Создание картинки со случайным кодом

Yurik

/dev/null
Phobos: таких накрутчиков надо вычислять средставми IQ админа сайта и банить... вести логи статистики по айпи и периодически их анализировать.
 

Ямерт

The Old One
Хм, я чего-то не понял?
Ну, есть скрипт, генерящий картинку c цифровым кодом на моём сайте. Скажем, URL - www.mysite.com/img/generate/. При генерации картинки её код записывается в сессию, потом сверяется с тем, что ввёл юзер. Кульхацкер на своём сайте ставит линк на этот УРЛ, ты вводишь этот код с картинки у него на сайте. Ну и дальше-то что? Объясните, я что-то не вкурил эту идею.
Ни фига не фтыкаю - с таким же успехом это можно было делать на моём собственном сайте.
 

.des.

Поставил пиво кому надо ;-)
Ямерт, дело в том, что сгенерив картинку твой скрипт будет ждать пока сгенерированное число введут в той самой пресловутой форме.
Число на картинке введет сам пользователь другого сайта, а скрипт просто подставит число твоему скрипту. и если допустим за такой защитой стоит регистрация мэйла, то с помощью посещаемого сайта за довольно короткое время можно зарегистрировать очень много емэйлов.
Поэтому это и придумали спамеры.
 

Ямерт

The Old One
.des. - да, но разве это не равнозначно вводу того же самого кода в форме на моём сайте?
 

.des.

Поставил пиво кому надо ;-)
Ямерт, да равнозначно. Но вводит его не пользователь, а скрипт, который обходит твою защиту. Скрипт не может отгадать, что там за число, он для этого использует пользователя, показав ему твою картинку (правда под другим оформлением и для других задач).

Что именно тебе непонятно? :)
 

Ямерт

The Old One
Да ничего не понятно!
В любом случае код вводит пользователь. То есть по-любому задействован человек - и он сможет зарегистрироваться только один раз.
Так, стоп, теперь кажется понял :D
Но есть один ньюанс - при заходе в форму регистрации у клиента начинается сессия, и код пишется туда. Как робот сможет встроиться в эту сессию? Хорошо, он отправит липовый запрос с "данными формы" и "код пользователя" - но как он узнает ID сессии? Без сессии эти данные гроша ломаного не стоят.
 

Макс

Старожил PHPClub
скрипт считает куки (они ведь вместе с другими хедерами идут), а если куков нет, то SID будет в URL-е картинки :
<img src="/path/to/imahe.php?PHPSESSID=123123131232133">

При отсылке данных он пошлет этот идентификатор
 

Ямерт

The Old One
Заранее извиняюсь за поднятие заплесневевшей темы, но срочно нужен скрипт, который генерит сложный код на картинке (для программы распознавания образов, которую использует спамерский робот).
То есть что-то вроде картинки, которая есть на mail.ru - размытые "пляшущие буквы" разных размеров и цветов на неясном фоне; этакий ёжик в тумане.
На этой неделе спамеры взялись за один free-Webmail сайт, где не было кода для защиты от авторегистрации (упс). Наклепали кучу пользователей и доставили сайту кучу проблем. Разработчики быстро наклепали скрипт, который генерит простую картинку (без мусора и "плящущих" буковок) - но его, похоже, спамеры быстро наловчились обходить...Погуглил вчера, но ничего хорошего не нашёл.

Пожалуйста, если у кого-то есть такой скрипт, или знаете, где можно скачать - скиньте в приват.

З.Ы. Писать мне не лень, но я прикинул что на написание сложной картинки у меня уйдёт дня 2. Этого времени у меня, к сожалению, нет...
 

fixxxer

К.О.
Партнер клуба
Если еще буквы писать разным цветом - будет достаточно хорошо.
В этом виде толка от навороченного фона не особо много, ибо он достаточно легко отбрасывается.
Лучше на фон кидать шум тем же цветом, что цвет текста.
 

Semen

Семён
Автор оригинала: .des.
Ямерт, дело в том, что сгенерив картинку твой скрипт будет ждать пока сгенерированное число введут в той самой пресловутой форме.
Число на картинке введет сам пользователь другого сайта, а скрипт просто подставит число твоему скрипту. и если допустим за такой защитой стоит регистрация мэйла, то с помощью посещаемого сайта за довольно короткое время можно зарегистрировать очень много емэйлов.
Поэтому это и придумали спамеры.
А если при этом проверять откуда пришла заполненная форма, с родного сайта или с другого...
 

f1

formula 1
Автор оригинала: Semen
А если при этом проверять откуда пришла заполненная форма, с родного сайта или с другого...
:)
если бы существовал способ проверить "откуда пришла заполненная форма, с родного сайта или с другого", этого топика не было бы
 

Semen

Семён
Автор оригинала: f1
:)
если бы существовал способ проверить "откуда пришла заполненная форма, с родного сайта или с другого", этого топика не было бы
Я имел ввиду использование картинок для авторизации с проверкой HTTP_REFERER.
Это должно затруднить задачу использования нижеследующего способа(ИМХО):
Метод с картинками против КулХацкеров не прокатит. Против дураков несомненно.
Алгоритм простой, у вас есть сайт с формой и картинкой для доступа к информации которую вы хотите защитить от ботов, флудеров, спамеров ... , а у злоумышленика бесплатный порносайт то же с формой и ссылкой на вашу картинку. Для входа на порносайт от вас требуется ввести число или фразу на картинке. Всё, данные перехвачены.
Так имели ХотМейл
 

SiMM

Новичок
Semen, каким образом? Я с таким же успехом буду передавать тебе в заголовке нужный HTTP_REFERER.
 

Semen

Семён
Автор оригинала: SiMM
Semen, каким образом? Я с таким же успехом буду передавать тебе в заголовке нужный HTTP_REFERER.
Я плохо знаком с подменной HTTP_REFERER, и то, что нашёл в сети, много не сказало (наверное плохо искал :) ).
Применительно к приведенному примеру с ХотМейл:
Я, простой юзер, захожу на какой-либо хорошо посещаемый сайт КулХацкеров.
Заполняю форму и отправляю.
В одном случае, как я понимаю, необходимо чтобы мой браузер отправил исправленный HTTP_REFERER (что не реально ИМХО).
В другом данные уходят на сервер КулХацкеров, где и подменяется HTTP_REFERER, но тогда используется одинаковый IP.

З.Ы. Подскажите, где можно почитать о подмене HTTP_REFERER.
 

alexhemp

Новичок
А чего там читать?

пишешь Header('Referrer: http://www.zzz.com');
скрипте и все

Referrer такой-же HTTP заголовок как и все остальные.
 

SiMM

Новичок
Автор оригинала: Semen
Я, простой юзер, захожу на какой-либо хорошо посещаемый сайт КулХацкеров.
Заполняю форму и отправляю.
...
В другом данные уходят на сервер КулХацкеров, где и подменяется HTTP_REFERER, но тогда используется одинаковый IP.
Ещё вопросы? :) На самом деле от тебя требуется только распознать картинку - тебя используют как интеллектуальный сканер ;) А с IP - да, конечно, однако существует такие сервисы, как анонимайзеры. И их не счесть по пальцам руки.
2alexhemp, новое поколение читает ][акер? Вы бы лучше не говорили о том, чего не знаете - рефер - заголовок клиентского запроса, а не отклика сервера.
 

Semen

Семён
Автор оригинала: SiMM
Ещё вопросы? :) На самом деле от тебя требуется только распознать картинку - тебя используют как интеллектуальный сканер ;) А с IP - да, конечно, однако существует такие сервисы, как анонимайзеры. И их не счесть по пальцам руки.
А как думаете такой вариант может усложнить задачу автоматической регистации -
на картинке прописывать имя/адресс сайта, на котором происходит регистрация...
 

SiMM

Новичок
Не может. Какая разница, что написано на картинке, которая будет скачана скриптом и отдана интеллектуальному сканеру, жаждущему халявной порнухи, на растерзание? ;)
 
Сверху