сразу извинюсь перед очень крутыми спецами из Украины, просто (много кто уже знает) у меня "программисты" из этой страны ассоциируются с унылым гавно
очень уважаю и люблю мавра, нрг и всех наших, но большинство - действительно ТУПЫЕ БЛЯТЬ НАХУЙ МУДАКИ!!
разговор из аськи с одним таким типом
было давно, меня этот мудак выбесил под конец (строил из себя хуй пойми кого), я сохранил этот разговор (кстати, название файлу дал "еблан хохлятский") и потом не выложил, файлик затерялся на винте внешнем :) тут винт наебнулся, я его восстановил и нашел файлик
вобщем, вот такая хуйня
(номер аськи заменил на сабж, чтобы при случае, долбоеб мог отмазаться)
суть разговора - я ему говорю, что проверка реферера в капче - нахуй не нужна, реферер - заголовок, который подменяется, он (как специалист парсеров!!!) мне доказывает, что не всегда это возможно, а аргумент - ТЫ ЧО МНЕ НА СЛОВО НЕ ВЕРИШЬ? НУ И НЕ НАДО! + А ЭТА ПРОВЕРКА ЧО ЛИШНЯЯ???
развлекайтесь
(12:25:43 PM) еблан хохлятский: привет, я от Игоря
(12:26:36 PM) epsyl: привет
(12:27:08 PM) еблан хохлятский: не знаю зачем он мне сказал с тобой списаться
(12:27:51 PM) epsyl: ок)
(12:29:14 PM) еблан хохлятский: Короче я поставил проверку по рефереру, это не даст каптчу передавать в сервис антикаптчи
(12:29:25 PM) еблан хохлятский: так же парсить ее не выйдет
(12:29:37 PM) epsyl: почему не даст?
(12:29:42 PM) epsyl: это херня все))
(12:29:51 PM) еблан хохлятский: ну а как ты ее распарсишь?
(12:29:53 PM) еблан хохлятский: скажи
(12:30:11 PM) еблан хохлятский: Я в парсерах спец
(12:30:19 PM) epsyl: в заголовки, когда тащишь капчу, добавляешь Referer: http://***.ru/board/add/
(12:30:20 PM) epsyl: и все
(12:30:27 PM) еблан хохлятский: ну а толку?
(12:30:41 PM) epsyl: ну вот, толку проверять заголовк, которые отдается клиентом? )
(12:30:41 PM) еблан хохлятский: это-то понятно
(12:30:42 PM) еблан хохлятский: но
(12:31:05 PM) еблан хохлятский: я например распарсил страницу армторга с каптчей
(12:31:24 PM) еблан хохлятский: каптча будет вызвана в итоге из браузера
(12:31:32 PM) еблан хохлятский: как я туда реферер вставлю
(12:31:55 PM) еблан хохлятский: Если браузер самописный, то нефиг делать
(12:32:19 PM) еблан хохлятский: толку например парсит отдельно каптчу курлом
(12:32:27 PM) еблан хохлятский: короче разбирайтесь сами
(12:33:50 PM) еблан хохлятский: Сделай так, чтобы каптчу можно было только с армторга открывать и помудри с идентификатором в сессии, чтобы если каптчу отдельно от страницы кто и получит, чтобы от нее толку не было.
(12:34:06 PM) epsyl: ты не понимаешь
(12:34:08 PM) epsyl: щас объясню
(12:34:09 PM) epsyl: 2 минуты
(12:46:39 PM) epsyl: как работают спамерские программы:
- они не парсят страницу добавления объявы, они тянут капчку, распознают число и отправляют ПОСТом сразу запрос
если капча (как в твоем случае) не дает загрузить изображение без реферера этого сайта, ты мы в заголовкам - просто добавим реферер и все, это сделать 2 секунды (курлом тащить или сокетами)
- если ты говоришь про сессии, то нужен какой-то идентификатор сессии, правильно? он ставится в куку, либо указыватеся в гет параметрах, к примеру, в атрибуте action в форме добавления
как это обходится? легко, парсится страница, выдирается идентификатор сессии, читается капча и идет ПОСТовый запрос уже с идентификатором сессии
(12:46:40 PM) epsyl: все
(12:46:41 PM) еблан хохлятский: ты что-то написал?
(12:46:45 PM) epsyl: да, вот написал
(12:47:11 PM) еблан хохлятский: ну так что
(12:47:20 PM) еблан хохлятский: по твоему лучше без защиты?
(12:47:29 PM) еблан хохлятский: вообще
(12:47:37 PM) еблан хохлятский: чтобы спамеры не заморачивались?
(12:47:43 PM) epsyl: почему? капча, пока единственная защита
(12:47:55 PM) epsyl: делать сложнее, чтобы её не смотгли прочитать автоматом
(12:48:05 PM) epsyl: а если там читают её в ручную, то нче не спасет
(12:48:09 PM) epsyl: все, впринципе
(12:49:12 PM) еблан хохлятский: Ну делай, как знаешь, меня это вообще мало волнует
(12:49:58 PM) еблан хохлятский: Если каптча без сессии, то это вообще хуйня а не защита
(12:50:28 PM) еблан хохлятский: у тебя каптча должна именно во время создания страницы, которая ее вызывает быть актуальной
(12:51:01 PM) еблан хохлятский: чтобы если я ее выдеру без страницы, хуй бы я что получил, если бы ее потом в пост запрос ввел
(12:51:22 PM) epsyl: а как ты проверишь актуальность капчи:
(12:51:22 PM) epsyl: ?
(12:51:25 PM) еблан хохлятский: а если у тебя циверка зашифрованая сразу прикручена
(12:51:56 PM) еблан хохлятский: это, вот тут я выражу свое бозмущение словом БЛЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯДЬ, детский лепет
(12:52:38 PM) еблан хохлятский: Как минимум эту цифру не выводи наружу а в сессии оставляй
(12:53:26 PM) еблан хохлятский: и создавай при запуске страницы вызова каптчи какой-то дополнительный идентификатор.
(12:54:07 PM) еблан хохлятский: который бы при приеме пост запроса тоже сверялся
(12:54:53 PM) еблан хохлятский: Я щас не соображу, это надо глянуть как у меня сделано. Базара нет, что если у тебя код каптчи в гет запросе передается фактически, то реферер до жопы.
(12:55:14 PM) epsyl: а как еще код капчи может передаваться?)
(12:56:24 PM) еблан хохлятский: у меня каптча вызывается типа http://site.ru/captcha.php
(12:56:39 PM) еблан хохлятский: без каких-либо параметров
(12:56:49 PM) epsyl: здесь также и тоже без параметров
(12:56:52 PM) еблан хохлятский: а код сохраняется в сессию
(12:57:00 PM) epsyl: угу, и здесь также
(12:58:10 PM) еблан хохлятский: Ладно, заочная диагностика дело неблагодарное. Вот тебе пример freehostia.com, там каптча ни чем не вскрывается на сколько мне известно
(12:58:19 PM) еблан хохлятский: думай сам как это реализовано.
(12:59:09 PM) epsyl: где там капча?
(12:59:18 PM) еблан хохлятский: при регистрации хостинга
(12:59:57 PM) epsyl: http://freehostia.com/order_images/captcha.php
(01:00:07 PM) epsyl: точно такая же капча
(01:01:28 PM) еблан хохлятский: и что она по этой ссылке открывается?
(01:01:49 PM) еблан хохлятский: у меня почему-то нет
(01:02:23 PM) epsyl: она не обязательно будет открываться, тот же самый реферер проверяется, если нет - отдается заголовок, 403
(01:03:05 PM) еблан хохлятский: Ну так ты мне скажи, на твой взгляд, я так понял, если защиту можно обойти, то типа нахуй она не нужна?
(01:03:21 PM) epsyl: да, проверка реферера - не нужна\
(01:03:37 PM) epsyl: т.к. реферер, это заголовок, который посылается клиентом, его можно поставить совершенно любым
(01:03:39 PM) еблан хохлятский: А она что жрать просит?
(01:04:03 PM) еблан хохлятский: Не всегда это возможно
(01:04:11 PM) epsyl: серьезно? :)
(01:04:14 PM) epsyl: а когда невозможно?
(01:06:11 PM) еблан хохлятский: Описывать долго все варианты. На слово верить не хочешь, не надо, я ж говорю, мне до одного места этот вопрос. Игорь попросл тебе подсказать, я подсказал, если ты упертый, что я сделаю. Делай как хочешь.
(01:06:28 PM) epsyl: какие варианты?
(01:06:43 PM) еблан хохлятский: Но по всем канонам защиты 80% атак этот метод останавливает.
(01:06:56 PM) epsyl: что за каноны защиты?
(01:07:05 PM) еблан хохлятский: Я доказывать тебе это не буду.
(01:07:08 PM) еблан хохлятский: Нет времени.
(01:07:15 PM) epsyl: ну понятно :)
(01:07:20 PM) epsyl: ладно, не буду отвлекать
(01:07:56 PM) еблан хохлятский: Давай. Ты по знаку зодиака не из баранов (козерог, овен и т.п.)?
(01:09:09 PM) еблан хохлятский: Это без обид, просто очень характерная позиция для овна у тебя.
(01:09:15 PM) еблан хохлятский: Не пробъешь.
