Propozycje modyfikacji - [szukam] Logowanie z captch
cocoban - 22-01-2011, 15:45
elee napisał/a: | No dobrze, a gdyby do prób logowania dołączyć sesje? |
Zanim wciśniesz "Zaloguj" to sesja jest pusta.
elee napisał/a: | Jeśli user jest wylogowany, ma doklejony klucz sesji nawet podczas ponownego logowania. Czy to nie byłoby wystarczające "rozpoznanie", że to ten sam użytkownik próbuje logować się po raz drugi? |
To jest przypadek kiedy użytkownik po zakończonej wizycie na forum wciska "wyloguj", a później w ramach tej samej sesji wciska "Zaloguj".
Chyba, że piszesz o czymś innym?
BliSki napisał/a: | I to się chwali. |
Dzięki
elee - 22-01-2011, 15:54
@wenu
Kod: | $resp = recaptcha_check_answer ($privatekey, $_SERVER["REMOTE_ADDR"], $_POST["recaptcha_challenge_field"], $_POST["recaptcha_response_field"]); |
dodaj przed {
Kod: | if ( md5($password) == $row['user_password'] && $row['user_active'] )
|
Usuń przed {
----------------------------------------------------------
Cytat: | Zanim wciśniesz "Zaloguj" to sesja jest pusta. |
No właśnie, zanim wciśniesz zaloguj, to sesja jest pusta. I ta sesja jest pusta jak zalogujesz się źle i chcesz się zalogować znowu i znowu klikasz "zaloguj" i masz pustą sesję - w ten sposób forum nie wie, czy loguje się ten sam użytkownik czy nie. Jeśli ta sesja wchodziłaby od razu przy wejściu na login.php byłaby możliwość rozpoznania użytkownika - czyli jeśli loguje się dana sesja i pierwszy login jest nieudany - ładujemy na tą sesję filtr recaptcha. Nie wiem czy wyrażam się jasno I pojęcia nie mam czy to trudne do oprogramowania i czy to w ogóle możliwe (mam bardzo teoretyczne pojęcie o PHP).
cocoban - 22-01-2011, 16:52
elee napisał/a: | Jeśli ta sesja wchodziłaby od razu przy wejściu na login.php byłaby możliwość rozpoznania użytkownika - czyli jeśli loguje się dana sesja i pierwszy login jest nieudany - ładujemy na tą sesję filtr recaptcha. Nie wiem czy wyrażam się jasno |
Chyba rozumiem o co Ci chodzi Ale to niemal identyczne rozwiązanie jak z ilością błędnych prób logowania Zamiast sesji można też sprawdzać adres IP.
Niestety, moja wiedza w temacie php i forum jest w okolicy 0, więc ja już się tego nie podejmę
elee napisał/a: | I pojęcia nie mam czy to trudne do oprogramowania i czy to w ogóle możliwe (mam bardzo teoretyczne pojęcie o PHP). |
Też nie wiem, ale nie bądź już taka skromna z tą wiedzą
Śmiem sądzić, że więcej jej posiadasz niż ja czy niektórzy piszący na forum użytkownicy
Programowanie to jednak nie jest moja gałąź więc wystarczają mi te podstawy, które mam.
Mam nadzieję, że któryś z "mocniejszych" kolegów zabierze głos w sprawie pomysłów tutaj przedstawianych.
Pozdrawiam,
wenu - 22-01-2011, 17:48
dla nowych userow mozna tez wprowadzic odmienny login niz nick w tym wypadku bot nie bedzie miał skąd skopiwoac loginu ale tak jak mówie pomoze to tylko nowym usera . chyba zeby zmusić starych do wygenerowania loginu do logowania wtedy boty beda sie błąkać z błednymi danymi . Zastanawia mnie co one maja na celu ? zalogowac sie i spamować? zapewne atakują słownikiem wiec ich skuteczność jest mniejsza niz 0 :< a tylko utrudniają zycie grr
PS: dokaldnie chodzi mi o ten mod
http://www.przemo.org/php...pic.php?t=97525
tylko musiał by być napisany do niej dodatek . Ktory zmusi usera do utworzenia uniklanego loginu oraz wytlumaczy na czym to polega
maminowiec - 22-01-2011, 17:51
Mogę na szybko zrobić taką mini modyfikacje , czyli po błędym zalogowaniu pojawi sie dodatkowe pytanie.
Demko: http://maminowiec.cba.pl/index.php
ktoś zainteresowany ?
cocoban - 22-01-2011, 18:04
Cytat: | Mogę na szybko zrobić taką mini modyfikacje , czyli po błędym zalogowaniu pojawi sie dodatkowe pytanie. |
http://www.przemo.org/php...p=626194#626194
z dodatkiem warunku, że user_badlogin > 1 ?
Czy takim nad którym się rozwodzimy powyżej ;D ?
wenu napisał/a: | dla nowych userow mozna tez wprowadzic odmienny login niz nick w tym wypadku bot nie bedzie miał skąd skopiwoac loginu |
Zrobi się bałagan w loginach i nickach... nawet jakby dodać jakiś ciąg znaków do nowej kolumny w bazie userlogin+"_9334", też bot by się nie zalogował, ale przekonaj ludzi do zmian
wenu napisał/a: | Zastanawia mnie co one maja na celu ? zalogowac sie i spamować? zapewne atakują słownikiem wiec ich skuteczność jest mniejsza niz 0 :< a tylko utrudniają zycie grr
|
Logując się z sukcesem na Twoje konto istnieje szansa, że pozna Twoje prawdziwe dane z profilu, podpisu. Adres e-mail, gg, strona www... czasami telefon... wszystko do tego, żeby przygotować dobrą ofertę spamu ;D
maminowiec - 22-01-2011, 18:07
cocoban, z warunkiem sprawdzania
jeśli user wpisał złe dane to za drugim podejściem pokazuje mu sie wymyślone przez nas pytanie na które musi odpowiedzieć. Jeśli zalogował sie poprawnie to nie ma pytania.
cocoban - 22-01-2011, 18:09
Widzę! Działa tak, jak próbowała chyba przedstawić to koleżanka elee.
Generalnie można to połączyć z reCaptchą?
maminowiec - 22-01-2011, 18:13
cocoban, można to połączyć z czym sie chce tylko ja jestem przeciwny używania capatchy.
cocoban - 22-01-2011, 18:15
maminowiec napisał/a: | cocoban, można to połączyć z czym sie chce tylko ja jestem przeciwny używania capatchy. |
No okej, okej... każdy zrobi w/g własnego uznania
Tylko podziel się wiedzą z nami, żebyśmy mogli skorzystać z Twojego rozwiązania
Pozdrawiam,
[ Dodano: 22-01-2011, 18:21 ]
Ale logując się już z innego IP, czy nawet z innej przeglądarki nie dostaje już pytania?
Czyli jeśli będzie 5 logowań z rzędu na tego samego usera, ale z różnych maszyn, spowoduje blokadę konta, tak?
maminowiec - 22-01-2011, 18:23
proszę instrukcja
Skrypt wykorzystuje sesje a sesje są przechowywane po stronie serwera więc po zmienie IP dalej jest pytanie a po zmianie przeglądarki nie ma pytania.
cocoban - 22-01-2011, 18:28
maminowiec napisał/a: | Skrypt wykorzystuje sesje a sesje są przechowywane po stronie serwera więc po zmienie IP dalej jest pytanie a po zmianie przeglądarki nie ma pytania. |
A czy BOTy nie działają tak, jakby leciały z innych przeglądarek, komputerów, itp. itd.?
Po wyczyszczeniu cookiesów za każdym złym logowaniem, pytanie się nie pojawia, chyba że coś źle robię?
maminowiec - 22-01-2011, 18:30
cocoban, zależy jaki bot , nie wiem czy zmieniają przeglądarki czy nie. Po wyczyszczeniu cookies pytanie znika.
cocoban - 22-01-2011, 18:37
maminowiec napisał/a: | cocoban, zależy jaki bot , nie wiem czy zmieniają przeglądarki czy nie. Po wyczyszczeniu cookies pytanie znika. |
Te chujki są wyjątkowo złośliwe. W logach apache to samo ip przedstawiało się z różnymi browserami ;/ Nawet myślałem o tym, żeby .htaccess'em eliminować nieznane przeglądarki.
Ale dzięki Twojej instrukcji czegoś nowego się nauczyłem, więc dzięki.
Teraz chyba każdy będzie miał coś dla siebie... ze wszystkich rozwiązań, można wybrać coś pod swoje preferencje. Dobra robota.
Pozdrawiam,
maminowiec - 22-01-2011, 19:03
Zawsze można zmienić link do logowania , a na stronie głównej zamiast tekstowej formy linka zastosować obrazkową. Wtedy boty nie mają dostępu do logowania bo nie znają adresu. Nie ma rozwiązań idealnych , ale zawsze można utrudnić im życie. Boty robione są pod dany skrypt , więc wystarczy ingerencja w kod html i bot będzie miał trudności.
ps.
Ja tylko czekam aż boty zlecą sie na moje testowe forum i będę sie z nimi bawił
|
|
|