Подмена серверных переменных и обход "циферок"

[Shhh]

Подмена серверных переменных и обход "циферок"

Использую у себя на сайте в скриптах проверку реферера: $_SERVER[HTTP_REFERER] но случайно наткнулся на чужой сайт, какой пользуется результатом работы моего сайта. Т.е. скрипт с чужого сайта делает запрос к моему сайту и получает ответ, я даже сделал проверку - мой скрипт в этом случае действительно получает $_SERVER[HTTP_REFERER] такой как надо - типа от моего сайта. Соотв. вопрос, а как это просекти и запретить? Кроме того даже циферки при вводе данных в форму и то он обходит Как их сделать, чтоб нельзя было "прочитать" скриптом? Спасибо.

 

[Фанат]

использовать $_SERVER['REMOTE_ADDR']
но это тоже ненадолго.
в общем случае - никак.

Как их сделать, чтоб нельзя было "прочитать" скриптом?

переписать скрипт так, чтобы циферки нельзя было прочитать скриптом

 

[Beavis]

Re: Подмена серверных переменных и обход "циферок"

Автор оригинала: Shhh
Кроме того даже циферки при вводе данных в форму и то он обходит

http://www.captcha.ru/articles/algorithm/

Автор оригинала: Shhh
Как их сделать, чтоб нельзя
было "прочитать" скриптом? Спасибо.

http://www.captcha.ru/articles/visual/

 

[Shhh]

"Ф анат: в общем случае - никак" т.е. получается, что зафлудить внешним скриптом чат это раз плюнуть, красота Т.е. даже если я установлю время для одного посетителя чаще которого он не может отправлять посты, то 5 человек загадят топик по полной программе...

Beavis, большое спасибо, это то что я искал!

 

[Фанат]

зачем 5? и один справится.
и вообще, что ты называешь словом "посетитель"?
и откуда здесь вообще чат всплыл?

 

[Shhh]

"Сайт" из вопроса это чат - я нашел на чужом сайте чат какой работает вместо моего сайта. Т.е. человек заходит на другой сайт, там вводит ник/пароль, циферок не вводит, какие стоят у меня, и попадает в список активных чатлан моего чата и начинает общаться в моем чате, находясь на чужом сайте И этот факт, меня очень сильно напряг...

 

[Mr_Max]

Shhh

циферок не вводит

Значит логин с проверкой ввода цифр - дырявый.

 

[cDLEON]

Да даже с циферками сделать тоже самое не проблема 8)
В QIP так регистрация реализована 8)

 

[Shhh]

Mr_Max все же больше похоже, что циферки скриптом считываются - просто они нарисованы, а не как в captcha

 

[Nelius]

А я не пойму в чем проблема???))) Кто-то нахаляву раскручивает ваш ресурс, спасибо надо сказать!

А если по теме, у меня есть скрипт генерации анимированного captcha изображения(gif). Если надо, могу дать. С ним буит посложнее в плане распознавания. А вообще от человеко-роботов никто не спасет! То есть берут captcha изображение с вашего сайта и точно также просят пользователя ввести циферки, спуфят HTTP_REFERER и вуаля о5 тот же результат)

 

[cDLEON]

Nelius
Ну почему сразу раскручивает? )
Помоему можно написать клиента в котором не будет даже слова чей чат используется 8)

 

[Nelius]

Автор оригинала: cDLEON
Ну почему сразу раскручивает? )
Помоему можно написать клиента в котором не будет даже слова чей чат используется 8)

Оффтоп: Ну тогда "закручивает"!

 

[Shhh]

Nelius в том-то и дело, что раскрутки нету Используются только мои ресурсы сервера - мне понравилсоь насколько клиент аккуратно сделан, вообще нигде не вылазит ни урл, вообще ни чего от моего ресурса. Ну ладно, в даном случае, это сделано в мирных целях, но меня больше напрягла вообще возможность обхода всех защит для входа в чат роботом - был момент когда конкуренты сделали робота какой меняя ip заходил по 20-30 раз в секунду в чат в течении не одной минуты, там только вал сообщений о входе/выходе клонов чего стоил в топике - вот тогда это был капец А что касается "человеко-роботов" то все же это не абсолютно автоматизовано и нужен "наборщик" циферок, какой дает хоть какую-то паузу в флуде.
А скрипт генерации анимированного captcha изображения, если не жалко, то думаю будет полезен не только мне.

 

[Nelius]

Скрипт не жалко, писал его не я, я только изменил некоторые моменты и немножко оптимизировал. Скрипт OpenSource и может быть испоьзован свободно, так что после того как я "откручу" его от своей CMS (сделаю так чтобы работал независимо) я выложу его и дам ссылку. Выложу со своими шрифтами, которые я для него подобрал.
Вообще тема интересная, я еще помозгую что бы такого придумать чтобы усложнить жизнь подобного рода "хулиганам", абсолютной защиты не существует, это факт, но можно сделать защиту такой чтобы взлом стал экономически нецелесообразен.

 

[Фанат]

божемой, какие сложности.

Shhh зачем тебе анимированный гиф?

Nelius с чего ты взял, что анимация затрудняет автоматическое распознавание?

хватит дурью маяться.
Shhh тебе дали ссылку на готовый скрипт? ты его поставил, все у тебя работает? вопросы ещё остались?

 

[Nelius]

*****

Nelius с чего ты взял, что анимация затрудняет автоматическое распознавание?

У меня там не просто анимация, а последовательность операций которая усложняет распознавание, поворт символов, расстояние между ними, зашумляюшие линнии, и еще всяко... все это тонко настраивается. А сама анимация не затрудняет, но может немножко увеличить расходы на распознавание.

 

[Shhh]

***** "тебе дали ссылку на готовый скрипт? ты его поставил, все у тебя работает? вопросы ещё остались?" А тебе не интересно посмотреть на такую реализацию? А мне интересно

 

[Nelius]

Анимированная captcha

Скачать можно отсюдова: ссылко для качания
Посмотреть пример можно тут: ссылка с примером

Пояснения по исходникам:
Файл GIFEncoder.class.php трогать не нуна, он просто генерит гиф, трогайте только если что-нить с алгоритмом замутить хотите, а так все настройки генерируемого изображения в файле anicaptcha.php.
Мой пример использует сессии, обратите внимание что ссылка на картинку в примере передается без каких-либо параметров, так как персональный код юзера храниться в сессии.

Используйте на здоровье, надеюсь поможет.
P.S. Автор этого творения не я!!! Я лишь кое-что подправил.

 

[Фанат]

мда. то, о чем я говорил.
анимация не имеет никакого отношения к защите капчи.
сделана просто для понту. чтобы поражать воображение лохов - какой я молодец, умею делать анимированный гиф
продолжай в том же духе

 

[Nelius]

Автор оригинала: Nelius
Скрипт не жалко, писал его не я