IMHO.WS

IMHO.WS (https://www.imho.ws/index.php)
-   Веб-программирование (https://www.imho.ws/forumdisplay.php?f=29)
-   -   антибот в комментах (https://www.imho.ws/showthread.php?t=122687)

ZogG 19.08.2007 16:54
антибот в комментах
 
написал скрипт антибота типа в форме рандомом два числа и в окно надо ввести сумму,в то время есть поле с типом hidden,которое содержит ответ,и всё данные идут в другой файл где проверяеться.но вот ботов не убило.или где мона сделать иньекцию в моем сайте или бот в коде ответ находит.есть ли у кого какие готовые решения и можно ли сюда линк выложить с сайтом где я писал антибот?

metrim 19.08.2007 17:04
Парень, ты что курил то???:confused:
Нихрена не понял цели
Ну по крайней мере помимо того, что ты ответ на "секретный вопрос" передаёшь в форме же ...
Так нельзя ибо бессмысленно, т.к. поле hidden видно в сорсе стрницы и соответственно такой "антибот" - не будет работать против злоумышленика....

Borland 19.08.2007 17:19
ZogG, а к чему изобретать велосипед? Не проще воспользоваться готовым решением? _http://www.captcha.net/

strontium 28.08.2007 11:57
Если охота все-же самому возиться, то помещай в поле hidden не ответ, а его md5 хэш. И на сервере сравнивай его с хэшем от того, что ввел пользователь. Рандомные числа, кстати, в виде текста не стоит выводить. Надо их в bitmap рисовать и его уже показывать.

deleted by Plague

Al-x 29.08.2007 17:37
Цитата:
Сообщение от strontium (Сообщение 1452177)
Если охота все-же самому возиться, то помещай в поле hidden не ответ, а его md5 хэш. И на сервере сравнивай его с хэшем от того, что ввел пользователь.
Никто не мешает боту вычислить свой хеш ответа перед отправкой.
ЗЫ: действительно не стоит изобретать велосипед.

xroot 29.08.2007 21:23
Image Validator 1.0
MathGuard v0.2
CAPTCHA image protectio

вот пакетик антиспам сктиптов попался недавно , может пригодится
300кб
http://rapidshare.com/files/52078188...am_Scripts.rar

strontium 30.08.2007 13:35
Цитата:
Сообщение от Al-x (Сообщение 1452712)
Никто не мешает боту вычислить свой хеш ответа перед отправкой.
ЗЫ: действительно не стоит изобретать велосипед.
Достаточно завести на сервере константу и добавлять ее к ответу перед хэшированием.

Свой собственный велосипед никогда не повредит :)

deleted by Plague

GoodS 31.08.2007 13:02
Цитата:
Сообщение от Al-x (Сообщение 1452712)
Никто не мешает боту вычислить свой хеш ответа перед отправкой.
ЗЫ: действительно не стоит изобретать велосипед.
Ага а хеш какого ответа он будет вычислять? Перебирать чтоли все сочетания символов пока не найдет хеш что в скрытом поле?

Al-x 04.09.2007 15:44
Цитата:
Сообщение от GoodS (Сообщение 1453287)
Ага а хеш какого ответа он будет вычислять? Перебирать чтоли все сочетания символов пока не найдет хеш что в скрытом поле?
Если исходить из поста, на который был ответ, то
Цитата:
Сообщение от strontium (Сообщение 1452177)
Если охота все-же самому возиться, то помещай в поле hidden не ответ, а его md5 хэш.
Брутфорс для нахождения коллизии здесь ни при чем.
Вариант с добавлением константы к ответу и хеширование не снимает полностью возможностью атаки.
ИМХО наиболее простой способ просто хранить ответ на сервере (тем более, что большинство платформ уже предоставляют готовые механизмы для этого - сессия).
Хотя любители криптографии могут удариться в эллиптику (но это уже тема для другого обсуждения).

Hubbitus 09.09.2007 06:05
Конечно же пихать ответ нельзя в форму, иначе какой смысл вообще задавать вопрос??

Правильно сказали, храните ответ на сервере, хоть в сессии, хоть в БД или файлах.

Ну и еще в копилку готовых достойных решений http://captcha.ru/


Часовой пояс GMT +4, время: 12:03.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.