| Precedente :: Successivo |
| Autore |
Messaggio |
youritrr
Ospite
|
|
| Top |
|
 |
Ivan Sergio Borgonovo
Ospite
|
 Inviato: Sab 05 Mag 2007 08:52 Oggetto: your italy |
 |
|
On Sat, 05 May 2007 02:53:41 +0200
"youritrr" <nikonov.gali@xxxxxx.xyz> wrote:
Ma al forum non bisogna iscriversi?
_________________
Ivan Sergio Borgonovo
http://www.webthatworks.it |
|
| Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47
Messaggi: 953
|
| Inviato: Sab 05 Mag 2007 12:20 Oggetto: your italy |
|
|
On May 05, Ivan Sergio Borgonovo <mail@xxxxxx.xyz> wrote:
| Citazione: |
Ma al forum non bisogna iscriversi?
|
Infatti, e c'e` pure la conferma visuale (solita immagine con
lettere da trascrivere).
Per ora quell'account e` stato sospeso; se la cosa dovesse
diventare endemica, chiudiamo il forum fino a che non si trova
una soluzione.
Se qualcuno ha esperienza di uso "live" di siffatti baldacchini,
si senta libero di dare consigli [1]. :-)
+++
[1] il piu` semplici possibili, grazie. ;-)
_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/ |
|
| Top |
|
|
Alessandro Dotti Contra
Ospite
|
| Inviato: Sab 05 Mag 2007 12:36 Oggetto: your italy |
|
|
On Sat, May 05, 2007 at 01:20:20PM +0200, Davide Alberani wrote:
|
|Se qualcuno ha esperienza di uso "live" di siffatti baldacchini,
|si senta libero di dare consigli [1]. :-)
A quanto ne so, gli account si possono attivare anche tramite risposta
ad apposita mail. Esiste una patch per phpBB2 che consente di cancellare
automaticamente gli account di coloro che non attivato entro un cerito
numero di giorni.
L'installazione e` liscia.
Se non trovi googleando, mando il link in lista lunedi` dall'ufficio.
ciao
alex
_________________
Alessandro Dotti Contra | email: alessandro@xxxxxx.xyz
Bologna, Italy | PGP Key ID: 0x9C84C3DA
http://www.hyboria.org/ | jabber: adc@xxxxxx.xyz
| gtalk: adotti@xxxxxx.xyz |
|
| Top |
|
|
pietro
Registrato: 02/04/07 07:17
Messaggi: 158
|
| Inviato: Sab 05 Mag 2007 12:59 Oggetto: your italy |
|
|
On Sat, 5 May 2007 13:37:47 +0200
Alessandro Dotti Contra <alessandro@xxxxxx.xyz> wrote:
| Citazione: | On Sat, May 05, 2007 at 01:20:20PM +0200, Davide Alberani wrote:
|
|Se qualcuno ha esperienza di uso "live" di siffatti baldacchini,
|si senta libero di dare consigli [1]. :-)
A quanto ne so, gli account si possono attivare anche tramite risposta
ad apposita mail. Esiste una patch per phpBB2 che consente di cancellare
|
Confermo, sul forum di ubuntu (smf), viene inviata una mail per l'attivazione, cui l'utente deve rispondere. L'account non viene attivato finché non torna la risposta.
Non è comunque una garanzia sufficiente, se qualche spammer vuole iscriversi, riesce comunque.
Certo che l'amministratore e chi ha accesso al database può vedere le richieste di iscrizione anche in attesa della mail di conferma, ed eventualmente intervenire.
ciao, Pietro
--
utente linux n° 394928
macchina linux n° 311519
Pgp key: 1024D/92718B45 |
|
| Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47
Messaggi: 953
|
| Inviato: Sab 05 Mag 2007 16:08 Oggetto: your italy |
|
|
On May 05, Alessandro Dotti Contra <alessandro@xxxxxx.xyz> wrote:
| Citazione: | A quanto ne so, gli account si possono attivare anche tramite risposta
ad apposita mail.
|
E` gia` nel pacchetto standard: gia` ora prima di fare il primo login,
devi visitare il link che ti arriva via email.
Ergo i bot hanno un ocr (o un subumano a cui e` stata promessa della
pornografia) ed un indirizzo email valido.
Vedo che esistono alcuni sistemi di prevenzione un po' piu`
avanzati; nel weekend li testo.
I forum succhiano!!! ;-)
Ciao,
_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/ |
|
| Top |
|
|
Ivan Sergio Borgonovo
Ospite
|
| Inviato: Sab 05 Mag 2007 21:48 Oggetto: your italy |
|
|
On Sat, 5 May 2007 17:03:07 +0200
Davide Alberani <da@xxxxxx.xyz> wrote:
| Citazione: | On May 05, Alessandro Dotti Contra <alessandro@xxxxxx.xyz>
wrote:
| Citazione: | A quanto ne so, gli account si possono attivare anche tramite
risposta ad apposita mail.
|
E` gia` nel pacchetto standard: gia` ora prima di fare il primo
login, devi visitare il link che ti arriva via email.
Ergo i bot hanno un ocr (o un subumano a cui e` stata promessa della
pornografia) ed un indirizzo email valido.
|
erm... avevo sentito di un circolo vizioso di spam in cui con
qualche sistema si convincevano umani a decodificare i captcha.
Promettrere pornografia mmm interessante.
Tipo free account su un sito ma per registrarsi bisogna decodificare
il captcha di un altro?
Per pura curiosità... ci sono paperi sull'argomento? qualcuno ne sa
di più?
_________________
Ivan Sergio Borgonovo
http://www.webthatworks.it |
|
| Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47
Messaggi: 953
|
| Inviato: Dom 06 Mag 2007 07:29 Oggetto: your italy |
|
|
On May 05, Ivan Sergio Borgonovo <mail@xxxxxx.xyz> wrote:
| Citazione: | Tipo free account su un sito ma per registrarsi bisogna decodificare
il captcha di un altro?
|
Yup; un'idea girata qualche secolo fa. A naso, dubito sia davvero
usata: probabilmente per il catchpa medio un ocr tarato ad-hoc e`
sufficiente.
| Citazione: | Per pura curiosità... ci sono paperi sull'argomento?
|
Non e` un papero, ma forse era uno dei primi ad esprimere l'idea:
http://www.boingboing.net/2004/01/27/solving_and_creating.html
Ciao,
_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/ |
|
| Top |
|
|
Ivan Sergio Borgonovo
Ospite
|
| Inviato: Dom 06 Mag 2007 09:29 Oggetto: your italy |
|
|
On Sun, 6 May 2007 08:29:40 +0200
Davide Alberani <da@xxxxxx.xyz> wrote:
| Citazione: | On May 05, Ivan Sergio Borgonovo <mail@xxxxxx.xyz> wrote:
| Citazione: | Tipo free account su un sito ma per registrarsi bisogna
decodificare il captcha di un altro?
|
Yup; un'idea girata qualche secolo fa. A naso, dubito sia davvero
usata: probabilmente per il catchpa medio un ocr tarato ad-hoc e`
sufficiente.
|
mmm si, forse un ocr vale per un sito che ti può dare grandi
soddisfazioni... nel senso che ti tocca coinvolgere un umano pagato
per fare il tuning, poi può valere per installazioni di default di
cms, forum etc... che usano captcha conosciuti...
Avevo visto un papero su securityfocus che parlava di fare N
richieste per poi "mediare" sulle immagini e poi passarle a un ocr....
Sull'idea che una cosa generata da un computer può essere
"decodificata" in un tempo equivalente da un computer avrei i miei
dubbi.
Magari non è che si può capire dai log di erlug come effettivamente
abbiano fatto?
| Citazione: | | Citazione: | Per pura curiosità... ci sono paperi sull'argomento?
|
|
A parte il valore storico ho visto passare su securityfocus anche
proof of concept di codice per leggere alcuni captcha.
Qualche anonimo saprebbe indirizzarmi a qualche sito porno che usa
effettivamente la tecnica di human exploit?
Cioè la cosa mi sembra anche probabile... ma vorrei toccare con mano
il fenomeno e appunto non ho visto paperi che diano numeri in
proposito... (eg. il 30% dei captcha viene bucato con questo sistema,
il 10% con quest'altro etc... o roba simile...).
Quindi per le mie conoscenze potrebbe ancora trattarsi di una
leggenda metropolitana.
Ovviamente abbiamo evidenza che almeno il captcha di erlug è stato
bucato.
Per carità non mi stò lamentando del lavoro fatto... e non ho nemmeno
le competenze per sapere se poteva essere fatto meglio... infatti la
cosa mi incuriosisce...
_________________
Ivan Sergio Borgonovo
http://www.webthatworks.it |
|
| Top |
|
|
Nando Santagata
Ospite
|
| Inviato: Dom 06 Mag 2007 09:32 Oggetto: your italy |
|
|
On Sun, May 06, 2007 at 10:30:33AM +0200, Ivan Sergio Borgonovo wrote:
| Citazione: | Ovviamente abbiamo evidenza che almeno il captcha di erlug è stato
bucato.
|
Puo` darsi, ma non la considererei un'evidenza.
Ci sono sempre torme di studenti di paesi del terzo mondo pronti a tutto
per cinque dollari...
_________________
Rev. Nando Santagata: Telemastica & infornatica
You have reached Ritual Sacrifice. For goats, please press '1' or say 'goats'.
To sacrifice a loved one or pet, press the pound key. |
|
| Top |
|
|
Andrea Paolini
Ospite
|
| Inviato: Dom 06 Mag 2007 09:48 Oggetto: your italy |
|
|
On 6 May 2007, at 10:30, Ivan Sergio Borgonovo wrote:
| Citazione: | Qualche anonimo saprebbe indirizzarmi a qualche sito porno che usa
effettivamente la tecnica di human exploit?
|
Seee... bella scusa... :-P
Scherzi a parte, si dice in giro per Internet che i captcha più
comuni siano ordinariamente decodificati dagli spammer via OCR.
Una contromisura potrebbe essere chiedere la conferma della
registrazione via mail o usare un captcha che richieda il possesso di
facoltà logiche. Esempio:
* Quanto fa 3+3 ?
* Quale di queste immagini rappresenta Garibaldi?
* Nella foto sopra piove o c'è il sole?
- ap_______________________________________________
Erlug mailing list
Erlug@xxxxxx.xyz
http://erlug.linux.it/cgi-bin/mailman/listinfo/erlug
-----------------------------------------------------------
ErLUG webzine: http://erlug.linux.it
Manuali FDL:
LinuxFacile - http://www.linuxfacile.org
Linux Da Zero - http://erlug.linux.it/linuxdazero/
Connettivita' offerta da Ehiweb.it - http://www.ehiweb.it/
----------------------------------------------------------- |
|
| Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47
Messaggi: 953
|
| Inviato: Dom 06 Mag 2007 11:29 Oggetto: your italy |
|
|
On May 05, Davide Alberani <da@xxxxxx.xyz> wrote:
| Citazione: | Vedo che esistono alcuni sistemi di prevenzione un po' piu`
avanzati; nel weekend li testo.
|
Al momento ho messo su una mezza soluzione custom: all'atto
dell'iscrizione e` necessario selezionare da una lista il
nome dell'associazione, tra una serie di scelte credibili. <g>
Se vi capita, provatelo.
Suppongo i bot non siano cosi` avanzati da compilare i campi
ignoti con scelte a casaccio; se lo sono, non e` difficile
complicare le cose.
| Citazione: | I forum succhiano!!! ;-)
|
E lo straconfermo.
Ho visto cosa c'e` in giro: se devo diventare scimmia per manutenere
5000 righe di codice (pietoso, piu` spesso che no) scritto da altri,
preferisco una soluzione custom di 30 righe scritte da me.
Che magari fan pena uguale, ma...
_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/ |
|
| Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47
Messaggi: 953
|
| Inviato: Dom 06 Mag 2007 11:45 Oggetto: your italy |
|
|
On May 06, Andrea Paolini <ap@xxxxxx.xyz> wrote:
| Citazione: | | Citazione: | Qualche anonimo saprebbe indirizzarmi a qualche sito porno che
usa effettivamente la tecnica di human exploit?
|
Seee... bella scusa... :-P
|
Bel tentativo, Ivan! Gh. ;-)
| Citazione: | Scherzi a parte, si dice in giro per Internet che i captcha più
comuni siano ordinariamente decodificati dagli spammer via OCR.
|
Lo darei per certo anche nel nostro caso (no, non ho tempo ne`
voglia di ravanare nei log).
I captcha di default di phpbb2 sono questa cosa patetica:
http://erlug.linux.it/~da/tmp/captcha.png
Non c'e` neanche bisogno di fare supposizioni diverse dall'uso
di ocr, in un caso simile.
| Citazione: | Una contromisura potrebbe essere chiedere la conferma della
registrazione via mail o usare un captcha che richieda il possesso
di facoltà logiche.
|
Esatto.
Per ora ho impostato il dover selezionare l'entry giusta tra una
serie di opzioni.
Con questo non voglio dire che io non che abbia fiducia nelle facolta`
logiche di quel che sara` l'utente medio del nostro forum, ma... <g>
Secondo me dovrebbe bastare.
Se no, abbiam imparato una cosa nuova (no, non che i forum succhiano:
questo lo si sapeva gia` ;-)
_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/ |
|
| Top |
|
|
Ivan Sergio Borgonovo
Ospite
|
| Inviato: Dom 06 Mag 2007 12:00 Oggetto: your italy |
|
|
On Sun, 6 May 2007 10:48:31 +0200
Andrea Paolini <ap@xxxxxx.xyz> wrote:
| Citazione: | On 6 May 2007, at 10:30, Ivan Sergio Borgonovo wrote:
| Citazione: | Qualche anonimo saprebbe indirizzarmi a qualche sito porno che usa
effettivamente la tecnica di human exploit?
|
Seee... bella scusa... :-P
|
No... è che mia moglie i captcha me li fa in cinese e quindi sai...
| Citazione: | Scherzi a parte, si dice in giro per Internet che i captcha più
comuni siano ordinariamente decodificati dagli spammer via OCR.
|
Mi sembra come la scia di disastri che ha causato per lungo tempo
anche formail.pl
Ovvero ci saranno in giro un set di script per captcha ben conosciuti
e deboli che la gente continua ad usare.
Epperò anche in termini di economia... supponiamo che decodificare un
captcha richieda 1000 volte più tempo che crearlo... se poi si buca
un forum con 10000 iscritti, pubblico, che viene indicizzato su
google etc... forse vale ancora la pena consumare tempo macchina.
Il ladrocinio dello spam infatti non è più solo una questione di
risorse in termini di "banda passante" e tempo altrui ma di
parassitismo nei confronti dei contenuti, di lavoro redazionale.
Ovvero... non è solo come occupare la sede di una TV per trasmettere a
sbafo la propria pubblicità, ma trasmetterla all'interno di contenuti
che per la TV hanno un costo di produzione (sociale o economico).
Quindi forse anche buttarci dentro del bel tempo macchina ha comunque
un tornaconto economico sufficiente.
| Citazione: | Una contromisura potrebbe essere chiedere la conferma della
registrazione via mail o usare un captcha che richieda il possesso
di facoltà logiche. Esempio:
|
| Citazione: | * Quanto fa 3+3 ?
|
Questo è quasi facile da generare... ma anche da rispondere una volta
che la macchina ha fatto ocr
| Citazione: | * Quale di queste immagini rappresenta Garibaldi?
|
| Citazione: | * Nella foto sopra piove o c'è il sole?
|
Queste invece richiedono un umano e come diceva il post... dovresti
offrire free porn per gente che ti crea captcha. Poi la gente che
vuole bucarli offrirebbe a sua volta free porn.
Liberaliziamo il porn.
BTW sicuramente vi sarete accorti dello spam contenente gif animate
anti captcha...
_________________
Ivan Sergio Borgonovo
http://www.webthatworks.it |
|
| Top |
|
|
Andrea Paolini
Ospite
|
| Inviato: Dom 06 Mag 2007 17:22 Oggetto: your italy |
|
|
On 6 May 2007, at 12:45, Davide Alberani wrote:
| Citazione: | | Citazione: | | Citazione: | Qualche anonimo saprebbe indirizzarmi a qualche sito porno che
usa effettivamente la tecnica di human exploit?
|
Seee... bella scusa... :-P
|
Bel tentativo, Ivan! Gh. ;-)
|
Ci stava bene un goatse, mi sono trattenuto a stento... :-)
| Citazione: | | Citazione: | Scherzi a parte, si dice in giro per Internet che i captcha più
comuni siano ordinariamente decodificati dagli spammer via OCR.
|
Lo darei per certo anche nel nostro caso (no, non ho tempo ne`
voglia di ravanare nei log).
I captcha di default di phpbb2 sono questa cosa patetica:
http://erlug.linux.it/~da/tmp/captcha.png
|
Sì, sono abbastanza semplici - ad occhio - da verificare via OCR.
| Citazione: | | Citazione: | Una contromisura potrebbe essere chiedere la conferma della
registrazione via mail o usare un captcha che richieda il possesso
di facoltà logiche.
|
Esatto.
Per ora ho impostato il dover selezionare l'entry giusta tra una
serie di opzioni.
|
Ottima idea. Secondo me potrebbe essere sufficiente a tenere lontani
gli spambot. Vediamo se resiste...
| Citazione: | Se no, abbiam imparato una cosa nuova (no, non che i forum succhiano:
|
Confessalo che ti penti amaramente di aver messo mano a quel nido di
vespe[*] che sono i forum, e che non lo rifarai MAI PIÙ :-)
- ap_______________________________________________
Erlug mailing list
Erlug@xxxxxx.xyz
http://erlug.linux.it/cgi-bin/mailman/listinfo/erlug
-----------------------------------------------------------
ErLUG webzine: http://erlug.linux.it
Manuali FDL:
LinuxFacile - http://www.linuxfacile.org
Linux Da Zero - http://erlug.linux.it/linuxdazero/
Connettivita' offerta da Ehiweb.it - http://www.ehiweb.it/
----------------------------------------------------------- |
|
| Top |
|
|
|
Forum Subscriptions
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
