Всё обо всём
Studio GO (System Advert)
23
120
9 лет назад
ByFly,
Так ты понимаешь что они уже давно используют напрямую браузер встроенный в винду - тобишь осла(ИЕ) и соответственно поля заполняются в браузере, и все эти сессии всё пашет.
Для распознавания каптчи вообще используются сервисы, вспомните когда пришли в интернет и искали методы заработка наверняка сталкивались с предложением зарабатывать что то около бакса за 1000 каптч, вот это как я предполагаю и встроено в хрумер и прочие спамеры. Индусов полно в забугорных сервисах.
Другое дело генерировать названия всех инпутов рандомно и перемешивать поля между собой, например 1 раз первым выводить логин, перезагрузка - первое поле уже мыло, вторая перезагрузка первое поле - вообще каптча. Либо можно их яваскриптом уже после перезагрузки переводить в удобный для юзера порядок.
Так ты понимаешь что они уже давно используют напрямую браузер встроенный в винду - тобишь осла(ИЕ) и соответственно поля заполняются в браузере, и все эти сессии всё пашет.
Для распознавания каптчи вообще используются сервисы, вспомните когда пришли в интернет и искали методы заработка наверняка сталкивались с предложением зарабатывать что то около бакса за 1000 каптч, вот это как я предполагаю и встроено в хрумер и прочие спамеры. Индусов полно в забугорных сервисах.
Другое дело генерировать названия всех инпутов рандомно и перемешивать поля между собой, например 1 раз первым выводить логин, перезагрузка - первое поле уже мыло, вторая перезагрузка первое поле - вообще каптча. Либо можно их яваскриптом уже после перезагрузки переводить в удобный для юзера порядок.
9 лет назад
Цитата: steamТак ты понимаешь что они уже давно используют напрямую браузер встроенный в винду - тобишь осла(ИЕ) и соответственно поля заполняются в браузере, и все эти сессии всё пашет.
Верно, я уже понял это сразу![\":wink:\"](\"https://sfb.su/engine/data/emoticons/wink.gif\")
Цитата: steamДля распознавания каптчи вообще используются сервисы, вспомните когда пришли в интернет и искали методы заработка наверняка сталкивались с предложением зарабатывать что то около бакса за 1000 каптч, вот это как я предполагаю и встроено в хрумер и прочие спамеры. Индусов полно в забугорных сервисах.
я об этом тоже подумал, так как ни один бот не сможет распознать капчу, не зная алгоритма.
Цитата: steamДругое дело генерировать названия всех инпутов рандомно и перемешивать поля между собой, например 1 раз первым выводить логин, перезагрузка - первое поле уже мыло, вторая перезагрузка первое поле - вообще каптча. Либо можно их яваскриптом уже после перезагрузки переводить в удобный для юзера порядок.
Смена порядка полей ни к чему не приведет.
Шаблон email input, он и останется email input.
Я же описал, что рандомом подгружать form и при обработчике приводить их к общему значению.
Верно, я уже понял это сразу
Цитата: steamДля распознавания каптчи вообще используются сервисы, вспомните когда пришли в интернет и искали методы заработка наверняка сталкивались с предложением зарабатывать что то около бакса за 1000 каптч, вот это как я предполагаю и встроено в хрумер и прочие спамеры. Индусов полно в забугорных сервисах.
я об этом тоже подумал, так как ни один бот не сможет распознать капчу, не зная алгоритма.
Цитата: steamДругое дело генерировать названия всех инпутов рандомно и перемешивать поля между собой, например 1 раз первым выводить логин, перезагрузка - первое поле уже мыло, вторая перезагрузка первое поле - вообще каптча. Либо можно их яваскриптом уже после перезагрузки переводить в удобный для юзера порядок.
Смена порядка полей ни к чему не приведет.
Шаблон email input, он и останется email input.
Я же описал, что рандомом подгружать form и при обработчике приводить их к общему значению.
9 лет назад
Спасибо, диванные специалисты подняли настроение
9 лет назад
Цитата: westbestчто он говорит
готов поспорить?
готов поспорить?
9 лет назад
Цитата: ByFlyДля чего нужен token?Конечно же для безопасности.Приведу обычный пример:Бот заходит на Ваш сайт, заполняет форму регистрации и регистрируется.Так же и комментарии может отправлять.В общем любую форму без защиты боты могут заполнять и отправлять.Боты многое не умеют делать, например использовать session, cookie, javascripts и многое другое.
это с чего ты взял то?
это с чего ты взял то?
9 лет назад
Цитата: Admin24это с чего ты взял то?
может потому что мой друг программист писал сам бота под заказ для некоторых сайтов?![\":smile:\"](\"https://sfb.su/engine/data/emoticons/smile.gif\")
Кто знает, кто знает)))
может потому что мой друг программист писал сам бота под заказ для некоторых сайтов?
Кто знает, кто знает)))
9 лет назад
ByFly,
хреновый аргумент
хреновый аргумент
9 лет назад
Admin24, хорошо, другой ответ, if you have pro skills, то боты не могут запускать на сервере Session, если конечно же в прогу не встроен браузер
как я предполагаю, 90% в инете это ГСайты, то есть у которых явно отсутствует защита типа капчи, js или же проверка формы через Session.
Поэтому боты как бы раньше этого ничего не умели делать.
Сейчас же как происходит ситуация?
В проги устанавливается браузер, то есть Session уже запускается.
Далее есть проги, которые могут перемещать курсор мыши и делать click.
То есть js защита тоже отпадает.
Капчи? Как говорил коллега выше, сидят индусы и за 1$ разгадывают 1 касарь капчи![\":lol:\"](\"https://sfb.su/engine/data/emoticons/lol.gif\")
как я предполагаю, 90% в инете это ГСайты, то есть у которых явно отсутствует защита типа капчи, js или же проверка формы через Session.
Поэтому боты как бы раньше этого ничего не умели делать.
Сейчас же как происходит ситуация?
В проги устанавливается браузер, то есть Session уже запускается.
Далее есть проги, которые могут перемещать курсор мыши и делать click.
То есть js защита тоже отпадает.
Капчи? Как говорил коллега выше, сидят индусы и за 1$ разгадывают 1 касарь капчи
9 лет назад
Цитата: ByFlyByFly
дак токен для чего нужен?
дак токен для чего нужен?
9 лет назад
Admin24, WikiPedia
Токен (также аппаратный токен, USB-ключ, криптографический токен) — компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам и т. д. Как правило, это физическое устройство, используемое для упрощения аутентификации.
Также этот термин может относиться и к программным токенам, которые выдаются пользователю после успешной авторизации и являются ключом для доступа к службам.
P.S. основные слова выделил жирным
Токен (также аппаратный токен, USB-ключ, криптографический токен) — компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам и т. д. Как правило, это физическое устройство, используемое для упрощения аутентификации.
Также этот термин может относиться и к программным токенам, которые выдаются пользователю после успешной авторизации и являются ключом для доступа к службам.
P.S. основные слова выделил жирным
9 лет назад
Цитата: ByFlyByFly
мде, я тебе говорю что ты хочешь сделать этим токеном?
мне достаточно что есть страница которая дает ответ все остальное я от туда в легкую вытащю и отправлю те данные которые она просит, нет не какого смысла в этом, усложнит это задачу? возможно затрачу немного больше времени! Решит токен проблему нет!
в вк тоже есть своего рода подставы с авторизацией но все уже решено давно и обходится в легкую.
мде, я тебе говорю что ты хочешь сделать этим токеном?
мне достаточно что есть страница которая дает ответ все остальное я от туда в легкую вытащю и отправлю те данные которые она просит, нет не какого смысла в этом, усложнит это задачу? возможно затрачу немного больше времени! Решит токен проблему нет!
в вк тоже есть своего рода подставы с авторизацией но все уже решено давно и обходится в легкую.
9 лет назад
ByFly,
господи иисусе, пожалуйста, замолчи и больше ничего здесь не пиши
токен нужно для предотвращения межсайтовой подмены запроса
CSRF
господи иисусе, пожалуйста, замолчи и больше ничего здесь не пиши
токен нужно для предотвращения межсайтовой подмены запроса
CSRF
9 лет назад
Admin24, okey, считай как хочешь, если это не решит задачу, так зачем по сей день делают капчу и защиту от ботов?
Закроем эту тему!
Nikes, верно, он для этого и разрабатывался, но ты не думал, что его можно использовать в защите?
Закроем эту тему!
Nikes, верно, он для этого и разрабатывался, но ты не думал, что его можно использовать в защите?
9 лет назад
Цитата: ByFlyokey, считай как хочешь, если это не решит задачу, так зачем по сей день делают капчу и защиту от ботов?
зачем тему закрывать?
как защитится от ботов решает сам для себя каждый, я на ютубе смотрел как они реагируют, зашел к ним с настроенным браузером и фаерволом с блокированием их всей статы и доменов статы клика поведения и тд, в итоге сообщение сканирование портов, от подсети ютуба
в яндексе все гораздо хуже они меня забанили в поиске, рекламу главное показывают а пишут что я бот, я им в поддержку написал как так захожу в акк он верифицирован и вы мне пишете что я бот и рекламу показываете что-то тут не так))
Цитата: ByFlyделают капчу
капча это хорошо но она пользователей отпугивает и получается пользы от нее маловато
зачем тему закрывать?
как защитится от ботов решает сам для себя каждый, я на ютубе смотрел как они реагируют, зашел к ним с настроенным браузером и фаерволом с блокированием их всей статы и доменов статы клика поведения и тд, в итоге сообщение сканирование портов, от подсети ютуба
в яндексе все гораздо хуже они меня забанили в поиске, рекламу главное показывают а пишут что я бот, я им в поддержку написал как так захожу в акк он верифицирован и вы мне пишете что я бот и рекламу показываете что-то тут не так))
Цитата: ByFlyделают капчу
капча это хорошо но она пользователей отпугивает и получается пользы от нее маловато
9 лет назад
Цитата: Admin24зачем тему закрывать?
не знаю, тут есть люди, которые не понимают сути, пытаются закрыть рот, а на самом деле все намного проще, как кажется
не знаю, тут есть люди, которые не понимают сути, пытаются закрыть рот, а на самом деле все намного проще, как кажется
9 лет назад
Цитата: ByFlyа на самом деле все намного проще, как кажется
дак раскрой всем глаза, рот тут никто тебе не закрывает
дак раскрой всем глаза, рот тут никто тебе не закрывает
9 лет назад
Admin24, зачем? подустал я кодить и объяснять тут все.
Если банальные вещи понять не можете
Что token, что solt, что md5 (который расшифрован), sha256/512, secret, secret key, всё это одно и тоже, все это сделано для усиление защиты
Взять тот же самый token, что он делает? Сервер генерирует зашифрованную строку, выдает приложению, через эту строку пользователь аудентифицируется, получает доступ к ресурсу.
Что делает solt? добавляет какой-то ключ, тоже самое можно и назвать key, и secret все тоже самое.
Только вот применяются везде по разному, token типа для приложений, solt типа для дополнительной защиты шифрования паролей
Суть одна и та же.
Я взял банальное, создал генерацию строки, поместил её в сессию, добавил её в form input для того, чтобы боты не могли отправлять форму, так как боты не умеют создавать session, назвал её token.
В принципе говорю же, это тоже самое, что и key, secret, solt, token.
Называйте как хотите.
Теперь уж точно закрываем эту тему.
Если банальные вещи понять не можете
Что token, что solt, что md5 (который расшифрован), sha256/512, secret, secret key, всё это одно и тоже, все это сделано для усиление защиты
Взять тот же самый token, что он делает? Сервер генерирует зашифрованную строку, выдает приложению, через эту строку пользователь аудентифицируется, получает доступ к ресурсу.
Что делает solt? добавляет какой-то ключ, тоже самое можно и назвать key, и secret все тоже самое.
Только вот применяются везде по разному, token типа для приложений, solt типа для дополнительной защиты шифрования паролей
Суть одна и та же.
Я взял банальное, создал генерацию строки, поместил её в сессию, добавил её в form input для того, чтобы боты не могли отправлять форму, так как боты не умеют создавать session, назвал её token.
В принципе говорю же, это тоже самое, что и key, secret, solt, token.
Называйте как хотите.
Теперь уж точно закрываем эту тему.
9 лет назад
Цитата: ByFly
так а что нового то?
почитай про защиту csrf, она хоть чем-то отличается?
что за дичь ты здесь втираешь вообще?
так а что нового то?
почитай про защиту csrf, она хоть чем-то отличается?
что за дичь ты здесь втираешь вообще?
9 лет назад
ByFly,
сама суть хороша, но есть одно небольшое но: вот я захожу на сайт и мне все это генерируется так ведь? и я могу это использовать в дальнейшем потому как оно у меня уже есть, если дальше чтото вновь генерируется то наверное исходя из того что я отослал в предыдущий раз так ведь?, ну и получается это просто игрушка))
сама суть хороша, но есть одно небольшое но: вот я захожу на сайт и мне все это генерируется так ведь? и я могу это использовать в дальнейшем потому как оно у меня уже есть, если дальше чтото вновь генерируется то наверное исходя из того что я отослал в предыдущий раз так ведь?, ну и получается это просто игрушка))
9 лет назад
Admin24,
господи да нет же, создается сессия, генерируется хэш, помещается в сессию,и в форму в скрытое поле, при пост запросе, сверяется полученный хэш из поля и хэш из сессии.
при обновлении страницы генерируется в сессии новый хэш
господи да нет же, создается сессия, генерируется хэш, помещается в сессию,и в форму в скрытое поле, при пост запросе, сверяется полученный хэш из поля и хэш из сессии.
при обновлении страницы генерируется в сессии новый хэш