ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Нихера себе капчта, antigate русскую с трудом согласился разгадывать, а тут...

Недостаток подобных капч - конечное число картинок, что позволяет собрать полную базу и обходить капчу с вероятностью 100% (в теории =))

upd:

Обход капчи loveplanet.ru (видео)

Конечно можно. Посмотрев сайт, я увидел, что воспользоваться Charles не получиться, поскольку на сайте поддерживается только SLL соединение.

Но Tamper Data меня ещё никогда не подводил. Тогда я поставил перехватку данных и принялся распознавать капчу. Оказалось, что без вмешательства сервера, проверка капчи осуществляется на стороне клиента:



Это значит, что возможен механизм обхода капчи,но писать его пока нет смысла,поскольку данный алгоритм пока нигде не используется.

Мне вот интересно, зачем капча такая на сайте? Я себе на сайт поставил флеш капчу с поворотами картинок - количество комментариев упало в 3 раза.

А тут какое желание комменты оставлять?

Доброго времени суток, увидел тут обсуждение нашего сервиса, решил откомментировaть все по порядку

Число картинок практически не имеет значения, так как достать картинки из капчи получится только если полностью сэмулировать браузер, включая все JS события и таймеры, а это сильно затратно по ресурсам для любого спам-бота... Картинки все летят в зашифрованном виде, поэтому достать их "напрямую" не получится, можете посмотреть используя вкладочку "сеть" в FireBug на то, какие они "красивые". Плюс у нас существует возможность создавать капчи для своего сайта из своих картинок, пока правда мы переделываем ToS'ы, но в июне снова можно будет оплатить такую услугу.

+KeyCAPTCHA грузится всегда по https, что убирает возможность использования большинства анонимных прокси

+KeyCAPTCHA отсеивает не только спамеров, но и троллей, использующих веб-анонимайзеры

+KeyCAPTCHA в любой момент может задействовать механизм контроля IP посетителя хитрым методом и ГЕО-контроль по странам...

(это если кто-то попытается сделать что-то типа antigate для KeyCAPTCHA)

+наши сервера собирают постоянно анонимные прокси с многих публичных и закрытых источников, в любой момент, для любого сайта, можно приминить фильтрацию анонимных прокси

Вы не внимательно смотрели Валидация капчи проходит на нашем сервере, никакой информации о правильном решении на клиенте нет. Капча встраивается в веб-форму с помощью перехвата onclick кнопки или ссылки по которой просходит постинг. Когда пользователь нажимает на "отправить" идет запрос на наш сервер для проверки капчи, результатом является строка содержащая подписанные MD5 ответ от нашего сервера для сервера на котором установлена KeyCAPTCHA. Ответ также содрежит флажок (0 или 1) по которому JS определяет надо обновлять капчу или отправить пост на сервер, когда пост прилетает на защищаемый сервер, там происходит проверка MD5 подписей и запрос на KeyCAPTCHA backend о том, действительно-ли капча была собрана правильно Так что никакие "вмешивания" в JS ни к чему не приведут, браузер посетителя не отвечает за проверку капчи вообще никак, он только пересылает информацию от нашего сервера на защищаемый веб-сервер, ну и если флажок взведен в 0, то обновляет капчу...

В этом-то и дело, что вы ставили Flash капчу, а у МНОГИХ пользователей стоит блокировка Flash, основной режим работы нашей капчи это HTML5, Flash используется только в IE и Opera, так как у первого нет HTML5, а у второго не совсем стандартный JS движок, который не понимает некоторых наших "завихрений кода"

Ну и хочется еще отметить что наш сервис, это не просто капчи конкретных видов, это платформа для создания любого интерактива с пользователем, разработать новый вид капчи для нас это 3-4 дня работы вместе с тестированием...

Ну вот вобщем-то всем ответил....

Nicholas, это не объясняет тот факт, что капча проходит валидацию при физическом отключении интернета.

Всмысле? Как она может пройти валидацию, если я Вам только что объяснил принцип ее работы

А то, что у Вас при отключенном инете появилась зеленая галка, это может быть связано с тем, что Вы один раз ее правильно прошли, но обновления страницы не было (валидаторы например какие-нибудь на форме не пропустили постинг) и в скрытом поле ответа от сервера с uid капчи, осталось старое значение, в котором стоит признак, что она решена верно Но поскольку инет вы отрубили, новая капча не подргузилась и не обнулила это поле...

Решенная верно капча "протухает" на сервере через 6 минут, если со стороны защищаемого веб-сервера не было запроса на ее валидацию по uid.

После запроса защищаемым веб-сервером капчи по uid она сразу удаляется, так что использовать два раза один ответ от бэк-сервера не получится... При этом каждый ответ содержащий уникальный идентификатор капчи (uid) который подписан приватным ключом защищаемого веб-сервера и не может быть принят другим веб-сервером.

Алгоритм работы я описал в предыдущем посте.... Повторю еще раз, что веб-браузер клиента не имеет никакой информации о правильно решении и отвечает только за передачу координат подвижных объектов на бэк-сервер KeyCAPTCHA и передачу ответа от бэк-сервера KeyCAPTCHA на защищаемый веб-сервер посредством скрытого поля формы.

Такой подход позволяет KeyCAPTCHA обновляться при неправильном решении без перезагрузки всей страницы (очень удобно, если на форме много полей) и работать на хостингах, на которых запрещены исходящие соединения, посредством альтернативного метода проверки через скрипт получения времени подписанного приватным ключом (этот режим задействуется, если в настройках сайта, на вкладке "Дополнительные" снять флажок "Разрешить исходящие запросы").

Всем, кто хочет разобраться или в чем-то сомневается советую посмотреть траффик между серверами и браузером, с помощью любых инструментов, самым распространенным из которых является FireBug вкладочка "сеть". Также можно взглянуть на наш универсальный PHP class, который есть в любом плагине, в нем видно, каким образом проходит валидация капчи на стороне защищаемого веб-сервера.

PS: в первую очередь при создании KeyCAPTCHA делался упор на безопасность, так что никаких "детских" болезней типа ответов на клиенте и прочих тривиальных методов ее обхода с помощью "манипуляций" с JS не существует "по определению", исходя из описанного мной алгоритма ее работы. Когда клиент ни за что не отвечает, кроме как за отображение и коммуникацию между серверами. При этом вся "коммуникация" подписана приватным ключом защищаемого веб-сервера, который опять-же ни в каком виде не присутствует на клиенте и известен только бэк-серверам KeyCAPTCHA и защищаемому веб-серверу. Единственно чего можно добиться, с помощью JS-манипуляций, это, что покажется зеленая галка, но это никак не относится к прохождению капчи, защищаемый веб-сервер просто не примет поддельный ответ и скажет что капча была собрана не верно

Проверка капчи осуществляется на стороне сервера, капча вешается на onclick кнопки и перед постом запрашивает бэк-сервер KeyCAPTCHA о правильности решения передав координаты подвижных объектов. Тот отвечает подписанным MD5 ответом на основании секретного ключа сайта.

На клиенте нет НИКАКОЙ информации о правильном решении капчи. Никакие Tamper Data не помогут.