Nova captha
13 naročnikov
13 naročnikov
Danes sem naletel na tole zadevo http://areyouahuman.com/. Jo je kdo že implementiral na stran?
Meni je sicer zabavna, vendar mislim da bi bila primerna samo, če spletno stran uporabljajo mladi oz. tisti ki so vešči uporavljanja z miško.
33 odgovorov
kaksen BG? sej kombinacij je vec, in mora prestaviti ustrezen lik notri...
definitivno se bi dalo razbit, ampak ni lih tko simple, kot se mogoce zdi na prvi pogled zaradi simpaticnega izgleda :)
Ok bom na hitro razložil rešitev:
Odgovor se shrani v polje captchaAnswer. Tja moreš prenesti id od pravega lika.
Tole je polje kamor pride rešitev: <div class="target ui-droppable" style="background-position: -28px -32px;"></div>. Lahko bvidiš da so podane koordinate.
To je pa polje, ki ga je treba dropat:
<div id="draggable_72850a7f77b07bae2913628c72d5fa55" class="draggable ui-draggable" style="left: 41px; background-position: -28px -3px;"></div>
- Ima tudi background position.
Po sliki http://mesetar.com/media/captcha/bwm-captcha2.png vidiš katera pozicija pomeni kateri znak.
To sem ugotovil po 5min, lahko da je še kak catch vmes.
res je, pogood point... poziciji BGja uspes videt kateri znak moras vrzti notri
potem spisat js snippet ki opravi delo avtomatsko ni nek problem...mas kako idejo, da se to se malo bolj zasciti?
Na hitro tako, da bi vsakemu uporabniku generiral svojo sliko, ki bi bila vedno drugačna. Samo če se bo nekdo lotil direktro te capthe, lahko sliko vedno prebere in enostavno prebere tudi nove pozicije.
Tako da jaz bi pustil tako kot je, če pa začnete spam dobivat, bi pa presedlal na kak drug sistem.
Kar se tiče DeathByCaptcha - verjetno imajo kombinacijo SW in poceni delovne sile, ker imajo zanesljivost nad 90%.
Hahaha jaz sem sel takoj razbijat mesetarjevo captcho in ugotovil enako kot @pavarti.In zdaj hocem zmagoslavno napisat v temo in vidim, da so me prehiteli :/
Sem pa ugotovil se vecjo pomankljivost.Zgleda ne zbrisete seje od captche tudi ko posljete email za potrditev.
Torej napadalec lahko rocno resi eno captcho in registrira neomejeno racunov s tem, da poslje tak POST request
firstname=dfdffd&lastname=fddffddf&email=xxx@yyy.zzz&password=abc999&password2=abc999&cansend=1&captcha=draggablecd8c71e95d2c91c8041344990aefb708
Lp
Plus tudi če ti rata tehnično pravilno izvest, bo bot v povprečju 33% od vseh poskusov poslal spam. Tri slikce, ena pravilna - tretjina možnosti.
Kar sem ti že na slo-tech napisal.
@technolog: kvecjemu 25% ampak ker je vezano na session, ni izvedljivo....kar pa je pavarti jasno zapisal, da se da ugotavljat background position, to pa boti lahko komot uredijo, s 100% zanesljivostjo ;)
bomo ustimali tudi to
Ne razumem dela "vezano na session"...
Vsakič probaš z novo sejo postat isto sporočilo. Lahko uganeš pravilni simbol v prvem poskusu, lahko šele v stotem, ampak v povprečju v 4ih poskusih.
Ker sistem da feedback, če je captcha uspela, pač bot probava dokler mu sistem tega ne javi. Nova seja vsakič.