Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Фейковые заказы


worstman

Recommended Posts

недавно в лс интересный способ написали

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет", такие заказы можно резать

Надіслати
Поділитися на інших сайтах

недавно в лс интересный способ написали

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет", такие заказы можно резать

можно и добавить любое новое обязательное поле вида вы человек: да или нет

бот не будет о нем знать, а изменить алгоритм под каждый сайт не будет в состоянии, на каждом сайте будет свой идентификатор поля

Надіслати
Поділитися на інших сайтах

недавно в лс интересный способ написали

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет", такие заказы можно резать

 

Самый разумный вариант. При условии, конечно, что робот/спамер его заполнит

Надіслати
Поділитися на інших сайтах

Helloween, успокойся.

разницу/причину deeman сразу описал:

стандартный заказ не подходит для атаки, потому что каждый шаг собирает данные в сессию и шаги обмениваются данными через нее, то есть чтобы 6 шаг мог оформить заказ нужно вызвать все предыдущие.

этой атаке подвержено любое одностраничное оформление заказа.

simplecheckout выбрали учитывая популярность модуля на данном движке.

 

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет"

зачем боту заполнять поля, незаполнение которых не вызывает ошибки?

бот/владелец даже не узнает о том, что появились НОВЫЕ поля - ведь старые на месте, бот их заполняет исправно и заказ формируется.

подтверждение по email - разумная вещь.

Надіслати
Поділитися на інших сайтах

зачем боту заполнять поля, незаполнение которых не вызывает ошибки?

бот/владелец даже не узнает о том, что появились НОВЫЕ поля - ведь старые на месте, бот их заполняет исправно и заказ формируется.

 

справедливо если бот работает именно так )

для этого сценария можно рядом с

<input name="firstname">

вывести

<input name="nonfake_firstname"> 

а в движке резать всё где заполнено firstname

Надіслати
Поділитися на інших сайтах

Helloween, успокойся.

разницу/причину deeman сразу описал:

этой атаке подвержено любое одностраничное оформление заказа.

simplecheckout выбрали учитывая популярность модуля на данном движке.

 

зачем боту заполнять поля, незаполнение которых не вызывает ошибки?

бот/владелец даже не узнает о том, что появились НОВЫЕ поля - ведь старые на месте, бот их заполняет исправно и заказ формируется.

подтверждение по email - разумная вещь.

 

Я спокоен.

Предложенное freelancer решение самое грамотное.

Я применял такое не один раз и оно работает лучше любой капчи!

Если создать поля для ввода данных и обозвать их как поля для адреса, города, телефона... и скрыть средствами css, робот их увидит и заполнит, а человек - нет. Вот вам и профит. Знаю о принципах работы роботов на примере allsubmitter - сам им пользовался в свое время. Так что, вместо того, чтобы пытаться тут задвинуть грамотные советы и отстоять дырявую форму, лучше послушайте и проверьте на практике.

Надіслати
Поділитися на інших сайтах


отстоять дырявую форму, лучше послушайте и проверьте на практике.

в чем ее дырявость? если робот действует ровно так же как человек, заполняя все поля и отправляя форму, что должен делать модуль? вы уж либо употребляйте термины и обосновывайте их, либо не употребляйте.

а то опять же "дырявостью" называется работа модуля сама по себе, а в обоснование этого ставится в пример другая страница, хотя она даже не была выбрана для атаки и не атаковалась, но это совсем не значит, что ее нельзя атаковать, точно так же нельзя утверждать, что нельзя атаковать любую другую форму.

но для вас это уже обоснование того, что мой модуль "дыряв".

Делать выводы на обратных утверждениях совсем неправильно, если A не равно B, то совсем не значит !A равно B

Надіслати
Поділитися на інших сайтах

У меня первыми атакованны сайты без симплы и с очень измененной одностраничной формой заказа - своей с тремя дополнительными полями в заказе нестандартного названия.

 

Атаковать можно ЛЮБУЮ форму заказа - даже многостраничную - а если есть доступ к мылу (злоумышленник заранее создал кучу майлов - что не проблемма) то можно атаковать и сайт  с обязательной регистрацией и подтверждением по мылу.

 

Простите здесь нет базы и симплы  однако спамят! Значит симпла и мифическая запись в базу не причем.

 

Не спамят только движки с подтверждением регистрации по смс.

 

Если вас спамят сейчас - поставьте капчу у злоумышленника уйдет какоето время на переделку проэкта.

 

Спамят тех кто так или иначе в топе - типа деньги есть.

Змінено користувачем Nashlab
Надіслати
Поділитися на інших сайтах


в чем ее дырявость? если робот действует ровно так же как человек, заполняя все поля и отправляя форму, что должен делать модуль? вы уж либо употребляйте термины и обосновывайте их, либо не употребляйте.

а то опять же "дырявостью" называется работа модуля сама по себе, а в обоснование этого ставится в пример другая страница, хотя она даже не была выбрана для атаки и не атаковалась, но это совсем не значит, что ее нельзя атаковать, точно так же нельзя утверждать, что нельзя атаковать любую другую форму.

но для вас это уже обоснование того, что мой модуль "дыряв".

Делать выводы на обратных утверждениях совсем неправильно, если A не равно B, то совсем не значит !A равно B

 

Представьте, у вас есть танк, но вам не нравится тяжелая башня и вы ставите пластиковую коробку вместо нее ради того, чтобы было легче ее поворачивать. Естественно, защиты у нее никакой - даже из пукалки ее пробьют. Таким образом, вы заменили бронированную башню танка на, по сути, заведомо дырявую. Что вы мне еще хотите доказать?!

Вы сделали хорошую форму быстрого заказа - молодец. Она стала популярна - поздравляю, вдвойне молодец! НО!!! Оказалось, что она  дырявая. И вместо того, чтобы позаботиться о своих клиентах и, соответственно, привлечь новых, благодаря доработке формы, обеспечив защиту, вы ведете себя неадекватно.

Вам freelancer подсказал простую и безумно легкую в реализации идею защиты модуля от дырок, я вам расписал подробно как это делается. И вместо того, чтобы воспользоваться этой халявой и быстренько внедрить эту защиту в свой модуль, вы продолжаете спорить, почем зря!

Удачи, разработчик пластиковой башни для танка :)

Надіслати
Поділитися на інших сайтах


...

Удачи, фантазёр

 

И опять же в каждом слове подмена понятий. Я просто понял, что Вы испытываете личную неприязнь именно ко мне.

Все доводы хороши, если они против меня.

Забавно :)

Надіслати
Поділитися на інших сайтах

НО!!! Оказалось, что она  дырявая. И вместо того, чтобы позаботиться о своих клиентах и, соответственно, привлечь новых, благодаря доработке формы, обеспечив защиту,

 

В каком месте он дырявая?

Через нее внедряется чужой код? Ломается сайт?

Еще аргументы....

Надіслати
Поділитися на інших сайтах

всё ждал когда же Helloween, приведет пример уязвимости модуля симпл.

нельзя сказать "форма дырявая" и "удачи", нужно подтвердить свои слова, иначе так можно прослыть пустословом.

Надіслати
Поділитися на інших сайтах

Удачи, фантазёр

 

И опять же в каждом слове подмена понятий. Я просто понял, что Вы испытываете личную неприязнь именно ко мне.

Все доводы хороши, если они против меня.

Забавно :)

Что вы курите, мистер?

Какая личная неприязнь? Я вас даже не знаю. И о том, что этот модуль ваш - только сейчас узнал. :)

Может быть это у вас личная неприязнь ко мне и вы пытаетесь переложить с больной головы на здоровую? Вы почитайте тему. Началось все с того, что люди стали жаловаться на фейковые заказы. Я попробовал выяснить, почему они появились и пришел к выводу, что они появились у тех, кто ставил ваш модуль. Здесь вам нужно было забеспокоиться не о том, чтобы создать у форумчан негативное отношение ко мне, а о том, чтобы сделать свой модуль лучше, чтобы защитить своих клиентов. Но вы этого не сделали. Вы поступили с точностью до наоборот. Вы стали говорить, что модуль супер-пупер великолепен, а кому не нравится - тот сам дурак.

Ну в чем проблема добавить в шаблон пару инпутов и скрыть их стилями? И вместо того, чтобы спорить о дырявости, получить благодарности от своих клиентов и привлечь тем самым новых клиентов.

Я уже писал, что хотел тоже установить модуль быстрого заказа, но как раз эта тема меня остановила. Если бы вы не спорили, а доделали модуль, я бы его купил - это уже плюс клиент. Помимо этого, почитав тему и увидев, что модуль теперь защищен, добавилось бы еще какое-то число клиентов.

Вы же продолжаете упираться.

Надіслати
Поділитися на інших сайтах


В каком месте он дырявая?

Через нее внедряется чужой код? Ломается сайт?

Еще аргументы....

 

Дырявая - это не только когда внедряется чужой код, но и когда с помощью роботов можно создать проблемы.

 

всё ждал когда же Helloween, приведет пример уязвимости модуля симпл.

нельзя сказать "форма дырявая" и "удачи", нужно подтвердить свои слова, иначе так можно прослыть пустословом.

 

Смотрите выше, ответ чукче.

 

Я смотрю, тут целое ополчение уже собирается. :)

 

P.S. - Я смотрю, мне даже кто-то минусануть уже успел...  Херой какой-то :)

Надіслати
Поділитися на інших сайтах


Для тех кто в танке...

 

Модуль до такой степени универсален, что защиту можно написать самому, если голова на плечах. И этой защитой можно внести дырку в свою систему - не так ли?

 

Предложенный вариант защиты  - не самый верный, потому что волна фейковых заказов снизошла почти на нет - у потенциального заказчика денюШка закончилась

Надіслати
Поділитися на інших сайтах

Helloween, видимо я не так вас понял. вы путаете "дыры" (в моём понимании это уязвимость) с фейковыми заказами, которые впрочем может создавать не только робот, но и человек

Надіслати
Поділитися на інших сайтах

Для тех кто в танке...

 

Модуль до такой степени универсален, что защиту можно написать самому, если голова на плечах. И этой защитой можно внести дырку в свою систему - не так ли?

 

Приходите вы в ресторан, платите за салат "Цезарь", а вас ведут на кухню и говорят - салат настолько универсален, что вы сами можете себе его приготовить и даже подрезать в него еще чего пожелаете, если, конечно, нож в руках держать умеете...

Надіслати
Поділитися на інших сайтах


Helloween, видимо я не так вас понял. вы путаете "дыры" (в моём понимании это уязвимость) с фейковыми заказами, которые впрочем может создавать не только робот, но и человек

Возможно я путаю, так как мне не важно, как называют это хакеры, или кому это интересно. Для меня любая уязвимость, в том числе и отсутствие защиты от спама - это дыра.

Благо, хоть с кем-то у нас нашлось понимание :)

Надіслати
Поділитися на інших сайтах


:Если хотите, то да..

Вы приходит в пиццерию и заказываете пиццу, при это ингредиенты вы выбираете сами.

И... если пиццерия предоставит  мне услугу по сбору пиццы, то я с удовольствием этим воспользуюсь. Потому что пицца, в первую очередь - это хлебная лепешка.

Надіслати
Поділитися на інших сайтах

:Если хотите, то да..

Вы приходит в пиццерию и заказываете пиццу, при это ингредиенты вы выбираете сами.

И... если пиццерия предоставит  мне услугу по сбору пиццы, то я с удовольствием этим воспользуюсь. Потому что пицца, в первую очередь - это хлебная лепешка.

 

Не совсем так. Модуль продается в том виде, в котором есть. Автор не предлагает собирать его по микромодулям.

И в среде программирования давно так повелось, что если пользователи обнаруживают в продукте прореху и сообщают автору, он старается исправить, выпустить патчи и т.п. Будут ли обновления платными, или нет, это уже решать самому автору, но говорить пользователям, что они сами должны исправлять... Ну не вариант.

Надіслати
Поділитися на інших сайтах


Не совсем так. Модуль продается в том виде, в котором есть. Автор не предлагает собирать его по микромодулям.

И в среде программирования давно так повелось, что если пользователи обнаруживают в продукте прореху и сообщают автору, он старается исправить, выпустить патчи и т.п. Будут ли обновления платными, или нет, это уже решать самому автору, но говорить пользователям, что они сами должны исправлять... Ну не вариант.

а ничего, что средствами самого же модуля, можно сделать новое кастомное поле, сделав его обязательным и задав проверку по регулярному выражению, которое человек заполнит верно, а бот нет? а можно оставить одно поле почты и всё. но это же в ваших понятиях недопустимая уязвимость.

как раз таки до упора спорит тут всеми только один человек - это вы.

такой довод, что атаке подверглись все популярные движки, вам не довод.

вы даже его извратили в то, что я оказывается теперь не хочу ничего добавлять, хотя я парой страниц ранее написал, что добавляю проверку.

вы вместо того, чтобы ответить за свои прошлые слова про дырявость теперь переключились на меня лично и что я не хочу ничего делать, хотя я парой страниц ранее написал о проверке, а всем тем, кто обратился ко мне лично давно помог?

что ж вы за человек такой?

Надіслати
Поділитися на інших сайтах

Да нормальный я человек :)

Пока вы сегодня не упомянули, что это ваш модуль, я не смотрел на ники тех, кто тут что пишет. И не обращался к вам как к автору модуля.

И когда я писал о том, как можно реализовать проверку, вы могли бы просто написать, да, примерно так и сделаю. А вы что вместо этого написали?

Надіслати
Поділитися на інших сайтах


а нормальный я человек :)

Пока вы сегодня не упомянули, что это ваш модуль, я не смотрел на ники тех, кто тут что пишет. И не обращался к вам как к автору модуля.

И когда я писал о том, как можно реализовать проверку, вы могли бы просто написать, да, примерно так и сделаю. А вы что вместо этого написали?

стоп. я вас просил не употреблять слово дыра, то есть уязвимость, потому что это не уязвимость и никакой уязвимостью не является, вы же пытаетесь настаивать на обратном, проводя аналогии, делая обратные выводы и т.п.

и почему вы считаете, что я должен вам отвечать в виде "сделаю примерно так". я написал как я хочу сделать сам и сделаю это в том виде, в каком захочу.

но вы просто напросто не понимаете, что любая антибот защита обходится, ЛЮБАЯ, было бы желание обойти. особенно хорошо она обходится, когда реализована идентично от сайта к сайту, достаточно составить список стандартных полей и заполнять только их, либо заполнять только обязательные.

самая лучша спам защита - ИНДИВИДУАЛЬНАЯ - и она как раз таки делается средствами модуля за пять минут, спросите у моих же пользователей.

будем дальше спорить? или вы будете дальше придумывать аналогии и чернить модуль на выводах от обратного?

 

 

И вот вам пример: была бы в модуле изначально проверка на скрытые поля, как предложил фрилансер, человек, который бы делал бота под мой модуль, сразу бы учел этот момент в боте и добавил проверку - не заполнять такие поля, они легко вычисляются, они нестандартные. В итоге фейковые заказы это не остановило бы, а вы бы и дальше кричали: в модуле дыра.

Теперь вы видимо скажете, но ведь даже попыток не было! Хорошо, итерация вторая, добавляем новую проверку, добавляют в бот обход и ее.

Что дальше?

А если на каждом сайте индивидуальная проверка, будет ли кто-то заморачиваться с таким сайтом?

 

И после этого вы снова скажете, что в модуле "уязвимость"?

Вы это можете сказать бабушкам у подъезда, либо тем, кто совсем ничего не понимает в этом, то есть доверчивым людям, которые верят на слово.

И то, что вы тут вторую страницу таким образом пытаетесь очернить модуль мне ну совсем не нравится.

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.