Місяць багів в Капчах
23:38 17.10.2007Настав час для анонсу мого нового проекту - Місяця багів в Капчах (Month of Bugs in Captchas). Даний проект відбудеться в наступному місяці. Тому листопад - це місяць багів в Капчах .
В Інтернеті існує чимало різних Captcha систем і багато з них є вразливими. Капчі створюють лише ілюзію захищеності. Метою даного Місяця багів є демонстрація реального стану справ з безпекою Капч, що використовуються на багатьох веб сайтах.
В листопаді 2007 року відбудеться Апокаліпсис для Капч. Чимало Капч будуть захакані до смерті. Вони помруть для того, щоб переродитися в нові більш захищені Капчі. Час прийшов.
Адреса проекту: http://websecurity.com.ua/category/mobic/
Додаткова інформація про проект буде опублікована в кінці поточного місяця. Листопад буде дуже спекотним місяцем.
Субота, 14:29 20.10.2007
Твоя каптчя теж не бездоганна. Коли набираєш відповідь більше, ніж (навскидку, я не досліджував) пару хвилин, то вона (каптчя) наче експайриться і видає помилку.
Неділя, 23:59 21.10.2007
trovich
Мова йде про узазливості - в Місяці багів в Капчах я буду розповідати про секюріті уразливості в капчах. Питання зручності використання тієї чи іншої капчи (та капч загалом) я не буду порушувати. Особливості використання капч (графічних, текстових та використання додатково звукових разом з графічними) - це давня тема, на яку полюбляють полімізувати в Мережі. Питання ергономічності та юзабільності. В даному напрямку є що покращувати, але дані питання вирішується.
В своєму новому проекті я буду вести мову про безпеку капч. І в даному аспекті моя капча свою справу знає (особлимо після мого покращення капчі). Так що в плані безпеки зараз вона надійна - можливості її обходу (через уразливості) відстутні. В плані OCR вона мало що протиставить, але це інший аспект (це апріорна уразливість капч, а я кажу про апостеріорні - про уразливості в алгоритмі). Тому дана капча свою роботу виконує.
До речі, ця капча зручна і симпатична. Має невеликий розмір і гарну кольорову гаму та виводить чітки символи. Серед декількох капч для WP ця мені найбільше сподобалась. Так що капча хороша.
Понеділок, 00:33 22.10.2007
Стосовно твоєї проблеми з експайром - закінченням часу життя коду капчі, то це питання лише до тривалості сесії. Тому що капча тримає код в сесії (що я найбільш безпечним варіантом) і активність коду визначається тривалістю сесїї. З чим ти і стикнувся.
При цьому, чим менше тривалість неактивної сесії і відповідно активності коду капчі тим безпечніше (щоб зменшити можливість атаки в цьому напрямку). Для користувача це менш зручно, коли коротка сесія, але так безпечніше (тому й час життя коду капчі від цього залежить). Як я казав, капча надійна, і даний аспект також направлений на безпеку. Ти ж підтримуй активність сесії, і не доводь до експайру, щоб було зручно з капчою працювати.
До речі, trovich, зазначу, що дана капча також прийме участь в Місяці багів в Капчах .
Свою капчу (цей плагін) я ще влітку протестував і вона не вразлива до моєї основної методики взлому капч. Тому я був впевнений в ній. Але коли ти в суботу написав щодо проблем з введенням коду, я одразу ж подумав, що це пов’язано з сесією (так капча працює) і вирішив тобі про це написати, але в суботу не встиг, лише зараз взявся за набір коментів. І тоді ж я подумав, що треба додатково протестувати капчу (моїми просунутими методами взлому).
В неділю взявся за перевірку і виявив що капча то вразлива (проти моїх методів хакінгу жодна капча не встоїть). В результаті я написав експлоіт для обходу даної капчі (що використовується в мене на сайті та на всіх сайтах з цим плагіном). Тому дана капча також прийме участь в Month of Bugs in Captchas (разом з іншими, в тому числі з іншими плагінами для WP). В себе я цю дірку одразу виправив. Так що зараз моя версія капчі надійно виконує свою роботу.
Понеділок, 10:50 22.10.2007
Давай-давай, мене це питання дуже цікавить з огляду на використання капчі у власних проектах.
Понеділок, 17:58 22.10.2007
Листопад почнеться вже скоро , так що очікуй на чималу кількість цікавої інформації.
Стосовно тих капч, що ти використовуєш. Якщо ти використовуєш деякі движки і вбудовані капчі (або плагіни до цих движків), або ж використовуєш деякі зовнішні капча-сервіси, то можеш назвати мені їх. Якщо я ще їх не дослідив, то зроблю це і додам до свого проекту.
Понеділок, 18:17 22.10.2007
Securimage 0.3
Portable Security Image Script
Author: Drew Phillips
www.neoprogrammers.com
Copyright 2005 Drew Phillips
частіше за все цей
Вівторок, 21:49 30.10.2007
trovich
На сайті вже версія 1.0 цієї капчі. Так що ти дай мені лінк на сайт (один з твоїх або відомий тобі), де використовується версія 0.3, щоб я перевірив і її також.
Securimage - весела капча і особливо веселим є її розробник та власник наведеного сайта. В минулий понеділок я заходив на сайт, щоб подивитися на капчу, і тоді вона нормально працювала. Її дослідження я відклав як знайду час. І от сьогодні зайшов - а капча (в контактах) не працює . Мабудь злякалася моєї перевірки.
Як зайти на сам скрипт капчі, то можна виявити, що із-за відсутності прав на запис тимчасових зображень, капча видає ряд помилок. І заодно видає Full path disclosure уразливість. Так що у цієї капчі є явні секюріті проблеми.
Скачувати цю капчу немає бажання. Спробую знайти інші сайти з нею і протестувати. Лише в крайньому випадку скачаю її. Ти ж лінку на сайт з версією 0.3 капчи наведи.
Четвер, 18:34 01.11.2007
Опублікував детальний опис проекту Місяць багів в Капчах.
Неділя, 18:57 04.11.2007
Сергій, як я перевірив дану капчу (ще 30 числа, коли написав свій попередній коментар стосовно неї), дана капча не вразлива до моїх методів обходу. Це стосується версії 1.0, котру я перевірив на декількох сайтах (схоже, що це була саме версія 1.0, або одна з останніх, бо капчі були схожі на ту, що встановлена на сайті автора, котру я встиг подивитися до того, як вона перестала працювати).
Тому дана капча відносно надійна (версія 1.0). Але якщо ти приведеш лінку на сайт з капчою версії 0.3, то я гляну на неї також.
Зазначу, що як я вже писав, дана капча має Full path disclosure уразливість (котру я виявив на сайті автора, а також на декількох інших сайтах). Тому дану капчу я не буду рекомендувати для використання. Як мінімум доки розробник, або адмін сайта власноруч, не виправить цю уразливість в ній - тільки тоді вона стане придатною для публічного використання.