Wpisy    Losowo    Autor    Rejestracja    Zgłoś błąd
RSS blog   RSS komentarze






Autor: Boni
Kiedy: 2017-01-04, środa
Tagi:  blogorg
___________________________________
No może przesadzam tytułem troszkę. Bo oczywiście, przebicie się spamerów na komentarze bloga (zostawiłem pamiątkę w RSS - na szpalcie widać), to jest drobiazg w porównaniu z prawdziwym cyberatakiem. Ale jednak, jest to męczący wandalizm.

I tak dziwne, że zajęło to parę lat. Bo roboty, najróżniejsze, macają i testują bloga, hm, od zawsze - mam full logi od zaplecza, to wiem. Ale jak to mówią, "spisane będą czyny i rozmowy, tylko za ch... nikomu nie będzie się chciało tego czytać", np. mnie - analizować logów. Bo co z tym można zrobić, w praktyce nic.

Przy okazji najazdu jakichś ulepszonych spambotów, popatrzyłem w logi nieco więcej, no i troszeczkę mi oko zbielało. Przez parę lat sytuacja bardzo się pogorszyła - kiedyś wpadał jakiś ruski bot czy inna cholera raz na jakiś czas bogini wie skąd i mieszał; teraz walą ciurkiem i drzwiami i oknami spragnieni "czytania" i "komentowania" "czytelnicy" z Meksyku i Paryża, Kijowa i Missouri, Virginii i St. Petersburga. Nie jest to DDoS, znam proporcje, ale wygląda na to, że albo spamerzy rozdali/sprzedają se wtyki po zacnie wyhaczonych, i to w dużych ilościach, ISP; albo Ruskim czy Chińczykom czy jeszcze komuś innemu, jakieś boty wywiadowcze wymknęły się nieco i macają kogo popadnie, czym popadnie, gdzie popadnie (np. mojego niszowego bloga); albo po prostu internet osiągnął poziom bałaganu, w którym już nikt nad niczym nie panuje.

Co będzie ładnym pretekstem do poprawienia bezpieczeństwa, antyterrorki w sieci itd. itp. politycznej debaty i odpowiednich ruchów, za chwilę, za moment. Jak każdy kolejny DDoS czy prowokacja o znamionach DDoS.

Oczywiście, jest też możliwość, że to się ktoś z czytelników bloga czy znajomych tak głupio bawi. Kto wie. A paranoja to moje dru... [classified] imię.

Tak czy owak, na początek wymieniłem CAPTCHA dla anonimów na nieco trudniejszą - anonimowi komentujący będą się teraz douczać chemii. Może też astronomii czy literatury, zobaczymy. Nie chce mi się osadzać czy robić CAPTCHA obrazkowej dla analfabetów itp. wolę nieść kaganiec oświaty (nawet pasuje ten suchar); a jeśli ta czy podobna "quizowa" nie wystarczy, bo boty już takie mądre i spolszczone, albo bo ktoś się zabawia, skończy się pewnie obligatoryjną rejestracją komentujących. Albo wyłączeniem w cholerę komentarzy.

Pożyjemy, zobaczymy.

[edit]

Wrzucam przykład, co się odpier... na zapleczu, to są akcje idące przez IP bingbota MS; że czyta, to powiedzmy norma (no mógłby wolniej), ale takie Comm i Seek to już nie jest w jakimkolwiek sensie normalne... I tak idzie ciurkiem ostatnio, przez MS, przez Amazon, przez zylion mniejszych ISP.

log





korba
Wed, 4 Jan 2017 08:24:14
Takiego CAPTCHA jeszcze nie widziałem - aż musiałem wypróbować. Ale za pierwszym razem się odbiłem, bo wpisałem symbol chemiczny.

Boni avatar Boni
Wed, 4 Jan 2017 09:40:45
Słuszna uwaga, poprawiłem opis na bardziej zrozumiały, o 3am nie miałem siły dopieszczać szczegółów.

Tak naprawdę, należałoby zmienić parę innych szczegółów stron edycyjnych, żeby utrudnić ataki bruteforce. Ale czy mi się chce... A jeśli to porządna użycie AI (w sensie nawet sieci neuronowych itp.) albo naprawdę wycelowany atak, to i tak polegnę, więc tym bardzie mi się nie chce.

pochlaniacz1
Wed, 4 Jan 2017 10:11:08
Yay, jest wyzwanie, aż musiałem sprawdzić ten pierwiastek :)

gszczepa
Wed, 4 Jan 2017 11:53:40
Taka CAPTCHA rządzi;-)

Boni avatar Boni
Wed, 4 Jan 2017 12:41:17
Dzięki za wyrazy uznania, pewnie niebawem dołożę nieco więcej do quizu, to idzie z pliku, więc możliwości są prawie nieograniczone; ale postaram się nie być złośliwy (nie planuję dat z historii ;).

Dołożyłem do noci kawałeczek wyciągu z logu, żeby można było mnie, oraz mojemu providerowi i jego serwerowi, współczuć.

mgr Sianko
Wed, 4 Jan 2017 15:50:21
Test pamięci, nie guglałem. Update - jednak musiałem tablicę Mendelejewa...

Igor
Wed, 4 Jan 2017 16:28:53
Pewnie zajęło parę lat, bo blog na własnym sofcie i jednak dość niszowy.

CAPTCHA fajna. Skojarzyła mi się jedna książka Zajdla, gdzie zewnętrzne drzwi otwierały się na jakieś proste działanie matematyczne, a wewnętrzne na całkę oznaczoną. Kto znał arytmetykę ale poległ na analizie, ten utknął pomiędzy.

Boni avatar Boni
Wed, 4 Jan 2017 17:02:29
@niszowy soft

IMHO niszowość ma znaczenie takie sobie, no bo jak już gdzieś jakiś duży bot dodał bloga do swoich/spamerskich DB, to pozamiatane, przecież dopóki jest tu jakiś ruch, zawsze będzie pod ostrzałem. Oprogramowanie też IMHO ma niewiele do rzeczy, bo w międzyczasie zdaje się paradygmat "miniwłamów" zmienił się z grzebania "od zaplecza", po API czy protokołach, czy prawdziwego hackingu - w dziubanie od strony HMI jw. w logu, przeciwko czemu nie ma żadnej obrony w zasadzie, przynajmniej ja nie widzę. Bo idą przez pule IP raczej nie-do-zablokowania; są prawie nieodróżnialni od userów; a jak HMI będzie tak zaplątane, że nie do złamania przez bardzo solidny bruteforce albo słabą AI, to słaba NI przeciętnego usera też może nie dać rady go używać.

Prognozowałem to już jakiś czas temu, a nawet robiłem, np. import z Bloxa tak napisałem, jakieś harvestery z Allegro, itp. No ale w zbożnych celach ;) i nie rozdawałem takich narzędzi dzieciom-sieci i byle spamerom.

A uwaga o Zajdlu przypomniała mi oczywiście opowiadanko "Wielki Joe i N-te pokolenie"; w sumie możliwe, że tak skończymy ;D

laisar
Wed, 4 Jan 2017 18:20:24
Ja rozwiązałem to tak - http://www.daciaklub.pl/forum/profile.php?mode=register

Na razie trzyma pół roku, ale fakt, że niektórzy ludzie też miewają problemy...

Boni avatar Boni
Wed, 4 Jan 2017 19:55:45
@laisar

Nie dziwary, że miewają kłpoty, trochę overkill o_O zresztą, wszelkie obrazkowe CAPTCHA obsysają równo, nie zamierzam tak się bawić, a już szczególniej kaleczyć ortografii ;)

Boni_testuje
Wed, 4 Jan 2017 22:37:18
Malutki test, bo quiz został nieco poszerzony, a bebechy zahaszowane, osolone, opieprzone, wyrzucone, znalezione i użyte ponownie. Mam nadzieję, że na jakiś czas będzie spokój.

laisar
Wed, 4 Jan 2017 23:46:41
Chyba żaden overkill, bo liczba nowych realnych userów się nie zmieniła, a przez pół roku działania prowizorki było może z 5 pytań, reklamacji i zażaleń.

Za to rejestrację botów ścięło coś już ze 100 dziennie do _zera_.

rozie
Thu, 5 Jan 2017 18:39:03
1. Dziwne te "logi" i do niczego niepodobne. Jesteś pewien, że to tylko Twoje? Bo widzę, że na jakimś shared hostingu wisisz i trochę stron tam jest... U mnie na domowej (i okolice):
grep -c 157.55.39 /var/log/nginx/access.log.1 - 80
I to tak typowo jest i rozkłada się przyzwoicie normalnie w czasie.

2. fail2ban + ew. blocklist.de polecam. Nie blokujesz całej klasy IP i nie na stałe, tylko np. po 5 nieudanych próbach (czy to dodania komentarza, czy wejścia na stronę, której nie ma, regexpy i sky is the limit) w ciągu minuty na powiedzmy 3h. Ludzie nie zauważą, boty polegną. Tyle, że to raczej dostęp do iptables wymagany, ale VPS mały to 4 zł/m-c, więc taniej niż shared hosting.

3. Gotowe captche od firm zawodowo robiących captche (czyli Google, zdaje się) FTW. Implmentacja trywialna, kod u siebie masz ten sam a firma sama dba, żeby było to i użyteczne dla ludzi, i trudne dla botów. Oraz: normalny komentujący umie z tego skorzystać (wyjątki w noscriptach/firewallach itp.). To co zrobiłeś jest bardzo zabawne i bardzo mi się dziś rano pierwiaski jako koncept spodobały, ale... nie ma to nic wspólnego ze skutecznością, jeśli masz problem ze spamerami.
http://rozie.blox.pl/2012/02/Spam-na-Blox-czyli-jak-nie-implementowac-CAPTCHA.html - dokładnie ten sam problem - zdesperowany spamer jest w stanie wygenerować prostą listę skończonych odpowiedzi. Część automatycznie - regexp /liczbie atomowej (.*)/ zamiana pierwszej match group na cyfrę + prosty słownik liczba atomowa -> nazwa. Zresztą, zdesperowani spamerzy (czy tam wynajęci przez nich ludzie) dodają ręcznie. Tak samo jak dzwonią ludzie i nagabują na pierdoły, nie automaty.1. Dziwne te "logi" i do niczego niepodobne. Jesteś pewien, że to tylko Twoje? Bo widzę, że na jakimś shared hostingu wisisz i trochę stron tam jest... U mnie na domowej (i okolice):
grep -c 157.55.39 /var/log/nginx/access.log.1 - 80
I to tak typowo jest i rozkłada się przyzwoicie normalnie w czasie.

2. fail2ban + ew. blocklist.de polecam. Nie blokujesz całej klasy IP i nie na stałe, tylko np. po 5 nieudanych próbach (czy to dodania komentarza, czy wejścia na stronę, której nie ma, regexpy i sky is the limit) w ciągu minuty na powiedzmy 3h. Ludzie nie zauważą, boty polegną. Tyle, że to raczej dostęp do iptables wymagany, ale VPS mały to 4 zł/m-c, więc taniej niż shared hosting.

3. Gotowe captche od firm zawodowo robiących captche (czyli Google, zdaje się) FTW. Implmentacja trywialna, kod u siebie masz ten sam a firma sama dba, żeby było to i użyteczne dla ludzi, i trudne dla botów. Oraz: normalny komentujący umie z tego skorzystać (wyjątki w noscriptach/firewallach itp.). To co zrobiłeś jest bardzo zabawne i bardzo mi się dziś rano pierwiaski jako koncept spodobały, ale... nie ma to nic wspólnego ze skutecznością, jeśli masz problem ze spamerami.
http://rozie.blox.pl/2012/02/Spam-na-Blox-czyli-jak-nie-implementowac-CAPTCHA.html - dokładnie ten sam problem - zdesperowany spamer jest w stanie wygenerować prostą listę skończonych odpowiedzi. Część automatycznie - regexp /liczbie atomowej (.*)/ zamiana pierwszej match group na cyfrę + prosty słownik liczba atomowa -> nazwa. Zresztą, zdesperowani spamerzy (czy tam wynajęci przez nich ludzie) dodają ręcznie. Tak samo jak dzwonią ludzie i nagabują na pierdoły, nie automaty.

4. Jeśli nie chcesz się wynosić z shared hostingu, rozważ cloudflare (lub odpowiednik). W CF jest darmowy plan, trochę tną po swojej stronie i zdaje się jest w nim dostępna captcha, którą "inteligentnie" serwują (można ustawiać poziom czułości). Czyli może być tak, że normalny czytelnik nie dostanie captchy, a bot owszem.

4. Jeśli nie chcesz się wynosić z shared hostingu, rozważ cloudflare (lub odpowiednik). W CF jest darmowy plan, trochę tną po swojej stronie i zdaje się jest w nim dostępna captcha, którą "inteligentnie" serwują (można ustawiać poziom czułości). Czyli może być tak, że normalny czytelnik nie dostanie captchy, a bot owszem.

PS dostałem info, że "wrong captcha, daj back". Dałem i miałem to samo pytanie cały czas. Oczywiście odpowiedź nie działała.

Boni avatar Boni
Fri, 6 Jan 2017 01:00:59
@rozie

Dzięki za darmowe analizy i porady. Ale nie oczekuj, żebym się nimi przejmował.

@logi

Bywało normalniej, ostatnio jest nienormalniej. Wydaje mi się, że pisałem o tym w notce.

@filozofie captcha

Generalnie, trochę masz racji, trochę bajki opowiadasz, trochę prawda, i trochę zassałeś kciuk.

W szczególe, nie ma żadnej sensownej CAPTCHA przeciwko bogatym spamerom z man-in-the-middle (nie w ścisłym sensie krypto, wiecie-rozumiecie), choćbyś nie tylko ty, ale i Google itd. się napinał, no bo niby jak to miałoby działać. Więc i tak są to tylko gry i zabawy, bazujące na security by obscurity, jak założenie moje, że ataki korelacyjne i słownikowe na polski niszowy formularz będą jeszcze przez jakiś czas za słabe, czy np. "ukryte" założenie Laisara, że raczej nikt nie da małemu Chińczykowi ticketu na rutynowe łamanie polskiego forum Dacii - a nie na jakichś fundamentalnych pryncypiach czy algo, że oto mamy ultymatywne CAPTCHA, bo mi przestały wjeżdżać komcie czy Laisarowi rejestracje.

Stąd IMHO nie warto się brandzlować jakie to cuda z regexpów potrafisz ułożyć, czy jak bardzo potrafię zahaszować cośtam, czy jak wielkiej bazy danych należy użyć itd itp. skoro tak naprawdę to tylko kwestia popularności danego miejsca w sieci i czy już komuś opłaci się posadzić przysłowiowego stażystę, żeby łamał ci CAPTCHA 8h dziennie z przerwami na siku i szluga, czy jeszcze nie.

Nieco w związku z powyższym, taka drobna uwaga - ten twój "zdesperowany spamer" piszący regexpy po słownie podanej liczbie atomowej, to nie jest "zdesperowany spamer", tylko ktoś intencjonalnie atakujący dokładnie ten formularz i tą CAPTCHA, czyli raczej wandal z notki itp. kreatura, a nie jakiś spamer. Tak jak nie jest "przypadkowym spamerem" ktoś kto zrobi analizę taką, jak ty vs. kapcia z Bloxa i jej wyników użyje.

Inna bardzo ogólna uwaga, którą sugeruję zakarbować sobie mocno - duża część tego co od lat robię w związku z i na blogu, w sensie notek, komentarzy, oprogramowania, itd., nie ma wiele wspólnego z tym, co tobie (i prawdopodobnie wielu innym) wydaje się sensowne, celowe czy najlepsze. Dlatego raczej nie ma sensu dyskutować, dlaczego coś tutaj jest jakie jest, a nie jakie mogłoby być. Np. absolutnie nie twierdzę, że obecna CAPTCHA jest skuteczna (czy ostateczna), nawet w moim małym świecie i z moim małym rozumkiem - ale spróbuj wyobrazić sobie, że niekoniecznie celem ćwiczenia jest "100% skuteczna CAPTCHA".

Boni avatar Boni
Fri, 6 Jan 2017 01:49:46
Zapomniałem się odnieść do:
PS dostałem info, że "wrong captcha, daj back". Dałem i miałem to samo pytanie cały czas. Oczywiście odpowiedź nie działała.
Pytanie się nie zmienia po back, to nie bug, to feature. A to że odpowiedź nie działała, to już znacznie trudniej wytłumaczyć. Dla uproszczenia przyjmijmy, że była błędna.

rozie
Fri, 6 Jan 2017 10:00:57
Dzięki za darmowe analizy i porady. Ale nie oczekuj, żebym się nimi przejmował.

Proszę uprzejmie. Wyglądało, jakbym oczekiwał? Po prostu jakby Ci zależało na pozbyciu się spamu, to widzę pewne luki, więc jak Ci się znudzi walka z wiatrakami, to może skorzystasz. Przy czym, po dokładniejszym sprawdzeniu, to nie masz raczej problemu ze spamkomciami, tylko ze śmieciowymi wizytami i syfem w logach, co jest zagadnieniem innym, jednak. I wtedy pkt. 2

Bywało normalniej, ostatnio jest nienormalniej. Wydaje mi się, że pisałem o tym w notce.

Możesz pokazać wyniki z doby? Bo OK, trochę gęsto, ale jeśli to parę minut w ciągu dnia tak, to można zrozumieć. BTW to co widzisz to wierzchołek góry lodowej: http://blog.predictor.org.pl/2016/12/28/nawet-w-swieta-nie-daja-spokoju/ A w ogóle jeśli to po prostu korporacyjny bot, to nie mieszaj tego ze spamerami - boty respektują robots.txt - można sobie wyłączyć. Pewnie dostaniesz góra kilka zapytań o ten plik w ciągu doby i over.

@filozofie captcha
To działa jednak trochę inaczej z tego co zauważyłem. Na Joggerze było tak, że po prostu był on dodany do jakiegoś "programu do pozycjonowania", który automatem dodawał komentarze, głównie anglojęzyczne. Nawet nie wiem, czy w ogóle dotykał captcha, czy jakaś luka - jak usunąłem formularz komentarza, to spam nadal wpadał. No ale nie było tego dużo.
Z kolei na Blox spamkomcie dodają głównie ludzie. Przynajmniej u mnie (brak jakichkolwiek zabezpieczeń, poza globalnymi platformy). Wpis typu zero treści, ale nawiązujący do tematyki wpisu, aby tylko linka dodać, czy to w treści, czy nawet jako link do strony autora.

BTW blokada zamieszczania linków sprawia, że każda niszowa strona jest praktycznie bezwartościowa dla spamerów.

@Chińczyk i forum Dacii
Primo, spamują Polacy. Secundo, Google translate i Chińczyk da radę. Tertio, jak masz captchę z liczbą rozwiązań liczoną w setkach, i jest ona jedynym zabezpieczeniem, to w ogóle nie ma co analizować, robić słowników i wykrywania, tylko sprowadzasz algorytm do "ustawiaj słowo tlen jako odpowiedź". Jakiś 1% wejdzie, pewnie wystarczy.

@intencjonalność
Jak wspomniałem, są narzędzia do spamowania. Twórca narzędzi sprzedaje produkt (program) typu "automagiczny zamieszczacz komentarzy na N platformach", spamer po prostu wpisuje treść i spam leci. Nie sądzę, żeby jakiemukolwiek pojedynczemu spamerowi opłacało się pisanie czegokolwiek.

W ogóle wandal i kreatura słabo IMO pasują do tak twórczej jednostki, wnoszącej nieco ruchu w ten łez padół, ale ja to traktuję trochę jako grę. Słowo wandal bardziej pasuje do kogoś, kto wali brute force, albo spamkomcie w ilościach takich, że baza na selectach wymięka (nie zna życia, kto nie widział Joomli z tysiącami komciów pod wpisem, każde wejście na stronę to select z tysiącami OR, boty wchodzą i dodają kolejne).

Osobna kategoria po shackowane Wordpressy itp., ale tam skupiają się raczej na przejmowaniu kolejnych i spamowaniu niezabezpieczonych stron. A w ogóle to raczej maile ślą.

I głównie chodzi w spamie który widuję, o pozycjonowanie, czyli linki. Zwykły spam polecający jest rzadkością (przynajmniej w niszowych miejscach, z innymi nie mam doświadczenia). Tu mam taką ciekawostkę: ostatnie komentarze do http://rozie.blox.pl/2012/06/Jaka-ksiazke-warto-przeczytac.html Widoczne na pierwszy rzut oka elementy wspólne, z jakiego wydawnictwa książki sprawdzić łatwo. Zostawiłem, bo piękne, notka nieodwiedzana, szkody nie czyni.

A skoro spam na blogach/forach to pozycjonowanie, to Google mogłoby go uciąć jednym ruchem, gdyby naprawdę chciało. Mają 9x% ruchu wyszukiwarek, pozycjonowanie jest robione pod nich. Zresztą, jestem zdania, że całe to pozycjonowanie to wysypisko śmieci Google, czyli obszar, po który nie chciało im się sięgnąć przez AdWords.

@końcowa uwaga dot. sensowności
Jak pisałem: "To co zrobiłeś jest bardzo zabawne i bardzo mi się dziś rano pierwiaski jako koncept spodobały, ale... nie ma to nic wspólnego ze skutecznością, jeśli masz problem ze spamerami." Znaczy jak najbardziej sobie wyobrażam i nawet tak przyjąłem, tylko pojawiła się notka, a w niej gorzkie żale i wielkie słowa typu spamboty, (nie)ddos, logi, więc stwierdziłem, że może jednak naprawdę chcesz coś blokować.

rozie
Fri, 6 Jan 2017 10:03:02
A to że odpowiedź nie działała, to już znacznie trudniej wytłumaczyć. Dla uproszczenia przyjmijmy, że była błędna.

Jednostką siły w układzie SI jest newton, right?

Boni avatar Boni
Fri, 6 Jan 2017 10:25:40
@rozie

Generalnie, jak zwykle, nie chce się mi z tobą gadać - opowiadasz rzeczy o których coś tam wiesz, ale przeważnie obok problemu, albo projektujesz swoją wiedzę na nieadekwatne pola (efekt D-K w rozkwicie - nic nie wiesz o, ale wiesz lepiej niż ja, co mi włazi i którędy), albo nie rozumiesz kontekstu (np. czego tak naprawdę log pokazałem a ty usiłujesz analizować), itd., a jeszcze jakieś okruchy sensu trzeba by wyławiać i głaskać cię za nie po główce, o, tu rozie ma 15% racji. Nie chce mi się dyskutować z każdym twoim akapitem i tłumaczyć różności, polecałbym podobny poziom wyjebania z twojej strony.

@odpowiedzi kapciem

Jednostką siły w układzie SI jest newton, right?

A po polsku?

rozie
Fri, 6 Jan 2017 15:26:23
albo projektujesz swoją wiedzę na nieadekwatne pola (efekt D-K w rozkwicie - nic nie wiesz o, ale wiesz lepiej niż ja, co mi włazi i którędy)
Wiem tylko to, co napisałeś i wyłącznie do tego się odnosiłem. Łącznie z komentarzowym, że "nie da się oddzielić ani zablokować". Na co dostałeś przykłady rozwiązań blokujących, które są darmowe i powszechnie dostępne. I, najśmieszniejsze, nawet nieźle działają.

albo nie rozumiesz kontekstu (np. czego tak naprawdę log pokazałem a ty usiłujesz analizować)
Napisałem w pierwszym zdaniu pierwszego komentarza, że dziwny log. Co do comm i seek to przypuszczam jak teraz patrzę, że to po prostu action. Które to action masz w normalnych URLach, nie będących użyciem pola wyszukiwania ani komentarza, więc jak bot zrobi to, co zwykle boty robią, czyli podąża za linkami, to - sądząc po tonie notki - interpretujesz to jako próby wyszukiwania albo komentowania i ogólnie inwigilację i atak. Więc może wystarczyłoby zwykłe nofollow przy tych URLach i "atak" ustanie.

A po polsku?
Którego słowa nie zrozumiałeś?

Boni avatar Boni
Fri, 6 Jan 2017 16:38:40
@rozie

@magiczne filtrowania

Może jakiś start-up cyb.sec. załóż, po co marnować czas i wiedzę na analizy niszowych blogów czy bloxa.

@strategie botów

Jeśli bot dynamicznie "wypełnia form HTML" i submituje go POSTem, i tak co sekundy, to nie wiem jak w twoim świecie, ale w moim to nie jest "podążanie za linkami".

@newton
Po polsku jednostka siły układu SI nazywa się niuton. Podobnie jak amper nie nazywa się "ampere" a metr "meter", itd. EoT.



Z innej beczki, ciekawostka, "zupa" czyli soup.io leży już ponad dzień, ciekawe czy nie z podobnych przyczyn jak omawiane w notce, bo oni już mieli IIRC masakryczny zalew spamem jw. Ale może tylko zbieg okoliczności, może hosting itp. (ale dziwne - nawet nie wystawili tweeta co się stało, że się zesrało).

rozie
Fri, 6 Jan 2017 18:38:53
Może jakiś start-up cyb.sec. załóż, po co marnować czas i wiedzę na analizy niszowych blogów czy bloxa.

:-D Nie mylmy security z podstawami administracji. Poza tym, są gotowe narzędzia, więc jakby nie widzę rynku. Tym bardziej, że spora część blogów ma wywalone na spamkomcie, ew. właściciel woli siąść raz na tydzień na kwadrans i pozamiatać, albo ręcznie moderować komcie.

Jeśli bot dynamicznie "wypełnia form HTML" i submituje go POSTem, i tak co sekundy, to nie wiem jak w twoim świecie, ale w moim to nie jest "podążanie za linkami".

Ww. niestety z notki nie wynika. Najciekawsze, czyli zawartość, niestety pomijasz. Oraz: jeśli to jeden bot, to podejrzewam raczej błąd i kontaktowałbym się z autorami. Albo znowu: robots.txt lub, jeśli masz całkowicie dynamicznie generowane, prosty if po user agent, który nie pokaże botu pewnych pól (pomysł, nie mój, tylko pozycjonerów/włamywaczy, którzy doklejali linki z Viagrą w ten sposób na stronach, ale tylko dla googlebota).

Po polsku jednostka siły układu SI nazywa się niuton.

Dzięki. Albo za dużo lat nie widziałem niutona na oczy (co najwyżej N), albo za dużo po angielsku widziałem. Co mi przypomina podobną sytuację z pewnym wypracowaniem i słowem "obiekt". Jak nie mam z pisownią problemów, tak tam poszło przez "j". Konsekwentnie, wielokrotnie. I wielkie było me zdziwienie, że jednak "i".

@soup.io
Z tego co kojarzę to serwis od miesięcy wygląda, jakby właściciel zniknął. I wygląda, że nie pierwszy raz problemy z downtime https://www.quora.com/unanswered/What-are-the-future-plans-for-soup-io


laisar
Sat, 7 Jan 2017 13:21:00
@boni: "ukryte" założenie Laisara + ultymatywne CAPTCHA

2 x nie - moje rozwiązanie pokazałem jedynie jako śmiszny przykład podobnego do Twojego "plasterka na syfa", tymczasowo działającego właśnie dzięki brakowi "chińczyka".

TSD ultymatywne jak w większości spraw chyba w ogóle nie jest możliwe, to zawsze jest wyścig zbrojeń.

TSD2 byłoby zabawne, gdyby Pierwsze Prawdziwe SI stworzono właśnie w ten sposób...

Boni avatar Boni
Sat, 7 Jan 2017 17:12:59
@laisar

@2xnie

Mam wrażenie, że nie doczytałeś co powiedziałem i trochę wyrywnie z kontekstu, ale mniejsza.

@pierwsza AI ze spambota itp.

Starebyło w SF, wiele razy chyba, najładniej IMHO - Ghost in the Shell, pierwszy długi metraż, oczywiście.

gszczepa
Sat, 7 Jan 2017 19:06:53
Ciekawym rozwiązaniem problemu wpisywania zawsze "tlen" byłoby dorzucenie jakiejś aktualnej informacji, taki odpowiednik zdjęcia z gazetą zrobionego zakładnikowi;-)

Zastanawiam się jakby to sprytnie zaimplementować.

Najfajniej opisany spam-AI to w Rifterach chyba.



rozie
Sun, 8 Jan 2017 18:58:45
@gszczepa Tzn.? Co miałoby to robić dokładnie? Ja bym nadal trzymał się tego, żeby przestrzeń odpowiedzi była taka, że atakującemu brute force się nie opłaca. Plus ew. prosta ilościówka po IP i banowanie najbardziej aktywnych. Ew. można się bawić w wagi i obniżać prawdopodobieństwo odpowiedzi, która należy do zbioru poprawnych, ale jest podawana jako niepasująca. W opisywanym przypadku tlen szybko przestanie być w praktyce poprawną odpowiedzią. Tyle, że to trywialne do obejścia.

gszczepa
Sun, 8 Jan 2017 19:37:57
Nomen, omen, tlen mi się wylosował ;-)

Poniższe rozważania NIE SĄ próbą doradzania autorowi bloga :D tylko mają charakter bardziej ogólny.

Właśnie sobie uświadomiłem, że istotnym elementem, pomijanym w projektowaniu CAPTCHA jest wprowadzenie elementu zabawy (przecież mamy tutaj jakąś tam frajdę z tej wprowadzonej przez Boniego). To rozwiązuje istotny problem captchy, czyli męczenie legalnego użytkownika.

@rozie, no taki akademicki przykład, to pytanie o noblistę tegorocznego (za rzadko się zmienia, ale pokazuje ideę).

Jakby dorzucić więcej nagród niż tylko Nobel, najlepiej częściej przyznawanych (mam tutaj taki problem, że znam rzadziej przyznawane raczej:-)), to było jeszcze fajniejsze, na zasadzie bawiąc-uczy.

Ponieważ nie da się przewidzieć nazwiska noblisty (praktycznie otwarta lista, vs. zamknięta lista miast czy pierwiastków), trudne byłoby do czołgowania (jak to kiedyś w Bajtku próbowali nazywać brute force).

Jak nie nagrody, to może publikacje w jakimś periodyku częstszym?

Dla fanów sportu chyba najłatwiej, bez przerwy jakieś rozgrywki, ot trzeba podać kto strzelił i w której minucie.

rozie
Sun, 8 Jan 2017 20:57:21
Właśnie sobie uświadomiłem, że istotnym elementem, pomijanym w projektowaniu CAPTCHA jest wprowadzenie elementu zabawy (przecież mamy tutaj jakąś tam frajdę z tej wprowadzonej przez Boniego). To rozwiązuje istotny problem captchy, czyli męczenie legalnego użytkownika.

Frajdę mamy, ale jak długo? Prędzej czy później się znudzi, a jest na tyle skomplikowana (pierwiastki), że trzeba często sprawdzać w źródłach, co w sumie patrząc szerzej fajne nie jest (zwł. na mobilku, jeśli ktoś korzysta) i przeczy idei captcha (o tym zaraz). Ideałem IMO jest wpuszczenie w miarę pewnych ludzkich userów, a captcha tylko w przypadku wątpliwości. Tu pewnie się przyjmie, bo poziom nerdozy znaczny, ale jako captcha "ogólnego przeznaczenia" - niezbyt.

@"świeże" captcha
Problem jest taki, że przeciętny człowiek nie ma szansy znać tych odpowiedzi, ani wygenerować ich korzystając tylko i wyłącznie z własnego intelektu i dostarczonych danych. Podobnie zresztą jak w przypadku pierwiastków. Co sprowadza całe zagadnienie do parser pytania + szukajka, co nie powinno być trudne w implementacji. Chyba, że zapytasz o trudno dostępne dane, ale wtedy i ludzie polegną, wiec jeśli chcemy tylko sprawdzić, czy mamy do czynienia z człowiekiem, to niezbyt się nadaje.

@lista otwarta
To nie jest aż taki problem, jeśli jesteśmy grubo powyżej progu opłacalności. Np. jeśli spamerowi opłaca się szansa trafienia 1/1000, a będzie 500 nazwisk i będą przybywały w tempie 1/m-c, to jakby otwartość nie ma znaczenia. I odwrotnie, co z tego, że lista jest zamknięta, ale przestrzeń rozwiązań liczona w milionach, to BF pewnie będzie nieopłacalny. Nawiasem, wszystkie te wybierania obrazków to jest skończona lista, tylko elementów wiele.

Nawiasem, niedawno sobie żartowaliśmy o captcha w pracy, bardziej pod kątem "jak uprzykrzyć userowi życie". I rzuciłem, że captcha audio (obowiązkowo, bez wersji graficznej) z pytaniem o przeciwieństwo. Czyli np. "jakie jest przeciwieństwo słowa: biały". I kumpel mówi, że fajny pomysł. Tyle, że raczej nie, bo captche audio (przynajmniej typowe) są połamane ( http://www.captcha.net/Breaking_Audio_CAPTCHAs.pdf ), a przeciwieństwa chyba da się ogarnąć szukajką.

Powyższe rozważania nie są próbą... ;-)

gszczepa
Mon, 9 Jan 2017 10:33:52
jeśli chcemy tylko sprawdzić, czy mamy do czynienia z człowiekiem

Rezygnujemy z założenia, że ma być łatwe dla każdego przeciętnego człowieka (bardziej precyzujemy grupę docelową), a staramy się poprawić element rozrywkowy i budowania eksluzywności grupy (to przy okazji utrudnia "ręczny" spamming).

To nie musi być same w sobie tak znowu bardzo trudne, ot: forum/blog o serialu gdzie pytamy o wydarzenie z ostatnich odcinków.

Forum dla szachistów gdzie trzeba wskazać legalny ruch, pokerzystów i wskazywanie wyższego układu kart, itd.

rozie
Mon, 9 Jan 2017 13:52:15
To nie musi być same w sobie tak znowu bardzo trudne, ot: forum/blog o serialu gdzie pytamy o wydarzenie z ostatnich odcinków.
Słabe, bo jeśli leci sezon trzeci, a komentujący zaczął kończy oglądać pierwszy i chce się dowiedzieć gdzie znajdzie drugi, to:
1. spoilery
2. nie zna najnowszych odcinków

Forum dla szachistów gdzie trzeba wskazać legalny ruch

1. Zwykle jest >1 dopuszczalny.
2. Jeśli w stylu "na które pole można przesunąć skoczka" to 1/64 na trafienie, więc sporo (BF).
3. AI nieźle sobie poradzi i z rozpoznaniem diagramu, i ze znalezieniem ruchu.

pokerzystów i wskazywanie wyższego układu kart

Z ilu układów wybieramy? ;-) Jak kilka, to duża szansa dla BF, jak z wielu, to problem z prezentacją.

gszczepa
Mon, 9 Jan 2017 20:41:19
@rozie,
To już kwestia dopieszczenia.

Jak to zwykle bywa z dobrymi pomysłami, ktoś już zrealizował w sensownej postaci: Codewars ma Captchę w postaci kawałka kodu z błędami do poprawienia żeby się skompilował.

Tue, 10 Jan 2017 07:40:35
"Skojarzyła mi się jedna książka Zajdla, gdzie zewnętrzne drzwi otwierały się na jakieś proste działanie matematyczne, a wewnętrzne na całkę oznaczoną. Kto znał arytmetykę ale poległ na analizie, ten utknął pomiędzy"

W tym wypadku pasuje również Zajdla KOALANG używany w Paradyzji dla ogłupiania komputerów analizujących wszystkie rozmowy:

"- Szary anioł przyśnił mi się nieostrożnie
- Przestrzeni skrawek pustką się wypełnił?"

Ten dialog znaczył:

"- Funkcjonariusz służby porządkowej wlazł mi w nocy do pokoju, myśląc, że udało mu się mnie nie obudzić.
- Zabrał coś?"

(Podobny czegoś w tym rodzaju używa się w Chinach - zasłyszane)

Oczywiście mam na myśli zadawanie pytań w taki wymyślny sposób.




rozie
Tue, 10 Jan 2017 14:09:33
@gszczepa Codewars nie ma captcha. Tam jest jawnie "To join you must first prove your skills." a po rozwiązaniu "You have passed the initiation. Now the real training begins..." I zawsze to samo pytanie. Więc OK, jest to fun, klimat itp., ale nie captcha!

gszczepa
Tue, 10 Jan 2017 16:21:00
@rozie, drobiazgi to są, ważna idea

divak2
Wed, 11 Jan 2017 19:44:31
A propos automatów rozwiązujących kapcie:

http://www.zdnet.com/article/inside-indias-captcha-solving-economy/

cmos
Thu, 12 Jan 2017 09:48:44
@divak2 & Hindusi rozwiązujący captche


Myślę że jeszcze taniej byłoby postawić jakąś stronę porno z dostępem za rozwiązanie captchy co pewien czas.

Boni avatar Boni
Thu, 12 Jan 2017 10:42:14
@cmos

Niekoniecznie, bo nawet prawdziwy desperat na porno raczej nie będzie ci darmo rozwiązywał kapci w tempie 500 czy 1000 na godzinę, więc potrzebujesz 1000 desperatów, zamiast jednego Hindusa czy "stażysty"; a zapewnienie infrastruktury dla porno + 1000 desperatów, to już nie jest "za darmo".

Jeśli powstało wrażenie, że trochę wyłączyłem się z rozmowy, to jest właściwe wrażenie. Last but not least piszę do was z farmy wiatraków za Inverness (na której siedzę od niedzieli), ładnie zawianej, i to nawet śniegiem, więc tym bardziej nie mam głowy do rozmowy.

cmos
Thu, 12 Jan 2017 13:16:37
@boni

Dla captchy typu "przeczytaj literki" masz rację, ale "odpowiedz na pytanie w egzotycznym języku" Hindus nie rozwiąże. Za to wśród tysięcy sprofilowanych pornonautów pewnie dla większości języków ktoś się znajdzie.

Poza tym mam podejrzenie że większy serwer z porno sam w sobie musi przynosić zyski, inaczej prawie nikt w to by się nie bawił. Dodanie rozwiązywania captchy to byłby dodatkowy zarobek, przy trudnych capchach zapewne spory.

Ale to oczywiście teoretyzowanie na podstawie ssania kciuka.

gszczepa
Thu, 12 Jan 2017 17:08:59
@cmos, za dużo darmowego porno w sieci żeby się komuś chciało rozwiązywać na większa skalę.

"The "Pornography Attack" is Not a Concern"
http://www.captcha.net/

gszczepa
Fri, 13 Jan 2017 16:47:14
@janekr,

Pracowałem parę lat w okolicach gier on-line. Pojawiały się często żądania cenzurowania czatów (itp.), poprzez np. wykropkowywanie wulgaryzmów (czyli d*** i ch**). Różnie to było rozwiązywane, zwykle można było sobie włączyć/wyłączyć. Przedsiębiorczość graczy w omijaniu tego rodzaju blokad była fascynująca. Jednym sposobem było przełączanie języków ("dupa" po rumuńsku to "później"). Najbardziej jednak ciekawe było prezentowanie wulgaryzmów graficznie, czyli np. .o. i .i.

Generalnie, charakterystyczny był mechanizm, że społeczność bardzo szybko uzgadniała wulgarne znaczenie jakiegoś ciągu znaków, które wszystkim stawało się znane i traktowane było jak obraza, zupełnie jak w przypadku wyrazu tradycyjnego (telefonów i maili do supportu sporo bywało).




Licencja:
Creative Commons License

Ostatnie wpisy:


Ostatnie komentarze:

gszczepa - Cyberwojenka
Fri, 13 Jan 2017 16:47
@janekr, Pracowałem parę lat w okolicach gier...

gszczepa - Cyberwojenka
Thu, 12 Jan 2017 17:08
@cmos, za dużo darmowego porno w sieci żeby się...

cmos - Cyberwojenka
Thu, 12 Jan 2017 13:16
@boni Dla captchy typu "przeczytaj literki" masz...

Boni - Cyberwojenka
Thu, 12 Jan 2017 10:42
@cmos Niekoniecznie, bo nawet prawdziwy desperat na...

cmos - Cyberwojenka
Thu, 12 Jan 2017 09:48
@divak2 & Hindusi rozwiązujący captche Myślę...

divak2 - Cyberwojenka
Wed, 11 Jan 2017 19:44
A propos automatów rozwiązujących...

rozie - Notka zastępcza o...
Tue, 10 Jan 2017 19:56
@kuba_wu W podanym przez Ciebie przykładzie z relaksem...

gszczepa - Cyberwojenka
Tue, 10 Jan 2017 16:21
@rozie, drobiazgi to są, ważna idea

rozie - Cyberwojenka
Tue, 10 Jan 2017 14:09
@gszczepa Codewars nie ma captcha. Tam jest jawnie "To...

kuba_wu - Notka zastępcza o...
Tue, 10 Jan 2017 11:57
@boni "przykre, że nadal takie małpie potrzeby mamy...


Rollka:

Blog de Bart
Ceàrdach
Ekskursje w dyskursie
Inżynieria Wszechświetności
Nameste blog
Jetlag (pattern recognition)
Ogólna teoria
Polska-NRD-Niemcy-Świat
snafu
Teklak
Utilitymon
Wrzutnia nocna

Inne:

inSitu - pudełko z obrazkami
Szrot nasz codzienny
Modelarnia
EVA prawdé ci powié
PolitMap



Valid HTML 4.01 Strict

Valid CSS

powered by PHP


Engine: Anvil 0.70   BS 2012-2015