Спецвыпуск. Хрумер научился взламывать DCAPTCHA
Я всегда смеялся над владельцами блогов, которые ставят каптчу в виде картинки с трудно различимыми цифрами. Ведь практически рядом существовало отличное, гораздо более удобное со всех сторон решение – плагин Dcaptcha «Я не робот».
Всё гениальное просто, скажем автору большое человеческое спасибо. Тому, кто хотел оставить комментарий требовалось просто поставить галочку, всё! Никаких распознаваний и ввода цифр.
Но буквально недавно с периодичностью в час мне стали приходить всяческие однотипные комментарии, которые никак не могли быть оставлены человеком. Так происходило на «Тройской унции«, так происходило и на Антикорпоративе. Апогеем этого стал тот самый кошмарный комментарий «Test». У меня аж руки опустились, гребаный хрумер научился ломать эту замечательную каптчу.
Я кинул эту новость в твиттер (вот кстати еще одна причина, по которой нужно на него подписаться – я там обо всех обнолвениях и изменениях сразу же пишу), думая, что теперь моя избалованная жизнь закончилась и я стану как другие блоггеры выгребать тысячи спамных комментов.
Ан нет, Алексей Московский (я блог его читаю и вам рекомендую), сразу же предложил свое решение. Я его ниже приведу, комментирование работает после изменений в коде, но вот справились ли мы таким образом с хрумером, покажет только время.
Вот решение.
- Открыть файл плагина (/wp-content/plugins/dimoning.ru-captcha.php) в текстовом редакторе.
- Выполнить замену строки «dcaptcha_captcha1» на любую другую уникальную строку, например на «my_custom_id«.
Всего там замен я насчитал четыре, заменил все их на одинаковые слова из 12 букв :)
Ну что, боремся дальше. Как сказал Арбайтен на интервью Сеопульту (там скоро еще четвертая часть выйдет) «Спамить – значит разрушать людские ресурсы». А это последнее дело.
Поделись с друзьями:
Рано или позно научится. Все дело в алгоритмах решений – в современных анти-капчах они не реализованы. А логики достаточно даже минимальной – тест Тьюринга проходить такой програмке необязательно.
[Ответить]
Кирилл, тебе надо написать свою мегапростую каптчу, я уверен, что ты справишься. Только вот какую идею придумать для нее??
[Ответить]
чем тебе не подходит капча как у меня на блоге? еще не один автоматический комментарий не прошел, а в связке с премодерацией первого комментария и акисметом дает отличный результат.
а с DCAPTHA не очень работает. Если у многих поле есть со значение value=»0″ то что мешает его заменить на 1 автоматически?
[Ответить]
как пример – комментарий со словами «этот комментарий отправлен для проверки на спамоустойчивость» я отправил в обход капчи. если полазить по другим сайтам и найти наиболее часто повторяющиеся варианты то можно легко на большинстве блогов обойти эту капчу.
[Ответить]
Плагин классный, но почему-то вызвал ошибку на одном блоге (наверное в связке с другими плагинами) – пришлось снять. Каптча, где надо подумать никогда не взломаются :)
[Ответить]
Есть более изящный вариант работы с этой капчей. Нужно присваивать (и соответственно проверять) не 1, а какое нибудь слово. Как вариант, можно это слово генерить рандомно и класть в сессию, но это уже для более продвинутых.
Итак, простейший вариант
if ($_POST['dcaptcha_sess'] != ’1′){
меняем единичку на что вашей душеньке угодно, это строка 21
document.getElementById(‘dcaptcha_sess’).value = «1″;
строка 64, меняем 1 на то что вы исправили выше.
В принципе выдернуть значение которое вы присваиваете тому полю не такая большая проблема, поэтому параноики могут выполнить присваивание в несколько этапов.
Например вы хотите использовать слово test.
document.getElementById(‘dcaptcha_sess’).value = «t»;
document.getElementById(‘dcaptcha_sess’).value = document.getElementById(‘dcaptcha_sess’).value+»e»;
document.getElementById(‘dcaptcha_sess’).value = document.getElementById(‘dcaptcha_sess’).value+»s»;
document.getElementById(‘dcaptcha_sess’).value = document.getElementById(‘dcaptcha_sess’).value+»t»;
В общем все не просто, а очень просто… Если конечно программа для спама не понимает js.
[Ответить]
Сразу заменил стандартные значения, и переименовал красный прямоугольник в синий. Пишут только люди.
Вообще, если капча не распространенная никто ее ломать не будет, т.е. лучше быть немного программистом и никому не давать свою разработку :) А ведь проверить человек это или программа не так уж сложно, надо только подумать, что делает человек.
[Ответить]
2 Штудер: хм. тут чуть сложнее уже будет.
но достаточно будет добавить проверку на сборное значение в коде и все. ведь нужную регулярку построить не проблема для этого случая – куча стандартных названий. не помогут не замены названий цвета, не разброс по коду. можно насытить псевдо-значениями страницу, но это будет увеличивать вес страницы и скорость ее загрузки\обработки.
т.е. немного усложняем код антикапчи и все. тут даже скриптик на пыхе справится, правда такой скрипт для массового спама не подойдет.
[Ответить]
BOLVERIN, под конкретный сайт заточится не проблема, проблемой будет сделать так, чтобы для всех работало. Со скриптом вообще можно повозится, например значение для хидден-поля не в текст страницы вставлять, а дергать аяксом.
Кстати возникла мысль, что для дкапчи не помешала бы админка в которой можно было бы настроить имена полей и проверяемое значение.
[Ответить]
Штудер, лучше не усовершенствовать легковзламываемый вариант, а подумать над таким который недоступен машине не способной пройти тест Тьюринга :) И именно по этому меня интересуют абстрактные капчи.
В случае с DCAPTHA набор элементарных правил по проверке страниц дает возможность отослать спам-комментарий. Эти правила сделают програмку «тяжолой», но что мешает написать ее на жабе или асме(в клинических случаях)
Абстрактное мышление – это то что недоступно ни одному компьютеру, а только человеку. Это то что делает нас людьми. И именно это надежнейшая защита от автоматического спама.
[Ответить]
BOLVERIN, а есть уже какие нибудь практические наработки? Желательно чтобы были не сложнее пары кликов мышкой?
А спам будет все равно. Школьников спамящих вручную ведь еще никто не отменял…
[Ответить]
у меня на блоге стоит NCaptha – не верх гениальности, но просто и от спама защищает. еще один интересный вариант на слогер.нет(или как-то так) – там надо выбрать одно слово из 4-5 которое заканчивается или начинается на гласный\согласные.
[Ответить]
2 Штудер: может лучше в аську перейдем? А то Трой меня матюкать будет за то что зафлудили ему блог :)
[Ответить]
Не, всё нормально. Идет обсуждение по теме, я только рад!
Кстати, сейчас отпишу автору, все вот эти действия не помогли к сожалению, хрумер пробивает каптчу. То, что это хрумер, нет никакого сомнения.
[Ответить]
2 Андрей Трой: яж и говорю – ставь такую же как у меня. не пробивает и для пользователей читабельна.
а тут глядишь мы с Штудером кооперируемся и напишем свою непробиваемую капчу :)
[Ответить]
А я уже присматриваюсь :))))
А чего, напишите, вам будут такие респект и уважуха, что никому и не снилось. Сам понимаешь, актуальнее проблемы спама сейчас только свиной грипп :))
[Ответить]
Замена на лету (динамическая генерация) кода формы (названия и оформление полей для ввода) решает сразу все проблемы. И для юзеров ничего не меняется, и хрумеру каждый раз придется парсить и разбирать страницу с новой формой, отыскивая нужные поля.
Опять же галочку димонинга можно каждый раз выводить в разном месте формы с разным именем. Программинг там копеечный.
[Ответить]
я пока не очень страдаю от спама, но мне «я не робот» нравится, но больше всего я хочу чтоб был вид следующий (как жаль что пикчу не прикласть)
под постом нет кнопы «отпарвить» а есть три чекбокса «я не робот», «я робот», «я человек!» ставишь две галки, появляются чекбокс «да» с надписью «точно?!», ставишь галку появляется кнопа и надписью «да, да! шлём коммент!»
[Ответить]
эээ, а не проще сам принцип поменять?
в любом случае есть реализованный плагин, который я с удовольствием использую: http://notcaptcha.webjema.com/ru/
[Ответить]
Вот человек сделал три варианта капчи Dimoning http://jeder.ru/?p=101
Я поставил первый вариант, если что. День прошёл тьфу-тьфу без спама :)
[Ответить]
MasterX, даже с динамически изменяющимися полями и позициями все равно есть определенные моменты которые всегда повторяются. Т.е. взлому подверженно.
Уж в самом запущенном случае можно эмулировать движение мышки – правда это не будет использоваться из-за слишком больших ресурсо-затратах.
[Ответить]
А у меня на блоге вовсе нет никакой капчи. Просто стоят 2 плагина, они весь спам фильтруют, а нормальные комментарии пропускают. Я уже писал про это.
[Ответить]
А я поставил модифицированный плагин DCAPTCHA.
Спама на данный момент никакого не наблюдаю. Если кому не в тягость – оставьте какой-нить коммент в блоге. Я проверял, но чет все равно не уверен, всё ли хорошо работает.
Кстати, вот этот плагин с переворотами картинок тоже прикольный. Если DCAPTCHA еще поломается, то его поставлю. Он хорошо спасает?
[Ответить]
2 Воронежский жлоб: работают у вас комментарии.
У меня с такой капчой не прошло еще ни одного автоматического камента.
Трой, нормально? Не проходит у тебя спам теперь? :)
[Ответить]
BOLVERIN спасибо за тест. У меня тоже вроде бы нет спама пока что. Будем отслеживать ситуёвину. Если пробьётся – сменю на этих милых зверят и утят :)
[Ответить]
[...] -Хрумер научился взламывать Dimoning Captcha от Андрея Троя. В спец выпуске Андрей рассказал, как [...]
Ребята, да вроде пока нормально. Ну и прикольно так с картинками, комментаторов думаю напрягать не будет. Пока пусть будет Ncaptcha.
[Ответить]
2 Воронежский жлоб
попробуй, мне кажется такие «неалгоритмизированные» капчи – это будущее. Или как экзотика Матановая капча.
[Ответить]
2 Павел: ну тут вы загнули батенька. я врядли сам быстро решу эту фигню, поскольку благополучно профукал большую часть своей учебы,а среднестатистический пользователь вообще не решит. да и надо легкая и понятная капча, а не «матановые капчи»
[Ответить]
Ну, матановая капча не зря именно на луркморе лежит))
Тут хоть первообразную от икс заставь людей поискать – отсеится половина, а то и больше.
[Ответить]
2 Воронежский жлоб: Матановская капча – это откровенное меренье пиписьками. И это в стиле Уютненького, но надо узнать не кто помнит школьный курс по матемаотке и смотрел на доску в институте, а не робот ли этот посетитель.
[Ответить]
Ребята, ставьте плагин http://antispambee.com/ и не парьтесь с капчами! Не пропускает автоспам и посетителей блога избавляет от заполнения ужасных капч.
[Ответить]
Воспользовался вашим способом, не помогло =( Надо думать другое решение, DimonG пообещал выпустить новый плагин с заплаткой, надеюсь что по скорее это произойдет.
[Ответить]
Благодарю за упоминание моего блога:) Кстати, если хрумер научиться определять и эту модифицированную капчу, можно будет немного доработать плагин, например, чтобы использовался не чекбокс, а выбор из списка. Но, надеюсь, этим таки займется автор плагина.
[Ответить]