php - captcha matematico :)

[conraid]

Il motivo è semplice, se non si ha una sessione, allora il software (in questo caso lo script) che effettua il controllo non può sapere nulla sulla domanda richiesta all'utente, a meno che la domanda non sia fissa, oppure abbia una risposta fissa. Questo ci porta a due conclusioni:

• la domanda e la risposta gli vengono passate entrambe dall'utente
• la risposta che gli viene passata dall'utente è sempre la stessa

in entrambi i casi un utente può istruire un computer per passare il test, convieni con me?

Ni
Nel senso che senza sessioni è logico che devi passare anche la risposta.
Ti faccio un esempio di quello che uso io nei blog.
In pratica dice "quanto è la somma di tre più cinque?"
nel sistema c'è un array 3=>tre, etc...
quindi lui interpreta 3+5, ma quel che viene passato è un hash della somma 3+5, per esempio 03bfg
Il form mostra la domanda e passa il valore nascosto 03bfg

Non è il massimo, ma lo spam via commenti è praticamente sparito
Guarda qui http://sw-guide.de/wordpress/plugins/ma ... rotection/

Invece mi interessa molto il captcha che consiste nel far creare un'immagine al volo da parte del PHP (è la stessa che ho pensato stanotte....quindi ho scoperto l'acqua calda), sapresti dirmi come implementare la creazione di un immagine al volo?

con le funzioni GD


Offtopic: p.s.
il kernel 2.6.27 continua a vedere la scheda iwl3945 attiva anche quando è spenta, ormai mi sono rassegnato ed uso wicd
l'ultimo kernel che funziona bene è il 2.6.24 ma ci sono troppi miglioramenti nei nuovi kernel, supporto luminosità, supporto webcam, supporto microfono, etc...
Non ho ancora provato la strada dei compact-wireless

[targzeta]

Mi riprometto di pensarci questa sera. Comunque il discorso mi convince poco, hai un sito dove implementi questo sistema? Ho visto un pò la pagina che hai linkato ma mi piacerebbe vedere l'intero form.
Quello che dico è che lo script che analizza il risultato si deve basare solo sulla pagina che gli passa il client, e se una è giusta, allora io sono in possesso di una domanda con relativa risposta, risposta che lo script interpreta come vera....quindi il gioco è fatto! La risposta può essere criptica quanto ti pare, a me che mi frega?
Nel senso, supponiamo che lo scritp faccia un controllo sulla variabile X. Se X=3fgb allora ok. Io posso sempre fare un programma che gli passa X=3fgb e richiamare lo script quante volte mi pare, lui non può, in un caso dirmi 'ok', nell'altro dirmi 'sbagliato', proprio perchè non ha altre informazioni in merito....o meglio, gli manca uno stato!

Correggimi se sbaglio,
Spina

P.S. Passami un link in cui hai implementato questo tipo di captcha, io vedrò di forzarlo lasciandoti 100 messaggi . Magari invece mi convinci che sbaglio.

Offtopic: Si, anche io controllo sempre i changelog ma nada de nada. E sulla mailing list non fanno sapere niente. Bhò, io uso ancora il kernel 2.6.23.17 con i vecchi driver ipw3945. Tanto per quello che devo fare, mi va bene

[aschenaz]

Nel mio caso, la risposta sta su di un database mysql e al client
viene passata solo la domanda (e l'id del record, ma non sarebbe
indispensabile). Anche nel mio caso spam sparito!

Vi ricordo, nel caso optiate per le immagini, di contemplare
un'alternativa per gli ipo/non vedenti.

[targzeta]

L'invito è rivolto anche a te, se non usi una sessione, postami un link, sono quasi sicuro di riuscire a forzarlo. A meno che non mi diciate qualcosa in più che non sto valutando (ed è probabilissimo visto l'ora in cui ho pensato a tutte queste cose)

Spina

[conraid]

Mi riprometto di pensarci questa sera. Comunque il discorso mi convince poco, hai un sito dove implementi questo sistema?

blankreg.net, dabliutri.net, slackers.it

se vuoi forzarlo prova pure (ma almeno mandane 10, solo che voglio la prova che siano automatici ), ma non ho detto che sia invincibile, solo che prima avevo tanto tanto spam, adesso no.
Solo spam via trackback che tramite altri due plugin riesco ad eliminare

Lo script manda una domanda che potrei anche falsare, sono stringhe che decido io, posso anche mettere Pippo va f + g?
nel senso che se io metto come stringa invece "Quanto fa" "Pippo va", lui mostra quello. Poi i numeri sono array come ti ho detto, che decido io.
1=>d, 2=>f, etc..
ma così nessuno capirebbe e nessuno commenterebbe
Quel che conta è quella variabile hash, prova a guardare i sorgenti dello script, io non ci ho perso tempo più di tanto a dire il vero, ma un sistema automatico dovrebbe capire quell'hash

[aschenaz]

Neanche il mio sistema è invincibile...

A me importa che finora abbia funzionato (prima ricevevo in media
non più di tre o quattro spam al giorno - ora nessuno): di fatto, i siti
che faccio io non hanno a che fare con la sicurezza nazionale!

[targzeta]

...slackers.it

Proverò ha lasciare dei commenti qui, magari faccio prima delle prove, non hai un qualche form particolare in cui posso divertirmi? Ma soprattutto, non hai la capacità di eliminare i commenti? Così mi divertivo davvero.
Per prova ti manderò un commento molto lungo per 10 volte, ti accorgerai che è automatico dall'orario in cui ti arriveranno. Non posso mica scriverti 20 righe ogni due secondo non ti pare?

Dimmi se ti va bene,
Spina

[conraid]

...slackers.it

Proverò ha lasciare dei commenti qui, magari faccio prima delle prove, non hai un qualche form particolare in cui posso divertirmi? Ma soprattutto, non hai la capacità di eliminare i commenti? Così mi divertivo davvero.
Per prova ti manderò un commento molto lungo per 10 volte, ti accorgerai che è automatico dall'orario in cui ti arriveranno. Non posso mica scriverti 20 righe ogni due secondo non ti pare?

Dimmi se ti va bene,
Spina

sì, ma poi voglio sapere come hai fatto


non preoccuparti dei commenti, tanto devo prima approvarli, quindi non saranno visibili

mandalo qui che è il primo post
http://www.slackers.it/hello-world/

[targzeta]

Si, ma se non sono pubblicate io come faccio a sapare che ha funzionato? Immagino ci sarà una pagina di risposta affermativa? Dai vabbuò, poi mi arrangio io.
Non so quando proverò, oggi sono impegnato sino a sera e forse poi vado a giocare a bowling. Comunque quando provo ti faccio sapere e in privato ti invio come ho fatto (se ho fatto ).

Spina

[conraid]

Si, ma se non sono pubblicate io come faccio a sapare che ha funzionato? Immagino ci sarà una pagina di risposta affermativa? Dai vabbuò, poi mi arrangio io.
Non so quando proverò, oggi sono impegnato sino a sera e forse poi vado a giocare a bowling. Comunque quando provo ti faccio sapere e in privato ti invio come ho fatto (se ho fatto ).

Spina

ti viene scritto "il tuo post è in attesa di moderazione" e tu puoi vederlo

[targzeta]

...sì, ma poi voglio sapere come hai fatto


non preoccuparti dei commenti, tanto devo prima approvarli, quindi non saranno visibili

mandalo qui che è il primo post
http://www.slackers.it/hello-world/

Fatto!!! Come avrai notato basta poco a farlo fesso , vedi il mio messaggio privato.
La mia teoria rimane valida, ed in effetti non potrebbe essere altrimenti. Senza uno stato, lo script che effettua il controllo non può sapere niente sulla domanda, è il clienti che gli dice:"mi hanno chiesto questo, ed io ho risposto così".

Spina

P.S. 1 a 0 per Spina, i due caffé maledetti e alla notte che porta consiglio . Ora vado a nanna.

[aschenaz]

Dammi il tempo di estrapolarlo da un sito (sono tutti form di contatti
senza moderazione), così provi anche col mio sistema. Ora come
ora stanno su siti di associazioni culturali e organizzazioni religiose
e non mi sembra il caso!

Comunque, nel mio caso, forzerai in cinque secondi (lo so già).

[targzeta]

Ok, ci posso provare.

Spina

[conraid]

...sì, ma poi voglio sapere come hai fatto


non preoccuparti dei commenti, tanto devo prima approvarli, quindi non saranno visibili

mandalo qui che è il primo post
http://www.slackers.it/hello-world/

Fatto!!! Come avrai notato basta poco a farlo fesso , vedi il mio messaggio privato.
La mia teoria rimane valida, ed in effetti non potrebbe essere altrimenti. Senza uno stato, lo script che effettua il controllo non può sapere niente sulla domanda, è il clienti che gli dice:"mi hanno chiesto questo, ed io ho risposto così".

Spina

P.S. 1 a 0 per Spina, i due caffé maledetti e alla notte che porta consiglio . Ora vado a nanna.

Spina, come ti ho detto in privato, il tuo discorso vale se qualcuno mi prende di mira (anche tu leggendo i commenti ci hai messo un po' a capire ), ma per gli spambot la vedo dura trovare la corrispondenza hash/soluzione, visto che poi la stringa per generare l'hash la digito io e quindi non è uguale per tutti i siti che usano quel plugin di WP.
Come ti dicevo lo spam è scomparso da quando lo uso, e se ninob riceveva qualche decina di spam, nel sito dabliutri, dopo che feci l'articolo criticando il guru dell'usabilità nielsen, sono arrivato anche a 1000 spam al giorno.
Per fortuna un altro plugin (che controlla gli IP) bloccava tutto, ma da quando ho messo questa cazzatina quegli spambot non mandano più spam, ed askimet si limita ogni tanto a bloccare qualche spam tramite trackback

1-0 per Spina contro il plugin, ma a me Spina non preoccupa, preoccupano gli spambot

[conraid]

Dammi il tempo di estrapolarlo da un sito (sono tutti form di contatti
senza moderazione), così provi anche col mio sistema. Ora come
ora stanno su siti di associazioni culturali e organizzazioni religiose
e non mi sembra il caso!

Comunque, nel mio caso, forzerai in cinque secondi (lo so già).

Il tuo è ancora più semplice nino, guardi la soluzione, che da quello che ho capito è semplice, e poi fai un pagina php, un comando wget, qualcosa con curl, che mandi tanti messaggi (è quel che ha fatto spina con me usando wget ), ma siamo alle solite, uno spam bot che manda messaggi in automatico a migliaia di siti compila a caso quel campo.
IMHO il discorso antispam rimane, il discorso anti-qualcuno-che-ti-prende-di-mira invece no, ma non è fatto per quello, o sbaglio?