О новом тесте тьюнинга на сайте

SATtva прокомментируйте пожалуйста:

Боб считает хеш значания всех картинок теста тьюнинга на данном сайте.
Считает хеш каждой из скаченой картинки.
Каждому хешу присвает значение, тоесть то что он видит.

Программа злоумышленника:

Загружаем форум;
Ищем картину;
Считаем хеш;
Если хеш совпадает с тем что есть в базе подставляем значение в форму X.
Иначе
Перезагружаем страницу;
Возврат

Комментарии

—	serzh (13/10/2007 05:03) профиль/связь <#> комментариев: 232 документов: 17 редакций: 99

При показе картинки в оригинале изменяются некоторое количество бит, поэтому хэш каждый раз будет разный. Попробуйте следующее:

Сохраните картинку.
Перезагрузите страницу.
Снова сохраните картинку.
Посчитайте хэши двух файлов.

И всё станет ясно =)

—	Ben_Laden (13/10/2007 16:09) <#>

Есть вероятность и она довольно велика что значение все равно подойдет под картинку, т.к. эта вероятность определяется кол-вом картинок и ничем либо другим. Получается что вероятность поподания = кол-во картинок.

—	SATtva (13/10/2007 22:13, исправлен 13/10/2007 22:15) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Как мы делаем картинку:

Имеем базу данных с некоторым (небольшим) числом картинок.
При загрузке страницы произвольным образом выбираем из базы любое изображение (плюс прогоняем несколько тестов на пригодность файла, но это в данном рассмотрении несущественно).
Применяем к исходному графическому файлу ряд трансформаций:
1. уменьшаем до приемлемого разрешения с функцией сглаживания;
2. случайно изменяем яркость от минуса до плюса в некоторых пределах;
3. случайно поворачиваем в пределах 20 градусов по или против часовой стрелки;
4. кадрируем и сдвигаем точку обзора (опять же, на случайные значения).
Полученное кэшируем и отдаём клиенту.

В принципе, вариантов искажений для каждой картинки конечное количество, поскольку для значений параметров не используются числа с плавающей точкой. Но с практической точки зрения это не столь важно — их всё равно слишком много, чтобы у Вас была возможность их все просчитать и предугадывать. Если кому-то захочется атаковать эту схему, более разумное направление (по секрету, не говорите никому!) — это нечёткие хэши (fuzzy hash), шинглы и т.п. приёмы нечёткой логики. Антиспамеры их разрабатывают довольно эффективно (в том числе и таким образом удаётся браковать сообщения с частично меняющимся текстом).

Добавлено:
Если кто-то считает, что таких искажений недостаточно, можно элементарно накладывать на картинку псевдослучайный текст (хэш, скажем, от метки времени и некоего секрета) мелким шрифтом. Это даст число возможных изображений, стремящееся к бесконечности.

—	SATtva (13/10/2007 22:39) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Что-то намудрил я насчёт нечёткой логики: это ж двоичный объект, а не текст с искажениями... Ну да ладно, пусть наши враги идут ложным путём. ;-) А правильный-то — распознавание образов — мы никому не скажем, ни-ни!

—	ent1 (13/10/2007 22:50) <#>

Думаю сравнивать по байта картинки не будут. Если этот тест получит распространение и его будут использовать на многих сайтах, то будут использовать программы для поиска похожих картинок (что-то похожее есть для win32, например ImageDupeless).

Незначительные изменения картинки (вроде манипуляций с альфа каналом, добавления разных надписей, небольшой поворот) не принесут никакого результата. Насчет кадрирования – пока не знаю, если смещение или поворот вокруг оси будет заметным, то... просто поправят прогу для поиска похожих картинок.

Так что метод будет работать, пока им не заинтересуются "злостные спамеры". Прийдется придумывать доп защиту.

Но идея теста мне понравилась, ненапряжный, позитивный, именно тест "на человека", а не на биологическийOCR, когдае приходится ломать глаза пытаясь определить задисторшенные буквы.

—	*Гость* (14/10/2007 00:12) <#>

Если этот тест получит распространение и его будут использовать на многих сайтах, то будут использовать программы для поиска похожих картинок (что-то похожее есть для win32, например ImageDupeless).

Это ресурсоёмко и сложнореализуемо. Спамеры не станут этим заниматься.

Переименуйте, пожалуйста, тему.

—	*Гость* (14/10/2007 03:22) <#>

Переименуйте, пожалуйста, тему.

Тюнинг капчи, всё верно. Что не так?

—	unknown (14/10/2007 21:37) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Тюнинг капчи, всё верно. Что не так?

Тюнинг теста Тьюринга, ага :-)

Да все эти навороты с капчой всего лишь предлог для наивных пользователей и служат только для отвода глаз.
На самом деле SATtva отрабатывает на этих картинках алгоритмы организации стегонаграфическикого канала повышенной скрытности для передачи сообщений
особо посвящённым гостям, :-)
То что это позволяет защищать сайт от спамеров всего лишь побочный эффект.

—	SATtva (14/10/2007 21:50) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Факт. Просто текстовые капчи не позволяли передавать достаточно крупные сообщения, так что подход было решено изменить.

—	ent1 (14/10/2007 22:01) <#>

SATtva
Факт.

Ну и как это понимать? Что-то я явно пропустил в этой жизни :)

unknown
для передачи сообщений особо посвящённым гостям

Остается надеяться, что это используется НЕ для получения какой-то информации об особо НЕпосвященных гостях :)

—	ent1 (14/10/2007 22:26) <#>

<[ Просто текстовые капчи не позволяли передавать достаточно крупные сообщения<[
Ну почему же ;) Если сделать текстовую капчу этак на 0xFF символов – вот это будет сильно! :) Такую пройти смогут только очень неленивые пользователи.

—	*Гость* (14/10/2007 23:47) <#>

капчу этак на 0xFF символов

Это будет квалифицировано как "склонение к регистрации" :)

—	SATtva (15/10/2007 16:01) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

> Это будет квалифицировано как "склонение к регистрации" :)

Принуждение к регистрации.

Ваша оценка документа [показать результаты]