Forum
Aktif konular
Üyeler
Kurallar
Arama
Tahribat.com Forumları 
Web sitesi Güvenliği, DOS - DDOS Saldırıları... 
Captcha Doğrulaması İçin Client Tarafında Microoptimizasyon Düşüncem Captcha Doğrulaması İçin Client Tarafında Microoptimizasyon Düşüncem
-
sayfa açılıp form geldiğinde sayfan bir captcha oluşturup sessiona atasın ve bunu da javascripte hashlanmiş şekilde atsın.
form submit edilirken formdan gelen veriyi hashleyerek daha önce oluşturulan hasle karşılaştır değer aynı değilse false döndürüp submit yaptırma captcha yanlış de.
hash doğruysa submit işlemi yapılsın yapıldıktan sonra da sunucu taraflı formdan gelen veriyle sessiondaki gerçek captcha değerini karşılaştırsın.
Düşündüğün mantıklı bir olay fekat @NmC doğru bir noktaya parmak basmış o açıdan mantıksız bir olay.
pesimistzombie tarafından 01/May/15 16:30 tarihinde düzenlenmiştir -
NmC bunu yazdıDrKill bunu yazdıNmC bunu yazdı
Hocam böyle bir durumda da adam brute force işini localde deneyeceği için eğer captcha'nı atlatacaksa daha kolay atlatır. Tamam sunucuya yük binmez ama yanlış girilen captcha için doğrusunu bulana kadar tekrar tekrar deneme şansı veriyorsun. Normalde aynı captcha iki kere gösterilmez işin raconu budur :D
Bu arada form'un tekrar doldurulmasını istemiyorsan, request'i ajax şeklinde yapıp halledebilirsin de.
Hocam brute force işide zor. SHA256 dan bahsediyorum ki bunu tek sefer için düşünürsek. 2 üzeri 256 bir eder.
SHA256dan işlemi 2 kere geçirirsen zaten bu olasılık katlanıyor.
(1,1579208923731619542357098500869*10 ÜZERİ 77 ) ÇARPI (1,1579208923731619542357098500869*10 ÜZERİ 77 ) eder ki. İmkansıza yakın bir bulunma olasılı ortaya çıkıyor.
Yaklaşık 10 ÜZERİ 144 de bir olasılık çıkıyor. Bunu yakalayacak adamın süper computer'ı olması lazım ki kıçı kıytırık form hackleme işlemi ile uğraşabilsin. Zaten süper computer'ıda olsa düzgün bir içeriği kırması YıLLAR alır. MD5 den bahsetmiyoruz burada.
Aşağıda bununla ilgili bir makale var.
Yok hocam kastettiğim şey o değil. Adamın yazdığı bot bir oranda captcha okuyodur (genelde %70-%80 oranında çalışıyor captcha readerlar.) Bir kere denedikten sonra yeni kod gelmesi bu oranı koruyor. Fakat senin durumda adamın en yüksek ihtimal tutacak n kombinasyonunu üst üste deneme şansı ortaya çıkıyor.
Şimdi anladım hocam ne demek istediğini. Dediğin mantık doğru ama %70-%80 oranını okumayı başarmış birisi varsa zaten %100nüde okur gibi geliyor. Amma velâkin senin mantığındanda gitsek gene işler çok karışık. 7 karakterli bir captcha'nın 5'ni doğru okuyan bir reader 2 karakterini okuyamadığını ya da yanlış okuduğunu varsaylım. Bu okuyamadığı iki karakter neresi? Son iki karakter mi? 3. ve 7. karakter mi? Okuyamadığı karakterlerin yerini belirlemek zaten insan gözüyle yapılacak birşey. Bunu insan gözüyle yaparsan bota gerek yok. İnsan gözüyle yapmayıp olasılıkları denersen?
İşte burada botun olasılıkları deneyerek doğru sonuca ulaşacak kadar kaliteli olması için
1-) kaç karakteri okuyamadığını doğru tespit edebilmesi gerekmekte.
2-) bu karakterlerin kaçıncı karakterler olduğunuda tespit edebilmesi gerekmekte.
E bunları yapabilen bot zaten sha256 yı brute force ile kırmaktansa, göz ucuyla 2 karakterin girilmesini istemesi daha hızlı sonuç almasına sebep olacaktır.
Ben bu olasılığın olacağını pek sanmıyorum hocam. Yani olabilir ama captcha'nın kalitesine bağlı bir durum açıkçası.
Ya da hepsini sie edip google capcha kullanacaksın ki o da integral sorusu çözmek kadar zorlaştırıyor işlemleri, deneyimsiz son kullanıcı açısından.
DrKill tarafından 01/May/15 16:56 tarihinde düzenlenmiştir -
google capchanın zorluk ayarları var diye biliyorum çoğu sitede bina kapı numarası filan gösteriyor kolayca yazabiliyorsun hatta bir kaç sitede sadece robot değilim diye işaretleyince geçiyordu.
-
DrKill bunu yazdıŞimdi anladım hocam ne demek istediğini. Dediğin mantık doğru ama %70-%80 oranını okumayı başarmış birisi varsa zaten %100nüde okur gibi geliyor. Amma velâkin senin mantığındanda gitsek gene işler çok karışık. 7 karakterli bir captcha'nın 5'ni doğru okuyan bir reader 2 karakterini okuyamadığını ya da yanlış okuduğunu varsaylım. Bu okuyamadığı iki karakter neresi? Son iki karakter mi? 3. ve 7. karakter mi? Okuyamadığı karakterlerin yerini belirlemek zaten insan gözüyle yapılacak birşey. Bunu insan gözüyle yaparsan bota gerek yok. İnsan gözüyle yapmayıp olasılıkları denersen?
İşte burada botun olasılıkları deneyerek doğru sonuca ulaşacak kadar kaliteli olması için
1-) kaç karakteri okuyamadığını doğru tespit edebilmesi gerekmekte.
2-) bu karakterlerin kaçıncı karakterler olduğunuda tespit edebilmesi gerekmekte.
E bunları yapabilen bot zaten sha256 yı brute force ile kırmaktansa, göz ucuyla 2 karakterin girilmesini istemesi daha hızlı sonuç almasına sebep olacaktır.
Ben bu olasılığın olacağını pek sanmıyorum hocam. Yani olabilir ama captcha'nın kalitesine bağlı bir durum açıkçası.
Ya da hepsini sie edip google capcha kullanacaksın ki o da integral sorusu çözmek kadar zorlaştırıyor işlemleri, deneyimsiz son kullanıcı açısından.
Hocam bilmiyorum daha önce makine öğrenmesi temelli şeylerle çalıştın mı? Ama işler tam o şekilde yürümüyor :)
Mesela gelen kod 7a254b olsun bunu çözmeye çalışan bot sana 1a254b,7a254b,7o254b gibi 3-4 tane alternatifin olasılıklarını yüksek bulur. Sırası ile yüksek ihtimalliden düşük ihtimalliye doğru gider. Ha şu an piyasada pazarlanan captcha readerların ne kadarı bu derece kasmış bilmiyorum, ayrıca kullandığın captcha ne kadar karmaşık onu da bilmiyorum. Ayrıca sistemini atlatmak kişiye fayda sağlar mı onu da bilmiyorum :)
Kullandığın captcha'dan örnek bir tane yollar mısın? Merak ettim.
-
NmC bunu yazdıDrKill bunu yazdıŞimdi anladım hocam ne demek istediğini. Dediğin mantık doğru ama %70-%80 oranını okumayı başarmış birisi varsa zaten %100nüde okur gibi geliyor. Amma velâkin senin mantığındanda gitsek gene işler çok karışık. 7 karakterli bir captcha'nın 5'ni doğru okuyan bir reader 2 karakterini okuyamadığını ya da yanlış okuduğunu varsaylım. Bu okuyamadığı iki karakter neresi? Son iki karakter mi? 3. ve 7. karakter mi? Okuyamadığı karakterlerin yerini belirlemek zaten insan gözüyle yapılacak birşey. Bunu insan gözüyle yaparsan bota gerek yok. İnsan gözüyle yapmayıp olasılıkları denersen?
İşte burada botun olasılıkları deneyerek doğru sonuca ulaşacak kadar kaliteli olması için
1-) kaç karakteri okuyamadığını doğru tespit edebilmesi gerekmekte.
2-) bu karakterlerin kaçıncı karakterler olduğunuda tespit edebilmesi gerekmekte.
E bunları yapabilen bot zaten sha256 yı brute force ile kırmaktansa, göz ucuyla 2 karakterin girilmesini istemesi daha hızlı sonuç almasına sebep olacaktır.
Ben bu olasılığın olacağını pek sanmıyorum hocam. Yani olabilir ama captcha'nın kalitesine bağlı bir durum açıkçası.
Ya da hepsini sie edip google capcha kullanacaksın ki o da integral sorusu çözmek kadar zorlaştırıyor işlemleri, deneyimsiz son kullanıcı açısından.
Hocam bilmiyorum daha önce makine öğrenmesi temelli şeylerle çalıştın mı? Ama işler tam o şekilde yürümüyor :)
Mesela gelen kod 7a254b olsun bunu çözmeye çalışan bot sana 1a254b,7a254b,7o254b gibi 3-4 tane alternatifin olasılıklarını yüksek bulur. Sırası ile yüksek ihtimalliden düşük ihtimalliye doğru gider. Ha şu an piyasada pazarlanan captcha readerların ne kadarı bu derece kasmış bilmiyorum, ayrıca kullandığın captcha ne kadar karmaşık onu da bilmiyorum. Ayrıca sistemini atlatmak kişiye fayda sağlar mı onu da bilmiyorum :)
Kullandığın captcha'dan örnek bir tane yollar mısın? Merak ettim.
Veri madenciliğinde bahsedilmişti biraz ama makine öğrenmesi hakkında net bilgim yok. Bayes ağları felan birşey var bildiğim kadarıyla.
Açıkçası kritik olmayan durumlarda kullanacağım bu yöntemi. Dediğin olasılıklar doğru ancak bu iş biraz tercih meselesi.
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla