Pull to refresh

Comments 59

то, что текстовую каптчу можно обойти, знали все

тут вопрос в другом - сколько системного времени тратится на дешифрование
Простой арифметический расчёт показывает, что у Trojan.Spammer.HotLan.A на это уходит чуть больше семи секунд :))
Да, вот только не нагружается ли при этом процессор на добрые 100%? Что-то мне подсказывает, что даже сравнительно неграмотные пользователи догадаются по этому поводу обратиться к системному администратору™.
ерунда какая, достаточно не просто рисовать цифры, а сделать набор простейших вопрос-ответов и все!
Отличная идея! Вы готовы продать за приличные деньги Вашу базу простейших вопрос-ответов? Разумеется, вопрос-ответов должно быть не меньше сотни миллионов.
все очень просто - сотня миллионов вариантов получается при использовании не одной пары вопрос ответа а нескольких - тут простая математика, так же можно добавить к вопрос ответам еще и картинку, при чем в систему ответы не набивать в базу, а строить по определенной формуле по принципу как работает открытый ключ шифрования.
ужоас))) конечно, если он код изнутри ломает, то это правда круто, а если снаружи картинку сканирует, но нужно новые способы скрытия искать.

Где-то на Харбе видел топик на счет таких картинок. По-моему некоторые идеи очень даже хорошие.

http://www.securitylab.ru/contest/239642… (приемы обхода)
http://ocr-research.org.ua/teabag.html (прием защиты)
Про защиту :)
Картинки 1 и 6 легко распознаются :) Проверял!!!
Остальные, имхо, и человеку трудно будет распознать :)
это не единственный способ, но по-моему кросивый. еще красивей делать вопрос, типа 10+2=, и пусть ваша распознавалка ломает... или посчитать сколько мух на картинке, а сколько котлет...

справится?:)
Только описанные вами способы никто почему-то не использует :)
Про 10+2= не проблема вообще, распознавалка распознает текст, что с ним делать, скрипту можно сказать :)
Про мух и котлет тоже решаемо, но т.к. никто этим не пользуется, то и распознавалки такой нет ;)
разберитесь сначала с вопросом, для чего капча нужна в принципе, а потом ещё раз прочтите своё предложение
UFO landed and left these words here
Я так понял, что троян регистрирует себе ящик на вебмейле и начинает рассылать через него спам.
UFO landed and left these words here
Вероятней всего так и есть, используют порноресурсы и дрочеров.. Никакой сенсации )
гениальное как всегда просто. мне в голову не приходило.
уже есть новые идеи по совершенствованию каптча: изображать не символы, а ,например, животных... реализация очень проста, а этот мега-троян просто погибнет.
не факт. просто начнёт покупать порнотрафик на нужном языке.
Интересно, а капча на флэше сильно остановит бота? По идее да:
- ведь флэш - это слоистая система векторных изображений, а не растровая картинка
- особенно если распозноваемые части будут перемещаться друг относительно друга
- если будут применяться анимационные рандомные эффекты

Раньше о таком решении не слышал.
UFO landed and left these words here
UFO landed and left these words here
?!
Мы об одном говорим? Флэш ролик - это не растровая картинка. Флэш, не как векторная программа, для создания статичной картинки, а векторная анимационная оболочка. На выходе мы видим векторную мультипликацию.

Или я ничего не понимаю во флэше?
UFO landed and left these words here
Нет, не иогу поверить.
Вы можете объяснить, на каком этапе изображение растрируется? На момент вывода на экран? Как в таком случае мне удается взаимодействовать с ним? И как я могу видеть тончайшие векторные линии тончайшими векторными, если они растрированы?
И еще вопрос: как можно растянуть растрированное изображение со скажем дефолтного 320х200 до 14000х9000? или еще больше - важно, что растра не видно.
Если сделать скриншот флэша, получим растровую картинку, которую можно распознать.
UFO landed and left these words here
когда тебе надоест этот диалог, то просто сообщи об этом. Мне на самом деле интересна эта тема.

Вопрос о "моменте растеризации" возник не случайно. Как я и предполагал, еще находясь "в интернете", не дойдя до юзера, а пребывая пока только у бота получается, что вектор остается вектором. И только в момент, когда пользователь хочет тем или иным образом вывести этот векторный документ он растеризуется. Таков механизм PostScript, если я не ошибаюсь. Одна лишь загвоздка - в каждом документе есть свой растеризатор и вирус или бот может этим воспользоваться.

Но я же предложил делать анимацию, ввести интерактивность - например нужно мышой перетащить один блок на другой, чтобы через него как на лакмусе проявились нужные знаки. При этом всё также можно "замулевать" дополнительными граф.элементами + движением. И никакой скриншот не поможет.

На счет плоттеров - знакомо. Довольно часто приходилось резать. Только оператор просил документ в Corel, что меня жутко смущало и мешало работе, потому что документ изначально готовился в автокаде и архикаде - трувекторных программах.
UFO landed and left these words here
читать всё равно будут люди. так что это ничего не изменит
но не люди же, а боты будут ломать. А потом, человек видит не одну картинку, а миллионы вариантов с анимацией, которая генерируется самой этой флэш-капчей.
зачем же писать "искуственный интеллект", если легко использовать естественный? ваша капча демонстрируется на совершенно другом посещаемом сайте как способ "войти" и прочтённое людьми заполняется в нужную форму. что тут сложного и зачем городить огород?
то ли лыжи не едут, то ли я очень странный...
я не понял, что ты хотел сказать. Ладно, nevermind.
А где можно подробнее почитать о работе этого трояна? А то что-то совсем не ясно, он распознаёт картинку?
Уже давно существует распознавалка капчей, причем практически любых :)
Картинку с вашего поста съела за 9 секунд.
7 секунд конечно круче, но эта распознает практически любые :) В том числе и некоторые из http://ocr-research.org.ua/teabag.html
Причем без специальной настройки на конкретную капчу ;)
Если кто то писал такой софт или может написать то стукнитесь мне в icq
272077747
Есть очень выгодное предложение
Для истории:

МВД ликвидировало сеть ботнетов, заразивших 6 миллионов компьютеров.

В результате проведенных оперативно-розыскных мероприятий было установлено, что преступной деятельностью занимается 22-летний молодой человек, широко известный в хакерских кругах под псевдонимами «Гермес» и «Араши».
Оставьте в покое человека, ему ещё сидеть и сидеть.
http://alx.vingrad.ru/fwc/login/example.html - мой вариант :)
может быть пока не очень надежный, зато AJAX. и можно задавать внешний вид (height, width, color, background, font-size и т.п.) картинки через тег style прямо в HTML :)
Абсолютно ненадёжная! Всё равно, что её нет
Хорошо, вкратце:
1. Символы одного цвета - легко найти
2. шум - линии тоже одного цвета - легко устранить
3. используется один и тот же шрифт
4. фон не меняется
5. одного вращения недостаточно
6. картинка маленькая - в ограниченном пространстве проще распознавать
...
1) ага)
2) ага)
3) ага)
4) а линии на что?)
5) ещё размер меняется и положение
6) ага)

теперь лучше? :) ( http://alx.vingrad.ru/fwc/login/example.html )
а что можете сказать про этот скрипт:
http://forum.vingrad.ru/act-Reg/inc/crypt/cryptographp.inc.php

спасибо.
1. Линии толщиной в 1 пиксел убираются первым же фильтром, например, Эрозией.
2. есть алгоритмы нахождения самих линий с их последующим удалением
Ой, я тут глянул на урл картинки... Ужас...
а что там такое?
?stamp=1184610410677&bg=@cccccc&color=@666666&height=40&width=170&font-size=30&spacing=30&top=32&left=5
stamp это поле соответствующее коду, который на картинке в БД, через него идет поиск и сравнение, а всё остальное - просто параметры внешнего вида, они формируются на основе атрибута style тега img. подразумевалось изначально что юзер сможет настраивать "дизайн" картинки. но после твоих советов почти все это потеряло смысл. разве что ширина и высота...

почему не скажешь про второй скрипт? :)
Во-первых, вторая ссылка не работает. А во-вторых, ну что я буду знаниматься анализом вашей капчи? Зачем мне это?
Лучше почитай немного об анализе разных капч на предмет ломаемости и сделай свои выводы http://sam.zoy.org/pwntcha/
вдогонку. Посмотрите, какие капчи ломаются http://www.cs.sfu.ca/~mori/research/gimpy/
На первый взгляд очень трудные для взлома. А они посложнее вашей
вот именно параметры текста, указанные в ссылке дают возможность более точно настроить ломалку. Ведь указан и размер текста, и смещение,...
Вот, кстати, пример, когда люди не понимают значения капчи: http://up.spbland.ru/files/07071574/
Посмотрите ссылки на цифрах: 0-iad.gif, 1-yvf.gif, 2-dqm.gif, 3-qzm.gif, 4-tjn.gif, 5-jvs.gif, 6-qes.gif, 7-nfm.gif, 8-yee.gif, 9-gwr.gif
Это что, называется защита от роботов?
Only those users with full accounts are able to leave comments. Log in, please.