[Hofvet]

Hej!

När man registrerar sig på olika websidor får man numera ofta fylla i en text som slumpmässigt genererats på en bild för att säkerställa att man är en människa och inte en maskin. Någon som vet vart man kan få tag på sådana program och kommer hackarna verkligen inte runt dem? (Försökte söka efter det på google och då kom det upp några hackerdiskussioner om hur man ska göra för att komma runt funktionen.)

Jag har verkligen inte lust att lägga ner någon tid eller energi på funktionen men om den finns enkelt tillgänglig på internet för gratis nerladdning tar jag mig gärna en titt på det.

Tack på förhand!

[Danski]

Har ingen erfarenhet av att sjäva sätta upp såna men däremot deltagit i ett projekt i att knäcka just såna. Tekniken för att knäcka dem består till stor del i samma teknik som används av t.ex. väggtullarna i sthlm för att känna igen nummerplåtarna.

Då många använder samma generatorer (fanns då ett 20-tal standards) så utvecklades givetvis en igenkänning för deras sätt att generera bilder.

Cirka 3/4 av de vi gav oss på var inga större problem och resten gick man bett på. Hela utvecklingen var stängd och endast i utbildningssyfte, programvaran finns inte att ladda ner eller spridd. Tror dock att en bevissida ligger kvar uppe någonstans.

Du får bort säkert 95% av allt skit genom att använda en bildgenerator så det är klart värt det.

[kers]

Det finns en hel del system som du kan använda gratis,

http://www.google.se/search?q=captcha

Själv funderar jag litet på att utvärdera

HOTCaptcha ;-)

[Kaffe]

pwntcha, en liten kuf som påstår sig ha knäckt de flesta redan: http://sam.zoy.org/pwntcha/ sen har du det här lilla blogg-inlägget som tar upp en del annat roligt http://scottonwriting.net/sowblog/posts/3154.aspx

Och kanske det viktigaste i debatten: http://www.w3.org/TR/turingtest/

W3C ställer sig ruskigt negativa till CAPTCHA, eftersom det ingjuter en falsk känsla av säkerhet och ställer till problem med tillgängligheten. Många CAPTCHAs funger tvärtom mot sitt syfte och låser ute vissa människor som inte klarar av att tyda CAPTCHAn. Och det finns en hel bunt sätt att undvika duplicates, spam och fejk konton, på serversidan.

En annan, mycket simpel, lösning för spammarna har ju också varit att använda människor för att lösa det. Och i vissa fall räcker det ju med att en människa knäcker CAPTCHAn för att han/hon skall kunna komma in och börja spamma.

Jag skulle inte lägga ner någon större energi på att implementera en CAPTCHA, med andra ord.

[Hofvet]

Tack för alla inlägg!

Alla nyregistreringar kommer ändå kontrolleras av människor i äkta wn manér, grundtanken med sådan bildgenerator (catchpa som det tydligen heter ) var att försöka förhindra hackers från att skicka onödiga konto förfrågningar bara för att jävlas. Förmodligen behöver jag inte oroa mig särskilt mycket för det?

Nu när jag vet att det helt klart är möjligt att komma förbi ett sådant skydd kommer jag helt klart akta mig för det eftersom någon hacker kanske kan se det som en utmaning vilket skulle ge motsatt effekt.

Har ni något annat råd till mig för att slippa vakna en dag och vara tvungen att rensa bort 10 miljoner människor som heter "pwnd!!1!111!!"? Eller har alla hackers bättre saker för sig?

[Danski]

"Hackers" är nog inte det du ska vara så rädd för. Största problemen brukar vara spammare som använder vanlig klicka-bara-vidare-programvara som uppsöker de vanligaste sätten att posta på för att sprida sin samhällsinformation om viagra och flickor som vill ha sex.

Har aldrig haft problem med en medlemssida med 25.000 medlemar utan någon verifikation. Däremot blev en liten blog terroriserad av automatiska spamsystem trots commentfunktion var avstängd, gick inte stänga av postfunktionen som användes i serverprogramvaran utan bara så det inte syntes på sidan.

Var bara att byta programvara :-s

Testa utan någon komplicerad catchpa eller liknande, får du problem så börja titta på lösningar.

[Kaffe]

Citat:

Originally posted by Hofvet@Oct 4 2006, 14:29
Har ni något annat råd till mig för att slippa vakna en dag och vara tvungen att rensa bort 10 miljoner människor som heter "pwnd!!1!111!!"? Eller har alla hackers bättre saker för sig?

De gamla vanliga metoderna. Godkänn via e-mail. Se till att verifiera eventuella dubletter av e-mail, etc, etc.

Väl inne kan du sätta begränsningar, begränsa antalet länkar per inlägg/kommentar/etc, etc. Begränsa antalet kommentarer som kan skickas per dag/timme/etc, etc. Finns blacklists att tillgå för att spärra domäner och dylikt. Ordfilter, etc, etc. Alla möjliga, tänkbara filter utom en CAPTCHA, helt enkelt .

[wiggin]

En annan tanke som även funkar bra ur användarvänlighetsperspektiv skulle ju vara att ha en vanlig text fråga. t.ex. "Vad heter Göran Persson i förnamn?" och be användaren skriva det. Om man sedan roterar mellan några olika frågor så kommer man ju säkerligen slippa de flesta automatiska spammen.

Och om "någon" skulle svara "Göran" på en helt annan fråga kan man slänga in det i en spärrlista

[Hofvet]

Tack för alla svar!

E-mail verifiering är nog det bästa alternativet, tack för den Kaffe.

Någon som har någon bra länk till mer info om det?

[Hofvet]

Ingen som har någon bra länk till en tutorial eller liknande på nätet om hur man gör detta på bästa sätt med PHP?

Jag har googlat ett bra tag nu men hittar inget vettigt : /

Tack på förhand.