycenia.

 

W chwili obecnej obejście captchy, która wymaga interakcji ludzkiej jest po prostu dziecinnie proste - wszystkie nowe decaptcher są tworzone na bazie np. firefoxa lub np. silnika przeglądarki. Nawet google poległ w tym temacie i jedyne co ma dopowiedzenia to blokowanie delikwentów po adresie IP.

 

Pamiętaj, aby captcha nie była powodem, z którego powodu, Twoi użytkownicy zrezygnują z wykonania akcji. Najlepszym wyjściem byłaby filtracja dwupoziomowa np. po IP a następnie w razie wątpliwości możesz np. wysłać sms weryfikujący na nr telefonu odwiedzającego (koszt max kilka groszy).

 

 

 

Również dziękuję za odpowiedź :)

 

Dopowiem tylko iż ja najczęściej wycinam rosje, chiny, tajwan i brazylję, ale z usa albo z tych amazonów idzie ostatnio tego sporo, nawet z online.net.

 

Muszę tak naprawdę zerknąć gdzie i co mi wycina taki ruch, a dopiero później zastanowić się czy przerabiać jakiś skrypt na stronie - to jest moje podejście które niestety bywa błędne czasami ;)

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×