Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

triplexim32

Qual o melhor método para detectar multi-accounts nos nossos sites?

Mensagens Recomendadas

triplexim32

A maioria usa a restrição de IP mas toda a gente sabe que facilmente se muda o IP em 2min.

Estive a ver o chatroulete e foi banido e mesmo mudando o IP ou trocando de browser aquela coisa dizia sempre banido...

Não percebi bem como, ideias?


<

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco

Sim mas bots, não correm flash... Muita gente, também não tem flash (por exemplo o caso dos utilizadores de iphone e outros dispositivos móveis), ou bloqueia o flash por omissão (desbloqueando só quando quer). Sem contar que há uma diferença entre detectar existentes e impedir novas, são assuntos diferentes.

Não é fácil mudar de IP de dois em dois minutos... A maior parte dos ISP atribui o mesmo IP ao mesmo cliente durante vários dias.

O melhor a fazer é utilizar um sistema de convites, que só pode ser utilizado ao fim de x tempo e/ou de haver determinado tipo/quantidade de actividade. Isto deve desincentivar muita gente de criar diversas contas. Mas acho que não deves gastar demasiado tempo e energia nisso, é algo inevitável. É melhor gastares tempo a oferecer funcionalidades úteis (satisfazer as suas necessidades) aos utilizadores de forma a que eles estejam tão entretidos com elas, que nem sintam vontade disso.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
triplexim32

yoda:

Sim também já tinha pensado nisso, existe até uma cena feita em java, mas é algo visível no sistema pois aparece o icon do java na bandeja. Mas não pede para aceitar nada sequer, corre directo.

Sobre essa cena do MacAddress no flash, é preciso aceitares algo ou isso passa silenciosamente?

Não gostava de ter os membros a verem que estão a ser controlados.

falco:

Depende do ISP, eu consigo mudar de ip quantas vezes quiser ao dia e facto é que muda sempre q quero.

True, sistema de convites ajuda mas nunca é pouco quando se está a falar de melhorar a qualidade dos "bastidores" do site :)


<

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco
True, sistema de convites ajuda mas nunca é pouco quando se está a falar de melhorar a qualidade dos "bastidores" do site

Devias querer dizer que nunca é muito...

Sim mas há coisas que nas quais não vale a pena perder muito tempo e energia. Pois muitas vezes podemos obter os mesmos benefícios de formas indirectas.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn

Hum...

Na minha opinião, se o teu problema são os 'bots' ... Um sistema de "validação por e-mail" + captcha + ip... acho que proporciona já uma protecção engraçada :) Além de que, se assim pretenderes, valida mais 2 coisas... o "user-agent", ou browser vá, e o nome do 'pc' do utilizador... Assim, primeiro o bot tem que conseguir validar por e-mail (não é impossível) conseguir passar por um captcha (também não é impossível... Depende do tipo de captcha, etc) ainda mudar de ip, simular um browser válido e por fim alterar o nome do computador.

Quanto ao MAC Address... isso até é giro e tal, mas nem todos os sites usam flash e para iphone por exemplo, nem corre :D (isto remete à tal cena do HTML5 vs FLASH) :P

Abraço

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco
Um sistema de "validação por e-mail" + captcha + ip... acho que proporciona já uma protecção engraçada

Validação por e-mail também pode ser facilmente batida por bots.

Os captchas também têm os seus problemas. Não só muitos têm problemas de acessibilidade, como muitos sistemas podem ser quebrados. Acho que um sistema desses é inferior a um sistema de convites que só possam ser feitos por utilizadores validados.

Quanto ao MAC Address... isso até é giro e tal, mas nem todos os sites usam flash

Não só issso como também se pode forjar o MAC...

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
IceBrain

Não encontrei nenhum site que mostre como é que se lê a MAC a partir de Flash, duvido que seja possível; aliás, até para obter a IP parece que é preciso pedi-la ao servidor.

Eu concordo com a solução dos convites, mas por outro lado, se eu tivesse que andar a "mendigar" por convites para ver o que é o Chatroulete não me tinha dado ao trabalho. É uma boa forma de desincentivar novos utilizadores que não venham recomendados por outros users já existentes.

Se o problema são bots, eu implementaria um sistema de Captchas baseado em perguntas/respostas em texto.


❝The idea that I can be presented with a problem, set out to logically solve it with the tools at hand, and wind up with a program that could not be legally used because someone else followed the same logical steps some years ago and filed for a patent on it is horrifying.❞- John Carmack on software patents

A list  of command line apps

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn

Validação por e-mail também pode ser facilmente batida por bots.

Os captchas também têm os seus problemas. Não só muitos têm problemas de acessibilidade, como muitos sistemas podem ser quebrados. Acho que um sistema desses é inferior a um sistema de convites que só possam ser feitos por utilizadores validados.

Não só issso como também se pode forjar o MAC...

=) Tens razão falco... Actualmente estás a responder da seguinte maneira "Ah o sistema de convites é o único sistema possível" ....

Ou seja, imagina por exemplo um site em que precises que os utilizadores se registem (ou seja, algo diferente de sites como BTnext -_- ) para efectuarem compras, etc... usarem um serviço teu...

Numa fase inicial (e porque acredito que depois os convites seriam enviados pelos já existentes, certo?) tu só irias permitir a entrada/acesso ao teu serviço a pessoas que te pedisse convite certo? E isto tá bom, se for um serviço comunitário ou um serviço pelo qual as pessoas se dariam a tal trabalho.

Logicamente se fosse um projecto e-commerce, ou que representasse algum tipo de negócio... bem digamos que dependias bastante de nºs de convites, pessoas que dessem convites, etc.... Muito limitativo.

A segurança, por muito lógico que seja o que vou dizer, é "sempre quebrável" desde que siga um padrão lógico. Se, por exemplo, eu recebesse um convite e (por conseguinte) tivesse acesso a 10 convites por exemplo e, usasse esses 10 convites para 10 bots meus que, dessem convites a mais 10 bots cada um... Em coisa de algum tempo teria cerca de 10 elevado a n convites :)

Isso é relativo...

Acho que a segurança se faz pelo maior número de 'triggers lógicos' que possamos ter que desbloquear... Normalmente um bot tenta X coisas para desbloquear a segurança .... Porquê? Porque é programado para tal e (embora a AI esteja desenvolvida) ele não aprende outros triggers lógicos a não ser que pense como um programador :D

Tu, quando fazes um bot não sabes à partida que defesas um site implementou... sabes visualmente e programa-lo para tal... mas e em background?

Digo eu claro, que não percebo nada disto...

Abraço

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco

=) Tens razão falco... Actualmente estás a responder da seguinte maneira "Ah o sistema de convites é o único sistema possível" ....

Acho que devias começar a ter mais cuidado com o português. Actualy e actualidade, não são sinónimos.

Não, não estava a dizer que é o único possível. Estava a dizer que acho que não considerando nenhum caso em particular, é o sistema que acho, suficientemente eficiente para valer a pena implementar.

Ou seja, imagina por exemplo um site em que precises que os utilizadores se registem (ou seja, algo diferente de sites como BTnext -_-

Não conheço...

Numa fase inicial (e porque acredito que depois os convites seriam enviados pelos já existentes, certo?) tu só irias permitir a entrada/acesso ao teu serviço a pessoas que te pedisse convite certo? E isto tá bom, se for um serviço comunitário ou um serviço pelo qual as pessoas se dariam a tal trabalho.

Não!

Isso são detalhes de implementação de um sistema de convites, nunca disse qual o modelo específico que utilizaria. E neste momento não vou falar. Talvez possa falar daqui a algum tempo. Mas posso dizer que ainda não vi nada igual ao que eu acho que seria melhor. E em caso algum esse sistema me daria qualquer trabalho.

Logicamente se fosse um projecto e-commerce, ou que representasse algum tipo de negócio... bem digamos que dependias bastante de nºs de convites, pessoas que dessem convites, etc.... Muito limitativo.

Nesse caso eu teria de pensar ser queria de facto evitar que as pessoas tivessem multiplas contas, com um sistema para combater isso. O mais provável que é que não quisesse. Quero que comprem, não me interessa muito se compram de contas diferentes, aliás só teriam a perder com isso, por perderem eventuais hipóteses de descontos por fidelidade, etc...

A segurança, por muito lógico que seja o que vou dizer, é "sempre quebrável" desde que siga um padrão lógico. Se, por exemplo, eu recebesse um convite e (por conseguinte) tivesse acesso a 10 convites por exemplo e, usasse esses 10 convites para 10 bots meus que, dessem convites a mais 10 bots cada um... Em coisa de algum tempo teria cerca de 10 elevado a n convites

O sistema que quero experimentar foi pensado para combater vários problemas de várias naturezas diferentes. O exemplo que deste, é um dos que espero que não sejam possíveis com o que quero experimentar, provavelmente é possível fazer outras coisas, mas não isso, nem outras coisas. Não espero ter um sistema infalível, apenas que seja suficientemente sólido, para que faça com que prefiram os benefícios que vou oferecer a quem utilizar bastante a sua conta (que não podem ser obtidos se dispersarem a sua actividade por diversas contas), em vez do trabalho e do tempo que vão ter que gastar para implementar e executar uma forma de explorar o sistema.

Quando tiver implementado e testado falo dele. Não gosto muito de falar de vapor...

Tu, quando fazes um bot não sabes à partida que defesas um site implementou... sabes visualmente e programa-lo para tal... mas e em background?

Não?

Se eu fizer um bot, faço tendo em conta a inteligência (dados e testes) que recolhi a respeito do site que seleccionei. Claro que dificilmente isto funcionaria à primeira contra algo que não fosse básico, mas com uma boa recolha de inteligência acabas por conseguir alguma coisa, nem que seja temporariamente.

O que dizes faz sentido. Há é muitas formas de o utilizar para diversos modelos de segurança.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn

Acho que devias começar a ter mais cuidado com o português. Actualy e actualidade, não são sinónimos.

Exacto... Actualmente = De momento, nesta altura :)

Actually (com 2 l's) significa "Na realidade"... O que não fica bem :D

Se calhar estás a querer dizer "Currently" que é "No corrente momento", ou ... Actualmente. :P

Não conheço...

=) Ainda bem...

Não!

Isso são detalhes de implementação de um sistema de convites, nunca disse qual o modelo específico que utilizaria. E neste momento não vou falar. Talvez possa falar daqui a algum tempo. Mas posso dizer que ainda não vi nada igual ao que eu acho que seria melhor. E em caso algum esse sistema me daria qualquer trabalho.

O trabalho não era ao administrador do site mas sim aos utilizadores ... E pronto tu, que és entendido na área, deverias pensar que pessoas menos entendidas não têm a mesma percepção que tu... digo eu...

De qualquer forma, não preciso de detalhes... Cada um tem o seu sistema para implementar :D Talvez o melhor sistema de segurança seja aquele que inclusivé use os chamados "honey-pots" para o bot se entreter :D

Nesse caso eu teria de pensar ser queria de facto evitar que as pessoas tivessem multiplas contas, com um sistema para combater isso. O mais provável que é que não quisesse. Quero que comprem, não me interessa muito se compram de contas diferentes, aliás só teriam a perder com isso, por perderem eventuais hipóteses de descontos por fidelidade, etc...

Bem, provavelmente se for um user fidedigno é lógico que não faz mal ter várias contas :) Agora se o "utilizador" for um bot programado para fazer registos ... queres prevenir múltiplas contas... E é disso que se está a falar.

O sistema que quero experimentar foi pensado para combater vários problemas de várias naturezas diferentes. O exemplo que deste, é um dos que espero que não sejam possíveis com o que quero experimentar, provavelmente é possível fazer outras coisas, mas não isso, nem outras coisas. Não espero ter um sistema infalível, apenas que seja suficientemente sólido, para que faça com que prefiram os benefícios que vou oferecer a quem utilizar bastante a sua conta (que não podem ser obtidos se dispersarem a sua actividade por diversas contas), em vez do trabalho e do tempo que vão ter que gastar para implementar e executar uma forma de explorar o sistema.

Quando tiver implementado e testado falo dele. Não gosto muito de falar de vapor...

Compreendo perfeitamente e tal como disseste, não esperes ter um sistema infalível :). Aliás, um sistema por si só é falível enquanto depender de outros para existir :) Essa é a regra base :)

E não te querendo desmoralizar, aliás porque até acho bem que investigues e desenvolvas porque o mais certo é teres sucesso se não desistires, não tentes reinventar a roda hum? =) Pode ser que sejas um visionário (sem gozo hum? Visionário neste caso quer dizer alguém que vê para lá do que já foi desenvolvido) e vás desenvolver algo melhor sabendo que é possível, mas vamos ver até que ponto o teu sistema de segurança não interfere com a navegação e/ou sistema de registo, processamento e performance :)

Mas lá está, testa e depois fala do que obtiveste.

Não?

Se eu fizer um bot, faço tendo em conta a inteligência (dados e testes) que recolhi a respeito do site que seleccionei. Claro que dificilmente isto funcionaria à primeira contra algo que não fosse básico, mas com uma boa recolha de inteligência acabas por conseguir alguma coisa, nem que seja temporariamente.

O que dizes faz sentido. Há é muitas formas de o utilizar para diversos modelos de segurança.

Falco, eh pah... Nem todo o tipo de inteligência pode ser obtido através de navegação... Alguns são "pressupostos" que provavelmente estarão errados :) Quando se trata de sites feitos em metodologias Open Source, vês como está desenvolvido etc.... Mas quando se trata de aplicações desenvolvidas à medida... Código que não sabes como está feito, só sabes graficamente (visualmente) ... aí tens que trabalhar com pressupostos.

Mas ok falco :) depois vemos isso

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco

Bem, provavelmente se for um user fidedigno é lógico que não faz mal ter várias contas :D Agora se o "utilizador" for um bot programado para fazer registos ... queres prevenir múltiplas contas... E é disso que se está a falar.

Estás a falar de apenas criar contas?

Ou de criar para usar para algum propósito?

Criar contas pode provocar carga. Isso pode ser combatido de outras formas.

Utilizar para outro propósito, pode ser mais grave, mas aí a segurança não se deve ser baseada na impossibilidade de criar contas em massa, mas sim em prevenir esse tal propósito de várias formas. Até porque os bots que realizam essas actividades maliciosas, podem nem precisar de criar contas, mas sim utilizar contas comprometidas.

não tentes reinventar a roda hum?

De forma alguma!

O sistema tem o objectivo de ser simples e baseado em princípios fundamentais e elementares de segurança e de relações entre indivíduos e grupos, nada complexo, nem totalmente novo, isto já existe em outros meios que não o electrónico, apenas costuma funcionar de forma mais informal nas nossas vidas.

Pode ser que sejas um visionário

Pelo menos neste assunto não sou... Apenas pretendo fazer o que a humanidade já faz há alguns milénios valentes e que tem provado ser suficientemente eficaz na maioria dos casos.

Nem todo o tipo de inteligência pode ser obtido através de navegação...

Nem eu disse que seria/é a única forma que utilizo/utilizaria.

Mas quando se trata de aplicações desenvolvidas à medida... Código que não sabes como está feito, só sabes graficamente (visualmente) ... aí tens que trabalhar com pressupostos.

Mesmo nesses casos é possível obter inteligência, mas de outras formas menos convencionais (não estou a dizer ilegais).

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
triplexim32

Na minha opinião, se o teu problema são os 'bots' ... Um sistema de "validação por e-mail" + captcha + ip... acho que proporciona já uma protecção engraçada :) Além de que, se assim pretenderes, valida mais 2 coisas... o "user-agent", ou browser vá, e o nome do 'pc' do utilizador... Assim, primeiro o bot tem que conseguir validar por e-mail (não é impossível) conseguir passar por um captcha (também não é impossível... Depende do tipo de captcha, etc) ainda mudar de ip, simular um browser válido e por fim alterar o nome do computador.

Quanto ao MAC Address... isso até é giro e tal, mas nem todos os sites usam flash e para iphone por exemplo, nem corre :) (isto remete à tal cena do HTML5 vs FLASH) :)

Abraço

Captcha -> Funciona, e neste momento um dos mais usados, já passa a ser indispensável. :)

Email -> Como disseram o e-mail não funciona como segurança porque eu posso montar um sistema de email na minha maquina, criar um Dyndns (caso a validação de mail nao aceite ip's) e receber todos os token de activação de registo localmente, abri-los e finalizar o registo :)

Ip -> Praticamente todos os modems já te deixam mudar o IP a partir de um acesso via browser, em alguns casos necessitas de desligar a ligação e liga-la de novo (pelo menos eu faço assim) e em 15segundos tens um IP novo. Como vês é algo mt simples de fazer.  :thumbsup:

Até agora só vi um sistema em java que te retorna o mac, tenho que analisar por flash. :)

Como busco o nome do utilizador do computador via browser? Já andei a procura mas não encontrei nada.

Validação por e-mail também pode ser facilmente batida por bots.

Os captchas também têm os seus problemas. Não só muitos têm problemas de acessibilidade, como muitos sistemas podem ser quebrados. Acho que um sistema desses é inferior a um sistema de convites que só possam ser feitos por utilizadores validados.

Não só issso como também se pode forjar o MAC...

Ambas verdades, mas a minha ideia não é apertar os bots, mas sim detectar quem foi banido e voltou de novo.

Se o problema são bots, eu implementaria um sistema de Captchas baseado em perguntas/respostas em texto.

Isso não é viável porque tinhas que ter uma boa carrada de perguntas para que estas fossem impossíveis de serem repetidas , pois uma solução rápida para isso seria: Tar algum tempo a receber todas as perguntas, arranjar respostas e depois consoante a pergunta mostrada analisar no nosso registo a resposta a mesma.

E perguntas como: 2+56 é para esquecer, nem percebo o porque de alguns sites terem isso. :eek:


<

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
IceBrain
Ip -> Praticamente todos os modems já te deixam mudar o IP a partir de um acesso via browser, em alguns casos necessitas de desligar a ligação e liga-la de novo (pelo menos eu faço assim) e em 15segundos tens um IP novo. Como vês é algo mt simples de fazer.
P

Por acaso não funciona na Cabovisão. Mas também os spammers agora usam botnets...


❝The idea that I can be presented with a problem, set out to logically solve it with the tools at hand, and wind up with a program that could not be legally used because someone else followed the same logical steps some years ago and filed for a patent on it is horrifying.❞- John Carmack on software patents

A list  of command line apps

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn

Bem, eu já tinha parado de responder a este tópico por variadas razões, mas aqui vai mais uma resposta:

Captcha -> Funciona, e neste momento um dos mais usados, já passa a ser indispensável. :)

Email -> Como disseram o e-mail não funciona como segurança porque eu posso montar um sistema de email na minha maquina, criar um Dyndns (caso a validação de mail nao aceite ip's) e receber todos os token de activação de registo localmente, abri-los e finalizar o registo :)

Ip -> Praticamente todos os modems já te deixam mudar o IP a partir de um acesso via browser, em alguns casos necessitas de desligar a ligação e liga-la de novo (pelo menos eu faço assim) e em 15segundos tens um IP novo. Como vês é algo mt simples de fazer.  :thumbsup:

Quanto ao captcha, actualmente as falhas consistem em reconhecimento OCR automático... Mas isso também depende das imagens de fundo do captcha, etc... De qualquer forma, isso eh uma maneira de ver as coisas =) Eu penso, de qualquer forma, que um bot com OCR já é algo mais avançado... =)

Quanto à validação por e-mail, infelizmente, o tipo de validação mais vulgar passa por isso mesmo... Envia e-mail, clica no link e tá confirmada a conta... Acho que esse processo assim é muito simples para bots... Por exemplo, uma maneira de complicar seria, acrescentar um captcha à confirmação ou um botão que necessite de ser clicado, etc... =) Continuo a dizer que, uma validação quando é bastante lógica os bots só têm que seguir a lógica....

Por fim, quanto a validação por IP... eu também considero que o IP pode ser mudado facilmente (ainda que os clientes de net por cabo tenham mais dificuldade visto terem que esperar cerca de 5 min. com a ligação offline para que o IP associado seja eliminado da tabela de DHCP/DNS).

Mas mais uma vez estamos a ver as validações individualmente quando este tipo de protecções devem ser colocados juntos!

Isso não é viável porque tinhas que ter uma boa carrada de perguntas para que estas fossem impossíveis de serem repetidas , pois uma solução rápida para isso seria: Tar algum tempo a receber todas as perguntas, arranjar respostas e depois consoante a pergunta mostrada analisar no nosso registo a resposta a mesma.

E perguntas como: 2+56 é para esquecer, nem percebo o porque de alguns sites terem isso. :eek:

=D LOL... sim de facto 2+56 é um cálculo que o bot pode fazer =) .... mas por exemplo, "Qual é a capital de Portugal?"  (isto claro na versão portuguesa do site, sei la), tem uma resposta concreta "Lisboa". Portanto obriga a que o utilizador responda correctamente :). Mais uma vez, é uma questão de "não-lógica". Actualmente se pedirmos a um bot para ouvir um som e interpretá-lo ele não faz (pelo menos que eu saiba, embora seja certo que é possível identificar um determinado som através da variação da onda sonora... Mas... conhecem algum bot destes a fazê-lo?)... Ou seja se pedirmos coisas que só os humanos saibam fazer, como por exemplo "Arraste a caixa para o quadrado vermelho", ou "puxe o botão para o lado direito" ou "clique na seguinte sequencia" ... enfim ... seria mais fácil hum?

Por fim:

Como busco o nome do utilizador do computador via browser? Já andei a procura mas não encontrei nada.

Bem, eu falei em 'user-agent' e nome do computador do utilizador...

# Embora não sejam variáveis globais muito fiáveis:
$_SERVER['HTTP_USER_AGENT'] # User-agent. Ex: Mozilla/4.5 [en] (X11; U; Linux 2.2.9 i586)
$_SERVER['REMOTE_HOST'] # Nome do computador que está a aceder ao site. Salvo erro o apache necessita de uma configuração.
getenv("username"); # Nome do utilizador na sessão do S.O. onde está

:)

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco

Ambas verdades, mas a minha ideia não é apertar os bots, mas sim detectar quem foi banido e voltou de novo.

Quem foi banido, pode mudar o MAC, por isso não o detectas...

Isso não é viável porque tinhas que ter uma boa carrada de perguntas para que estas fossem impossíveis de serem repetidas , pois uma solução rápida para isso seria: Tar algum tempo a receber todas as perguntas, arranjar respostas e depois consoante a pergunta mostrada analisar no nosso registo a resposta a mesma.

Já quebrei vários captchas quer utilizado bibliotecas de gráficos directamente, quer utilizando software de OCR.

Por fim, quanto a validação por IP... eu também considero que o IP pode ser mudado facilmente (ainda que os clientes de net por cabo tenham mais dificuldade visto terem que esperar cerca de 5 min. com a ligação offline para que o IP associado seja eliminado da tabela de DHCP/DNS).

Por isso não, os capchas não vão evitar isso.

Isso depende do ISP, alguns garantem que o mesmo cliente fica com o mesmo IP por dias.

Bem, eu falei em 'user-agent' e nome do computador do utilizador...

Também pode ser gerado aleatoriamente por um bot.

=D LOL... sim de facto 2+56 é um cálculo que o bot pode fazer =) .... mas por exemplo, "Qual é a capital de Portugal?"  (isto claro na versão portuguesa do site, sei la), tem uma resposta concreta "Lisboa". Portanto obriga a que o utilizador responda correctamente :thumbsup:. Mais uma vez, é uma questão de "não-lógica".

Vais acabar por ter um set limitador de perguntas, recolhes as perguntas com vários bots, fazem os pedidos e dão respostas...

Actualmente se pedirmos a um bot para ouvir um som e interpretá-lo ele não faz (pelo menos que eu saiba, embora seja certo que é possível identificar um determinado som através da variação da onda sonora... Mas... conhecem algum bot destes a fazê-lo?)...

Podes sempre recorrer à solução dos indianos... Para além disso estarias a criar um problema para os utilizadores surdos, com problemas de audição, ou simplesmente que por alguma razão não pudessem utilizar som.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Johnny Mercy

Actualmente se pedirmos a um bot para ouvir um som e interpretá-lo ele não faz (pelo menos que eu saiba, embora seja certo que é possível identificar um determinado som através da variação da onda sonora... Mas... conhecem algum bot destes a fazê-lo?)...

Podes sempre recorrer à solução dos indianos... Para além disso estarias a criar um problema para os utilizadores surdos, com problemas de audição, ou simplesmente que por alguma razão não pudessem utilizar som.

Eu acho que conseguem, afinal existem programas em que reconhecem a tua voz e fazem o que tu pedes. O próprio Windows vem com reconhecimento de voz.

:thumbsup:

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn

Eh pah isto está a ir de encontro àquele lema do "nada é perfeito" e "o seguro morreu de velho"....

Falco, um sistema dependente de introdução de dados de um utilizador é, continuamente quebrado.

Como eu disse, se formos a ver um sistema de convites (lembrem-se do sistema inicial do GMail, em que poucas pessoas tinham acesso e eram dados X convites após Y tempo de existência e/ou uso), também é fácil. MEEEESMO que tenhas a limitação do Y tempo de existência/uso da conta... Continuo a dizer eu posso ser convidado, continuar a usar até ter convites, e usar bots que por sua vez usariam o sistema aleatoriamente (dependendo do que o sistema fizesse) e quando tivesse convites para mandar, upa-la-la, mais convites para bots usarem hum?

=) Tinha um professor que dizia "Vocês acham que um bom administrador é aquele que configura o PC de tal maneira que não possa ser hackado?" e a malta ingénua da turma dizia "SIM" e ele então chegava à beira do portátil, tirava o cabo de rede (não tinha wireless na altura) e dizia "Pronto, então agora sou um bom administrador" ....

O teu sistema até pode ser muito bom falco, mas como te disse, está dependente de outros sistemas (a não ser que:

1 - Produza energia sozinho;

2 - Produza tudo o que necessita para existir enquanto componente informático: Hardware, Sistema Operativo para comunicar com o HW

(e isto é o básico dos básicos).

)

Mas isto é a minha opinião :) :)

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco
Falco, um sistema dependente de introdução de dados de um utilizador é, continuamente quebrado.

Pelo menos tem esse potencial. A questão é que esses exemplos que sugeriste, já foram feitos e são facilmente quebráveis. Claro que o princípio poderia eventualmente ser utilizado para fazer algo mais resistente.

Sim um sistema de convites como o do Google também é facilmente ultrapassado.

Já agora essa de desligar os computadores de rede, não garante segurança contra ataques com presença física.

E já agora não estava a dizer que o meu é bom e os outros maus. Estava apenas a dizer como alguns dos outros podem ser quebrados. O que pretendo experimentar também pode ser quebrado, talvez resista um pouco mais, mas também não é aplicável a todos os casos, pelo menos como o pensei até agora.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn

Já agora essa de desligar os computadores de rede, não garante segurança contra ataques com presença física.

Gostava de ver tu de tua casa a acederes ao meu PC fisicamente -.- nem um poltergeist consegue =D.

Efectivamente, se um gajo em minha casa for ao meu pc, tem a possibilidade de o fazer se for entendido... mas mesmo assim, essa probabilidade não me assusta e reduz o meu raio de atacantes a 99%.

E já agora não estava a dizer que o meu é bom e os outros maus. Estava apenas a dizer como alguns dos outros podem ser quebrados. O que pretendo experimentar também pode ser quebrado, talvez resista um pouco mais, mas também não é aplicável a todos os casos, pelo menos como o pensei até agora.

Seja :)... Esse tipo de afirmações interessam-me :) :) Quando achares que é a altura para o lançares avisa-me :) Quanto mais não seja para testar tais afirmações (não, não sou hacker LOL... nem cracker, nem nada parecido).

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco
Esse tipo de afirmações interessam-me :) :) Quando achares que é a altura para o lançares avisa-me

É muito provável que me esqueça de avisar, ou de quem é que eu tinha que avisar, se tiveres interessado, vai fazendo ping, para eu não me esquecer...

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn

É muito provável que me esqueça de avisar, ou de quem é que eu tinha que avisar, se tiveres interessado, vai fazendo ping, para eu não me esquecer...

Desde que não "mudes de ip" ta tudo :) :)

Abraço :)

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
triplexim32

Se buscarmos dados pessoais sem o utilizador dar conta, tomamos grande vantagem sobre isso, porque ele não vai tar a espera que lhe gravemos o nome do utilizador ou o Mac (por exemplo), deste modo, é como se costuma dizer:

Nunca nos vamos precaver se nao estivermos a espera que algo aconteça.

Neste momento os utilizadores sabem que o que lhes pode ser gravado são os Cookies, o IP, o ISP a referencia de onde vieram(http reference), Pais\cidade.. e nao tou a ver o que mais possa ser gravado... tudo o que tiver a ver com configurações do computador ninguem está a espera de ficar com isso gravado no seu registo.


<

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
falco
Se buscarmos dados pessoais sem o utilizador dar conta,

Já explicámos que isso é totalmente falível. Todos esses dados podem ser forjados pelo utilizador.

E procurar esses dados de formas de forma secreta é não só provavelmente ilegal (questões de privacidade), como de uma total falta de ética.

tudo o que tiver a ver com configurações do computador ninguem está a espera de ficar com isso gravado no seu registo.

Isso não é verdade. É totalmente esperado e como já disse neste post e já dissemos em outros tudo isso pode ser falseado de forma muito simples e todas essas informações geradas aleatoriamente.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
triplexim32

Já explicámos que isso é totalmente falível. Todos esses dados podem ser forjados pelo utilizador.

E procurar esses dados de formas de forma secreta é não só provavelmente ilegal (questões de privacidade), como de uma total falta de ética.

Não é falta de ética  :eek: seria se esses mesmos dados fossem usados para fins que não a verificação de multi-contas.

De tudo o que tive a ver neste momento só consigo buscar dados sobre a Rede do utilizador (incluindo MACadress) e alguns nomes de placas de rede de sistema e controladores de placas de rede tais como "Controller-Kaspersky Lab NDIS" (não sei se chamar-lhes controladores de placas de rede será um nome certo)

Nada de muito pessoal sobre o utilizador, apenas lhe tou a tirar identificações do computador do mesmo.

Isso não é verdade. É totalmente esperado e como já disse neste post e já dissemos em outros tudo isso pode ser falseado de forma muito simples e todas essas informações geradas aleatoriamente.

Certo, mas entre os que dão conta do que está a ser apanhado, os que realmente percebem o que está a acontecer e os que não percebem nada da coisa... consigo detectar quem é quem...

Sim tudo é possível de falsear, até o IP, mas se eu me ficar só pelo IP para detectar multi-contas não me vai valer de nada  :D

--

Ainda não testei mas ja dei conta disso:

O flash guarda dados em cache (não sei quanto tempo), este método pode ser usado para guardar valores (como o ID do utilizador que se logou no nosso site) , assim ficamos com algo para alem dos cookies...

Se imaginarmos o cenário: O utilizador ta logado no nosso site, termina a sessão (ou limpa os cookies do browser) muda de Ip e loga-se com outra conta, ao faze-lo esqueceu-se que nao limpou o que fica em cache do flash, e quando actualizar a pagina de novo, os dados do flash continuam lá e são enviados junto com o login ou por httprequest antes do login.

Não sei se estou a dizer uma estupidez, ainda não testei.  :)


<

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.