Комментарии 35
Вы только что оставили целую отрасль без работы.
Если серьезно — полагаю, пофиксятв течение суток
Если серьезно — полагаю, пофиксятв течение суток
разработчиков как-то уведомили о проблеме? на форуме или еще каким-то образом
(я багтрекера не увидел)
(я багтрекера не увидел)
На форуме (английском) есть сообщение на тему 5 часов и ответ, что этот параметр изменить нельзя
Приведённое сообщение совсем не о том. Изменить параметр для конкретного клиента — нельзя, но о глобальной настройке сервера тут ни слова.
В данном случае — весьма частая ошибка, в одном месте константу изменили, про другое забыли. Хоть ошибка и не так критична, всё же стоило сообщить о ней разработчикам.
В данном случае — весьма частая ошибка, в одном месте константу изменили, про другое забыли. Хоть ошибка и не так критична, всё же стоило сообщить о ней разработчикам.
Скорее всего это жертва оптимизации, активированные токены хранят в распределенном memcache и время жизни там ограничено меньшим значением, чем в самом токене. В любом случае сейчас об этой проблеме все узнают и сделают себе защиту на стороне своих сайтов, что, кстати, намного надежней и быстрей отбивает спамеров от повтора токена, так как не требуется запрашивать API reCaptcha по сети.
Иногда разработчики подобных систем недооценивают уровень любопытства пользователей, таких как автор данного топика.
Автор поста правильно заметил, что безопасноть можно обеспечить на стороне сайта. Используя любые публичные сервисы нельзя полагаться на их надежность. В моем понимании, reCAPTCHA такой же инструмент в руках разработчика как и болгарка, и результат будет зависеть прежде всего от умения разработчика правильно пользоваться этим инстурментом. Вы же используете средства защиты при работе болгаркой, с reCAPTCHA тоже нужно.
Делать как вы говорите и хранить активные токены не очень правильно, не смотря на то что вроятность коллизии мала, но она не равна нулю, тогда очень даже возможно что данная коллизия будет происходить раз в сутки, и это будет весьма не прикольно если вы правильно все ввели а вам говорит что ошибка, для таких больших проектов так нельзя.
Я кстати решил эту проблему путём грабинга картинки и задействования сервиcов по распознаванию капчи. Получилось очень интересное решение. Только вот ваш метод более изящный, а если ещё это дело совместить с автоматическим распознаванием, получится универсальная штуковина.
НЛО прилетело и опубликовало эту надпись здесь
сто тысяч китайцев вас ненавидят
Как насчет сообщить разработчикам? Не говоря уже о «заранее сообщить».
Давно уже написано.
Какова реакция?
Никакой. Отправлял по адресу указанному тут: www.google.com/recaptcha/contact
Пора уже видеокапчу вводить, хех.
Показывают двухчасовой фильм и в самых неожиданных местах вставляют подсказки о нахождении символов. Собираешь 10 символов (с учётом регистра, конечно, и включая иероглифы) и спокойно регистрируешься на сайте.
пора уже отказаться от капчи и придумать более простые решения
они уже придуманы, — это текстовая капча:
кто написал Граф Монте-Кристо?
или
два плюс четыре?
кто написал Граф Монте-Кристо?
или
два плюс четыре?
Математические решаются на ура роботами, стандартные вопросы наподобие названия нашей планеты — тоже. А кто написал Граф Монте-Кристо — это мне тоже гуглить при регистрации придется, что еще менее юзабельно, чем капча.
При более-менее востребованном сервисе, обойти капчу с ограниченным количеством значений очень просто. Набивается база ответов и все. С математикой же вообще легко.
пора уже перестать делать отдельную регистрацию на каждом сайте и авторизовывать через openid/facebook/gmail/etc
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в reCaptcha позволяет активировать до 30 действий по одному и тому же токену