- 1
- 2
- 3
- 4
Пришла в голову интересная идея. В говнокодике символы для капчи
генерируются через mt_rand, почему бы нам не устроить атаку по времени?
Если сделать так, что бы запрос дошёл именно в нужное время, то можно
будет угадать всю цепочку значений mt_rand. Или нет?
inho 15.02.2018 00:05 # 0
vistefan 15.02.2018 00:10 # +1
inho 15.02.2018 00:11 # 0
SemaReal 20.02.2018 01:31 # 0
g0_1494089131830 20.02.2018 01:32 # 0
inho 15.02.2018 00:07 # 0
vistefan 15.02.2018 00:16 # +6
syoma 15.02.2018 00:19 # 0
inho 15.02.2018 00:27 # 0
vistefan 15.02.2018 00:31 # +2
В половине случаев капча, где номера домов с гугл мапс, пропускает любую чушь, потому что ещё сама не знает правильного ответа. Это потом, когда уже достаточно статистики соберётся для конкретной картинки, она начинает ругаться.
А в той, где дорожные знаки, автомобили, дороги, автобусы и витрины, обучаемая распознавалка образов, которая тоже вполне может показать тебе картинку, ответ на которую ещё не знает, ну или знает, потому что люди со всего мира бесплатно обучили робота гуглу, и он делает на этом деньги.
syoma 15.02.2018 00:51 # 0
vistefan 15.02.2018 01:50 # 0
vistefan 15.02.2018 02:08 # 0
vistefan 15.02.2018 02:08 # 0
vistefan 15.02.2018 02:08 # 0
vistefan 15.02.2018 02:09 # 0
vistefan 15.02.2018 02:09 # 0
vistefan 15.02.2018 02:09 # +3
syoma 15.02.2018 02:14 # 0
g0_1494089147006 15.02.2018 05:26 # 0
inho 15.02.2018 09:38 # 0
g0_1494089147006 15.02.2018 09:38 # 0
inho 15.02.2018 09:37 # 0
Непонятно только одно - зачем гуглу обучаться на витринах, дорожных знаках (а именно знать о их присутствии или отсутствии)?
g0_1494089147006 15.02.2018 09:37 # 0
vistefan 15.02.2018 10:27 # +2
g0_1494089147006 15.02.2018 10:27 # 0
1024-- 15.02.2018 20:29 # +3
g0_1494089147006 15.02.2018 20:29 # 0
vistefan 15.02.2018 20:43 # 0
Нет, рекапчу отгадывать не надо, потому что гугломобиль это даже ещё хуже, чем постоянная слежка по гпс. Кроме того, обучение машины - не главная цель, сама способность гугла отгадывать гугл капчу позволяет за деньги писать на миллионах сайтов, использующих её, отзывы про что угодно, комментарии "голосуйте за %username%", ну ты понимаешь.
g0_1494089147006 15.02.2018 20:43 # 0
1024-- 15.02.2018 21:45 # +1
Погодите, насколько я понимаю, сама способность гугла внедрять гугл капчу позволяет за деньги писать на миллионах сайтов, использующих её, отзывы про что угодно, комментарии "голосуйте за %username%". Просто генеришь для своих ботов бэкдорную капчу, говоришь "да", когда сайт просит верифицировать - и дело в шляпе.
Сама способность гугла отгадывать гугл капчу позволяет за деньги писать на миллионах сайтов, не использующих её, отзывы про что угодно, комментарии "голосуйте за %username%", поскольку есть способность разгадывать капчи.
syoma 15.02.2018 21:47 # −3
1024-- 15.02.2018 21:48 # +1
Рекомендую прочитать. Не вореции.
P.S. Это всё Пи. Когда вокруг пишут бредотексты, после некоторого момента нормальные тексты начинают читаться как бред. Интересное явление, в общем-то.
syoma 15.02.2018 21:59 # −3
1024-- 15.02.2018 22:07 # +1
Какой багор
Лайк коммент подписка
Скатился отписуюсь
Первыйнах
Всё предельно просто, ожидаемо, понятно и доступно массам.
Soul_re@ver 15.02.2018 22:13 # +7
3.14159265 02.03.2018 22:38 # +2
Ха-ха-ха. И потом наоборот, если долго не спамить, а писать длинные адекватные посты по делу, то потихоньку все привыкнут их читать. И вот затем просто так кроме gpl считаешь раком и хорошие видимо условия труда для себя.
А именно знать о их присутствии или заранее задачу так ставить, это вореция. Рекомендую выражаться понятнее. Vistefan срывает покровы хотя, можно его знают сразу и дают в сях не использует в гробах, затормозив вращение земли на какие-то капчи для конкретной картинки, она начинает ругаться.
minusinho 02.03.2018 22:44 # 0
vistefan 15.02.2018 21:53 # 0
vistefan 15.02.2018 22:08 # 0
Поэтому лучше научить бота разгадывать капчу. Программисты рады, что им машин-лёрнинг дали пописать, овнеры сайтов рады, что спам не лезет, робот рад, что его обучают. А натравить его на какие-то капчи для разгадывания при необходимости заинтересованные лица могут самостоятельно, никого не посвящая в свои планы.
1024-- 15.02.2018 22:24 # 0
Хотя, можно просто отключать капчу на время или заранее придумать какое-нибудь криптостойкое 42 (меняющееся со временем и т.п., т.к. его знают сразу и клиент, и сервер) вместо честного ответа для валидации своих.
vistefan 15.02.2018 22:41 # 0
g0_1494089147006 16.02.2018 08:57 # 0
g0_1494089147484 17.02.2018 21:49 # 0
SemaReal 20.02.2018 04:45 # 0
капча проверяется на серверах гугла, гугл (при желании) может принять любую капчту если ему прикажет тайное мировое правительство
SemaReal 20.02.2018 01:30 # +1
Думайте, пожалуйста, быстрее: наш уникальный самоуправляемый автомобиль скоро врежется
g0_1494089131830 20.02.2018 01:30 # 0
roman-kashitsyn 20.02.2018 13:27 # 0
Даже бинарная классификация (есть знак/нет знака) может быть очень полезной. Пайплайны ML могут быть довольно длинными, хороший бинарный классификатор можно использовать как препроцессор или для сбора данных для обучения категориального.
g0_1494089131830 20.02.2018 13:27 # 0
roman-kashitsyn 20.02.2018 13:21 # 0
Рекапча обычно задаёт два вопроса: в ответе на первый она уверена, в ответе на второй нет. Когда набирается достаточно ответов на второй, подкреплённых правильным ответом на первый, он переходит в первую категорию.
g0_1494089131830 20.02.2018 13:21 # 0
SemaReal 20.02.2018 01:28 # 0
ты, наверное, любую лицензию кроме GPL считаешь раком и говном?
g0_1494089131830 20.02.2018 01:28 # −1
vistefan 20.02.2018 13:11 # 0
g0_1494089131830 20.02.2018 13:11 # 0
syoma 15.02.2018 00:18 # 0
inho 15.02.2018 10:40 # 0
g0_1494089147006 15.02.2018 10:40 # 0
inho 15.02.2018 15:34 # 0
g0_1494089147006 15.02.2018 15:34 # 0
g0_1494089147006 15.02.2018 07:40 # 0
inho 15.02.2018 15:35 # 0
g0_1494089147006 15.02.2018 15:35 # 0
syoma 20.02.2018 03:17 # 0
SemaReal 20.02.2018 04:06 # 0
syoma 20.02.2018 04:10 # 0
SemaReal 20.02.2018 04:24 # 0
Если это псевдослучайный генератор то зная алгоритм и seed ты можешь узнать что выдаст следующий rand.
Взять, к примеру, такую программу
У меня она всегда выдает
А вот как узнать seed наверное зависит от программы. Вероятно не зная seed можно его вычислить если иметь достаточно большое количество rand()ов
Для настоящих задач используются настоящие генераторы случайности, но вроде бы переносимого способа в сях не было. Но в каждой OS есть для этого API
syoma 20.02.2018 04:31 # 0
> настоящие генераторы случайности
Скажем так, менее предсказуемые.
SemaReal 20.02.2018 04:35 # 0
>>Скажем так, менее предсказуемые.
ну есть и ОЧЕНЬ слабо предсказуемые, некоторые для seedа требуют от пользователя набрать 20 случайных клавиш на клаве, это довольно сложно угадать
syoma 20.02.2018 04:36 # 0
SemaReal 20.02.2018 04:40 # +1
syoma 20.02.2018 04:52 # 0
Так кроме брута никак? И как на винде брутать прыщавый ренд?
inho 20.02.2018 09:34 # 0
У меня на винде 7 выдаёт
175
400
17869
30056
g0_1494089131830 20.02.2018 11:02 # 0
roman-kashitsyn 20.02.2018 11:54 # 0
Если там LGC используется, то по одному-двум наблюдениям восстановить сид тривиально. Однако, скорее всего, там linear additive feedback[1], с ним возни побольше.
[1]https://www.mscs.dal.ca/~selinger/random/
g0_1494089131830 20.02.2018 11:54 # 0
syoma 20.02.2018 19:04 # −1
syoma 20.02.2018 04:35 # 0