ďťż
Przejrzyj wiadomości
aaaaZabezpieczenie typu captcha - co wy na to?aaaa



Dariusz Pelka - 25-05-2007 00:02
Zabezpieczenie typu captcha - co wy na to?
  czesc

Robie zabezpieczenie formularza przed spamem, jednak zamiast klasycznego juz
obrazka z literkami do przepisania wybralem inne rozwiazanie: liste slow,
sposrod ktorych nalezy przepisac to, ktore nie pasuje do reszty, np. "wrona,
wilga, krzeslo, golab, orzel" - nalezy przepisac slowo "krzeslo".

I teraz pytanie - czy z punktu widzenia bezpieczenstwa formularza moge
przechowywac to slowo - klucz w sesyi?
To bardzo maly projekt i chce zeby tak pozostalo, dlatego szukam jak
najprostszego rozwiazania, jednak nie kosztem bezpieczenstwa.

dzieki,

Darek

--
--

Dariusz Pelka
Stowarzyszenie KANABA




Piotr Nowak - 25-05-2007 00:02

  Dariusz Pelka napisa?(a):
> czesc
>
> Robie zabezpieczenie formularza przed spamem, jednak zamiast klasycznego juz
> obrazka z literkami do przepisania wybralem inne rozwiazanie: liste slow,
> sposrod ktorych nalezy przepisac to, ktore nie pasuje do reszty, np. "wrona,
> wilga, krzeslo, golab, orzel" - nalezy przepisac slowo "krzeslo".
>
> I teraz pytanie - czy z punktu widzenia bezpieczenstwa formularza moge
> przechowywac to slowo - klucz w sesyi?
> To bardzo maly projekt i chce zeby tak pozostalo, dlatego szukam jak
> najprostszego rozwiazania, jednak nie kosztem bezpieczenstwa.
>
> dzieki,
>
> Darek
>

?ubr, bóbr, k....a ?o?, lis, wilk, kuna, ko?, wydra, ryjówka, zaj?c

wiem wiem, s?aby ?art :)




Dariusz Pelka - 25-05-2007 00:02

 
> Dariusz Pelka napisa?(a):
>> czesc
>>
>> Robie zabezpieczenie formularza przed spamem, jednak zamiast klasycznego
>> juz obrazka z literkami do przepisania wybralem inne rozwiazanie: liste
>> slow, sposrod ktorych nalezy przepisac to, ktore nie pasuje do reszty,
>> np. "wrona, wilga, krzeslo, golab, orzel" - nalezy przepisac slowo
>> "krzeslo".
>>
>> I teraz pytanie - czy z punktu widzenia bezpieczenstwa formularza moge
>> przechowywac to slowo - klucz w sesyi?
>> To bardzo maly projekt i chce zeby tak pozostalo, dlatego szukam jak
>> najprostszego rozwiazania, jednak nie kosztem bezpieczenstwa.
>>
>> dzieki,
>>
>> Darek
>>
>
> ?ubr, bóbr, k....a ?o?, lis, wilk, kuna, ko?, wydra, ryjówka, zaj?c

to sa zwierzeta ktore mozesz spotkac w polsce. Ty, grucha, slyszales co to
jest reinkarnacja?

:D

d.




Piotr Skwarna - 25-05-2007 00:02

  Sproboj sblam.com




orcus - 25-05-2007 00:02

  On Thu, 24 May 2007 09:54:03 +0100, Dariusz Pelka wrote:

> Robie zabezpieczenie formularza przed spamem, jednak zamiast klasycznego juz
> obrazka z literkami do przepisania wybralem inne rozwiazanie: liste slow,
> sposrod ktorych nalezy przepisac to, ktore nie pasuje do reszty, np. "wrona,
> wilga, krzeslo, golab, orzel" - nalezy przepisac slowo "krzeslo".
>
> I teraz pytanie - czy z punktu widzenia bezpieczenstwa formularza moge
> przechowywac to slowo - klucz w sesyi?

s?owo klucz tak ale radze si? jeszcze raz zasanowi?. ile takich
zestawów jeste? w stanie wygenerowa?. Nawet zak?adaj?c ?e losujesz z
kilkunastu opcji(5 z jednej jedno z innej) i sk?adasz automoatycznie to
nie daje za du?o opcji. Mo?na ?atwo napisa? skrypt samoucz?cy si?
który skopiuje Ci ca?? struktóre.

Taki skrypt ju? na etapie "uczenia si?" b?dzie za?apywa?, bo
strzeli? nawet 1/10 mo?e przecie? trafnie. A wystarczy 10 razy wi?cej
prób i nawet "uczenie si?" jest zb?dne.

i jako cz?onek TajnejSektyPorneLa polecam:
http://pornel.net/captcha

--
Pozdrawiam
orcus

..: IE s?u?y do przegl?dania internetu z twojego komputera i na odwrót :.




Lemat - 25-05-2007 00:02

  orcus pisze:
> Mo?na ?atwo napisa? skrypt samoucz?cy si?
> który skopiuje Ci ca?? struktóre.

na szcz??cie to jest unikalne rozwi?zanie i spamerom nie b?dzie si?
op?aca?o dla jednego sajtu tak robi?. Chyba, ?e zaczniesz powiela?
rozwi?zanie w tysi?cach egzemplarzy.

W captchach chodzi tylko i wy??cznie o unikalno?? rozwi?zania, tak aby
si? spamerom nie op?aca?o.
--
Pozdrawiam
Lemat




orcus - 25-05-2007 00:03

  On Thu, 24 May 2007 14:00:13 +0200, Lemat wrote:

> orcus pisze:
>> Mo?na ?atwo napisa? skrypt samoucz?cy si?
>> który skopiuje Ci ca?? struktóre.
>
> na szcz??cie to jest unikalne rozwi?zanie i spamerom nie b?dzie si?
> op?aca?o dla jednego sajtu tak robi?. Chyba, ?e zaczniesz powiela?
> rozwi?zanie w tysi?cach egzemplarzy.

albo:
1. Bedzie mial cos wartego takiej zagrywki
2. Znajdzie sie "zyczliwy"

--
Pozdrawiam
orcus

..: IE s?u?y do przegl?dania internetu z twojego komputera i na odwrót :.




Dariusz Pelka - 25-05-2007 00:03

  >> I teraz pytanie - czy z punktu widzenia bezpieczenstwa formularza moge
>> przechowywac to slowo - klucz w sesyi?
>
> s?owo klucz tak ale radze si? jeszcze raz zasanowi?. ile takich
> zestawów jeste? w stanie wygenerowa?. Nawet zak?adaj?c ?e losujesz z
> kilkunastu opcji(5 z jednej jedno z innej) i sk?adasz automoatycznie to
> nie daje za du?o opcji. Mo?na ?atwo napisa? skrypt samoucz?cy si?
> który skopiuje Ci ca?? struktóre.
>
> Taki skrypt ju? na etapie "uczenia si?" b?dzie za?apywa?, bo
> strzeli? nawet 1/10 mo?e przecie? trafnie. A wystarczy 10 razy wi?cej
> prób i nawet "uczenie si?" jest zb?dne.
>

Dzieki za informacje, ale nie odpowiedziales na moje pytanie - mozna to
trzymac w sesji, jest bezpiecznie? Co do struktury tego zabezpieczenia - nie
jest skomplikowana wiec rzeczywiscie moznaby to skopiowac dosc latwo, a
przynajmniej odkryc zaleznosci, ale jak mowilem, projekt to niewielki,
projekcina zaledwie, spodziewam sie docelowo do 2k wpisow w ciagu kilku mcy
wiec moze nie stanie sie "swietym graalem hackerow" ;)

dzieki,

pozdrawiam,

Darek




orcus - 25-05-2007 00:03

  On Thu, 24 May 2007 14:58:04 +0100, Dariusz Pelka wrote:

>> s?owo klucz tak

> Dzieki za informacje, ale nie odpowiedziales na moje pytanie

bo odpowiedzibylo 3 slowa;)

--
Pozdrawiam
orcus

..: IE s?u?y do przegl?dania internetu z twojego komputera i na odwrót :.




Jacek Czapla - 25-05-2007 00:03

  >>
>
> Dzieki za informacje, ale nie odpowiedziales na moje pytanie - mozna to
> trzymac w sesji, jest bezpiecznie? Co do struktury tego zabezpieczenia - nie

B?dzie to na tyle bezpieczne na ile w ogóle b?d? zabezpieczone dane w
sesji. Najlepiej (chyba) trzyma? dane sesji w bazie danych + numer IP
(?eby trudniej by?o ukra?? sesj?, chyba).




Lemat - 25-05-2007 00:03

  Jacek Czapla pisze:
>>>
>>
>> Dzieki za informacje, ale nie odpowiedziales na moje pytanie - mozna
>> to trzymac w sesji, jest bezpiecznie? Co do struktury tego
>> zabezpieczenia - nie
>
> B?dzie to na tyle bezpieczne na ile w ogóle b?d? zabezpieczone dane w
> sesji. Najlepiej (chyba) trzyma? dane sesji w bazie danych + numer IP
> (?eby trudniej by?o ukra?? sesj?, chyba).

to gdzie jest sesja przechowywana, czy w postaci danych na dysku serwera
czy w bazie danych ma si? nijak do bezpiecze?stwa.

--
Pozdrawiam
Lemat




orcus - 25-05-2007 00:03

  On Thu, 24 May 2007 19:13:58 +0200, Lemat wrote:

>> B?dzie to na tyle bezpieczne na ile w ogóle b?d? zabezpieczone dane w
>> sesji. Najlepiej (chyba) trzyma? dane sesji w bazie danych + numer IP
>> (?eby trudniej by?o ukra?? sesj?, chyba).
>
> to gdzie jest sesja przechowywana, czy w postaci danych na dysku serwera
> czy w bazie danych ma si? nijak do bezpiecze?stwa.

No, BD jest zwykle troche lepiej obwarowana. Z ciekawosci apytam bo zawsze
wydawalo mi sie ze jest tak:

- pliki sesyjne przechowywane sa w jadnym okreslonym miejscu
- dostep do nich ma kazdy ale zwykle nie da sie wylistowac katalogu w
ktorym sie znajduja(no chyba ze admin dupa...)
- do przechwycenia sesji przez innego uzytkownika tego samego servera
wystarczy przechwycic SID
- z poziomu innego skryptu na tym samym serverze mozna eytowac dane w
sesji majac SID.

to jest tak ja pisze czy to jest jakos dodatkowo obwarowane przy
standardowej konfiguracji jako modul PHP(jeden user dla PHP)?

--
Pozdrawiam
orcus

..: IE s?u?y do przegl?dania internetu z twojego komputera i na odwrót :.




Jacek Czapla - 25-05-2007 00:03

  orcus napisa?(a):
> On Thu, 24 May 2007 19:13:58 +0200, Lemat wrote:
>
>>> B?dzie to na tyle bezpieczne na ile w ogóle b?d? zabezpieczone dane w
>>> sesji. Najlepiej (chyba) trzyma? dane sesji w bazie danych + numer IP
>>> (?eby trudniej by?o ukra?? sesj?, chyba).
>> to gdzie jest sesja przechowywana, czy w postaci danych na dysku serwera
>> czy w bazie danych ma si? nijak do bezpiecze?stwa.
>
> No, BD jest zwykle troche lepiej obwarowana. Z ciekawosci apytam bo zawsze
> wydawalo mi sie ze jest tak:
>
> - pliki sesyjne przechowywane sa w jadnym okreslonym miejscu
> - dostep do nich ma kazdy ale zwykle nie da sie wylistowac katalogu w
> ktorym sie znajduja(no chyba ze admin dupa...)
> - do przechwycenia sesji przez innego uzytkownika tego samego servera
> wystarczy przechwycic SID
> - z poziomu innego skryptu na tym samym serverze mozna eytowac dane w
> sesji majac SID.
>
> to jest tak ja pisze czy to jest jakos dodatkowo obwarowane przy
> standardowej konfiguracji jako modul PHP(jeden user dla PHP)?
>

No w?a?nie o to mi chodzi?o. Lemat (niestety) patrzy z punku widzenia
swojej wiedzy o zabezpieczeniach serwera, która jest (IMHO) znacz?co
wi?ksza ni? ?rednia w tym kraju (i nie tylko w tym kraju).
W dobrze zabezpieczonym serwerze by? mo?e nie ma to wp?ywu na
bezpiecze?stwo, ale cz?sto (zbyt cz?sto) niestety ma to znaczenie.




porneL - 25-05-2007 00:03

  On Thu, 24 May 2007 09:54:03 +0100, Dariusz Pelka
<dariusz@bluecubeinteractive.com> wrote:

> Robie zabezpieczenie formularza przed spamem, jednak zamiast klasycznego
> juz obrazka z literkami do przepisania wybralem inne rozwiazanie: liste
> slow

Ale co ci u?ytkownicy zrobili, ?e wyr?czasz si? nimi w odspamianiu swojej
strony?

http://sblam.com

--
this.author = new Geek("porneL");




zaczy - 26-05-2007 10:27

  > > B dzie to na tyle bezpieczne na ile w ogóle b d zabezpieczone dane w
> > sesji. Najlepiej (chyba) trzyma dane sesji w bazie danych + numer IP
> > ( eby trudniej by o ukra sesj , chyba).
>
> to gdzie jest sesja przechowywana, czy w postaci danych na dysku serwera
> czy w bazie danych ma si nijak do bezpiecze stwa.

Czy mogliby cie zatem mnie o wieci , jakie s zalety, które
przemawia yby za przechowywaniem sesji w bazie zamiast domy lnego?

Trud to pewien jest w ko cu, ale czy warto?

Rafa




Jacek Czapla - 26-05-2007 10:27

  zaczy napisa??(a):
>>> B dzie to na tyle bezpieczne na ile w og??le b d zabezpieczone dane w
>>> sesji. Najlepiej (chyba) trzyma dane sesji w bazie danych + numer IP
>>> ( eby trudniej by o ukra sesj , chyba).
>> to gdzie jest sesja przechowywana, czy w postaci danych na dysku serwera
>> czy w bazie danych ma si nijak do bezpiecze stwa.
>
> Czy mogliby cie zatem mnie o wieci , jakie s zalety, kt??re
> przemawia yby za przechowywaniem sesji w bazie zamiast domy lnego?
>
> Trud to pewien jest w ko cu, ale czy warto?
>
> Rafa
>
Je??li jeste?? pewien, ??e masz dobrze zabezpieczony serwer
(konfiguracyjnie) to mo??e i nie warto ale je??li nie wiesz czy masz
dobrze zabezpieczony serwer to IMHO warto.

A trud to taki du??y nie jest.




Lemat - 26-05-2007 10:27

  zaczy pisze:

> Czy mogliby cie zatem mnie o wieci , jakie s zalety, które
> przemawia yby za przechowywaniem sesji w bazie zamiast domy lnego?
>
> Trud to pewien jest w ko cu, ale czy warto?

chodzi raczej o to aby mie? w?asny handler do sesji, samemu zarz?dza?
czasem wyga?ni?cia, usuwaniem starych sesji, mie? statystyki userów
"zalogowanych" etc. - takie rzeczy, które s? albo trudno do zrobienia
albo s? ograniczenia zrobione przez hosting.

--
Pozdrawiam
Lemat

infinity69 Tylko ja i moja przestrzeń.