arne22 Skrevet 28. desember 2023 Rapporter Del Skrevet 28. desember 2023 (endret) 48 minutes ago, Gjest slettet-ld9eg7s96q said: Vil hevde at captcha løsningen min er bedre. Epostadressen ligger lagret skjult på serveren og usynlig inntill man løser captchaen. Når captchaen er løst får serveren beskjed om å sende epostadressen til nettleseren via en tilfeldig generert nøkkel for hver forespørsel. Da slipper brukeren å gjøre noe manuelt og tungvint (som å skrive epostadressen for hånd), foreuten å huke av en captcha. Det spørs om du ikke får en bedre "call to action" ved å kunne lese adressen ved første øyekast, i stedet for å måtte generere den fram via et ekstra klikk, men metoden er jo så absolutt "lur". Hvordan får man til dette? Å generere en mail adresse som grafikk, det tar jo ca 1 sekund via for eksempel Windows Snipping tool. Ser ellers at det nå skal finnes automatiske "Capsolvere", men tviler på at de fungerer noe særlig optimalt. https://www.capsolver.com/?gclid=Cj0KCQiA1rSsBhDHARIsANB4EJYQCFt_nH9b50nnTK-HZhto4c3Mx2PlLJkibWpw_bi4pPXhSuVQQ0waAmmFEALw_wcB Endret 28. desember 2023 av arne22 Lenke til kommentar
barfoo Skrevet 28. desember 2023 Rapporter Del Skrevet 28. desember 2023 On 12/21/2023 at 4:02 PM, xlarge said: "Min" gamle oppskrift er basert på javascript og som sikkerhets ekspert liker jeg ikke java i det hele tatt. En maskinspråk variant ville være å foretrekke. Uh? Java som klientsidekode på nett har jo vore dødt i ti-femten år? Moderne nettlesarar støtter jo ikkje plugins, og eg har ikkje sett java applets på eviglenge. Og kvifor vil du foretrekke maskinspråk? Som sikkerhetsekspert burde du jo kjenne til sandboxing som java applets hadde? Oppførselen din minner mest om å navngi tilfeldige teknologier, og påstå du er ekspert, i håp om at andre ikkje gjennomskuer deg. Namedropping funker imidlertid stortsett ekstremt dårlig i skriftlige diskusjoner. 1 Lenke til kommentar
Gjest Gjest slettet-ld9eg7s96q Skrevet 28. desember 2023 Rapporter Del Skrevet 28. desember 2023 (endret) arne22 skrev (29 minutter siden): Det spørs om du ikke får en bedre "call to action" ved å kunne lese adressen ved første øyekast, i stedet for å måtte generere den fram via et ekstra klikk, men metoden er jo så absolutt "lur". Hvordan får man til dette? Det er ikke så komplisert som det høres som. Hvis du f.eks bruker google recaptcha får du en nøkkel ved en vellykket recaptcha forespørsel (og da er personen et menneske og ikke en robot) og du validerer denne ved neste forespørsel. F.eks kan den forespørselen være en ajax forespørsel via axios e.l så bruksopplevelsen går mer sømløst. I den forespørselen validerer du bare nøkkelen du fikk med google opp mot google's servere og hvis alt stemmer returnerer du epostadressen fra serveren som i sin tur vises på nettsiden via en helt alminnelig mailto lenke. Egentlig eksakt samme fremgangsmåte man bruker for å validere captcha / g-recaptcha hvis man sender inn nettside skjemaer. Bare istedefor å sende inn et skjema, sender man bare recaptchaen og returnerer epostadressen hvis recaptchaen ble løst. Endret 28. desember 2023 av Gjest slettet-ld9eg7s96q Lenke til kommentar
Gravitass Skrevet 28. desember 2023 Rapporter Del Skrevet 28. desember 2023 Hva med å skrive epostadressen i klartekst, men på en litt mer finurlig måte? Så denne videoen nylig, som forklarer at epost-standarden inneholder mange tegn som noen epost-klienter ikke gjenkjenner. Om man følger videoen og bruker et format som støttes av gmail og hotmail/outlook så har man jo dekket en del folk. Samtidig så regner jeg med at bots ikke støtter noen avanserte formater i det hele tatt. Botene er sikkert kodet for å fange opp "security by obscurity" elementer slik som å skrive @ som (a) eller lignende. Lenke til kommentar
xlarge Skrevet 29. desember 2023 Forfatter Rapporter Del Skrevet 29. desember 2023 Takk for de mange kommentarer og forslag som kanskje er nyttig for flere. Jeg har jobbet med dette problemet i mange år og prøvd det meste. Nå bruker jeg @duck.com-epostkonto som både sperrer for spam og som videresender til en separat epostkonto som jeg bruker bare for websiden. Ingen kan se den riktige epostkontoen og når jeg evt. svarer kan jeg velge mellom å bruke duck-kontoen eller den riktige kontoen. Løsningen er gratis. Jeg bruker egne duck-konti nesten alltid når jeg handler på nett eller går inn på internet forum. For ebay o.lign. har jeg alltid en separat epostkonto. MyHeritage er en av de største synderne når det gjelder å lekke passord og epostadresser og var egentlig hovedårsaken til at jeg har prøvd mange løsninger for å skjule riktig epostkonto. Nå får jeg i praksis aldri spam eller phishing lenger. Hvis en har eget domene kan en lage sitt eget "duck" opplegg med videresending osv. 2 Lenke til kommentar
tingo Skrevet 29. desember 2023 Rapporter Del Skrevet 29. desember 2023 @duck.com var snedig. Takk for infoen! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå