/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
"Sikkerhedsord"
Fra : Jimmy


Dato : 16-10-03 01:28

Hej

Jeg ønsker at implementere en sikring mod automatisk registrering af konti
på en hjemmeside.
Dette ønsker jeg at gøre ved at præsentere brugeren for et billede, hvori et
ord indgår.

Brugeren taster ordet, og er det korrekt godkendes registreringen.

Jeg har lavet et forsøg på dette her:
http://www.kinagrill.dk/obfuscater/

Begge er overkill til formålet, men jeg ville være glad for at have lavet en
funktion, der kan skalere, hvis behovet opstår.

Jeg vil helst beholde den i farver, da den er mest letlæselig, men hvad er
Jeres holdning til dette?

Mvh
Jimmy



 
 
Niels Callesøe (16-10-2003)
Kommentar
Fra : Niels Callesøe


Dato : 16-10-03 06:19

Jimmy wrote:

> Jeg ønsker at implementere en sikring mod automatisk registrering
> af konti på en hjemmeside.
> Dette ønsker jeg at gøre ved at præsentere brugeren for et
> billede, hvori et ord indgår.

Jeg går ud fra at du har set/læst http://www.captcha.net/, men har du
også bemærket at der allerede findes gode metoder til at knække selv de
mest avancerede captcha's?

http://www.cs.berkeley.edu/~mori/gimpy/gimpy.html

Ikke dermed sagt at de er ubrugelige, men du skal nok ikke regne med at
din metode holder til mere end de mest basale angreb.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

Jimmy (16-10-2003)
Kommentar
Fra : Jimmy


Dato : 16-10-03 07:39


"Niels Callesøe" <pfy@nntp.dk> wrote in message
news:Xns94164A60C2169k5j6h4jk3@62.243.74.163...
> Jimmy wrote:
>
> > Jeg ønsker at implementere en sikring mod automatisk registrering
> > af konti på en hjemmeside.
> > Dette ønsker jeg at gøre ved at præsentere brugeren for et
> > billede, hvori et ord indgår.
>
> Jeg går ud fra at du har set/læst http://www.captcha.net/,

Jep.


> men har du
> også bemærket at der allerede findes gode metoder til at knække selv de
> mest avancerede captcha's?
>
> http://www.cs.berkeley.edu/~mori/gimpy/gimpy.html

Den havde jeg glemt alt om.
Fik linket herindefra for et års tid siden.

Imponerende resultat - jeg kan godt se jeg skal arbejde en del mere med min
rutine.


> Ikke dermed sagt at de er ubrugelige, men du skal nok ikke regne med at
> din metode holder til mere end de mest basale angreb.

Tydeligvis :-/

Tak,
Jimmy



Jan V. (20-10-2003)
Kommentar
Fra : Jan V.


Dato : 20-10-03 15:08


"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns94164A60C2169k5j6h4jk3@62.243.74.163...
> Jimmy wrote:
>
> > Jeg ønsker at implementere en sikring mod automatisk registrering
> > af konti på en hjemmeside.
> > Dette ønsker jeg at gøre ved at præsentere brugeren for et
> > billede, hvori et ord indgår.
>
> Jeg går ud fra at du har set/læst http://www.captcha.net/, men har du
> også bemærket at der allerede findes gode metoder til at knække selv de
> mest avancerede captcha's?
>
> http://www.cs.berkeley.edu/~mori/gimpy/gimpy.html
>
> Ikke dermed sagt at de er ubrugelige, men du skal nok ikke regne med at
> din metode holder til mere end de mest basale angreb.
>
> --
> Niels Callesøe - nørd light
> pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
>
> Anti spam? Bevis det. http://www.spamcon.org/legalfund/

Hvad med hvis man kombinerer denne metode med en beskrivelse i teksten a la
" Indtast kun bogstav nr 1, 4 og 7" ??

Så burde det efterhånden være lidt mere sikkert.

Jan



Niels Callesøe (21-10-2003)
Kommentar
Fra : Niels Callesøe


Dato : 21-10-03 03:53

Jan V. wrote:

> Hvad med hvis man kombinerer denne metode med en beskrivelse i
> teksten a la " Indtast kun bogstav nr 1, 4 og 7" ??
>
> Så burde det efterhånden være lidt mere sikkert.

Det gør da overhovedet ingen forskel. Enhver der sætter sig for at omgå
dit system kan jo nøgagtig lige så let sætte sit program til at læse
beskrivelsen og handle derefter.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

Christian Andersen (21-10-2003)
Kommentar
Fra : Christian Andersen


Dato : 21-10-03 06:18

Niels Callesøe wrote:

>> Hvad med hvis man kombinerer denne metode med en beskrivelse i
>> teksten a la " Indtast kun bogstav nr 1, 4 og 7" ??
>>
>> Så burde det efterhånden være lidt mere sikkert.

> Det gør da overhovedet ingen forskel. Enhver der sætter sig for at omgå
> dit system kan jo nøgagtig lige så let sætte sit program til at læse
> beskrivelsen og handle derefter.

Så sætter man da bare beskrivelsen ind i en grafik-fil.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Jan V. (21-10-2003)
Kommentar
Fra : Jan V.


Dato : 21-10-03 07:58


"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns941B3160FF2F9k5j6h4jk3@62.243.74.163...
> Jan V. wrote:
>
> > Hvad med hvis man kombinerer denne metode med en beskrivelse i
> > teksten a la " Indtast kun bogstav nr 1, 4 og 7" ??
> >
> > Så burde det efterhånden være lidt mere sikkert.
>
> Det gør da overhovedet ingen forskel. Enhver der sætter sig for at omgå
> dit system kan jo nøgagtig lige så let sætte sit program til at læse
> beskrivelsen og handle derefter.
>
> --
> Niels Callesøe - nørd light
> pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
>
> Anti spam? Bevis det. http://www.spamcon.org/legalfund/

Det er rigtigt.

Men det er vel ligesom med så meget sikkerhedsrelateret - det gælder hele
tiden om at være et skridt foran "forbryderen".

Man kan ikke lave noget der er 100 % sikkert i al fremtid, men man kan gøre
det sikkert lige nu og så ellers følge op på det ved hele tiden at opdatere
det med nye tiltag, så snart man opdager at der ved at være nogen der
forsøger at bryde det nuværende - eller så snart man har opfundet noget
endnu smartere.

Min løsning virker lige nu, da der kun er automatisk knækning af billedet,
ikke af min beskrivelse. Men om 2 måneder er den sikkert også knækket, og så
må vi på den igen.

Jan



Niels Callesøe (21-10-2003)
Kommentar
Fra : Niels Callesøe


Dato : 21-10-03 15:07

Jan V. wrote:

> Det er rigtigt.
>
> Men det er vel ligesom med så meget sikkerhedsrelateret - det
> gælder hele tiden om at være et skridt foran "forbryderen".

I de fleste tilfælde er det en dårlig strategi. Læs for eksempel OSS'en
afsnit om kapløbsteknologi:

http://a.area51.dk/sikkerhed/brugere#kaploeb

> Min løsning virker lige nu, da der kun er automatisk knækning af
> billedet, ikke af min beskrivelse. Men om 2 måneder er den sikkert
> også knækket, og så må vi på den igen.

Der er så bare det ved det, at hvor det er relativt besværligt at omgå
"billedteksten", er det trivielt (dvs, meget lettere) at læse din
beskrivelse af hvilke tegn man skal udvælge. Så en angriber der kan
gøre det første, er ganske sikkert i stand til at gøre det andet (på 2
minutter).

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

Povl H. Pedersen (16-10-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 16-10-03 17:30

On 2003-10-16,
Jimmy <nyhedsgruppe2@get2net.danmark> wrote:
> Hej
>
> Jeg ønsker at implementere en sikring mod automatisk registrering af konti
> på en hjemmeside.
> Dette ønsker jeg at gøre ved at præsentere brugeren for et billede, hvori et
> ord indgår.
>
> Brugeren taster ordet, og er det korrekt godkendes registreringen.
>
> Jeg har lavet et forsøg på dette her:
> http://www.kinagrill.dk/obfuscater/
>
> Begge er overkill til formålet, men jeg ville være glad for at have lavet en
> funktion, der kan skalere, hvis behovet opstår.

Du har forhåbentlig ophavsret på billederne ?

Jeg så engang noget software der havde skrevet "Demo" med watermarks
hen over billedet, hvor jeg så hjalp en med at lave et program der kunne
fjerne dette.

Det man her havde gjort var at multiplicere R+G+B farve med hver sin
værdi, og lægge en konstant til. Det er venskeligere at detektere.

> Jeg vil helst beholde den i farver, da den er mest letlæselig, men hvad er
> Jeres holdning til dette?

Den i SH er da lettest at læse.

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste