|
| "Sikkerhedsord" Fra : Jimmy |
Dato : 16-10-03 01:28 |
|
Hej
Jeg ønsker at implementere en sikring mod automatisk registrering af konti
på en hjemmeside.
Dette ønsker jeg at gøre ved at præsentere brugeren for et billede, hvori et
ord indgår.
Brugeren taster ordet, og er det korrekt godkendes registreringen.
Jeg har lavet et forsøg på dette her:
http://www.kinagrill.dk/obfuscater/
Begge er overkill til formålet, men jeg ville være glad for at have lavet en
funktion, der kan skalere, hvis behovet opstår.
Jeg vil helst beholde den i farver, da den er mest letlæselig, men hvad er
Jeres holdning til dette?
Mvh
Jimmy
| |
Niels Callesøe (16-10-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 16-10-03 06:19 |
| | |
Jimmy (16-10-2003)
| Kommentar Fra : Jimmy |
Dato : 16-10-03 07:39 |
|
"Niels Callesøe" <pfy@nntp.dk> wrote in message
news:Xns94164A60C2169k5j6h4jk3@62.243.74.163...
> Jimmy wrote:
>
> > Jeg ønsker at implementere en sikring mod automatisk registrering
> > af konti på en hjemmeside.
> > Dette ønsker jeg at gøre ved at præsentere brugeren for et
> > billede, hvori et ord indgår.
>
> Jeg går ud fra at du har set/læst http://www.captcha.net/,
Jep.
> men har du
> også bemærket at der allerede findes gode metoder til at knække selv de
> mest avancerede captcha's?
>
> http://www.cs.berkeley.edu/~mori/gimpy/gimpy.html
Den havde jeg glemt alt om.
Fik linket herindefra for et års tid siden.
Imponerende resultat - jeg kan godt se jeg skal arbejde en del mere med min
rutine.
> Ikke dermed sagt at de er ubrugelige, men du skal nok ikke regne med at
> din metode holder til mere end de mest basale angreb.
Tydeligvis :-/
Tak,
Jimmy
| |
Jan V. (20-10-2003)
| Kommentar Fra : Jan V. |
Dato : 20-10-03 15:08 |
|
"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns94164A60C2169k5j6h4jk3@62.243.74.163...
> Jimmy wrote:
>
> > Jeg ønsker at implementere en sikring mod automatisk registrering
> > af konti på en hjemmeside.
> > Dette ønsker jeg at gøre ved at præsentere brugeren for et
> > billede, hvori et ord indgår.
>
> Jeg går ud fra at du har set/læst http://www.captcha.net/, men har du
> også bemærket at der allerede findes gode metoder til at knække selv de
> mest avancerede captcha's?
>
> http://www.cs.berkeley.edu/~mori/gimpy/gimpy.html
>
> Ikke dermed sagt at de er ubrugelige, men du skal nok ikke regne med at
> din metode holder til mere end de mest basale angreb.
>
> --
> Niels Callesøe - nørd light
> pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
>
> Anti spam? Bevis det. http://www.spamcon.org/legalfund/
Hvad med hvis man kombinerer denne metode med en beskrivelse i teksten a la
" Indtast kun bogstav nr 1, 4 og 7" ??
Så burde det efterhånden være lidt mere sikkert.
Jan
| |
Niels Callesøe (21-10-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 21-10-03 03:53 |
|
Jan V. wrote:
> Hvad med hvis man kombinerer denne metode med en beskrivelse i
> teksten a la " Indtast kun bogstav nr 1, 4 og 7" ??
>
> Så burde det efterhånden være lidt mere sikkert.
Det gør da overhovedet ingen forskel. Enhver der sætter sig for at omgå
dit system kan jo nøgagtig lige så let sætte sit program til at læse
beskrivelsen og handle derefter.
--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Anti spam? Bevis det. http://www.spamcon.org/legalfund/
| |
Christian Andersen (21-10-2003)
| Kommentar Fra : Christian Andersen |
Dato : 21-10-03 06:18 |
|
Niels Callesøe wrote:
>> Hvad med hvis man kombinerer denne metode med en beskrivelse i
>> teksten a la " Indtast kun bogstav nr 1, 4 og 7" ??
>>
>> Så burde det efterhånden være lidt mere sikkert.
> Det gør da overhovedet ingen forskel. Enhver der sætter sig for at omgå
> dit system kan jo nøgagtig lige så let sætte sit program til at læse
> beskrivelsen og handle derefter.
Så sætter man da bare beskrivelsen ind i en grafik-fil.
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Jan V. (21-10-2003)
| Kommentar Fra : Jan V. |
Dato : 21-10-03 07:58 |
|
"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns941B3160FF2F9k5j6h4jk3@62.243.74.163...
> Jan V. wrote:
>
> > Hvad med hvis man kombinerer denne metode med en beskrivelse i
> > teksten a la " Indtast kun bogstav nr 1, 4 og 7" ??
> >
> > Så burde det efterhånden være lidt mere sikkert.
>
> Det gør da overhovedet ingen forskel. Enhver der sætter sig for at omgå
> dit system kan jo nøgagtig lige så let sætte sit program til at læse
> beskrivelsen og handle derefter.
>
> --
> Niels Callesøe - nørd light
> pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
>
> Anti spam? Bevis det. http://www.spamcon.org/legalfund/
Det er rigtigt.
Men det er vel ligesom med så meget sikkerhedsrelateret - det gælder hele
tiden om at være et skridt foran "forbryderen".
Man kan ikke lave noget der er 100 % sikkert i al fremtid, men man kan gøre
det sikkert lige nu og så ellers følge op på det ved hele tiden at opdatere
det med nye tiltag, så snart man opdager at der ved at være nogen der
forsøger at bryde det nuværende - eller så snart man har opfundet noget
endnu smartere.
Min løsning virker lige nu, da der kun er automatisk knækning af billedet,
ikke af min beskrivelse. Men om 2 måneder er den sikkert også knækket, og så
må vi på den igen.
Jan
| |
Niels Callesøe (21-10-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 21-10-03 15:07 |
|
Jan V. wrote:
> Det er rigtigt.
>
> Men det er vel ligesom med så meget sikkerhedsrelateret - det
> gælder hele tiden om at være et skridt foran "forbryderen".
I de fleste tilfælde er det en dårlig strategi. Læs for eksempel OSS'en
afsnit om kapløbsteknologi:
http://a.area51.dk/sikkerhed/brugere#kaploeb
> Min løsning virker lige nu, da der kun er automatisk knækning af
> billedet, ikke af min beskrivelse. Men om 2 måneder er den sikkert
> også knækket, og så må vi på den igen.
Der er så bare det ved det, at hvor det er relativt besværligt at omgå
"billedteksten", er det trivielt (dvs, meget lettere) at læse din
beskrivelse af hvilke tegn man skal udvælge. Så en angriber der kan
gøre det første, er ganske sikkert i stand til at gøre det andet (på 2
minutter).
--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Anti spam? Bevis det. http://www.spamcon.org/legalfund/
| |
Povl H. Pedersen (16-10-2003)
| Kommentar Fra : Povl H. Pedersen |
Dato : 16-10-03 17:30 |
|
On 2003-10-16,
Jimmy <nyhedsgruppe2@get2net.danmark> wrote:
> Hej
>
> Jeg ønsker at implementere en sikring mod automatisk registrering af konti
> på en hjemmeside.
> Dette ønsker jeg at gøre ved at præsentere brugeren for et billede, hvori et
> ord indgår.
>
> Brugeren taster ordet, og er det korrekt godkendes registreringen.
>
> Jeg har lavet et forsøg på dette her:
> http://www.kinagrill.dk/obfuscater/
>
> Begge er overkill til formålet, men jeg ville være glad for at have lavet en
> funktion, der kan skalere, hvis behovet opstår.
Du har forhåbentlig ophavsret på billederne ?
Jeg så engang noget software der havde skrevet "Demo" med watermarks
hen over billedet, hvor jeg så hjalp en med at lave et program der kunne
fjerne dette.
Det man her havde gjort var at multiplicere R+G+B farve med hver sin
værdi, og lægge en konstant til. Det er venskeligere at detektere.
> Jeg vil helst beholde den i farver, da den er mest letlæselig, men hvad er
> Jeres holdning til dette?
Den i SH er da lettest at læse.
| |
|
|