[2.1.x]Продвинутый код безопасности 3.1

[revizor]

Вот это $reg_code = mt_rand(10,99)."+".mt_rand(10,99)."="; не там заменил.

Автору респект! Мод работает - боты пропали (три тьфу).

[Garret]

Там есть две инструкции, версия 2.0(цифры+буквы) и 3.0(мат. пример).

[*SHADOW*]

Спасибо за модификацию, очень полезная, столкнулся с такой ошибкой.

 

Вместо форума просто белый лист, вернул ipclass.php из бэкапа все заработало, регистрация работает через сумму, тоесть нужно сложить числа и ввести ответ.

 

Отрывок из ipclass :

 

function show_gd_img($content="")
{
	require_once( ROOT_PATH.'sources/lib/captcha.php' );
$captcha = new KCAPTCHA($content, ROOT_PATH."style_images/fonts");
exit();
	}

	imagestring($tmp, 5, 0, 2, $content, $black);

Скажите со стандартным ipclass.php модификация более уязвима?

ПОвторяюсь модификация работает и со стандартным ipclass.php .

Версия форума 2.1.7

Зарание спасибо за ответ

[Garret]

Я что то не пойму что за лажа, ты что вставил код в функцию не удалив ее содержимое?

[*SHADOW*]

Нет почему же, я же привел отрывок.

Сейчас форум работает, т.к заменил на чистый (стандартный) ipclass.php

ПОвтиоряюсь, все работает, внешних дефектов нету, но может быть есть внутренние?

[revizor]

Поставил на др. форум, на версию 1.3.1. так он всё выводит, с математическим примером, но считает неправильно. Т.е. я складываю цифры, а он мне- "не то ввели". Кто нибуть сталкивался с этим на старичке 1.3.1 ?

[aridanew]

revizor, ага было такое на 2.1.7. Надо руки выпрямлять, все заработает. Внимательно все файлы перепроверить особенно sources/register.php

[Andrey334]

А я вообще не догнал где в source register.php лежит. Может у меня не 2.1.7? или просто там этого файла нет. И Вообще ничего не работает. 2.0 работает а 3.0. нет. 3 шрифта, выводит белый экран с акккуратными цифрами, в чём суть защиты то? где математический пример ничего нет

 

На всякий случай сорри за резкость. На паре форумов тоже увидел эти цифры, которые немного переезжают в сторону после загрсузки. В чём фича то. Где само поле антибот / antibot с математическим примером.

И может кто подскажет у братьев узбеков увидел немного другую реализацию картинки с письменным текстом цифр.

[Garret]

но может быть есть внутренние?

99% что нет.

 

Поставил на др. форум, на версию 1.3.1. так он всё выводит, с математическим примером, но считает неправильно. Т.е. я складываю цифры, а он мне- "не то ввели". Кто нибуть сталкивался с этим на старичке 1.3.1 ?

Проблема с самой проверкой, может не то заменил?

 

Andrey334 для каждой версии есть свой ридми. Остального из вашего сообщения не понял.

 

З.Ы. Надо будет переписать ридми...

[Gangstasheff]

хм...долго и упорно искал в sources/register.php но не нашёл.....и куда теперь прописывать его....

[GluX]

З.Ы. Надо будет переписать ридми...

 

А ты думаешь чего тут на 11 страниц расписали

[Shatun]

revizor, странно... у меня для 1.3 всё встало

[Garret]

Gangstasheff какая версия форума, и для какой версии форума ты смотрел ридми?

[aridanew]

Сорри. Я просто копировала из ридми.

А для версий 2.1.Х sources/action_public/register.php

Поиск файлов рулит.

Изменено 15 Сентября 2006 пользователем aridanew

[revizor]

revizor, странно... у меня для 1.3 всё встало

Именно с математическим примером? Хм, надо тогда ещё раз перепроверить...

[*SHADOW*]

Во пряки всем опасениям с ipclass.php атаки спамерров закончились, пока сплю спокойно, тогда остается вопрос, зачем в нем вообще что т оменять?

версия форума 2.1.7

[Shatun]

Именно с математическим примером?

угу.

Проверяй Register.php

 

атаки спамерров закончились

Регистрация бота 13.09.2006 а тема создана 15.09.2006 (сегодня в - 10:24 .

) после установки кода безопасности. Вероятно боты регятся а затем заходят через несколько дней и спамят.

Удалил всех у кого менее 3х сообщений... вотЪ

[Garret]

Сегодня вечером обновлю ридми.

[baza]

Спасибо автору за модификацию. Надеюсь, ботов больше не будет на форуме

 

Без подключения captcha.php, т.е. со стандартным ipclass.php код безопасности выглядит так:

 

http://img207.imageshack.us/img207/474/indexec8.jpg

 

Ну а с captcha.php:

 

http://img78.imageshack.us/img78/5475/index2iw3.jpg

 

Думаю для улучшения безопасности надо все-таки добавить шумы в картинку и разные цвета в фон, чтобы было труднее различить символы боту. Да и искажения можно увеличить.

[Shatun]

Не помогло с кодом для регистрации http://www.animac.ru/forum/html/emoticons/weep.gif вроде всё в порядке. Даже кнопку подтверждения - Регистрация на минуту сдел не активной.

Сегодня bdsadomazo 203.113.13.5 наспамил

Уже начал статистику ИП'ов вести

Начинает выводить из себя http://www.animac.ru/modules/Imagegallery/images/fool/mad3.gif

[XTR]

Предложение автору кода:

 

по-моему все-таки некоторые боты умудряются читать код, но, очень редкие. Для полного исключения прохода ботов можно сделать простой ход.

 

Сгенерировать семизначное (например) число 4845397, но реально попросить пользователя ввести все, кроме первой или последней цифры. Это можно написать прям на самом коде мелким шрифтом. Хрена лысого какой бот догадается это сделать И сам мод по-моему модифицировать в таком направлении будет очень просто. Как вам идейка?

[Garret]

Насколько я знаю прикол с решением примера был внедрен впервые, так что боты еще не должны уметь его обрабатывать.

 

Хотя чаще боты затачиваются под конкретный большой форум, и поэтому вероятность того что бот пройдет, существует.

 

Скоро по просьбе одного знакомого добавлю в этот модификацию генерирования личного сертификата для каждого пользователя и последующую его проверку при логине. Похожая вещь(только насколько я понял более замудренная) уже реализована Гивом, и доступна в платном виде.

[[V3]]

Предлагаю альтернативное решение.

 

Капча генерится всё тем же IPB... Но вот только цифры нужно ввести в обратном порядке.

 

Протестил на двух форумах. Результат - 0 ботов ;>

 

P.S. Лучше этой капчи не видел:

http://e107coders.org/request.php?download.1399

[Shatun]

Насколько я знаю прикол с решением примера был внедрен впервые, так что боты еще не должны уметь его обрабатывать.

Ну значит это не бот, а студент решивший мусорить или зарабатывает на рекламе.

Факт в том, что эпопея продолжается по разным IP

bdsadomazo ------- 203.113.13.5

dipmosmoskva ---- 213.148.16.237

и доступна в платном виде.

GIV линк не выкладывал на это чудо?

Но вот только цифры нужно ввести в обратном порядке

Дайте подсказку как реализовать.... Плиз!

[[V3]]

sources/action_public/register.php

 

Заменяем

			if ( trim( intval($this->ipsclass->input['reg_code']) ) != $row['regcode'] )
		{
			$form_errors['general'][] = $this->ipsclass->lang['err_reg_code'];
		}

на

			$tmp = $row['regcode'];	$row['regcode'] = "";
		for ($i = 0; $i < strlen($tmp); $i++) $row['regcode'] = $tmp[$i].$row['regcode'];

		if ( trim( intval($this->ipsclass->input['reg_code']) ) != $row['regcode'] )
		{
			$form_errors['general'][] = $this->ipsclass->lang['err_reg_code'];
		}

 

ну и в шаблонах вставляем картиночку рядом, на которой пишем "вводить в обратном порядке"

 

Если реализуешь у себя, напиши плз. о результатах