Skocz do zawartości


 

Zdjęcie

Niezawodność reCaptcha

Niezawodność reCaptcha reCaptcha google captcha

  • Proszę się zalogować aby odpowiedzieć
12 odpowiedzi na ten temat

Niezawodność reCaptcha

#1 xfilokolo

xfilokolo

    Czasami na forum

  • Użytkownicy
  • 30 postów

Napisany 03 marzec 2016 - 21:30

Witam, posiadam stronę. Dla osób znających się trochę na technologi Bitcoina powiem od razu że jest to faucet. Strona bardzo narażona na ataki wszelkich botów, które mają za zadanie wyłudzać coiny bez udziału człowieka. Które z poniższych zabezpieczeń będzie najrozsądniejsze na stronie tak narażonej na ataki botów?

Mam do wyboru:

reCaptcha Are You A Human SolveMedia FunCaptcha

 Które z poniższych zabezpieczeń będzie najrozsądniejsze na stronie tak narażonej na ataki botów?
Wiem, że bezpieczeństwo i wygodę trudno połączyć ale zależy mi również na wygodzie dla użytkowników. Najwygodniejsza jest oczywiście reCaptcha, ale czy jest też najbezpieczniejsza.

Pozdrawiam 

  • 0

#2 metrowy

metrowy

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Inowrocław

Napisany 03 marzec 2016 - 21:38

To co dziś uznamy za niezawodne jutro może stać się zawodne.

Najlepszym rozwiązaniem by było stworzyć coś swojego, unikalnego

 

 


  • 0

#3 Rolej

Rolej

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 615 postów
  • Skąd:Szczecinek
  • Firma:Profil prywatny
  • Imię:Przemek
  • Nazwisko:Jagielski

Napisany 03 marzec 2016 - 22:08

Osobiście, gdybym miał robić coś, z czego korzysta się kilka razy dziennie, oparłbym o Google Auth - moim zdaniem jest to nie do zbicia.
  • 0

#4 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 03 marzec 2016 - 23:23

reCaptcha działa w miarę dobrze i jest dość wygodna, aczkolwiek żadne rozwiązanie nie gwarantuje "bezpieczeństwa" i możesz być prawie pewien, że na każde z nich są już napisane obejścia, tyle że żadne nie jest publiczne.


  • 0

#5 behemoth

behemoth

    Weteran WHT

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 1236 postów
  • Skąd:Łódź
  • Firma:swhosting.pl
  • Imię:Jakub

Napisany 04 marzec 2016 - 08:11

2captcha ogarnie prawie wszyskie kapcie, za grosze...
  • 0

#6 Gość_Rafiki_*

Gość_Rafiki_*
  • Goście

Napisany 04 marzec 2016 - 12:40

Ja polecam rozwiązanie z pustym ukrytym pole które w 99% bot wypełni a użytkownik nie.

Bardzo wysyka skuteczność walki z niechcianymi wiadomościami a po za tym nie zmuszamy użytkownika do żadnego dodatkowego przepisywania kodu.


Edytowany przez Rafiki, 04 marzec 2016 - 12:40.

  • 0

#7 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 04 marzec 2016 - 14:08

Ja polecam rozwiązanie z pustym ukrytym pole które w 99% bot wypełni a użytkownik nie.

Bardzo wysyka skuteczność walki z niechcianymi wiadomościami a po za tym nie zmuszamy użytkownika do żadnego dodatkowego przepisywania kodu.

 

Ciekawe, akurat teraz będę mógł to przetestować. Możesz podesłać kilka przykładów?


  • 0

#8 Piotr GRD

Piotr GRD

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 521 postów
  • Skąd:Szczecin

Napisany 04 marzec 2016 - 21:28

@ Spoofy

Przyjrzyj się choćby opcji "ukryte pole captcha" w MyBB. Warto jest dobrać "zachęcającą" do wypełnienia nazwę takiego pola.

Wordpressa z kolei zmodyfikowałem tak, że poza dodaniem pustego pola pozamieniałem również nazwy pól formularza do komentowania.

Sprawdza mi się od wielu lat również proste pytanie "jesteś botem? tak/nie" przy rejestracji na forum SMF.

 

 

To wszystko oczywiście działa świetnie, dopóki nie jest zbyt powszechne, dopóki rozwiązanie jest indywidualne, *unikalne* i na niezbyt wielkiej stronie, dla której nikt nie będzie się silił, by specjalnie tworzyć dla niej bota. To może zupełnie nie sprawdzić się na stronach dużych, popularnych, lub na takich, które stanowią dużą zachętę dla twórców botów jak wspomniana przez xfilokolo jego strona związana z bitcoinami, w takim przypadku ktoś pewnie jak najbardziej może zechcieć się wysilić i napisać bota specjalnie pod tę stronę.

 

Innymi słowy: maluczcy mogą ustawić sobie coś prostego, nieinwazyjnego, ale unikalnego i skutecznego, jednak duże portale i/lub takie, które są z jakichś względów szczególnym magnesem dla botów i ich twórców muszą prowadzić ciągłą walkę.


Edytowany przez Piotr GRD, 04 marzec 2016 - 21:37.

  • 0

#9 OneDistrict

OneDistrict

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 159 postów

Napisany 05 marzec 2016 - 01:06

Ja odkąd używam cloudflare, w ogóle nie mam problemów z botami, choć zanim to miałem to tych botów spooooro było ;)
  • 0

#10 seomajster

seomajster

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 149 postów

Napisany 05 marzec 2016 - 14:58

Znacie sie tutaj wszyscy na botach jak moja babka na konfiguracji linuxa  :blink:

 

Żadne ukryte pola nie pomogą, bot to obejdzie.

Recaptcha jest lamana programowo ze skutecznością 25-100% więc nie jest żadnym zabezpieczeniem.

Fun captcha już lepiej, ale najlepsze byłoby autorskie rozwiązanie, np konieczność wypełnienia kilku captcha na raz - kcaptcha, funcaptcha, recaptcha i coś jeszcze. Człowiek sobie poradzi, skuteczność bota z każdą dodatkową captcha konieczną do rozwiązania będzie spadała co powinno Cie uchronić.

 

odkąd używam cloudflare

 

Cloudflare jest skuteczne w przypadku standardowych botów, nie dedykowanych  dla strony. Jak ktoś zrobi dedykowanego bota (a w przypadku takiej strony to prawdopodobne) cloudflare nie pomoże.


  • 0

#11 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 05 marzec 2016 - 16:55

@ Spoofy

Przyjrzyj się choćby opcji "ukryte pole captcha" w MyBB. Warto jest dobrać "zachęcającą" do wypełnienia nazwę takiego pola.

Wordpressa z kolei zmodyfikowałem tak, że poza dodaniem pustego pola pozamieniałem również nazwy pól formularza do komentowania.

Sprawdza mi się od wielu lat również proste pytanie "jesteś botem? tak/nie" przy rejestracji na forum SMF.

 

 

To wszystko oczywiście działa świetnie, dopóki nie jest zbyt powszechne, dopóki rozwiązanie jest indywidualne, *unikalne* i na niezbyt wielkiej stronie, dla której nikt nie będzie się silił, by specjalnie tworzyć dla niej bota. To może zupełnie nie sprawdzić się na stronach dużych, popularnych, lub na takich, które stanowią dużą zachętę dla twórców botów jak wspomniana przez xfilokolo jego strona związana z bitcoinami, w takim przypadku ktoś pewnie jak najbardziej może zechcieć się wysilić i napisać bota specjalnie pod tę stronę.

 

Innymi słowy: maluczcy mogą ustawić sobie coś prostego, nieinwazyjnego, ale unikalnego i skutecznego, jednak duże portale i/lub takie, które są z jakichś względów szczególnym magnesem dla botów i ich twórców muszą prowadzić ciągłą walkę.

 

Dziękuję bardzo za otworzenie mi oczu na ten problem i obszerne wyjaśnienie :)
Ciekawi mnie tylko jak np. taki cloudflare wyłapuje właśnie tego typu boty, tym bardziej że
ostatnimi czasy dziurawe wordpress'y zmieniają useragent np. na mozilla/win 7 i wyglądają jak zwykli użytkownicy którzy (uwaga) mogą korzystać z js'a.

Ja chyba jednak zostanę przy captch'y tej google'owej :P


  • 0

#12 hostit.pl

hostit.pl

    Często na forum

  • Użytkownicy
  • 52 postów
  • Firma:hostit.pl
  • Imię:Bartosz
  • Nazwisko:Nowicki

Napisany 06 marzec 2016 - 00:10

@Spoof najbadziej skuteczne są metody własne tzn. indywidualne - ale tylko do czasu. Jeśli Twój serwis będzie na tyle interesujący dla "recaptecherów" to zaprogramują dla niego rozwiązanie i tak będzie ci cieżko to obejść.

 

Moim zdaniem jeżeli serwis nie jest międzynarodowy, tzn. jeśli jesteś nastawiony na dany kraj - to najłatwiej filtrować użytkowników po IP np. przy wykorzystaniu bazy maxmind. Większość spamu idzie z serwerów proxy lub firm hostingowych - a to jest bardzo proste do wychwycenia. 

 

W chwili obecnej obejście captchy, która wymaga interakcji ludzkiej jest po prostu dziecinnie proste - wszystkie nowe decaptcher są tworzone na bazie np. firefoxa lub np. silnika przeglądarki. Nawet google poległ w tym temacie i jedyne co ma dopowiedzenia to blokowanie delikwentów po adresie IP.

 

Pamiętaj, aby captcha nie była powodem, z którego powodu, Twoi użytkownicy zrezygnują z wykonania akcji. Najlepszym wyjściem byłaby filtracja dwupoziomowa np. po IP a następnie w razie wątpliwości możesz np. wysłać sms weryfikujący na nr telefonu odwiedzającego (koszt max kilka groszy).

 

 


  • 0

#13 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 06 marzec 2016 - 14:11

@Spoof najbadziej skuteczne są metody własne tzn. indywidualne - ale tylko do czasu. Jeśli Twój serwis będzie na tyle interesujący dla "recaptecherów" to zaprogramują dla niego rozwiązanie i tak będzie ci cieżko to obejść.

 

Moim zdaniem jeżeli serwis nie jest międzynarodowy, tzn. jeśli jesteś nastawiony na dany kraj - to najłatwiej filtrować użytkowników po IP np. przy wykorzystaniu bazy maxmind. Większość spamu idzie z serwerów proxy lub firm hostingowych - a to jest bardzo proste do wychwycenia. 

 

W chwili obecnej obejście captchy, która wymaga interakcji ludzkiej jest po prostu dziecinnie proste - wszystkie nowe decaptcher są tworzone na bazie np. firefoxa lub np. silnika przeglądarki. Nawet google poległ w tym temacie i jedyne co ma dopowiedzenia to blokowanie delikwentów po adresie IP.

 

Pamiętaj, aby captcha nie była powodem, z którego powodu, Twoi użytkownicy zrezygnują z wykonania akcji. Najlepszym wyjściem byłaby filtracja dwupoziomowa np. po IP a następnie w razie wątpliwości możesz np. wysłać sms weryfikujący na nr telefonu odwiedzającego (koszt max kilka groszy).

 

 

 

Również dziękuję za odpowiedź :)

Dopowiem tylko iż ja najczęściej wycinam rosje, chiny, tajwan i brazylję, ale z usa albo z tych amazonów idzie ostatnio tego sporo, nawet z online.net.

 

Muszę tak naprawdę zerknąć gdzie i co mi wycina taki ruch, a dopiero później zastanowić się czy przerabiać jakiś skrypt na stronie - to jest moje podejście które niestety bywa błędne czasami ;)
 


  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: reCaptcha, google, captcha

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników