(no subject)

[stas]

Всё гениальное - просто.

Многим знакомы такие штучки при регистрации на разные сайты, особенно - бесплатные мейлы: вас просят ввести слово, которое изображено на картинке.
Слово на картинке искажено каким-либо образом. Это чтобы затруднить всяческим спаммерам нарегистрировать тысячу почтовых ящиков и использовать их в злых целях. Теперь задачка - как легко и почти без затрат обойти это?

Решение гениально. Берётся сайт. Напихивается порнухой. Рекламируется в соответствующих местах. На сайте написано - "бесплатная порнуха для всех, для входа - введите слово на картинке". Картинки со словами, разумеется, берутся с соответствующих нужных сайтов. Бамц! - бесплатный искусственный интеллект к услугам спаммеров, в неограниченых размерах. Порнуха, разумеется, бесплатная и без обмана, чтобы ИИ работал постоянно и бесперебойно.
P.S. Это, разумеется, не я придумал - это по рассылке RISKS приплыло.

Comments

[ex-palych89.livejournal.com]

а как ты одну картинку от другой будешь отличать?

[stas]

Это дело техники. Каждой выданой наруже формочке приписывается код, который однозначно идентифицирует приписаную к ней картинку. К тому же, разных картинок на этих сайтах не так уж много, как выясняется. Программисты ленивые ;)

[ex-palych89.livejournal.com]

ну смотри. как я понимаю картинка всегда генерится в формате /картинка.jpg и различия между генерируемыми картинками только визуальные (ну и может размер файлика всегда разный, но несущественно).
как отличить одну от другой?
(ша посмотрел как на livejournal.com оно делается.
как-то хитро совсем. это выше моего образования)

[stas]

Никак. Их не надо отличать. Сервер livejournal ведь тоже их не отличает. Он просто знает - в ответ на картинку, выданую такому-то, он хочет видеть слово "собака". Т.е. дело происходит так:

1. Юзер приходит на порносайт
2. Порносайт идёт на www.livejournal.com, получает форму, в которой есть ссылка на картинку (JPG) и форма, куда писать слово (F).
2. Порносайт показывает юзеру JPG и говорит: хошь голую бабу? Тогда скажи, что за слово тут написано?
3. Юзер отвечает - тут написано "собака"
4. Порносайт посылает на livejornal.com ответ - в форме F слово "собака". Точно так же, как это сделал бы нормальный новый пользователь журнала.
5. Юзер получает свою порнуху, а порносайт - новый аккаунт в livejornal.com

[ex-palych89.livejournal.com]

а... вот оно как.
спасибо за пояснения. (мой непрограммерский мозг просто так понять не смог)
тогда да.
гениально практически.

ага, щаззз

[erra.livejournal.com]

а livejournal.com типа так и отдаст эту картинку без рефёреров нужных.

То бишь, тупо запрограммированный сайт так, конечно, обойти можно. Но и только

Re: ага, щаззз

[stas]

А какая проблема все рефереры тут же проставить? Что, у Internet Explorer государственная монополия на выдачу заголовка referer? ;)

[shaulreznik.livejournal.com]

Картинки со словами, разумеется, берутся с соответствующих нужных сайтов.

Вот тут, к примеру, не получается вызвать из другого места картинку с кодом доступа.

[stas]

Да это мелочи. referef небось проверяют. Обходится с полпинка. Всё, что можно вызвать из браузера, можно вызвать откуда угодно, передав ту же последовательность байтов серверу.

[diam.livejournal.com]

Забавно. :)

А если проверить, на какой IP ушла картинка и с какого IP пришла остальная информация для регистрации ? ;)

[diam.livejournal.com]

... и картинки генерировать при каждом запросе. На yahoo так и делается, по-моему.

[dimrub.livejournal.com]

Если картинки генерируются на ходу, это тоже обходится: допустим, пришел к нам человек на порносайт. Он пытается залогиниться. Мы в этот момент пытаемся залогиниться на нужный нам сервер, и получаем картинку. Картинку передаем юзеру, он нам вводит ответ, мы ответ передаем серверу. Те же яйца, вид сбоку.

[diam.livejournal.com]

Афигеть. Житья от хакеров нету. :)

[stas]

Для этого придётся ограничить время ответа уж совсем коротким временем - да и то при хорошем траффике на сайте (hint: самый хороший траффик - у порносайтов ;) ответ будет приходить моментально - с той же скоростью, с которой жаждущие порнухи юзеры будут вбивать ответы в формочку.
Понятно, ответы придут с того же IP, что и вопросы - любителей порнухи просто используют как дешёвый, но очень умный OCR.

[diam.livejournal.com]

Ага, я уже осознал.

Вот интересно было бы формализовать данную задачу, и доказать теорему о том, что спаммер выигрывает :)

[stas]

В данном случае это практически классический сценарий man-in-the-middle. Насколько я понимаю, для сайта-жертвы отличить спаммера практически невозможно - разве что статистику по IP вести, да и то - какая проблема сейчас купить сотню IP в разных городах и весях?

[muchandr.livejournal.com]

Заполняют то частники, а картинка обычно последний шаг в регистрации. Можно сверять IP любителя порнушки с местом жительства, забитым роботом в анкету. А можно сделать challenge зависимым от всех данных анкеты, типа "твой знак зодиака" или "название ближайшего озера". Люди, сами заполняющие анкету такие вещи должны знать.

наш ответ спаммерам.

[meshko.livejournal.com]

Предлагаю помещать на картинке со словом что-нибудь черезвычайно отталкивающее и несексуальное.

Конечно они тогда сделают порносайт ориентированный на людей, для которых это самое отталкивающее -- любимый фетиш. Хм. Сложно.

[snyders.livejournal.com]

Этой шутке уже год. Как минимум.

[irukan.livejournal.com]

А кто-то вот также беседовал-беседовал - и допетрил, как модифицировать вирус коровьей оспы - в вирус натуральной. И поволок, чудила, в журнал медицинский - печатать. А на дворе - 2002.
Хорошо, у редактора мозга была - тормознул.
К чему это я, а?

[stas]

Я ж написал - это уже реально используется, Кем Надо. Стал бы я такую фигню сам выдумывать, забесплатно ;)

[gdy.livejournal.com]

Кстати, это, возможно, не личная инициатива редактора --
http://news.bbc.co.uk/1/hi/in_depth/sci_tech/2003/denver_2003/2767453.stm

[greenadine.livejournal.com]

Красота!

[arhip.livejournal.com]

забавно :)
а за порнуху народ готов на всё..!:)

[wildernesscat.livejournal.com]

Класс!

[gdy.livejournal.com]

http://www.livejournal.com/users/gdy/33509.html

[ex-ilyavinar899.livejournal.com]

http://www.livejournal.com/users/ilyavinarsky/148645.html

[malaya-zemlya.livejournal.com]

Простое решение - на картинке печатать лого сайта и какое-нить грозное послание от адвокатов мелким шрифтом. Процент желающих набрать слово должен резко снизится. Если к тому же генерировать картинки каждый раз заново и вводить timeout, то на некоторое время должно хватить.
Потом, ясное дело, спаммеры еще что-нибудь придумают.