 Hozzászólások  A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
Ha elolvasod az egész hozzászólást, olvashatod, hogy a hangfelismerésről értekezett. Tehát a 2. szövegfelismerés hangfelismerés.
|
ez a tizenötös hozzászólásra volt a "válasz"
Desmond, megvan a talicska a piacon ...
|
Míg a szövegfelismerés viszonylag fejlett tecnológia, addig a szövegfelismerés nagyon gyerekcipőben jár.
Mivan?  
Desmond, megvan a talicska a piacon ...
|
nem értetted meg amit írok! két képet kell párosítani az egyik a felismerendő a másik meg a párosított tehát felismerem hogy az a kép kutyás kép vagy cicás kép ebből van 1000 a másik oldalon lévő képeket is lementem és mivel méretük egyezik mindig nem nehéz azonosítani minden képet hiába más a neve vagy a kiterjesztése!
Ne vitatkozz a hülyékkel, mert lealacsonyodsz a szintjükre és legyőznek a rutinjukkal!
[ http://dchelp.hu ]
|
"valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!"
Én voltam az... :-)
"letölteném a képet amit fel kell ismernem"
Na itt van a gond, ugyanis egyszer lekéri a teszt, és ha te mégegyszer le akarod kérni, már másik képet fogsz kapni. Próbáld csak ki.
"Adatbázis felépítése: 1000+1000 kép letöltése"
Nemnem, tévedésben vagy. Az nem 1000+1000, hanem 1000*1000. Nem mindegy...
"viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!"
Köszönöm, de az a helyzet, hogy nincs mit befoltozni, mivel erre már számítottam. Elárulom egyébként, hogy a képet eleve script állítja elő (nem akarok feleslegesen erőforrást pazarolni, ezért nem módosítja a képet on-the-fly lekérdezéskor, inkább berakok még 100 variációt).
|
Turdus: Mint azt te is beláttad, nincs olyan rendszer ami törhetetlen, elolvasva az összes hozzászólást, valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!
Alapvetően egy adatbázist kell felállítanom, hogy melyik képhez melyiket kell párosítani! Ismerve a háttéradatokat, 1000 képről beszéltünk! de legyen 1000 kép amit fel kell ismerni és 1000 kép amivel párosítani kell...
Az adatbázisom úgy nézne ki hogy a párosítandó kép-et címszóval látnám el pl kutyás kép = kutya macskás kép = macska virágos = virág ésatöbbi ésatöbbi! ugyan ezt eljátszanám a párosítandó 1000 képpel!
A feladat végrehajtásakor a következőt tenném: letölteném a képet amit fel kell ismernem majd megkeresném melyik az a kép utánna adatbázisból kikeresném a címszót majd szintén lementeném a párosítani kívánt képet megkeresném melyik vonatkozik a címszóra és megvan a megoldás!
Adatbázis felépítése: 1000+1000 kép letöltése + címszavazása 10 diák alkalmazásával 4 óra munkával megtörténne (80 munkaóra) +2-3 óra scriptírás!
A futásra (törés) ramdisk-et használnék és már pörögne is a dolog!
jelenleg a kiadásom kb 10 diák órabére 400ft egyenként az a 10 diákra 4000ft és mindezt 4 óra munkával 16.000ft + az én baszakodásom kb 20e ft maradék 80e tiszta haszon!
ha meg 10x-eznéd a képeket akkor a kiadásom is meg 10x-eződne 160.000 lenne ekkor már nem érné meg 100.000ft-ért
alapvetően 10.000 kép közül a script válogatna hát kissebb terhelés és tárhelyfoglaltság senki nem alkalmazná....
de ha egy otp-ről van szó akkor 160e ft-os kiadást megérne több milliárd számla adatáért cserébe!
Nincs sajnos sem szabadidőm sem 16.000ft befektetni való tőkém most ezért bebizonyítani nem tudom hogy működik, viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!
ezzel a módszerrel a kép összehasonlításnál megbukna a rendszer bár még itt is lehet hibaarány, de már nem 100%-os aztán bonyolíthatnád még hogy csíkokat is raksz a képbe pl mindig véletlenül generált hexa színű csíkokat 2 vastagsági érték között ekkor már ismét csökkentenéd az esélyeim!
De mutatok neked mást  ilyen módszerrel (beúszással) mozognának a csíkok a képen... felismerési esély ismét felére csökkenne! (a nulla értéket soha nem tudnád elérni!)
Ne vitatkozz a hülyékkel, mert lealacsonyodsz a szintjükre és legyőznek a rutinjukkal!
[ http://dchelp.hu ]
 |
nagylzs: én sem szeretem a flameket, de itt annyira beképzeltek vagytok, hogy egyáltalán nem veszitek a fáradságot, hogy végigolvassátok amiket írtam.
A több kép egyébként jó ötlet, én is gondoltam már rá, de pont amiatt vetettem el, amit írtál.
vajon kiki: "megszerezni Brute Force technikával"
Hahaha :-)
Ha elolvastátok volna, amit írtam, tudnátok, hogy ezen módszerek egyike sem célravezető, mivel ezekre direkt számítottam, és beraktam védelmet ellene.
A brute force kifejezetten nevetséges, mivel minden teszt egyedi. kb annyi az esély, mint lottónál: valszámosok gyakran esnek abba a hibába, hogy kapcsolatot keresnek a húzott számok között, de ez alapvetően hibás: az egyik húzás egyáltalán nem befolyásolja a következőt, és itt is ez a helyzet: minden egyszer megjelent teszt garantáltan egyedi a legelső próbálkozásig, nem lehet mégegyszer reprodukálni.
Szóval még mindig ott tartunk, hogy ha szerencsések vagytok, akkor elméleti max 10%. (Gyakorlatilag ennél kisebb, mert annak az esélye, hogy az a válasz lesz a jó, amit kinéztetek, még kisebb (teszem azt az elsőt néztétek ki, és 1000 próbálkozásból egyszer sem dobja a program az elsőt jó válasznak)).
|
Még mindig az sms alapú megoldást látom a legjobbnak. 1 mobilszám 1 júzer. Belépéskor 1x smsben ellenőrizni kell a felhasználót, aztán már csak letiltani hogy 1 másodperc alatt ne küldhessen ezer hozzászólást. Nyilván ez meg költséges.
|
ja és azt nem értem,hogy ha ilyen jó az arány, hogy a zsándékosan eltorzított karaktereket fel tudják ismerni már... akkor egy hagyományos szövegfelismerő program egy egyszerű kézírást nem ismer fel? Hatalmas áttörést jelentene szerintem, ha ezt jóra használnák!
|
hát hogy rohadnának meg, azóta kapom gmailen a sok szennyet.... Oké h egyből kiszűri a spam kategóriába, de mégis van, és jön... Ez azért veszélyes mert nem gmailes címre is küldik, ahol nem vszínű h suzintén kiszűrik, hisz a gmail mint megbízható szolgáltató van rangsorolva... közben meg simán küldheti a sok szennyt nem gmailes címről is a szerverükön keresztül.. :(
|
De mondjuk tovább lehetne fejleszteni Turdus módszerét a következő módon:
- egy képhez 20 választási lehetőség, ezt még egy ember átlátja
- egyszerre 4 választást kell csinálni
Itt 20 a negyediken lehetőség van ami 160 000. Próbálgatásos módszerrel ez
0.000625% esély.
Na ez már nem rossz, és még emberileg át is lehet látni.
Viszont fölmerül a kérdés, hogy egy regisztráció kedvéért ki fog átnézni ötször húsz képet...
|
Javascript, Flash, CSS egyéb stb.. alapú CAPTCHA : mind- mind negatív ! egy egyszerű ScreenShottal + Croppal megvan a kép amit az ember is lát (a videomemóriából) .. és innentől tkp. ugyanúgy rá lehet ereszteni az XRumer vagy hasonló recognizer felismerő programot, ami akár kézírásokból is felismeri a latinbetűs szövegeket kontrasztozással és egyéb grafikai trükkökkel és mindezt a másodperc tört része alatt. Más kérdés hogy nehéz egy ilyen Makrót megírni de akit érdekel az megcsinálja ha akarja és kész .. ennyi.
TomcatIVD TYAN board,2xP1 Tillamook 166MMX,48MB RAM,Matrox G550 32MB VGA,
4.3 IBM SCSI HDD,Hitachi SCSI DVDRW,SB16+Gravis Ultrasound,Realtek8019 LAN,
Adaptec PCI2SCSI2 card,XP Pirate,bootup: 33s
|
>"megfelelő programmal szimulálom a kattintást"
>Lássuk azt a programot
Macro Express
>"Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció.
> Ez közel sem "feltörhetetlen"."
>
> Másodpercenként nem tudsz ellenőrizni, arről gondoskodik a késleltetés.
felesleges itt néhány másodpercen szarakodni, aki CAPTCHA-t játszik ki az egy makróprogramot futtat egy server gépen és annyi ideje van egy-egy kód feltörésére mint a tenger.
> Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy
> kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol.
> Nem ugyanaz...
itt is ugyanaz a magyarázat: aki CAPTCHA feltörésre adja a fejét az belépési jelszót akar megszerezni Brute Force technikával. nem számít, ha néha nem jól ismeri fel a program a CAPTCHA-t mert a következő próbálkozásra is ugyanazt a kódot fogja kipróbálni. (még én sem ismerem fel mindig a CAPTCHA-t pedig én ember vagyok !) egy makrót meg is lehet úgy is írni, ha nem ismeri fel a CAPTCHA-t akkor kér egy másikat és ha mégis elhibázza akkor is onnan folytatja a kód próbálgatását ahol a legutóbbi sikeres CAPTCHA beírásnál tartott.
TomcatIVD TYAN board,2xP1 Tillamook 166MMX,48MB RAM,Matrox G550 32MB VGA,
4.3 IBM SCSI HDD,Hitachi SCSI DVDRW,SB16+Gravis Ultrasound,Realtek8019 LAN,
Adaptec PCI2SCSI2 card,XP Pirate,bootup: 33s
|
Nem szeretem az ilyen flame-eket de Turdus annyi beképzelt hogy ezt nem lehet kihagyni. :-) Szóval:
>"megfelelő programmal szimulálom a kattintást"
>Lássuk azt a programot.
http://www.autoitscript.com/autoit3/
Szeretném hangsúlyozni hogy ez csak 1 példa, vannak más lehetőségek is!
>"Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció.
> Ez közel sem "feltörhetetlen"."
>
> Másodpercenként nem tudsz ellenőrizni, arről gondoskodik a késleltetés.
Mármint úgy érted hogy egy IP-ről nem tudok. Na és akkor mi van? 10 IP címről percenként így is meglesz 6 regisztráció, akkor az egy óra alatt 360 . Ez bőven elég flood-olásra. Persze lehet növelni a késleltetés idejét, írhatod rá hogy akkor nem 1 másodpercet vársz hanem ötöt, meg egyéb trükköket, de akkor én meg azt írom rá hogy nem 10 IP-ről próbálkozom hanem 20-ról stb. Az alap módszered hatékonysága ettől még nem fog megváltozni, ezeket a trükköket meg más módszerekkel is el lehet játszani. A lényeg nem változik.
> Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy
> kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol.
> Nem ugyanaz...
Már bocs, de előszöris te nem a "feltörést" hanem az "átverést" szabtad feltételül. Ne szépítsünk! "A MINDIG jól válaszol" típusú programok nem léteznek a többi módszerre sem, mégis úgy tekintenek rájuk mint idejétmúlt, gyenge védelemre. Ez pedig a tiédre is igaz.
Egyébként meg a "próbálgatásos módszer" egy létező, ismert és bevált módszer. Ez nem "mázli", hanem elismert dolog. A 10%-os arány pedig már átverésnek számít. Lehet hogy van olyan alkalmazás ahol a 10% még nem probléma, de a legtöbb helyen az. Tehát a szoftvered átverhető. Pont.
A feltörésben nem vagyok biztos (100% arány elérése), de erre nincs is szükség.
|
Gondolom ezek nagy része nem szimpla szövegfelismerésreépül, hanem betanítható eljárások. A képösszepárosítósdi is ugyanígy betanítható, az, hogy 10 vagy 1000 kutyás/macskás/virágos képed van a lényegen nem fog változtatni. Ha olyan elterjedt lenne, hogy megérje pénzt fektetni a visszafejtésébe, akkor megoldanák. Akár egy primitív kis játékot is lehet írni rá, hogy namivanaképen, nyomjad, aztán szépen logolja az eredményt és kész.
|
Sok oldalon van hangos captcha is. (hangszóró ikon)
[ www.merlinw.org ]
Gigabyte P67A-UD3-B3 | Core i5-2500K@3,9Ghz | 8GB KINGSTON HyperX 1600MHz | Gigabyte HD6950 OC/1GB | FSP Everest 500W |
X-Fi ExtremeGamer | SAMSUNG S24A350H
|
a vakok jabbere hogyan tudha használni azt az oldalt ahol ilyen van?
|
minden ilyen kód törhető. A kulcs az, hogy a törés több erőfeszítást igényeljen, mint amennyi a törésből remélhető profit, ezáltal éri el a biztonságot.
|
Teljesen jogos. A részletek:
én adom a pénzt, privbe írsz egy üzenetet, és megbeszélünk egy személyes találkozót.
Nagy ötlet nincs, mindössze annyi, hogy végignyálaztam a teljes szakirodalmat, és próbáltam az összes korábbi törési módszert kiküszöbölni, a buktatóikat elkerülni.
A feltétel pedig az, hogy emberi időn belül, programmal elfogadható arányban választ adni (tehát mondjuk 1 perc alatt 70-80%-ban törni). Logok nem kellenek, csak egy személyes demonstráció, igazából a törés hogyanja az érdekes, hogy bele tudjam építeni a védelmet a rendszerbe. Ezáltal ugye a feltörő hozzájárul a rendszer biztonságának növeléséhez, ezért jár a pénz.
A távol keletiek ellen definíció szerint nem véd, mert csak arra alkalmas a teszt, hogy eldöntse, program vagy ember válaszol-e.
|
"Mutasd be"
Egy ilyen felhívást úgy szokás közzétenni, hogy kiderüljön belőle:
- ki adja a pénzt
- az adott rendszerben mi a "nagy ötlet", miért is gondolja a készítő, hogy jobb, mint a többi
- pontosan mi a feltétele annak, hogy elfogadd a feltörhetőség tényét. X% arány? X db/perc? Vagy van valahol valami levédve, amihez ha sikerül percenként x-szer hozzáférni, az utána bizonyítékként belengethető? Vagy mégis mi a kihívás lényege?
Amúgy meg az, hogy száz, ezer, vagy százezer kép van benne, tökmindegy. Szorgos távol-keleti kezek megfejtik az ismeretleneket, utána meg már adatbázisból mehet az egész. Nem tudsz gyorsabban berakni új képeket, mint ahogy azt fejtik meg.
|
A legtöbb szöveg alapú captcha ott hibázik, amikor nekiáll minden betűt más színnel jelölni, míg a háttér ezektől teljesen eltérő. Így aztán hű de nagyon nehéz elkülöníteni a betűket.
Flashnél használható akármilyen flashdecompiler, és az már csak az elemeket látja, nem a szép animációt. A megjelenítendő szöveg/kép ha futásidőben töltődik le, a forrásba belenézve lenyúlható azok címe - vagy a generáló script címe.
Esetleg egy előbb említett pontos módszer, de animált gifen, ahol egy-egy képkocka nem adja ki a teljes képet, de egymás után lejátszva már igen. De ez is törhető, csak a képeket egybe kell olvasztani...
|
Mo-n, mi a gond ?
nyugodtan használjuk a Captcha-ban, az ékezetes betűket.
A program valszeg erre nincs felkészítve.
|
A lényeg az, hogy nem csak 10 kép van (ez egyenlőre pre-pre-alpha változat, ezért csak 1000 kép van benne).
|
"De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon"
Ez aligha program.
"Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja"
Az vegye a fáradtságot, és küldjön egy privet. Értelmetlen, farok floodolás volt csak a whois másolása, akárcsak a js másolása.
"Lasd man wget"
Ha wget-el töltöd le, akkor esélyed sincs, mivel a következő kérésnél már más lesz a teszt.
"Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet"
Pénz működő programért jár. Eddig csak szócséplés volt.
|
Én olyan flash-alapú captchat csinálnék, ahol nem egy helyben állnak a betűk, hanem folyamatosan mozognak, de közben kicsit a háttér is mozog. Ezt nem hiszem, hogy bármelyik program fel tudná törni.
Mivel Flash alapú, ezért az akadálymentesítést figyelembe véve lenne benne audió captcha is.
|
"Plato Captcha".
Bocsi, javasolnám, hgoy keress egy komolyabb munkát. A kép párosítással az a baj, hogy a képek azonosíthatóak egyszerűen (van 10 kutyás, 10 cicás képed, stb) és onnantól a párosítás is automatikus.
Ha már kivan a faszod az idióta szignókkal csinálj te is egyet.
|
""A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb"
Mutasd be."
Fogod az eppen aktualis javascript-et, amit visszaad a kod:
document.write("<INPUT type='hidden' name='captcha' id='v3c43bf0672328d15751aee85f9b1511f'><TABLE border='0' cellspacing='0' cellpadding='0'><TR><TD><A href='http://captcha.turdus.hu/'><IMG id='captchafe213deae4c66d290fa3d9980ab331b0' src='ht"+"tp://captcha.turdus.hu/im"+"age/8fe7180bb0c224212dcd293e4896633c/green' alt='' width='64' height='64' border='0'></A></TD><TD><DIV style='overflow:auto;height:68px;width:72px;text-align:right;'><IMG id='i635f817b26fbe50d9e9baedd8548dc8d' src='http://captcha.turdus.hu/picto/ship' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ia06ae6f5b1aa3f1b00c692fe2577eda0' src='http://captcha.turdus.hu/picto/bird' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ibcb45f0de12345dffd488c01bea09a4c' src='http://captcha.turdus.hu/picto/tree' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='id216d758575a4e38b7603f79a909ce9b' src='http://captcha.turdus.hu/picto/mountain' alt='' width='48' height='48' style='border:so
id 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ic96b987c96490d261348e932a9df7c78' src='http://captcha.turdus.hu/picto/door' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i6401ea49409b510f3ef33ce337a5a2f8' src='http://captcha.turdus.hu/picto/fish' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='ibd4d8077e06e4c135c8890853a4346ff' src='http://captcha.turdus.hu/picto/flower' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i266ae71ce213050b639467e9594ac0c6' src='http://captcha.turdus.hu/picto/dog' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i2928027d5f10126a06d167eaa725e14d' src='http://captcha.turdus.hu/picto/cat' alt='' width='48' height='48' style='border:solid 2px w
ite;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br><IMG id='i4d242f5b300aea6c71c4e31a2b47a972' src='http://captcha.turdus.hu/picto/butterfly' alt='' width='48' height='48' style='border:solid 2px white;' onclick='fe16fd84a33c244b5efbd28d2e6140691(this);'><br></DIV></TD></TR><TR><TD colspan='2' align='center'><A href='http://captcha.turdus.hu/' style='font-family:Helvetica;font-size:10px;color:green;text-decoration:none;'>
Pi;C Plato CAPTCHA Engine©</A></TD></TR></TABLE>");document.getElementById('captchafe213deae4c66d290fa3d9980ab331b0').src='http://captcha.turdus.hu/image/8fe7180bb0c224212dcd293e4896633c/green';function fe16fd84a33c244b5efbd28d2e6140691(o){var i=document.getElementById('v3c43bf0672328d15751aee85f9b1511f');if(i!=null&&i.value!=''&&document.getElementById('i'+i.value)!=null)document.getElementById('i'+i.value).style.border='solid 2px white';i.value=o.id.substr(1,32);o.style.border='solid 2px green';"
Lefuttatod, kiveszed az elso id-t es ez 10%-os valoszinuseggel jo lesz. Harom probalkozasbol ez mar 27% (lasd valszam). De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon, ahol az internetezo hulyegyerekek megoldjak azert hogy be tudjanak lepni a 'kepgalleriaba'. A legtobb orosz spammer ezt hasznalja, mivel buta emberbol tobb van mint cpu idobol.
""A belinkelt feladatra a megoldas a wget hasznalata"
Mutasd be, hogyan."
Lasd man wget, --post-data mezo hasznalata... (nem fogom bemasolni a manpage-et)
""Ha valaki penzt akarna kerni a megoldasaert a sractol"
Ismered a whoist, gratulálok. ... Dumálni majdnem mindenki tud"
Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja, akkor tudja hova erdemes menni 'penzt kerni'. :-) (meg erdekelt hogy ki az aki hacker-nek hivja magat)
A lenyeg, hogy lehet bonyolitani, de nem erdemes. Ma mar letezik rengeteg mi alapu es rengeteg human alapu captcha feltoro megoldas. Ha van benne eleg penz meg az is elofordul, hogy a spammer/farmer felvesz par olcso azsiai 'tavmunkast' es megcsinaljak azok. Ha meg nincs benne penz, akkor a legjobb megoldas sem er anyagilag semmit sem. (mint pl. a demo oldal) Kicsi az eselye hogy barki valaha is onkent fizessen ezert. Viszont ilyet irni iskola utan jo szorakozas es a keszito igazi 'hacker'-nek erezheti magat. Aztan tobbnyire rajon hogy megsem. :-)
ps: Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet... :-))))) |
"A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb"
Mutasd be.
"A belinkelt feladatra a megoldas a wget hasznalata"
Mutasd be, hogyan.
"Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind"
Megint tévedsz. Jelenleg több, mint ezer kép van, és az adatbázis bővül. Senki nem mondta, hogy ugyanarra az url-re mindig ugyanaz a kép jelenik meg...
Ezenkívül, mint már említettem volt, minden letöltés megváltoztatja a tesztet.
"Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet."
Csak épp a variációk száma egy hangyabránernyit nagyobb, pont annyival, hogy már komoly kihívást jelentsen. Betűből 26 van, kutyát ábrázoló képből szerinted mennyi?
"A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember"
Amikor elvont fogalmakat, ábrákat kell felismerni, akkor nem. Ahhoz MI kéne. Ha ilyen egyszerű lenne, akkor a googli használná, és nem kéne labeller.
"Ha valaki penzt akarna kerni a megoldasaert a sractol"
Ismered a whoist, gratulálok. De a pénzért le is kéne tenni valamit az asztalra, nemcsak jératni a szád... Dumálni majdnem mindenki tud (itt különösen sokan).
|
"Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni."
A microsoft megoldasa 6 masodperc alatt 17 szazalek. A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb. A harom probalkozas utani letiltas azert nem jarhato, mert sok cegnek es kisebb szolgaltatonak osszesen 1 kulso ip cime van, tehat 1 buta felhasznalo denial of service-t valthat ki az egesz tartomanyon.
A belinkelt feladatra a megoldas a wget hasznalata, ahol az elso keres letolti az oldalt, a masodik kuld egy valasz post kerest, a generalt parameterekkel. Ez meg egy windows-os batch file-bol is megoldhato.
Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind, majd kezi cimkezes utan egy sima image diff megmondja hogy melyik kepet adta a rendszer es az melyik valasz osztalyba tartozik. Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet.
"Flash alapu captcha?"
Jo, viszont sima kepernyokep + eger szimulacioval kikerulheto. A windows erre nyujt tamogatast, meg visual basic 6-ban is. (utoljara ott hasznaltam, kb. 10 eve)
"Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sűrűbb helyeken lévő pontokból kiolvasható volt h mit kell beütni."
Lasd fent. Nagyon sok mmo farmer bot ezt hasznalja, igy latjak a valojaban sok kis haromszogbol kirakott kepet.
"Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D"
Az elsot lasd fent, a masodik csak addig er valamit, amig a programiro el nem olvassa egyszer az oldalt, hogy mi a feladat.
"CSS alapú? Megfelelő helyre lerakott bepozicionált divek végül kiadnak egy pár betűt."
Ez csak az internet explorer-rel internetezo embereket zarna ki az oldalrol... :-)
"Esetleg egy sima captcha amire írt szöveget visszafele kell beírni?"
Ilyen mar van, de ez a legegyszerubben felismerhetoek kozze tartozik.
A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember. Abban a pillanatban van gond, ha mar egy gepnek konnyebb, mint egy embernek. A rapidshare-re es tarsaira is egyszerubb programot irni (browser plugin-t), mint mindig kezzel megadni a valaszt. Igy lehet automatizalni a letolteseket.
ps: Ha valaki penzt akarna kerni a megoldasaert a sractol:
Website Title: turdus.hu
Title Relevancy: 100%
Meta Description: homepage of hacker named Turdus
Description Relevancy: 20% relevant.
domain: turdus.hu
org: org_name_eng: Proaction Hungaria Ltd.
org: org_name_hun: Proaction Hungaria Kft.
address: Dísz ter 16. III/4.
address: 1014 Budapest
address: HU
phone: +36-1-225-7744
fax-no: +36-1-225-7743
hun-id: 0991681330
admin-c: 2000686739
tech-c: 3000101064
zone-c: 3000101064
nameserver: eplos.hu
nameserver: ns.blazearts.hu
registered: 2007.10.25 23:18:30
changed: 2007.11.09 09:54:15
registrar: 1000271857
person: Baldaszti Zoltán
address: Tüttõssy u. 7.
address: 8900 Zalaegerszeg
address: HU
phone: +36 30 514 7769
fax-no:
hun-id: 2000686739
role: forpsi.hu Hostmaster
address: Hunyadi u. 12
address: 6090 Kunszentmiklós
address: HU
phone: +36 76 550 153
fax-no: +36 76 550 152
e-mail:
hun-id: 3000101064
role: forpsi.hu Hostmaster
address: Hunyadi u. 12
address: 6090 Kunszentmiklós
address: HU
phone: +36 76 550 153
fax-no: +36 76 550 152
e-mail:
hun-id: 3000101064
org: org_name_eng: BlazeArts Ltd.
org: org_name_hun: BlazeArts Kft. (Registrar)
address: Hunyadi u. 12.
address: 6090 Kunszentmiklós
address: HU
phone: +36 20 3242323
fax-no: +36 76 550175
hun-id: 1000271857
|
A képen látható megoldások a legelső, leggagyibbak. Ezeknél már én is ötletesebbeket használok, pedig nem vagyok egy multi :)
De valamit meg kell érteni. Ahogy a cikk is írja, a komolyabbakat nem programok törik fel, hanem emberek. Ez a tipusu védelem pedig azt tudja, és nem többet, hogy ellenőrzi, ember avagy egy program próbálkozik. Ebből az következik, hogy mivel ember próbálkozik, be tud lépni, és sakk-matt, ha nem tudna akkor ugye a valódi felhasználó sem jutna be.
Megoldás? Teljesen más irányba kell indulni, de nem adok ötleteket, találja ki mindenki magának. Egy ötletem már lenyúlták, nem mindta szabadalomvédett lenne :)
(Igen, elütöttem pár szót, mert nem olvastam vissza figyelmesen. Bocs.) http://www.divecenter.hu a legnagyobb magyar búvár közösségi portál. Egy hely, ahol minden búvár napja kezdődik.
|
Elérhetőséget tudsz dobni? |
Hehe. Ne tudtam belépni, ezek szerint program vagyok. 
|
Ne haragudj de így elsőre én nem fogtam fel, hogy akkor most hogyan lehet belépni:D Mit válasszak ki és hol?:D Szerinted egy átlag mezei halandó (joh meg én is) akár 2 másodpercnél többet el fog tölteni azzal, hogy megfejtse, hogy most mi is a feladata?
Mától nem vitatkozom buta emberekkel. - 2011. 07. 03.
|
Flash alapu captcha?
Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sűrűbb helyeken lévő pontokból kiolvasható volt h mit kell beütni.
Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D
CSS alapú? Megfelelő helyre lerakott bepozicionált divek végül kiadnak egy pár betűt.
Esetleg egy sima captcha amire írt szöveget visszafele kell beírni?
Mától nem vitatkozom buta emberekkel. - 2011. 07. 03.
|
Az a buzisag a Captcha-ban hogy mar annyira bonyolultak hogy az emberek is alig alig tudjak kitalalni,jo ha 3-4 probalkozasbol sikerul.
|
Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni.
Az, meg hogy mennyi ideig filózik az ember, hogy mi van a képen, jogos felvetés, de erre azt mondom, hogy tesztek igazolják, hogy a vizuális felismerés kevesebb időt vesz igénybe, mint egy értelmetlen, eltorzított írás kibogarászása. Én is teszteltem (csak pár emberrel, szóval nem reprezentatív), de mindenki kivétel nélkül gyorsabban válaszolt, mint pl a google captcha kérdésére.
|
"Mi is a garancia"
A szavam. Vagy elég neked, vagy nem.
"még e fölé is lehetne menni valószínűleg"
A "valószínűleg" elég gyenge, ezt ugye Te is érzed. Ha valóban sikerül megoldanod, állok elébe, kiváncsi vagyok a hogyanra, és hidd el, ki fogom fizetni szó nélkül a pénzt érte.
"Security through obscurity"
Először is security by obscurity, másodszor ez semmiképp nem az, mivel pontosan definiálva vannak a paraméterek és az ellenőrzés menete is az oldalon, elolvashatod. Az, hogy a UUID-k milyen algoritmussal vannak kiszámolva, lényegtelen, mivel feltesszük, hogy két egyforma valószínűsége 0. A kulcsok cseréjének gyakorisága szintén le van írva. Ami SbO alá esik, az a kattintás emulálása, beismerem, de még erre sem jött megoldás, és ha van is, az is MAX 10%-os esélyt ad (amíg be nem bizonyítod az ellenkezőjét). Megjegyzem ismét, az elméletileg maximális 10% messze veri a cikkben említett összes eddigi védelmet (és ráadásul elméleti, gyakorlat az egészen más). |
Biztos jó a captcha, de nem a felhasználónak hanem az oldal üzemeltetőjének. Van néhány egészen extrém captcha *faj* amit mi emberek nem, viszont a gépek 100% pár másodperc alat törnének. És itt van elásva a kutya!
Nem, azért nevetséges, nem fog az ember 2-10+ percet filózni, hogy mi is van a képen, inkább tovább megy. Nehéz kitalálni egy jó megoldást erre.
|
A Rapidshare "kutya, macska rendszerét" tutira nem játszotta volna ki, más kérdés, hogy sokszor még én se találtam el. pedig jó szemem van:)
|
"Lássuk azt a programot."
Mi is a garancia arra, hogy megkapja az első sikeres "feltörő" a százezer forintot? Semmi. Akkor meg minek foglalkozna vele bárki is a saját idejét feláldozva?
Kábé 5 percet szántam rá az előbb, és hótziher, hogy meg lehet oldani legalább 10%-osra a tippelgetős módszerrel, de elárulom, ha valaki nagyon ráér, még e fölé is lehetne menni valószínűleg.
Az meg, hogy bannolsz a sikertelen próbálkozásokra, nem megoldás. Ha az lenne, ezt használnák mindenhol, és pillanatok alatt meg lenne oldva a gond.
"Security through obscurity" mond valamit? Nem kéne erőltetni...
|
Elválasztani a beszédet a háttérzajtól nem nagy kunszt, még a Nokia N810-esemhez adott headset is alapból tudja (meg is lepett, mert ha filmet nézek vele, csak akkor van beszéd, ha nyomom közben a mikrofon gombot :-))
|
"megfelelő programmal szimulálom a kattintást"
Lássuk azt a programot.
"Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció. Ez közel sem "feltörhetetlen"."
Másodpercenként nem tudsz ellenőrizni, arről gondoskodik a késleltetés. Ha nagyon-nagyon-nagyon szerencsés vagy, és az első 3 próbálkozásból beleválasztasz (mielőtt bannolva lennél), akkor tudsz 1:9 eséllyel kitalálni egy captcha-t (tegyük fel, hogy mindez teljesül), azaz akkor vagy 10%-nál. A fenti táblázat alapján melyik captcha büszkélkedhet ennyire jó eredménnyel?
Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol. Nem ugyanaz...
|
vagy ha tök süket vagy :S
|
Legyen hangos! Ne képpel azonosítsunk, hanem hanggal. Fölveszünk szavakat, aztán torzítjuk, aláteszünk háttérzajt stb.
Míg a szövegfelismerés viszonylag fejlett tecnológia, addig a szövegfelismerés nagyon gyerekcipőben jár. A viszonylag tiszta érthető szöveget sem lehet normálisan fölismerni. Bár angol nyelvre már vannak jó szoftverek, de ezek sem megbízhatók. Random háttérzaj (nem fehér zaj hanem mondjuk zene vagy egy part-ban fölvett zaj) alákeverése + torzítás hatására nincs az a program ami megfejti hogy miről is van szó.
Természetesen nem én találtam ki. Sok baj van vele:
- nem nyelv független (fordítani kell), bár ez talán nem olyan nagy baj
- több adatforgalom
- nagyobb adatbázis kell hozzá
- ha nincs hangkártya a gépedben akkor annyi....
|
mozgó gif alapú??? nemtom, csak 1 5let...
|
Akkor írhatom a számlaszámot? :-D
|
> Válassz ki egy opciót programmal. Hajrá. Majd írd meg, ha sikerült.
Sikerült. :-) Például (de ez tényleg csak EGY lehetőség a sok közül): virtual frame buffer szerveren futtatok egy firefox-ot, és megfelelő programmal szimulálom a kattintást. Ezen fut javascript meg minden ami kell. Ha most nekikezdenék akkor kb. fél óra múlva készen lenne.
> És mégvalami: ha 10 IP-ről próbálsz 10 regisztrációt, akkor 10 teljesen totálisan különböző tesztet fogsz kapni.
Ez igaz, de ettől még nem mondhatjuk hogy "feltörhetetlen" ugye? :-) Ha 10-ből egy sikerül akkor másodpercenként megvan egy regisztráció. Ez közel sem "feltörhetetlen".
|
És mégvalami: ha 10 IP-ről próbálsz 10 regisztrációt, akkor 10 teljesen totálisan különböző tesztet fogsz kapni.
|
Válassz ki egy opciót programmal. Hajrá. Majd írd meg, ha sikerült.
|
Nagyon egyszerű átverni! Küldheted a 100 ezer forintot! :-)
Itt a megoldás: 10 képet jelzel ki! Tehát ha random választok egyet akkor 10% valószínűséggel jót választok. Ez már elég, mert ha egy regisztrációt 10 szálon próbálok (10 IP-ről, de ez nem akadály) akkor problémamentes a dolog!
Persze erre mondhatod azt, hogy 20 kép. Rendben, akkor 20 szál. Erre mondhatod azt hogy jó, 100 kép. Igen ám, de azt már az emberek se tudják használni!
|
A captcha nem lehet halott, merthogy az egy módszer: fordított Turing-teszt.
Érdekes, hogy a cikk nem említi a hivatalos captcha oldalt... kiváncsi lennék, azt mennyire tudják törni. Pont egy ilyen projekten dolgozom ugyanis, de azt aligha fogják egyhamar bármilyen programmal meghackelni 
Ha valaki kiváncsi rá, itt megtekinthető a pre-pre-alpha release:
Plato Captcha
Fizetek 100eFt-t, ha valakinek sikerül átvernie. Egyenlőre még nincs regisztráció, ezért csak az online demot lehet tesztelni.
|
Sokan meg is tették már.
"Az internet tiszta gáz lett, amióta felfedezte magának a média, a pénzvilág, meg a sok idióta user. Ameddig a kockák voltak többségben nem volt semmi gond." - shenmuedc
|
Sajnos kijatszhato, mivel random retinat generalni algoritmikusan nem egy nagy feladat.
|
Hát a jó k*rva anyjukat ezeknek a spammereknek!!!
De szerencsére nagyobb veszély csak a nagy és ismert rendszereket érinti. Ha van saját fórumod, blogod, azt nagyon könnyű megvédeni.
Pl. egy ilyen egyszerű captcha, hogy "milyen nap van ma?", távol tart minden spammert, mert nincsenek rá felkészülve, és pont a te oldaladra nem fognak algoritumust írni.
|
© Epikurosz, 2008. Minden jog fenntartva, a szomszédosak is!
Kara kánként folytatom tanításom.
|
Javasolom a webkamerás retinaolvasókat.
 
Kara kánként folytatom tanításom.
|
A captcha halott, lehet temetni. Inkább találjanak ki helyette valami újat, mert így semmit sem érnek vele.
|
Profik! Pedig néha még nekem is nehéz kiolvasni, annyira összekuszált :)
|
|
Nyomtatás
Elküldés e-mailben
Használhatatlanok a Captcha-megoldások
Elkészült az OpenOffice 3.0
Kilátástalan a fájlcserélők elleni harc
A Lenovóé lehet a Fujitsu-Siemens?
