FAQ: Как се прави Captcha за 400 бона

February 5, 2008

Откритието е от коментарите в блога на Георги Чорбаджийски, така че не е оригинално, но заслужава да попадне в блога ми и в архива с грешки.

Логин формата на сайта за детските градини

Това е нормална логин форма с captcha картинка за разпознаване. Целта на картинката е да пази от злонамерени програмисти. За да не може автоматично да се разпознава какво има в картинката, програмистите мислят сложни алгоритми за swirl, noise, shadows. Ако числата са просто поставени в кода, лесно се разбира какви са и в сайта може да влезе програма.

Сорса под нея, с фалшивата капча

Да, обаче зад картинката на captcha всъщност стоят 100 предварително направени картинки с номера от 1 до 100. На всеки номер съответства 1 число. Така че в края на краищата, входът с програма става елементарен. Само трябва да отвориш 100-те картинки и да напишеш съответствията.

Какво се постига така?

1. Затруднява се потребителя да преписва числа.

2. Не се затруднява програмист, който лесно може да вкара скрипт в сайта и да ги спука от бъзик. Нещо като скриптовете, дето изискват да сумираш 2+2 и отговорът винаги е 4, като се разчита на отсяване на спамботовете. Е, тук биха отсели само спамерите за лекарства и порно.

Как е редно да се направи?

Картинката трябва да е с 1 адрес и винаги да връща различно число, дори в рамките на сесията.

Авторите на сайта са направили имитация на изпълнена задача, не изпълнена задача. Точно като в българската армия, където не е важно, дали нещата са правилно направени, стига да имат външния вид на такива – примерно самолети. Не е важно летят ли, стига да са 50.

Нещата почват да плачат за прокурорска проверка.

Предната тема по въпроса: Може ли да се срине сайт, ако се посещава много?

Публикувано в: Грешки 16 коментара RSS 2.0

Ако постът ви харесва, цъкнете на сърцето:

Коментари

16 коментара на “FAQ: Как се прави Captcha за 400 бона”

  1. MARFI on February 5th, 2008 21:40

    А-ха-ха, браво, егати жалките мизерници.

    Ето още по темата:
    http://marfiland.blogspot.com/2008/02/blog-post_3440.html

  2. Николай Станевски on February 5th, 2008 23:32

    Освен неиздържана откъм сигурност, CAPTCHA-та е и дискриминираща – един незрящ човек не би могъл да се справи. Изход разбира се, има – към визуалната CAPTCHA се добавя и звукова такава:
    http://en.wikipedia.org/wiki/Captcha#Accessibility
    обаче хората от “Сирма” явно не са си направили труда…пък и не само те – почти всички реализации, които срещам залагат само на визуално възприятие.

  3. dzver on February 6th, 2008 00:15

    Даже не ми се мисли как се програмира звукова капча с шум за заблуда на слушащата програма…

  4. Totto on February 6th, 2008 02:04

    Твърде безумни програмистки изпълнения се събраха на “бедното” сайтче..
    Прословутата вече CAPTCHA е едно от тях. Но да беше само тя..

    Освен всички изредени вчера теми, днес попаднах в друг блог, в който се споменаваше и друга любопитна – отворен за уеб достъп php.ini! Разбира се, сигурно още в “разгара” вчера е бил махнат, но пък човекът придвидливо беше направил screenshot. (Изгубих линка вече, иначе с удоволствие бих го споделил тук)
    Не стига друго, ами от него се вижда и че Apache-то върви на Windows-ка машина!

    И тая изгъзица от уж сериозна софтуерна компания – Сирма тотално си срина акциите вчера. Нищо добро към името им.

  5. Спас Колев on February 6th, 2008 10:22

    Вече няколко дена всички пишат по темата, а не виждам да се споменава един минал случай (малко съм злопаметен).

    Затова да питам – дали това е същата Сирма, която участваше в разработването на znam.bg (нали помните – “Труд” нападна сляп)?

  6. Георги on February 6th, 2008 10:26

    Ако са ги изгенерирали с код (GD2) нищо не им е пречело да сложат генерирането в сайта, а не статични картинки.

    Тук обаче възниква един друг проблем. Хората меко-казано се осраха като кучета със статични картинки, какво остава ако сървъра трябва да генерира captcha за всяка сесия…

  7. dzver on February 6th, 2008 10:36

    Георги, а ако 1 пхп прави fpassthru на предварително фотошопнатите картинки, щеше ли някой да се усети? не и нямаше да има натоварване:) Сега, разбира се, дори да го направят, по content length може да се разпознава числото и е все тая.

  8. Георги Чорбаджийски on February 6th, 2008 12:02

    @Спас Колев: Същите са! Те са основни участници наравно с труд с гаврата, която беше организирана срещу Виктор Любенов.

  9. Станислав Михайлов on February 6th, 2008 14:50

    По-неприятното е, че толкова елементарната схема за captcha, в понеделник не работеше. Само в 1 от 20 опита те пускаше да влезеш, в останалите казваше: “Невалидни или грешно въведени числа от изображението”. Казвам го като родител със скъсани нерви. И още нещо, за въпросното Lotus Domino, в 9:00 сутринта точно то си е работило, след това имаше невъзможен достъп до сайта от няколко часа и след това – Apache и PHP. Не съм много наясно с web технологиите, но си мисля, че може би е трябвало да пренапишат сайта доста набързо. Може и въпросните проблеми да идват от това.

  10. Георги on February 6th, 2008 22:03

    Domino-то е адски безумно решения за такъв проект и странното е, че въобще са направили работещ протип на него.

  11. dzver on February 6th, 2008 22:33

    http://forum.bg-mamma.com/index.php?topic=263385.0

    мамите са гласували на 2.2 в анкета 190:10, че сайта няма да издържи 5 минути. Познали са.

  12. Totto on February 7th, 2008 01:44

    Случаят с портала за слепите не е забравен. Но не съм подозирал, че нещата ще са чак дотам, че да е отново тази Сирма..

    Доколкото си спомням, пак беше замесена сума от над 100 хил.лв – за преди 2 години ли беше? Безумна цена за свършената работа – която никой не можеше и сигурно още не може да възприеме как е възможно да се даде, знаейки какъв е пазарът у нас. А се оказа тогава, че е използвана и някаква open source система, която почти не беше пипната – само отчасти преведена и то със страшно много неточности – на практика неизползваема.

    А щом е и същата тази Сирма сега, значи пътищата на корупция около държавната администрация не са се променили.. И никой никому нищо.
    Мирише..

  13. annie_to on February 7th, 2008 15:06

    К’ъв портал за слепите бе Totto, к’ви 100 хил? Става въпрос за znam.bg – един съвсем частен проект, собственост на издателство Труд, което държи авторските права на повечето книги, които Виктор Любенов беше качил за общо ползване в интернет.

    Оттам дойде и конфликтът – Труд не искаха книгите, от които се надяваха да имат печалба (все пак са издателство) да се теглят безплатно от интернет. Сирма нямаше почти нищо общо с цялата история, освен че по същото време по поръчка на Труд правиха znam.bg, където същите книги ги има, но със съответните им авторски права.

  14. Totto on February 8th, 2008 23:34

    Объкрал съм се, вероятно с друг случай. Имаше такъв, но вече не помня подробностите. Не знам тогава дали е била замесена Сирма, но случай имаше, и определено ставаше въпрос за сума от над 100 хил.лв за някакъв портал за слепи. Говоря само по спомени в случая.

  15. Любомир Петров on February 23rd, 2008 02:48

    Този лаф за армията за първи път го чувам, но за съжаление е доста попълярен в голяма част от проектите в българското интернет пространство: “важното е да работи”, пък колко работи…не е ясно :)

  16. Любомир Петров on February 23rd, 2008 23:12

    Бтв, новата кептча също е статична, само дет вече е до повече цифри :) )))))
    Нямам дотъп до системата, но не разбирам защо ми казва грешна парола или егн като съм въвел грешна кептча, не е ли правилно workflow-a да е по обратен ред: 1во кептчата, после егн/парола ? :)

Оставете отговор