dj.drezyna Napisano Grudzień 3, 2009 Zgłoś Share Napisano Grudzień 3, 2009 Nie będę podawał tutaj żadnych kodów. Natomiast zauważyłem ciekawe zachowanie pewnego i chyba nie jedynego serwisu opartego na tych obrazeczkach. Otóż zapisuję sobie stronkę z tym obrazkiem na dysku twardym mojego kompa. No i co się okazuje? Otóż uruchamiam sobie taki plik (z dysku a nie z neta) i normalnie sobie dopisuję komentarz, a żaden mechanizm tego nie weryfikuje w ten sposób, że się to nie może udać. Po prostu udało mi się dodać komentarz z pliku dyskowego do bazy danych w tym serwisie. Czy to jest normalne? Bo jak tak, to mam pytanie jak działają boty, bo już nie rozumiem przed czym ten obrazek ma zabezpieczać skoro z lokalnego można dopisać komentarze. Pozdrówka! Galeria przyrodnicza http://fotokrajobrazy.warmia.pl Link do komentarza Udostępnij na innych stronach More sharing options...
ktoś Napisano Grudzień 3, 2009 Zgłoś Share Napisano Grudzień 3, 2009 Nie wiem, o jakim serwisie mówisz, nie znam tego kodu, w związku z czym mam małe szanse zgadnąć, ale wychodzi na to, że sprawdzanie odbywa się lokalnie, w przeglądarce. Np. przez javascripty. Czyli zabezpieczenie antyużytkownikowe, bo bot nie obsługujący js nie sprawdzi, że nie powinien tego wysyłać - i po prostu to zrobi. Link do komentarza Udostępnij na innych stronach More sharing options...
dj.drezyna Napisano Grudzień 3, 2009 Autor Zgłoś Share Napisano Grudzień 3, 2009 Bałem się podawać adresu, stąd go nie podałem ale z tego co mówisz to znaczy, że jest to jakiś szit. A wracając do obrazków to przekazywanie przez sesje jest bezpieczne czy to też tylko jakieś ograniczenie użytkownika - 0 bezpieczeństwa? Galeria przyrodnicza http://fotokrajobrazy.warmia.pl Link do komentarza Udostępnij na innych stronach More sharing options...
sazian Napisano Grudzień 3, 2009 Zgłoś Share Napisano Grudzień 3, 2009 pamiętaj że "zabezpieczenie" typu przepisz coś z obrazka jest bardziej uciążliwe dla użytkownika niż boota co do opisanej sytuacji jest to ewidentnie błąd skryptera sesje są bezpieczne poniewarz użytkownik/boot nie ma do nich bezpośredniego dostępu(chyba że jest dziura w skrypcie) ale pamiętaj że wszystkiego nie da się przekazać przez sesje, czasem bez get/post się nie da i wtedy trzeba przeprowadzić walidacje przekazanych danych Link do komentarza Udostępnij na innych stronach More sharing options...
ktoś Napisano Grudzień 4, 2009 Zgłoś Share Napisano Grudzień 4, 2009 O czym wy własciwie piszecie? Kapcie służą do zabezpieczania przed botami, a sesje to zmienne przechowywane na serwerze w celu identyfikacji użytkownika (który z resztą zwykle przedstawia się przez cookies - ewentualnie przez GET) A cookies to taki sam element nagłówka, jak każdy inny. Co prawda użytkownik teoretycznie nie ma do niego dostępu, ale bot ma zawsze. Jak chcesz przez sesję przekazać obrazek? Albo raczej w jakim celu? To nie jest zabezpieczenie przed spamem Link do komentarza Udostępnij na innych stronach More sharing options...
dj.drezyna Napisano Grudzień 4, 2009 Autor Zgłoś Share Napisano Grudzień 4, 2009 @ktoś Nie przekazuję obrazka przez sesję tylko zestaw wylosowanych znaków do wyświetlenia na obrazku. Sugerujesz, że boot może to ł a t w o przechwycić??? Galeria przyrodnicza http://fotokrajobrazy.warmia.pl Link do komentarza Udostępnij na innych stronach More sharing options...
ktoś Napisano Grudzień 5, 2009 Zgłoś Share Napisano Grudzień 5, 2009 Wyłóż mi to jak krowie na granicy, bo nie rozumiem pomysłu. SESJA to (poza "System Eliminacji Studentów Jest Aktywny", oraz "Spokoja Egzystencja Stałasię Jebaną Apokalipsą") zmienna - w przybliżeniu losowa - wartość przechowywana na serwerze (i przesyłaną przy każdym odświeżeniu), służąca do identyfikacji użytkownika. Po prostu nie widzę związku pomiędzy mechanizmem sesji, a zabezpieczaniem strony przed ingerencją botów. Nie widzę, jak by to miało działać. Najwyraźniej się nie rozumiemy. Możesz dać jakiś przykład? Algorytm tłumaczący sposób działania/komunikację? Cokolwiek? Dlaczego mechanizm sesji ma być upierdliwy dla botów? Link do komentarza Udostępnij na innych stronach More sharing options...
Blind Napisano Grudzień 5, 2009 Zgłoś Share Napisano Grudzień 5, 2009 losujesz ciąg znaków i wypisujesz je na obrazku oraz zapisujesz do sesji, żeby moc sprawdzić na następnej stronie, czy wpisany kod jest poprawny. Bot nie może odczytać tego bo jest to zapisane na serverze. Co tu jest niejasnego? www.blinder.pl - Blog Link do komentarza Udostępnij na innych stronach More sharing options...
dj.drezyna Napisano Grudzień 6, 2009 Autor Zgłoś Share Napisano Grudzień 6, 2009 Blind powiedział to, co ja właśnie zrobiłem przekazując te dane w danych sesji. Naprawdę nie wiem Panie Ktoś czego tu można nie zrozumieć. Zatem podpisuję się pod tym co Blind mówi i nie mam nic do dodania. Pozdrawiam. P.S. Może Ktoś ma rację tylko do tego, że jakoże to jest dana sesyjna odświeża się za każdym razem ale rzadko kto ma otwarte, akurat na mojej witrynie, więcej niż jedną podstronę. Galeria przyrodnicza http://fotokrajobrazy.warmia.pl Link do komentarza Udostępnij na innych stronach More sharing options...
ktoś Napisano Grudzień 7, 2009 Zgłoś Share Napisano Grudzień 7, 2009 Aha, no to już wszystko jasne. Dla mnie było oczywiste, że to powinno działać w ten sposób: wypisanie na obrazku + kopia danych na serwerze - a czy to będzie akurat z wykorzystaniem sesji, to akurat nie ma znaczenia " "zabezpieczenie" typu przepisz coś z obrazka jest bardziej uciążliwe dla użytkownika niż boota" to znaczy, że niektóre strony wysyłają do klienta zarówno obrazek z kapciem, jak i kod pokazany na obrazku? Ała... Myślałem, że mowa była o zastosowaniu jakiegoś rodzaju OCRa. Wiem, że nawet bardzo mocno zniekształcone obrazki udało się złamać. Link do komentarza Udostępnij na innych stronach More sharing options...
sazian Napisano Grudzień 9, 2009 Zgłoś Share Napisano Grudzień 9, 2009 no ja też myślałem o OCR Link do komentarza Udostępnij na innych stronach More sharing options...
Polecane posty
Zarchiwizowany
Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.