ФорумПрограммированиеPHP для идиотов → Еблан хохлятский

Еблан хохлятский

  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 21 ноября 2010 г. 12:54

    раздел выбран правильно :)

    сразу извинюсь перед очень крутыми спецами из Украины, просто (много кто уже знает) у меня "программисты" из этой страны ассоциируются с унылым гавно
    очень уважаю и люблю мавра, нрг и всех наших, но большинство - действительно ТУПЫЕ БЛЯТЬ НАХУЙ МУДАКИ!!

    разговор из аськи с одним таким типом
    было давно, меня этот мудак выбесил под конец (строил из себя хуй пойми кого), я сохранил этот разговор (кстати, название файлу дал "еблан хохлятский") и потом не выложил, файлик затерялся на винте внешнем :) тут винт наебнулся, я его восстановил и нашел файлик

    вобщем, вот такая хуйня
    (номер аськи заменил на сабж, чтобы при случае, долбоеб мог отмазаться)

    суть разговора - я ему говорю, что проверка реферера в капче - нахуй не нужна, реферер - заголовок, который подменяется, он (как специалист парсеров!!!) мне доказывает, что не всегда это возможно, а аргумент - ТЫ ЧО МНЕ НА СЛОВО НЕ ВЕРИШЬ? НУ И НЕ НАДО! + А ЭТА ПРОВЕРКА ЧО ЛИШНЯЯ???


    развлекайтесь

    (12:25:43 PM) еблан хохлятский: привет, я от Игоря
    (12:26:36 PM) epsyl: привет
    (12:27:08 PM) еблан хохлятский: не знаю зачем он мне сказал с тобой списаться
    (12:27:51 PM) epsyl: ок)
    (12:29:14 PM) еблан хохлятский: Короче я поставил проверку по рефереру, это не даст каптчу передавать в сервис антикаптчи
    (12:29:25 PM) еблан хохлятский: так же парсить ее не выйдет
    (12:29:37 PM) epsyl: почему не даст?
    (12:29:42 PM) epsyl: это херня все))
    (12:29:51 PM) еблан хохлятский: ну а как ты ее распарсишь?
    (12:29:53 PM) еблан хохлятский: скажи
    (12:30:11 PM) еблан хохлятский: Я в парсерах спец
    (12:30:19 PM) epsyl: в заголовки, когда тащишь капчу, добавляешь Referer: http://***.ru/board/add/
    (12:30:20 PM) epsyl: и все
    (12:30:27 PM) еблан хохлятский: ну а толку?
    (12:30:41 PM) epsyl: ну вот, толку проверять заголовк, которые отдается клиентом? )
    (12:30:41 PM) еблан хохлятский: это-то понятно
    (12:30:42 PM) еблан хохлятский: но
    (12:31:05 PM) еблан хохлятский: я например распарсил страницу армторга с каптчей
    (12:31:24 PM) еблан хохлятский: каптча будет вызвана в итоге из браузера
    (12:31:32 PM) еблан хохлятский: как я туда реферер вставлю
    (12:31:55 PM) еблан хохлятский: Если браузер самописный, то нефиг делать
    (12:32:19 PM) еблан хохлятский: толку например парсит отдельно каптчу курлом
    (12:32:27 PM) еблан хохлятский: короче разбирайтесь сами
    (12:33:50 PM) еблан хохлятский: Сделай так, чтобы каптчу можно было только с армторга открывать и помудри с идентификатором в сессии, чтобы если каптчу отдельно от страницы кто и получит, чтобы от нее толку не было.
    (12:34:06 PM) epsyl: ты не понимаешь
    (12:34:08 PM) epsyl: щас объясню
    (12:34:09 PM) epsyl: 2 минуты
    (12:46:39 PM) epsyl: как работают спамерские программы:
    - они не парсят страницу добавления объявы, они тянут капчку, распознают число и отправляют ПОСТом сразу запрос
    если капча (как в твоем случае) не дает загрузить изображение без реферера этого сайта, ты мы в заголовкам - просто добавим реферер и все, это сделать 2 секунды (курлом тащить или сокетами)

    - если ты говоришь про сессии, то нужен какой-то идентификатор сессии, правильно? он ставится в куку, либо указыватеся в гет параметрах, к примеру, в атрибуте action в форме добавления
    как это обходится? легко, парсится страница, выдирается идентификатор сессии, читается капча и идет ПОСТовый запрос уже с идентификатором сессии
    (12:46:40 PM) epsyl: все
    (12:46:41 PM) еблан хохлятский: ты что-то написал?
    (12:46:45 PM) epsyl: да, вот написал
    (12:47:11 PM) еблан хохлятский: ну так что
    (12:47:20 PM) еблан хохлятский: по твоему лучше без защиты?
    (12:47:29 PM) еблан хохлятский: вообще
    (12:47:37 PM) еблан хохлятский: чтобы спамеры не заморачивались?
    (12:47:43 PM) epsyl: почему? капча, пока единственная защита
    (12:47:55 PM) epsyl: делать сложнее, чтобы её не смотгли прочитать автоматом
    (12:48:05 PM) epsyl: а если там читают её в ручную, то нче не спасет
    (12:48:09 PM) epsyl: все, впринципе
    (12:49:12 PM) еблан хохлятский: Ну делай, как знаешь, меня это вообще мало волнует
    (12:49:58 PM) еблан хохлятский: Если каптча без сессии, то это вообще хуйня а не защита
    (12:50:28 PM) еблан хохлятский: у тебя каптча должна именно во время создания страницы, которая ее вызывает быть актуальной
    (12:51:01 PM) еблан хохлятский: чтобы если я ее выдеру без страницы, хуй бы я что получил, если бы ее потом в пост запрос ввел
    (12:51:22 PM) epsyl: а как ты проверишь актуальность капчи:
    (12:51:22 PM) epsyl: ?
    (12:51:25 PM) еблан хохлятский: а если у тебя циверка зашифрованая сразу прикручена
    (12:51:56 PM) еблан хохлятский: это, вот тут я выражу свое бозмущение словом БЛЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯДЬ, детский лепет
    (12:52:38 PM) еблан хохлятский: Как минимум эту цифру не выводи наружу а в сессии оставляй
    (12:53:26 PM) еблан хохлятский: и создавай при запуске страницы вызова каптчи какой-то дополнительный идентификатор.
    (12:54:07 PM) еблан хохлятский: который бы при приеме пост запроса тоже сверялся
    (12:54:53 PM) еблан хохлятский: Я щас не соображу, это надо глянуть как у меня сделано. Базара нет, что если у тебя код каптчи в гет запросе передается фактически, то реферер до жопы.
    (12:55:14 PM) epsyl: а как еще код капчи может передаваться?)
    (12:56:24 PM) еблан хохлятский: у меня каптча вызывается типа http://site.ru/captcha.php
    (12:56:39 PM) еблан хохлятский: без каких-либо параметров
    (12:56:49 PM) epsyl: здесь также и тоже без параметров
    (12:56:52 PM) еблан хохлятский: а код сохраняется в сессию
    (12:57:00 PM) epsyl: угу, и здесь также
    (12:58:10 PM) еблан хохлятский: Ладно, заочная диагностика дело неблагодарное. Вот тебе пример freehostia.com, там каптча ни чем не вскрывается на сколько мне известно
    (12:58:19 PM) еблан хохлятский: думай сам как это реализовано.
    (12:59:09 PM) epsyl: где там капча?
    (12:59:18 PM) еблан хохлятский: при регистрации хостинга
    (12:59:57 PM) epsyl: http://freehostia.com/order_images/captcha.php
    (01:00:07 PM) epsyl: точно такая же капча
    (01:01:28 PM) еблан хохлятский: и что она по этой ссылке открывается?
    (01:01:49 PM) еблан хохлятский: у меня почему-то нет
    (01:02:23 PM) epsyl: она не обязательно будет открываться, тот же самый реферер проверяется, если нет - отдается заголовок, 403
    (01:03:05 PM) еблан хохлятский: Ну так ты мне скажи, на твой взгляд, я так понял, если защиту можно обойти, то типа нахуй она не нужна?
    (01:03:21 PM) epsyl: да, проверка реферера - не нужна\
    (01:03:37 PM) epsyl: т.к. реферер, это заголовок, который посылается клиентом, его можно поставить совершенно любым
    (01:03:39 PM) еблан хохлятский: А она что жрать просит?
    (01:04:03 PM) еблан хохлятский: Не всегда это возможно
    (01:04:11 PM) epsyl: серьезно? :)
    (01:04:14 PM) epsyl: а когда невозможно?
    (01:06:11 PM) еблан хохлятский: Описывать долго все варианты. На слово верить не хочешь, не надо, я ж говорю, мне до одного места этот вопрос. Игорь попросл тебе подсказать, я подсказал, если ты упертый, что я сделаю. Делай как хочешь.
    (01:06:28 PM) epsyl: какие варианты?
    (01:06:43 PM) еблан хохлятский: Но по всем канонам защиты 80% атак этот метод останавливает.
    (01:06:56 PM) epsyl: что за каноны защиты?
    (01:07:05 PM) еблан хохлятский: Я доказывать тебе это не буду.
    (01:07:08 PM) еблан хохлятский: Нет времени.
    (01:07:15 PM) epsyl: ну понятно :)
    (01:07:20 PM) epsyl: ладно, не буду отвлекать
    (01:07:56 PM) еблан хохлятский: Давай. Ты по знаку зодиака не из баранов (козерог, овен и т.п.)?
    (01:09:09 PM) еблан хохлятский: Это без обид, просто очень характерная позиция для овна у тебя.
    (01:09:15 PM) еблан хохлятский: Не пробъешь.
    все умрут, а я изумруд
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 ноября 2010 г. 13:03, спустя 8 минут 31 секунду

    я не оправдываю его, просто нужно было зайти с другой стороны. Спросить: а че делать тем людям, у которых реферер режется фаерволом?
  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 21 ноября 2010 г. 13:10, спустя 6 минут 55 секунд


    я не оправдываю его, просто нужно было зайти с другой стороны. Спросить: а че делать тем людям, у которых реферер режется фаерволом?
    почему ты решил, что это его бы оправдало? :)
    все умрут, а я изумруд
  • NRG

    Сообщения: 4761 Репутация: N Группа: в ухо

    Spritz 21 ноября 2010 г. 13:11, спустя 57 секунд

    очень уважаю и люблю мавра, нрг и всех наших

    чмаф-чмаф бейби ))))   :-*
    мы тоже тебя любим =)
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 ноября 2010 г. 13:12, спустя 1 минуту 30 секунд

    мде, я пожалуй неправильно выразился. Ну просто если б ты сразу ему задал этот вопрос - он наверняка б убрал эту сраную проверку и не было б такого конфликта
  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 21 ноября 2010 г. 13:15, спустя 3 минуты 1 секунду


    мде, я пожалуй неправильно выразился. Ну просто если б ты сразу ему задал этот вопрос - он наверняка б убрал эту сраную проверку и не было б такого конфликта
    дело не в конкретном случае с урезанием реферера (кстати, это бред блядский), дело в непонимании процесса, что и как происходит и в утверждении себя спецом по парсерам :-D

    NRG, :-*
    все умрут, а я изумруд
  • kostyl

    Сообщения: 5210 Репутация: N Группа: Джедаи

    Spritz 21 ноября 2010 г. 13:32, спустя 16 минут 10 секунд

    мда, бред хохляцкий… не ну я тоже уважаю наших )) но только тех которые вызывают это чувство ))
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 ноября 2010 г. 14:57, спустя 1 час 25 минут 9 секунд

    тупй необразованный тролль какой то, а не программист, на хабре таверное из топа :D

    уж слишком по разговору видно)
    Спустя 115 сек.
    на фрихостии капча не на пхп, и взлоать ее сложно не изза пхп, я видел ее внутренности, если бы надо было - ломается на ура, просто "необычно" :)
    Сапожник без сапог
  • Faster

    Сообщения: 1159 Репутация: N Группа: Кто попало

    Spritz 21 ноября 2010 г. 21:13, спустя 6 часов 16 минут 21 секунду

    таких полно, мне вот заказчики хохляцкие попадались :)
    жесть, даже пришлось на сервак шелл залить, до сих пор живет
  • pissflaps

    Сообщения: 148 Репутация: N Группа: Кто попало

    Spritz 21 ноября 2010 г. 21:20, спустя 7 минут 24 секунды

    Хуйня чувак, просто не хочет слышать, что ему пытаются объяснить. Видит только свою правду.
    Спустя 26 сек.
    А анимационная Flash капча не эффективней обычной?
  • rider-sx

    Сообщения: 2706 Репутация: N Группа: Адекваты

    Spritz 21 ноября 2010 г. 21:26, спустя 5 минут 42 секунды

    pissflaps, я думаю recaptcha'и хватит :)
  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 21 ноября 2010 г. 21:35, спустя 9 минут 10 секунд

    разговор ниочем
    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.
  • Faster

    Сообщения: 1159 Репутация: N Группа: Кто попало

    Spritz 21 ноября 2010 г. 21:38, спустя 2 минуты 24 секунды


    pissflaps, я думаю recaptcha'и хватит :)

    рекапчу хрумер пока не ест вроде
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 ноября 2010 г. 0:39, спустя 3 часа 1 минуту 10 секунд

    Ну тема то на самом деле интересная. С сервисом антикапча стало очень легко обойти этот уровень защиты.
    Лично мое мнение, что на капчах не нужны теперь цифры, нужно что то другое.
    Как минимум просить суммировать числа, может просто картинки(ну там кошки, собаки, коровы и т.д.) вместо чисел. Ну в общем нужно то что не распознает сервис, а это уже очень много.
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 22 ноября 2010 г. 0:57, спустя 17 минут 56 секунд

    Как минимум просить суммировать числа, может просто картинки(ну там кошки, собаки, коровы и т.д.) вместо чисел. Ну в общем нужно то что не распознает сервис, а это уже очень много.

    на фрихостии глянь капчу - ахуенная идея, интересно, ломанули ли уже?)
    Сапожник без сапог

Пожалуйста, авторизуйтесь, чтобы написать комментарий!