Регистрация
Регистрируясь, вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля

Защита форм картинкой

Страницы: 1  |  2
14.07.2006, 11:35
Гость

Зарегистрирован:
1970-01-01
Сообщений: 665

Цитата:
Насколько я помню, NetCat не поддерживает передачу session_id через куки, только жестко через POST & GET.


Глупости. 2.4 прекрасно с этим работает.
18.07.2006, 02:40
Andrew

Зарегистрирован:
2004-04-30
Сообщений: 134

Даже не ожидал, что ветка так вытянется. Приятно, что затронул тему, беспокоющую многих улыбка)
Немного разгребу текучку и попробую-таки сделать работающий пример с сессиями, потому что куки действительно бывают отключены.
Но повторюсь - в прошлый раз у меня не получилось. Значение, которую скрипт засовыает в массив, странным образом оттуда не извлекается. Почему - я пока не установил.

Что касается методов генерации числа, то их, ясное дело, может быть много. Я написал самый простенький. Конечно имеет смысл применять какой-то уникальный метод на основе микротайма, хеша от хеша и так далее, чтобы избавиться от предсказуемости. Но в большинстве случаев, как показывает практика, работают и самые примитивные варианты. Фактически можно не париться даже с помехами, при генерации картинки - этот метод является рискованным только если сайт нацелен на очень агрессивную аудиторию. Для небольших комьюнити или защиты примитивных форм что-то более сложное нет смысла изобретать - разве только для демонстрации широты полЈта разработчицкой мысли улыбка



...жизнь прекрасна, когда правильно подобраны антидепрессанты...
19.07.2006, 11:45
Гость
Гость

Создание достойного CAPTCHA (который реально даст некоторый уровень защиты) - дело непростое, учитывая то, что и технологии их обхода тоже совершенствуются. Вдобавок использование CAPTCHA создаЈт некоторые трудностии и для людей. Информации на эту тему в Сети много, в т.ч. заметка W3C (http://www.w3.org/TR/turingtest/).
На русском языке есть интересные ссылки на http://captcha.ru/.
Мое личное мнение, лучше всего было бы не "изобретать велосипед", а взять готовый свободно распространяемый алгоритм и интегрировать его с Вашим сайтом, благо таких достаточно много, и выбирать есть из чего.
10.03.2008, 11:33
Гость
Гость

diawest писал(а):
Это не серьезный подход. Любой злоумышленник увидев сайт на неткате, будет пытаться пробить его таким подходом. Сделайте хотя бы так:
$passphrase = 'наш секретный пароль для хэша, поменяйте для своего сайта!';
$rv = md5(md5($rand).$passphrase);

И вот такой хэш передавайте клиенту, лучше все-таки через <input type='hidden' />, т.к. куки действительно могут быть отключены. Такая схема по крайней мере дает элементарную степень защиты от тех, кто может заглянуть в "Советы и приемы" и разгадать схему генерации хэша.

И еще подумалось, человек же может один раз посмотреть какое число на картинке, какой хэш в куке и заставить робота подставлять эту пару для всех-всех-всех сообщений. Значит кроме $passphrase финальный хэш должен иметь часть, меняющуюуся со временем. Например, номер текущего дня в году + количество 15-минутных интервалов с начала суток. Можно еще IP клиента к хэшу добавлять...
10.03.2008, 22:28
ktotoff
АльтерЛан

Зарегистрирован:
2006-12-19
Сообщений: 334

Гость писал(а):
Это не серьезный подход. Любой злоумышленник увидев сайт на неткате, будет пытаться пробить его таким подходом.


Вы смеётесь чтоли? Посмотрите на дату топика (я даже подумал, что netcat.ru поднялся из бекапов)! Я его создавал, когда штатной капчи в составе системы ещё не поставлялось. Тогда это был простой выход, достаточный для защиты простеньких сайтов от всяких авторегистраций. На всех моих "простеньких" сайтах работало отлично.

Сейчас в состав системы включена штатная капча и очень просто отредактировать код модуля, интегрировав туда любой алгоритм генерации секретного слова. Как и код генерации более устойчивой к роботам картинки.

...жизнь прекрасна, когда правильно подобраны антидепрессанты...
198 196 2008-03-10 22:28:14 6867
Страницы: 1  |  2
Описание проекта