Стоп а ведь если скрипт сделано под $_GET запрос а регистер глобалс офф..
тогда как ?
21. Systemnik - 18 Марта, 2008 - 12:05:50 - перейти к сообщению
22. Терминатор01 - 26 Марта, 2008 - 22:46:40 - перейти к сообщению
Systemnik пишет:
http://systemnik.alfaspace.net/i...nfirm_for_exbbfm
Cкачал. Сделал всё как по инструкции.
Запускаю. Ввожу требуемое слово. Регистрируется.
Ввожу любое слово от балды. Тоже регистрируется.
Так какая же это проверка если рестрация проходит
в любом случае чтобы я не вводил.
Перепроверил всё 10 раз. Ошибки нет. Делал всё как по инструкции.
Проверял под Денвером.
Решил сделать свой вариант. Взял из вышеназванного примера
форму для ввода добавил её в скрипт и поменял местами
вместо реальной формы для ввода. А на этой написал:
Обанка для ботов, в этой форме можно ничего не писать.
Включил регистрацию. Через день смотрю, 6 спамеров уже
зарегилось и опять намусорили.
23. Терминатор01 - 26 Марта, 2008 - 22:54:21 - перейти к сообщению
yura3d пишет:
Очень странно. Этот алгоритм каптчи (а взят он с сайта captcha.ru) применяется не только в ExBB но и во многих других скриптах. И нигде пока что я не видел чтобы боты научились распознавать генерируемые им картинки (в качестве примера приведу этот сайт, с тех пор как здесь была применена новая каптча ни одного бота не зарегистрировалось). Возможно стоит поэксперементировать с параметрами каптчи (например увеличить степень искажённости изображения), но при этом важно чтобы текст на картинке не потерял читаемость.
Если хочешь увидеть я могу специально для Вас не стирать и оставить для просмотра
эти сообщения. Значит уже сломали, тем более что применяют эту капчу не только
здесь. Так что всех под одну гребёнку.
А то что нет спамеров на этом форуме может быть несколько причин:
1.Подтверждение регистрации через е-майл (у меня такой возможности нет,
так как хостинг бесплатный)
2. Отсутствие наличия специфических пользователей.
Подозреваю что у кого-то просто стоит троян. Он то и создаёт спам.
Не понимаю только почему всё время под разным IP. Иначе я бы его просто
забанил и проблема была решена. Я это уже делал не раз. Попадались
спамеры работающие с одного и того же IP, даже с сервера телерадиокомпании
(сходил по IP из любобытства)
Изменить параметры капчи пробовал. В данном конкретном случае
в файле написано:
Цитата:
// случайные параметры (можно поэкспериментировать с коэффициентами):
Меняю. Ничего не происходит. Хотя буквы и так уже еле читабельные.
Да проблема вообщем то не в том чтобы поменять рисунок капчи.
Я могу сделать капчу и сам, да и есть у меня чужие готовые варианты.
Проблема её совместить с форумом.
Вот конкретно данные форума:
1. regimage.php - сам файл капчи. (Его можно запустить под Денвером отдельно
и проверить работоспособность. Рисуются буквы-крякозяблы)
2. \templates\InvisionExBB\agreed.tpl - сама форма страницы регистрации с выводимым
кодом капчи. Если кто помнит в первых версиях код состоял из нескольких
окошек, в которых выводились циферки, а сейчас сделано одно окно
побольше, для вывода кода капчи.
3. register.php - сам файл регистрации.
Так вот в чём проблема. Я так понимаю настоящий код капчи при её появлении
на экране записывается в какую то переменную, допустим X.
В форме ввода существует переменная, которая запоминает вводимый пользователем
код. Назовём её Y.
Далее, чтобы проверить подлинность кода, эти переменные сверяются.
То есть если настоящий код капчи равен коду вводимому пользователем
регистрация разрешается. Иными словами if X=Y то Ok иначе спамер.
Так вот трояну(или другой программе), совсем не обязательно ковыряться в рисунке
капчи (сейчас уже даже применяют программу FineRider для автоматического распознавания, на что я очень удивился. Так что заявления типа :"Как нашу капчу
уже сломали?" Мягко говоря вызывают усмешку.)
Так вот троян просто напросто берёт данные из переменной Х.
Если эти данные находятся в одной и той же ячейке памяти или
имеют постоянное название переменной то найти эти данные
в ОЗУ не составляет труда.
Если именно этот метод и стали использовать спамеры,
то новая капча ничего не стоит. Надеюсь что это не так.
Какой "балбес" вообще делает программы для взлома капчи?
Если для того чтобы показать что против лома нет приёма,
а точнее есть. Это же додуматься надо: Сделали программу
зарабатывания денег. Смысл вам высвечивается окошко,
а в нём код капчи. За каждое угадывание 0.1 цент. Догадываетесь
откуда берётся код капчи? Правильно с форумов.
А догадываетесь кто этот угаданный код использует?
Правильно, спамеры. Я как такую программу увидел,
сразу подумал: этож надо же до чего додумались.
И у кого то же мозгов хватит сидеть и коды угадывать.
Наверняка такие найдутся. И это называется способ
заработать деньги. Я такую программу сразу стёр.
Короче, чтобы встроить чужую капчу в свой форум нужно знать
имя этой переменной (чтобы присвоить ей значение Х).
Именно это у меня и не получается. Хотя год назад я её нашёл,
но не записал, понадеявшись на новую в то время капчу.
А сейчас вот "ногти кусаю". Форум который день стоит без регистрации,
а я каждый день с капчами мучаюсь. И это при том что каждый
день регистрировалось около 10 настоящих пользователей.
Блин, придётся наверное написать на странице регистрации название
почтового ящика и регистрировать всех вручную. Но тогда замучаюсь
это делать каждый день.
Гы. Как результат количество гостей в день снизилось с 200 до 15.
Очень жаль.
P.S.FM 1.0. В моём понимании сырой продукт без всяких модов и возможности
их установить. Так что не надо мне его предлагать каждый раз.
Я любил и люблю Full Mods 0.1.5.
24. Systemnik - 27 Марта, 2008 - 01:40:26 - перейти к сообщению
Цитата:
Cкачал. Сделал всё как по инструкции.
Запускаю. Ввожу требуемое слово. Регистрируется.
Ввожу любое слово от балды. Тоже регистрируется.
Так какая же это проверка если рестрация проходит
в любом случае чтобы я не вводил.
Перепроверил всё 10 раз. Ошибки нет. Делал всё как по инструкции.
Проверял под Денвером.
Решил сделать свой вариант. Взял из вышеназванного примера
форму для ввода добавил её в скрипт и поменял местами
вместо реальной формы для ввода. А на этой написал:
Обанка для ботов, в этой форме можно ничего не писать.
Включил регистрацию. Через день смотрю, 6 спамеров уже
зарегилось и опять намусорили.
Запускаю. Ввожу требуемое слово. Регистрируется.
Ввожу любое слово от балды. Тоже регистрируется.
Так какая же это проверка если рестрация проходит
в любом случае чтобы я не вводил.
Перепроверил всё 10 раз. Ошибки нет. Делал всё как по инструкции.
Проверял под Денвером.
Решил сделать свой вариант. Взял из вышеназванного примера
форму для ввода добавил её в скрипт и поменял местами
вместо реальной формы для ввода. А на этой написал:
Обанка для ботов, в этой форме можно ничего не писать.
Включил регистрацию. Через день смотрю, 6 спамеров уже
зарегилось и опять намусорили.
вложи сюда исхоник файла который ты поправил...
25. yura3d - 27 Марта, 2008 - 06:35:20 - перейти к сообщению
Терминатор01 пишет:
Так вот в чём проблема. Я так понимаю настоящий код капчи при её появлении
на экране записывается в какую то переменную, допустим X.
В форме ввода существует переменная, которая запоминает вводимый пользователем
код. Назовём её Y.
Далее, чтобы проверить подлинность кода, эти переменные сверяются.
То есть если настоящий код капчи равен коду вводимому пользователем
регистрация разрешается. Иными словами if X=Y то Ok иначе спамер.
Так вот трояну(или другой программе), совсем не обязательно ковыряться в рисунке
капчи (сейчас уже даже применяют программу FineRider для автоматического распознавания, на что я очень удивился. Так что заявления типа :"Как нашу капчу
уже сломали?" Мягко говоря вызывают усмешку.)
Так вот троян просто напросто берёт данные из переменной Х.
Если эти данные находятся в одной и той же ячейке памяти или
имеют постоянное название переменной то найти эти данные
в ОЗУ не составляет труда.
на экране записывается в какую то переменную, допустим X.
В форме ввода существует переменная, которая запоминает вводимый пользователем
код. Назовём её Y.
Далее, чтобы проверить подлинность кода, эти переменные сверяются.
То есть если настоящий код капчи равен коду вводимому пользователем
регистрация разрешается. Иными словами if X=Y то Ok иначе спамер.
Так вот трояну(или другой программе), совсем не обязательно ковыряться в рисунке
капчи (сейчас уже даже применяют программу FineRider для автоматического распознавания, на что я очень удивился. Так что заявления типа :"Как нашу капчу
уже сломали?" Мягко говоря вызывают усмешку.)
Так вот троян просто напросто берёт данные из переменной Х.
Если эти данные находятся в одной и той же ячейке памяти или
имеют постоянное название переменной то найти эти данные
в ОЗУ не составляет труда.
Код каптчи ни в какую переменную не записывается, а сохраняется в сессию, которая хранится на сервере. Никакой троян или вирус не может получить доступ к файлу сессии (а к ОЗУ тем более) и следовательно не может просто так извлечь код на картинке. Разумеется всё это справедливо только в том случае если сервер правильно настроен и на самом сервере отсутствуют вирусы. Самое интересное заключается в том, что FineReader не может распознать текст на каптче, которая применяется в ExBB на данный момент, так что очень сомнительно утверждение о том, что мы имеем дело с автоматизированной системой распознавания каптчи.
Терминатор01 пишет:
Короче, чтобы встроить чужую капчу в свой форум нужно знать
имя этой переменной (чтобы присвоить ей значение Х).
Именно это у меня и не получается. Хотя год назад я её нашёл,
но не записал, понадеявшись на новую в то время капчу.
имя этой переменной (чтобы присвоить ей значение Х).
Именно это у меня и не получается. Хотя год назад я её нашёл,
но не записал, понадеявшись на новую в то время капчу.
Код каптчи сохраняется в сессию и извлекается через элемент массива сессии $_SESSION['reg_code']. Только не забывайте, что случайный код генерируется классом применяемой в данный момент каптчи, и если вы захотите её заменить, вам также нужно будет написать функцию для генерации кода и записи его в сессию. Хотя можно взять эту функцию из класса текущей каптчи
P.S. Помимо глобальной защиты в рамках всех форумов на движке ExBB можно также использовать индивидуальную (уникальную) защиту для каждого форума в отдельности. Например можно в регистрационной форме создать скрытое поле и каждый раз при отправке этой формы сверять полученные значения. Большинство ботов загружают форму только для того чтобы считать код каптчи, а потом напрямую отправляют POST запрос в скрипт регистрации. В этом случае неизвестное для них поле может стать припятствием для регистрации. Также обсуждался ещё один эффективный вариант защиты от ботов на основе старой каптчи (с 6 картинками), подробнее про этот вариант можно почитать здесь
26. Ninguno - 01 Июня, 2008 - 06:49:21 - перейти к сообщению
Люди! Спам-боты достали! В день от 2 до 10 штук регются и обсирают форум!!!
Посоветуйте пожалуйсто, как лучше всего можно от них избавиться???
Посоветуйте пожалуйсто, как лучше всего можно от них избавиться???
27. Ninguno - 01 Июня, 2008 - 07:04:28 - перейти к сообщению
Народ, а я слышал очень эффективный способ борьбы с ботами - тест перед регистрацией. Т.е. задаются какие-то вопросы, и пока на них не ответишь (т.е. надо выбрать правильные ответы) тебе регистрироваться не дадут. Конечно вопросы/ответы не стандартные, можно их менять.
На ЕхВВ такова мода случаем нет?
На ЕхВВ такова мода случаем нет?
28. VipRaskrutka - 01 Июня, 2008 - 07:21:37 - перейти к сообщению
ExBB FM 1.0 Beta не пробивается спамилкой xrumer (только что протестил последнюю версию хрумера). А если хрумер не пробивает, то никакая автоматическая спамилка не пробьет. Настрой форум чтобы пользователь не мог задавать себе пароль, и все, останется гонять только школьнегов-спамеров, ну а от нх ничем не отбиться, каникулы, придется потерпеть до сентября...
29. Ninguno - 01 Июня, 2008 - 08:03:59 - перейти к сообщению
VipRaskrutka пишет:
У меня 0.1.5. но запретить ставить себе пароли это я могу включить.
ExBB FM 1.0 Beta не пробивается спамилкой xrumer (только что протестил последнюю версию хрумера). А если хрумер не пробивает, то никакая автоматическая спамилка не пробьет. Настрой форум чтобы пользователь не мог задавать себе пароль, и все, останется гонять только школьнегов-спамеров, ну а от нх ничем не отбиться, каникулы, придется потерпеть до сентября...
30. Lava - 24 Июня, 2008 - 06:35:05 - перейти к сообщению
А я сделал еще проще.
В теле письма максимум три ссылки.
все что больше это бот.
и разрешил писать всем.
гости которые не живые пыжатся, а бестолку.)
В теле письма максимум три ссылки.
все что больше это бот.
и разрешил писать всем.
гости которые не живые пыжатся, а бестолку.)