NotCaptcha for Drupal
23 апреля 2010 в 13:32
Добрый день.
Мы портировали wp-plugin "NotCaptcha Antispam" на Drupal 5.x, 6.x.
Скриншот:
Посмотреть как работает можно вот здесь: http://cloudgears.com/notcaptcha-for-drupal
Хочется критики, замечаний, пожеланий 
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
А вы на drupal.org выложили?
на форуме разработчиков отписались на предмет критики (http://drupal.org/node/779590)
а в модули еще не выкладывали (если честно, то еще не разбирались даже - у вас есть опыт насколько это просто\трудно опубликовать свой модуль на drupal.org, наверняка там сложный approve процесс)
спасибо, полезный плуг.
Спасибо, как раз настала пора прикручивать капчу. Попробую Ваш модуль
Прикольно! Спасибо. И вариантов ~ 500 вполне прилично (8*8*8) для надежной защиты.
Переведите файлы в кодировку UTF-8.
мы не-ANSI символы не использовали, потому и оставили всё в ANSI...
UTF-8 для друпаловских модулей это рекомендация, хороший стилль или требование drupal.org ?
Необходимость
А что такое NotCaptcha key?
Чтобы разместить модуль на drupal.org надо привести его в соответствие с Drupal coding standards и почитать Module developer's guide. Для проверки соответствия есть специальный модуль Coder.
ок, спасибо
Про utf-8 вопрос есть.
Посмотрели популярные модули (google-analytics, path, views) - они все в ANSI....
В Drupal Coding standards и Module developer's guide про юникод ни слова (кроме как работы со стринговыми функциями)
Вопрос в зал: исходя из каких соображений вы говорите что исходники модуля должны быть в юникоде ?
Ну мы просто так придумали. Ваше дело следовать совету или нет
Не знаю чем и что вы смотрели. У меня все UTF-8. Иначе редактор просто не открывает файл и требует явного указания кодировки. Так я и определяю в большинстве случаев в нужной ли кодировке файл или нет. Использую Geany. Я честно не видел официального текста что файлы должны быть в этой кодировке, просто на заре знакомства с этой системой прочитал что Drupal используют ютф, тем самым устраняя проблемы разного рода абракадабры. Загляните в html-код, там всегда . Я принимаю это как хороший тон и избавление от головной боли. Точно также отношусь и к архивам - все в tar.gz, т.к. все модули в нем и одной командой в консоли пользоваться удобнее. Короче решайте сами, ваш модуль, если что перекодировать то дело пары секунд.
Да меня все устраивает. Все открывает. Но все-равно, спасибо, посмотрю. Когда сидел на винде, тащился от notepad++, после перехода на линукс искал альтернативу, ну и нашел geany.
Спасиб за модуль. Полезная штуковина
«на камод переходи :D, у меня он нормально все открывает ;)»
и за комод )
Если в файле нет кириллических символов, то кодировки UTF-8 и ANSI ни чем не отличаются друг от друга.
А собственно использовать кирилицу (не инглиш) в тексте программ это как раз и есть моветон. Для этого есть локализация.
Исходя из этих двух простых тезисов абсолютно монописуально в какой кодировке сохранены файлы модуля.
Для изучения мат.части: UTF-8
По теме - модуль прикольный, мне понравился.
Спасибо, очень мило и вебдванольно. Жаль только, что не пашет без JavaScript. Очень хотелось бы хоть бы 3 пачки радио-кнопок с картинками для ущербных и бесскриптовых.
Исходя из этих двух простых тезисов абсолютно монописуально в какой кодировке сохранены файлы модуля.
уж лучше бы был чистый русик и переводы не дёргались с базы
Забавная капча.
НО если я все понял верно то:
в текущей ее реализации даже в лоб легко ломаемая.
библиотека вертикальных изображений лежит по фиксированному адресу.
генерируемые из нее изображения не искажаются
что дает возможность реализовать простой перебор библиотечного с тем что на экране.
используя да хотя бы имаже меджиком.
даже не применяя никаких оптимизаций, сейчас перебирая каждую картинку по алгоритму:
повернуть сравнить
будет уходить в среднем 4 секунды на каждую капчу используя оптерон 2Ghz
А если не в лоб то
при более детальном анализе выяснилось что фактически сейчас модуль генерирует только
8 различных хеш сум независимо от картинки.
можете по экспериментировать.
откройте страницу.
откройте изображение текущей капчи для одного образа.
обновляйте странцу до тех пор пока не увидите другой образ под тем же углом.
откройте его.
посмотрите в урл.
вы увидите что хеш один и тот же.
то есть в данной реализации мне даже сравнивать ничего не нужно. просто провести на сайте 10 минут и собрать 8 разных хеш сум. а потом спамить в свое удовольствие.
Как резюме, теоретически модуль можно доработать до состояние когда он действительно начнет выполнять возложенные на него функции.
В настоящий момент, он может остановить случайного хулигана не владеющего программированием
Если же ставиться задача заспамить сайт, то эта капча потребует всего 20 минут времени чтобы ее обойти.
Сейчас хрумер пятый выйдет, клал он на ваши капчи
Лолшто? Капчу с картинками и "unrelated word" не все люди обходят.
Dеmimurych, так было в старой реализации NotCaptcha, которая под WordPress. В сабжевой реализации под Drupal значения кодируются ключом из настроек плюс случайным IV (Initialization Vector) для текущего набора изображений: http://ru.php.net/manual/en/function.mcrypt-create-iv.php. Так что, по хеш-суммам сравнивать будет проблематично.
Единственный выход - это перебор. Возможно, в будущих версиях появится больше картинок и искажение для улучшения защиты от переборов.
я смотрел пример расположенный на сайте где опубликован модуль.
точнее по ссылке что там была http://cloudgears.com/comment/reply/3#comment-form
в будущих версиях, видимо, это капча и станет капчей. А сейчас фиговый листок.
в первую очередь, мне кажется, необходим механизм запрещения получения исходной библиотеки вертикальных изображений.
во вторую искажения приводящие к затруднению сравнения изображений.
самое простое что напрашивается - искажение цветовой схемы, создание шумов и т.д. и .т.п
и помните, по неписанному правилу, капча считается ломаной, если существует алгоритм дающий 30% верных ответов.
Dеmimurych, спасибо вам за тестирование нашего модуля. Действительно, неправильно был выбран cipher mode, из-за чего зашифрованные данные получались всегда одинаковыми независимо от initialization vector (IV). Этот баг исправлен в версии 1.0.2, которую вы можете скачать и посмотреть по адресу http://cloudgears.com/notcaptcha-for-drupal.
Информация для любопытствующих:
То есть, в режиме ECB у нас вообще игнорируется IV как таковой.
Вертикальные изображения в версии 1.0.2 защищены файлом .htaccess. По шумам - возможно, в следующей версии. Спасибо за конструктивные предложения
«Единственный выход - это перебор. Возможно, в будущих версиях появится больше картинок и искажение для улучшения защиты от переборов.»
А блокировку после третьей попытки нельзя поставить, например?
Не знал о такой фишке, на заметку, понравилось, спасибо.
Наша заявка на drupal.org перешла в статус "needs review" и первый положительный отзыв мы получили.
Коммитеры с drupal.org - помогите, пожалуйста, с ревью.
Заявка: http://drupal.org/node/781828
Если сайт только русскоязычный, то полностью согласен!
А потом перейдет проект на поддержку третьему лицу в то время как его попросят сделать многоязычность и он долго вас будет вспоминать теплыми русскими словами, мало ли что вы еще придумаете с таким подходом к оптимизации.
За удобство надо платить. В данном случае, за удобство разработки, за уникальность мы платим скоростью. Для увеличения производительности есть кеширование в разных формах. Не нравится, можно делать на чистом HTML, вот где скорость то будет.
Скоростью вы больше платите не за уникальность, а за универсальность. Уникальные проекты не делаются конвейером.
Вот хорошее высказывание товарища seaji, которое он написал здесь:
Систему API кеширования Друпала активно использую. Но! Прежде чем страница, блок, или какой-нибудь другой фрагмент попадут в кеш, они должны сгенерироваться - а это тоже затраты ресурсов!
Сто процентов верно. Инкубатор убивает уникальность
Спасибо за поправку. Попутал термины.
Такая уверенность может быть если только проект Ваш. Я лично в последнее время занимаюсь в большей спетени поддержкой, нежели разработкой новых проектов, поэтому для меня универсальность необходима.
Дамы и господа, не отвлекайтесь от темы топика.
Автор ждёт конструктивных замечаний и предложений по этому модулю.
очень понравился плагин - спасибо!
Шикарная капча. Только у меня проблема. Как сделать картники прозрачными?? а то у меня на блоге они белые и ужасно смотрятся
seobw.ru
после включения ноткапчи и вывода ее на страницу регистрации ругается при регистрации
Fatal error: Call to undefined function mcrypt_get_iv_size() in .\www\sites\all\modules\notcaptcha_captcha\notcaptcha_captcha.module on line 586
??
И что с капчей, она еще жива? Осенно очется на 7-ку ее поставить((
Да, что там с семеркой?
Для нее есть такой модуль?
У МТС появилась капча с картинками, которые нужно отбирать по смыслу
(используется при отправке смс через сайт)
Как убрать эти полоски по бокам? Во всех браузерах эти полоски. Этот баг с полосками есть на всех сайтах, где установлена эта капча, независимо от движка, прозрачности и т.д. Полосок не видно только при масштабе 100%.
zsaz, прозрачности удалось добиться, принудительно присвоив переменной цвет фона $background = 0xf3f2ff; и отредактировав в фотошопе gif-ки.
Под вордпресс уже новая версия этой капчи вышла. Может её портировать?