未定義のエンコーダ - 長い論争のエントリを省略し、簡単に今日のゲストを紹介。
狭いサークルで広く知られているundefinedは、多数のアンダーグラウンドソフトウェアを作成しました-悪意があり、非常に無害で正しいものであり、黒ソシュニクのハードワークを促進し、専門家を招き、非常に有形の有名人の昇進に関与している人々(私たちは話しているソーシャルネットワーク上の個人ページへのコンテンツの自動配信)。
さて、未定義のいくつかの質問をしてください。
-自動処理ツールからのサイトの保護の現状について教えてください。それらの実際の利点は何ですか?
-まあ、まず第一に、私はよく知られているキャプチャについていくつかの言葉を言いたいです。
多くの理解者にとって、キャプチャがほとんど何も保護できないことはもはや秘密ではありません。
それだけで作業プログラムを遅らせることができますが、せいぜい6秒は - これは特別な労働者から要する最大時間ではありません。 画像からテキストを入力するためのサービス。 今日では珍しくありませんが、ソフトウェアを使用した生産規模では、この遅延はほとんど認識できません。
Captchaは、いわゆるボットからサイトを保護するための最も簡単で無駄な方法です。
ほとんどの場合、プログラムは、以下のツールの手がかりのキャプチャを持っている - サービスマニュアル入力、外部アプリケーションを通して溶液に送信します。
また、その種類に依存するべきではありません-数学的なキャプチャ(2 + 2 =?など)-それは単なる幼稚園とReCaptchaです-唯一の利点は、それのおかげで、特定の本のテキストが部分的に認識されることです。 reCAPTCHAのは解析され、絶対にだけでなく、通常のCAPTCHAとそれだけでshkolotyまたはエンコーダで発生する可能性がありますといくつかの困難を解決するため、彼女の最初に直面しています。 その後、そのソリューションの標準アルゴリズムがコンパイルされ、他のすべてのプロジェクトで使用されます。
役に立たない防御と言えば、ロード可能な無害なイメージを使用して秘密のCookieを設定するなどのまれな方法を思い出します。 エンコーダーが最初に行うことは、スクリプトによって受信されたCookieとサイトに送信されたCookieを比較することであるため、最初のファイルが要求とともに送信されるときに検出されます。 これには、最も単純なブラウザースニファーで十分です。
-いいね。 過度に混乱した防御に遭遇しましたか? スパムからの保護に加えて、サイトを訪問者から確実に保護するほどクレイジーなのでしょうか?
-サイトを保護する主な保護は、サイトを訪れたすべての人から非常に信頼性が高い-これがその曲率とブレーキです。
私が間違っていなければ、2008年10月から2009年5月までのOdnoklassnikiの出席の減少を思い出してみましょう。 同時に、このソーシャルネットワークのためのソフトウェアを書くプログラマーは、デバッグが容易ではなかったし、あなたの作品を修正します。
動的ウルラにサブサーバーを変更し、愚かなAJAXインターフェイス、その中でも、使用のヶ月後、ナビゲートすることは困難であった - このすべてが、確実にその質量処理からサイトを保護します。
20秒でprivatokを送信する間のdating.ruの遅延も、彼をスパムから確実に保護しました。
しかし、ほとんどのサイトがそれに追随するのは疑わしい。なぜなら、 遅延の増加は、ユーザー同士の相互作用の速度を低下させます。これにより、あらゆるソーシャルネットワークの中心となる酸素がブロックされます。
特別な注意がツイッターに値します。
古いインターフェイスはフリーズすることがありますが、新しいインターフェイスは比較されません。 おそらく、私は20度以下の温度でインターネットが肥厚する異常ゾーンに住んでいますが、サイトが定期的に出資されている場合、ソフトウェアを書くのは難しいでしょう! 1回のリクエストでログイン機能を開発するのに10分かかります。 これも「良い」防御です。鉛筆で持って行ってください。
-さて、どのような保護が実際に機能しますか?
-同じOdnoklassnikiでの2回のクイックログインで30分間の禁止、および複数の禁止されたアカウントのチェックごとに数時間、ipでの禁止。 経験を積むまで、開発の問題を実際に引き起こします。 これはおそらく、PCPの教科書から2つの章を読んですぐにカールを得た愚かなshkolotaのレイヤーを取り除くための良い方法です。
-ボットの開発で困難を経験しなければならなかった他に何を定義していませんか?
-非標準ソリューションを使用。
たとえば、Drupalで使用されるCNCは、たとえば、ページへのリンクが/news-about-something.htmlのようになっている場合に使用されます。 もちろん、これはノードの例よりも解析するのが難しいですか?Id = 28。
YouTubeへのビデオのアップロードは、フラッシュインターフェイスを介してのみ可能です。 しかし、探知者は彼の要求を見ていないので、wiresharkを掘り下げる必要があります。 また、wiresharkは、アテロームのラップトップカードを認識しません。 したがって、時間の損失。 それはそれ自体が興味深いものですが。
Odnoklassnikiの動的ユーザーIDも特別な注意が必要です。
データベースを収集する可能性を排除し、特定の人物を見つけることを困難にします。完了後にすべての収集されたIDが無効になるため、すべてを1つのセッションで検索する必要があります。 一方、これらの制限を回避するためにより多くのコードを記述する必要があるため、ソフトウェア自体はより高価です。 また、Odnoklassnikiは、VKなどのスパム開拓者を背景に際立っているユーザーの妥当性を考えると、一般的にちょっとしたものです。
Googleに関しては、適切なレベルで自動的にプロンプトが出されたときにソフトウェアがリダイレクトを処理しない場合-それとそのサービスを操作するとき、ログイン時に既に悲嘆をつかむでしょう。 ログインは6つのリダイレクトで構成され、その間にjsを使用して一部のリダイレクトが実行され、個別に解析する必要があります。 誤って他の誰かのサブドメインから2、3の余分なCookieが引き裂かれます。Googleはそれ以上先へ進むことはできません。 そのため、スニファーログを注意深く調査する必要があります。
-開発者がサイトで行った見落としについて、あなたは何を言うことができますか? 普通のクライムウェアコーダーの生活を楽にする省略はありますか?
- もちろん、彼らなしでどこがあります。
これらの不作為の本質に名前を付けるには。 おそらく誰かが後でプロジェクトでこれを発見し、それらに関連する活動の写真を撮り、穴を隠してしまうでしょう。
しかし、既存のは省略する。
第一に、サーバー側でのひどい弱いデータチェックです。
このインターフェースにより、ユーザーは一度に3枚の写真を追加できます。 スクリプトは何百もの写真[]フィールドを送信し、それらはすべて正常にロードされます。 インターフェイスは、アカウントを確認するために任意のデータを変更するユーザーを制限しますが、スクリプトはこれを管理し、活性化なし。
第二に、一部のサイトはいわゆる「認証リンク」をサポートしています。
リンクをたどる-ログインしたユーザーのすべてのCookieを取得し、サイトを操作します。
したがって、ログイン機能にインストールされているすべてのフィルターはフォレストに移動します。
第三に、キャプチャを使用した場合でも、不適切な妨害が見つかることがあります。
たとえば、入り口のページには、キャプチャの画像と特定のハッシュを含む非表示フィールドが含まれています。
キャプチャアームを解決し、すべての時間にスクリプトに同じハッシュ+キャプチャに同じ応答を送信します。 出来上がりは、画像からテキストを解かずregsは - 厳格にハッシュに関連付けられたこのキャプチャを。
各ケースはもちろん一意ですが、そのようなことが時々発生します。
-すごい。 あなたの練習で興味深い保護に出くわしましたか? 何かをする前に慎重に考えさせる防御。
-間違いなく。 正午以上の個人的かつ複雑な防御は、私にとって興味深いものです。 このような防御をバイパスすることは、おそらく私の仕事の最も興味深い側面の1つです。
-例を挙げてください。
-最初の例、オフハンド-これはquip.ruです。
そのregを見ると、ランダムな名前の3つの非表示フィールドが表示されます。
開発者は私を混乱させるためにだましていないので!
そして、左側のスクリプトがロードされ、これらのフィールドがスワップされ、スクリプトが接続された場所が上書きされましたが、この場所がページのソースコードに残っていることを考慮していません。
確かに、他のすべての事柄は別にして、いじくりまわすのは良かったです。 これは中毒性があるため、食べ物や自然のニーズを忘れてしまいます。
Mail.ruランダムフィールドも敬意に値します。
すでに、コーダーはおそらく、検証と検証によって生活を複雑にしています。
そして、それらをすべてマスクで選択し、必要なデータを優先度順に入力しました。
Triple CAPTCHA mayla-解決に3倍の時間はかかりません。
コードの12行は、一つに三つの画像を接着し、その後容易に認識するためのコントラストを高め、サービスに送信されます。
初めて接着剤を塗らなければならなかったので、シンプルでエレガントにできたことを嬉しく思いました。
シャドウソフトウェアのコーディング-私は主にアートとして認識しています。
これは、鈍い、灰色のサイトのフレームワーク上パンチカードではありません名前と姓愚かな訪問者と2003のフィールドの別の検証のためにズボンをprosizhivanieありません...
-続けてください。
-はい。 興味深い防御について。
私は、サーバーに送信する前にパスワードJavaScriptをRSA-ハッシング見てきたサイトの一つ。
残念ながら、それは私のためではなかった、私は助けを求めたが、その後、私はそれを処理する時間を持っていなかった、とサイト自体がどこかに失われているが、それは実現しなかった解決するためのタッチでそれを覚えています。 私の記憶が私に役立つなら、彼らはビット単位の変位までトリッキーな操作を使用し、そのような洗練されたアルゴリズムに精通していない人にとっては、別の言語でこれを行うのは簡単ではありません。
また、私はレゲエyahu.comに屈しませんでした。
たぶん私はまだ経験が浅かったのかもしれませんが、保護レベルは非常に高いかもしれません。
フォームの各フィールドにフォーカスを置いて、javascriptは特定のチェックサムを計算し、登録時にデータとともに送信します。 残念ながら、その計算の原理を理解できませんでした。
他に言うこと。 たぶん誰かがマンバは、自動的に一意性がチェックされ、アップロードの写真を、フィルタリングする必要があることを知って興味があるだろう。 このアカウントがない場合、すぐに禁止されました。
私のツールセットの汎用機能は、写真のサイズ(+-数ピクセル)、品質、コントラスト、ファイル名などの些細なことを簡単に変更します。 したがって、消えるの保護。
- 情報のおかげで、未定義。
ささやかなインタビューの最後に、最後の質問をします。ソフトウェアが作成された管理者やリソースコーダーからの反応を観察する必要がありましたか。 それでも、あなたはかなり長い間作業状態にそれを維持し、サイトに注目してください。
-コーダーは抵抗しますが、かなり緩慢です。
彼らはそれのために払っていないので。 私自身はオフィスで働いていましたが、現在の費用にはそのようなチェックマークが付いていません。 さて私は誰かを教えてください。
価値のあるリソースから、promo-dj.ruに注目します。 私は彼らのサイト、インターフェース、タスクの実装へのアプローチが好きです。
このサイトの最初の登録者を書いたので、私は比較的短時間で約400個のアカウントを登録しました。 翌日、1つのIPからの登録数に制限が導入されました。 制限はまだ存在します。
時には、サイトはかなりばかげて防御した。
フォームフィールドはメッセージと呼ばれていましたが、現在はメッセージ12と呼ばれています。 それはソフトウェアを壊した、よくやった。
しかし、これはめったに起こりません。
基本的に、ソフトウェアのすべての故障は、サイトの近代化によるものです。
および改善ソフトウェア - サイトを改善します。 お互いを前に進めているかのようです。
その限界の各側で、その利点。
私は彼らのコードや保護にアクセスできず、実績のある方法でのみ行動する必要があります。
制限は主にサイト自体のユーザーに影響するため、突然の移動はできません。
マンバの実際のステータスとラブプラネットのライブステータス。
エンコーダーのように、私に与える影響はほとんど感じられません。
顧客は、未確認で購入する前と同じくらい簡単に本物の在庫を用意しました。
しかし、ユーザーの側で-完全に異なる画像。
私は非実在のユーザーになろうとしました。 10のプロファイルのうち1つしか利用できません;アンケートにはほとんど何も記入できません。 以前にアクティベーションに使用されなかった無料の携帯電話がなく、SMSで切望されたコードを受信できない場合、サイトは実際に完全に不安定になりました。
そして、確実な改善の中で、私はOdnoklassnikiに最も満足しています。
ここ数カ月の間に、彼らはウルラのサブサーバー、単純化されたインターフェースを取り出し、我々は大幅にサイトからユーザーのコレクションを促進し、検索で姓の最初の2つの文字の要件を削除しました。
それらの改善はすべて、ソフトウェアの開発にも影響を与えました-書き込みがはるかに快適で簡単になりました。
頑張れ!
-ディックスと未定義/ 12.2010