[PHP] Data verificatie code via jpeg's

http://jayseae.cxliv.org/...ation_image_with_php.html

En zoeken op Google met verification en image leverde mij de volgende resultaten op:
http://www.google.nl/sear...&q=verification+image&lr=

1. genereer een random string
2. sla string tijdelijk op op server (bijv in een session)
3. geneer image met string


1. user kijk op login pagina, moet username, wachtwoord en string invullen
2. check of ingevulde string overeenkomt met session, zoja login ok, zo nee genereer een nieuwe random string

Die techniek heet Captcha, als ik het goed heb

Verwijderd schreef op donderdag 27 januari 2005 @ 12:43:
Dit werkt prima, maar ik wil nu graag een extra verificatie/login slag inbouwen.

Zijn de wachtwoorden niet sterk genoeg dan?

Je kunt captcha's gebruiken, je kunt ook challenge response gebruiken, maar net wat je wilt

Je kan ook gewoon een PHP script gebruiken als image hoor, hoef je het niet op te slaan dus ook geen kans dat het image overschreven wordt terwijl iemand anders het aan het downloaden is (edit: of dat iemand een verkeerd image krijgt omdat toevallig in die tussentijd een nieuw image is aangemaakt).

[ Voor 24% gewijzigd door Radiant op 27-01-2005 13:56 ]

[img]"jescript.php"[/img]
je moet alleen zorgen dat je script d ejuiste headers mee stuurt

[ Voor 65% gewijzigd door Helmet op 27-01-2005 14:03 ]

volgens mij moet het zo willen werken:

[quote]<?php
header("Content-type: image/png");

$img = imagecreate(40, 20);
$white = imagecolorallocate($img, 255, 255, 255);
$brown = imagecolorallocate($img, 51, 0, 0);
srand((double)microtime()*1000000);
$string = md5(rand(0,9999));
$verify_string = substr($string, 3, 4);
imagefill($img, 0, 0, $brown);
imagestring($img, 3, 6, 3, $verify_string, $white);
imagepng($img);
imagedestroy($img);
?>

en dan kun je het plaatje opvragen zoals hierboven vermeld.

Verwijderd schreef op donderdag 27 januari 2005 @ 14:48:
Vraag voldoende beantwoord. Kan nu verder. Topic mag dicht denk ik.

Waarom moet hij dicht? Anderen kunnen best verder gaan met de discussie

Hij moet dicht omdat hij dat vind, en wil stoer zijn , Hij wil moderator worden op tweakers

Sorry kon het niet laten


Maar voor extra beveiliging kan je ook kijken of het misschien handig is om na 3 mislukte pogingen,

binnen 10 minuten bijv. Zijn ip 1 uur lang te blocken.

[ Voor 41% gewijzigd door Verwijderd op 27-01-2005 16:26 ]

Verwijderd schreef op donderdag 27 januari 2005 @ 13:48:
Op zich wel, maar de data is dermate gevoelig dat ik uit wil sluiten dat scripters toegang vinden tot de pagina's.

Let wel dat dit slechts tot op zekere hoogte zal werken. Ik heb met een populaire campagne meegemaakt dat mensen alles automatiseerden, en dat overtypen deden via een programmaatje waarin je bovenin het plaatje zag en je onderin enkel een invulveld te zien kreeg. Enige wat je hoefde te doen, was de code overtypen.. En dat achter elkaar, achter elkaar, achter elkaar etc etc etc.

Dat zou je kunnen verhelpen met een tijdslot op IP-adres (1 entry in de x uur), maar nieuwe versies van het programmaatje werkten via proxy-anonimizers waardoor telkens verschillende IP-adressen werden gebruikt. We zijn toen zelf bezig geweest om ca 25.000 veelgebruikte proxy-IP-adressen te verzamelen. Mensen met een IP-adres uit die lijst kregen vervolgens een string voorgeschoteld die drie keer zo lang was en extra moeilijk leesbaar was. Daarmee ging de lol er ook voor de die-hards snel af.

Enfin, neemt niet weg dat de captcha-techniek zeer nuttig kan zin en ik verbaas me erover dat-ie nog zo weinig wordt gebruikt.

Diegene die jij gebruikt is gevoelig voor ocr (standaard lettertype, alleen b/w), dus kijk ook eens naar deze captcha:
http://php.webmaster-kit.com/

Overigens is dit ook een leuk gegeven:
http://www.boingboing.net...solving_and_creating.html

Deze techniek is niet bedoeld voor het 'veiliger' maken van je pagina's, slechts om het automatisch genereren van een login onmogelijk te maken.

Denk dat het in jouw geval dus weinig nut heeft

[edit]

Tenzij je het bij iedere login wilt gaan doen natuurlijk.... al lijkt me dat niet echt gebruiksvriendelijk..

[ Voor 24% gewijzigd door Bosmonster op 27-01-2005 17:12 ]

Ik geef zelf ook liever de voorkeur voor challenge response dan captcha. Er zijn al diverse captcha scanners beschikbaar die alleen de moeilijke captcha's niet kunnen uitvogelen. Daarnaast zijn ze ook nog is vaak slecht leesbaar.

Anders schreef op donderdag 27 januari 2005 @ 16:45:
Enfin, neemt niet weg dat de captcha-techniek zeer nuttig kan zin en ik verbaas me erover dat-ie nog zo weinig wordt gebruikt.

Omdat ze zo vervelend zijn voor 'normale' gebruikers.

Verwijderd schreef op donderdag 27 januari 2005 @ 17:00:
Ik geef zelf ook liever de voorkeur voor challenge response dan captcha. Er zijn al diverse captcha scanners beschikbaar die alleen de moeilijke captcha's niet kunnen uitvogelen. Daarnaast zijn ze ook nog is vaak slecht leesbaar.

Captcha moet je ook zien als hoge drempel. De meeste mensen zullen echt niet de moeite nemen om ingewikkelde ORC scanners te vinden/maken/af te stellen.
Wat is het idee achter challenge response?

DataBeest schreef op donderdag 27 januari 2005 @ 17:51:
[...]

Captcha moet je ook zien als hoge drempel. De meeste mensen zullen echt niet de moeite nemen om ingewikkelde ORC scanners te vinden/maken/af te stellen.
Wat is het idee achter challenge response?

Dat je serverside een code genereerd, de zgn. challenge. Clientside wordt adhv deze challenge met MD5 gecodeerd, de zgn. response, en vervolgens vergeleken met de challenge serverside.