mica mi sono offfeso.
confrontare due campi form è facilmente aggirabile quindi?
mica mi sono offfeso.
confrontare due campi form è facilmente aggirabile quindi?
w la topa
ecco un'altro motivo aggiuntivo per non usare il banOriginariamente inviato da chris
In questo caso basterebbe restringere il ban ad un minor periodo di tempo.
Il dubbio mi rimane però con provider che fanno uscire gli utenti con gli stessi ip (non so ad esempio se fastweb faccia così).
poi ti presento la parcellaOriginariamente inviato da saibal
...io stavo imparando un sacco di cose dall'intervento di tutti...
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
si ma se mi domandate come faccio a non scrivere ?
per carità, non smettere mai di fare il tranvone sennò ti vengono a cercareOriginariamente inviato da saibal
mi stai dicendo che devo cambiare mestiere?
nel senso che senza mouse si riesce a grattare ? se si, ok, se no, non va bene per l'accessibilità, sempre che ti interessa.Originariamente inviato da saibal
non ho capito "il punto sulle applet o altro gestibili da un solo input (il mouse nel tuo caso) lo boccia in pieno". quel coso va in un punto della pagina vuoto ovviamente.
esempio puoi cambiare la pagina del submit in submit cosi' da far leggere una pagina di login che in realta' non esiste o e' vuota o e' proprio quella che "banna" .. al submit, cambi tutto, phishing (tipico da spam) per evitare spam ... facile ?Originariamente inviato da saibal
filtro javascript? esempio?
(l'ho sparata un po' a caso ma di modi per prendere in giro un bot ce ne sono e tanti)
se non esiste la soluzione alternativa, non è possibile.Originariamente inviato da skidx
"Se questo non è possibile" significa che non è possibile, non che tu non hai voglia di cercare una soluzione alternativa.
Se voglio inviare dati cifrati o hashati per questioni di sicurezza dati, non è possibile farlo senza javascript, punto.
Ripeto, javascript non significa inaccessibilità, flash non significa inaccessibilità, audio non significa inaccessibilità ... bisogna trovare la soluzione migliore e più accessibile per quel tipo di problematica che può essere applet pilotata da javascript su back-end gestito in ajax senza problemi ... no che non è accessibile.
Degradabilità ? .... tutt altro discorso, ma qui si parla di sicurezza e login, non di un sito / blog o altro.
beh si ... non l'avevo capito che facevi cosiOriginariamente inviato da saibal
mica mi sono offfeso.
confrontare due campi form è facilmente aggirabile quindi?
non ho neanche bisogno di usare js ... basta che quando fai la ricihesta js invii pure questi due campi sempre uguali
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Originariamente inviato da daniele_dll
beh si ... non l'avevo capito che facevi cosi
non ho neanche bisogno di usare js ... basta che quando fai la ricihesta js invii pure questi due campi sempre uguali
ok, anche questo è un passo avanti. mi invento qualcosa di nuovo e faccio sapere.
w la topa
Originariamente inviato da andr3a
nel senso che senza mouse si riesce a grattare ? se si, ok, se no, non va bene per l'accessibilità, sempre che ti interessa.
in effetti senza mouse non si fa nulla. script bocciato. avanti un altro
w la topa
Il bot può inviarti tutti i campi che vuole, con i valori che vuole. Esattamente come tu puoi a mano aggiungere variabili sulla querystring, lui lo può fare anche tramite POST.Originariamente inviato da saibal
mica mi sono offfeso.
confrontare due campi form è facilmente aggirabile quindi?
Quindi se tu controlli il valore di due campi, lui ti invia quei due campi uguali e passa tranquillo.
Devi partire sempre dal problema iniziale: distinguere gli umani dai bot. Cosa sanno fare gli umani che i bot non sanno fare?
I campi i bot li sanno compilare molto bene, le stringhe le manipolano molto bene, etc. etc. quindi tutte queste cose soluzioni sono poco valide.
banalmente, in php ti prendi lo user agent, se non c'e' o non e' riconosciuto fancubizzi subito tutti, altrimenti mostri la pagina di loginOriginariamente inviato da saibal
in effetti senza mouse non si fa nulla. script bocciato. avanti un altro
che io sappia robots e simili hanno sempre l' agent sborone ... se l' agent non c'e' è un cracker che se l'e' modificato ... insomma, se non sono presunti utenti "normali", saluti e cosigli di utilizzare un browser tra: Opera / IE / Netscape / Mozilla / FireFox / Epiphany / Konqueror / Safari / Avant o tutti quelli che ti vengono in mente , ho detto una caxxata ?
Diciamo che vuoi continuare ad usare lo stesso concetto usato finora (uso di js per discriminare tra spambot e utente normale).Originariamente inviato da saibal
confrontare due campi form è facilmente aggirabile quindi?
L'obiettivo è generare distintamente in js e php lo stesso valore per confrontarlo (chi non ha js attivo o non invia proprio quel valore oppure ne manda uno a caso).
Dal server generi due cose diverse:
- un array di lettere e numeri (statico)
- il timestamp da controllare
Lato php e lato js ti scrivi una funzione (e il suo porting nell'altro linguaggio) che preso l'array di lettere e numeri restituisca una stringa pseudorandomica tramite un algoritmo che però è dipendente dal timestamp.
Il problema risiede nel realizzare una funzione abbastanza robusta (che a timestamp diversi associ realmente stringhe diverse) e poi scriverla due volte.
"Nei prossimi tre anni col mio governo vogliamo vincere anche il cancro, che colpisce ogni anno 250.000 italiani e riguarda quasi due milioni di nostri concittadini"
Eh sì, ehOriginariamente inviato da andr3a
ho detto una caxxata ?
Come minimo uno spambot/crackerbot/pavesinibot serio si camufferà da ie6 su winxp per risultare il più possibile nella media :E
"Nei prossimi tre anni col mio governo vogliamo vincere anche il cancro, che colpisce ogni anno 250.000 italiani e riguarda quasi due milioni di nostri concittadini"
Permessi di invio
Rispondi quotando