/u/216161/crop5daf72732a011.png?f=community)
Die debiele Google recaptcha zijn toch niet steeds opnieuw nodig bij inloggen? Ik ben geen spammer en ik heb een al jaren bestaand account. Ik wordt daar ontzettend chagrijnig van. Kan iemand dat zsm uitzetten?
Dank u.
Dank u.
:strip_exif()/u/145304/nick.gif?f=community)
Vanaf waar log je in? Thuis? Of ergens anders? Misschien deel je het IP-adres met mensen die helaas wel spammen... 
Vanaf mijn eigen IP. Er is geen misbruik, mijn netwerk is 100% zeker niet besmet en staat achter een loggende firewall.:
Vanaf waar log je in? Thuis? Of ergens anders? Misschien deel je het IP-adres met mensen die helaas wel spammen...
Google gebruikt domme methoden om te bepalen of er risico is.
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
/u/1830/acm.png?f=community)
Dat klopt, maar dat betekent twee dingen:
- 2x fout inloggen vanaf jouw ip (wat wellicht onwaarschijnlijk is)
- 2x fout inloggen op jouw account (wat iemand anders dus ook kan doen)
Als je het echter _elke_ keer direct al krijgt, zijn beide scenario's wel onwaarschijnlijk. Tijdens het testen kregen wij echter steeds gewoon pas na 2x fout inloggen de captcha...
Waar log je in? En kan je uitleggen hoevaak je inlogt? (blijkbaar heel vaak, anders zou niet hier klagen). Wellicht gebruik je het systeem op een door ons onvoorziene manier, waardoor je extra gehinderd wordt
/u/8/oog3.png?f=community)
"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan
Het komt zo te zien doordat jouw browser/OS met Tweakers verbindt volgens een oude wijze... Het bleek dat het overgrote deel van de login-kraak-pogingen ook met die oude wijze gebeuren en omgekeerd dat het aantal "niet robot"-bezoekers (zoals jij) een heel klein deel is van de "bezoekers" die die oude wijze gebruiken.
En daarom hebben we voor die situatie toch maar gekozen voor bescherming van profielen en daar direct al een captcha-check voor ingevoerd.
In jouw geval zou dus upgraden naar een moderner OS en/of browser werken... Maar dat moet je natuurlijk maar net kunnen en willen.
De meeste mensen loggen slechts enkele keren per jaar in... Wat hier bovendien extra lastig is, is dat je de captcha al krijgt voor je uberhaupt een gebruikersnaam mag invoeren, dus dat moet dan ook helemaal anders.
Het is al met al denk ik wat teveel inspanning om voor een beperkt aantal mensen te doen.
Maar die oude-methode-check is met het resetten van wachtwoorden een stuk minder nodig geworden, dus we gaan die voorlopig even uitzetten
[ Voor 3% gewijzigd door ACM op 29-03-2018 10:36 ]
/u/107051/jeroenmadtrix60.png?f=community)
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
:strip_icc():strip_exif()/u/295699/crop609bc9a510a14_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community)
In het geval van IE11 (en daarvoor 10, 9, 8...) hangen een deel van de browser features af van de windows-versie. Zo was/is er onderscheid in welke aspecten van SSL/TLS-varianten werden ondersteund en geldt nu in ieder geval nog dat bijvoorbeeld HTTP/2 alleen vanaf windows 10 in IE11 beschikbaar is.
Anders gezegd, bij IE geldt niet dat als je de nieuwste versie hebt, dat je dan ook gegarandeerd de nieuwste (beveiligings)functies hebt
@ACM
IE11 is in 2015 voorzien van nieuwe functionaliteit voor Windows 7,8.x,10 en server versies en het ontvangt security patches, inclusief patches voor onveilige crypto. Het ondersteunt o.a. HTML5 (natuurlijk volgens de Microsoft methode). En ze worden nog jaren ondersteund.
HTTP 2 is wel erg nieuw om nu al te besluiten HTTP 1.1 maar bij het grof vuil te zetten. Ik snap dat je bij wilt blijven enzo en extra veiligheid is zeker ook nooit weg, maar er is nog een enorme installed base en die blijft voorlopig wel even.
Weet je wel zeker dat de inlogmethode niet werkt? Ik weet niet wat je doet precies. Als je het toepassen van een methode af laat hangen van een slechte ondersteuningscheck (er zijn meer slechte checks in omloop dan goede), bijvoorbeeld heel grof op een bepaalde hoofdversie of een externe check (data graaiers: vies, bah) die geblockt wordt, dan is de kans aanwezig dat het wel werkt, maar dat de check die je uitvoert het niet doet.
Ik gebruik diverse browsers voor diverse taken, die niet gemixt kunnen worden. Een OS update (als dat iets zou oplossen) is ook geen optie wegens dev werkstation.
Hoe dan ook, wat mij hier echt interesseert is dat er geen hoepeltjes worden ingesteld om doorheen te springen, daar heb ik (excusez les mots) echt een enorme schijthekel aan. Als mens ben ik geen trekpop die je ongestraft kunstjes kunt laten doen. Voor domme tijdrovende en irritante taken heb ik een computer. Die heeft (nog) geen gevoel. Ik mep terug als je me lang genoeg treitert.
@NMe
IE11 zit in Windows 7, 8, 8.1 en 10. Edge is wel default in 10. IE11 wordt wijd gebruikt en het wordt elke maand geupdate en de versienummers zijn geen constanten. Het OS heeft er weinig mee te maken. Het is een ondersteund OS en wordt door velen gebruikt, ongetwijfeld ook door veel Tweakers bezoekers. Terecht, de overige besturingsystemen zijn rommel en voorzien van steeds meer datagraaierij. Je kunt wel raden dat in mijn volgende OS (zodra dat eindelijk kan) geen woordje "Windows" voorkomt. En een andere browser komt niet af van een datagraaier. Zelfs aan Firefox moet je ook flink sleutelen om alle calls home uit te schakelen. Maar goed, dit is sowieso niet de oplossing.
Het gaat hier om het instellen van een "beschermingsmaatregel" (Recaptcha) die in feite een pesterij is. Er is geen sprake van het downgraden van inlogbeveiliging, je blijft de best beschikbare inlogmethode kiezen per gebruiker. Het zijn twee verschillende issues met twee verschillende oplossingen.
Bij Recaptcha gebruik bij inloggen -wat pas een week of zo aanstaat- gaat het met name over beveiliging tegen DDoS en wachtwoord raden (dictionary/brute forcing) van een bestaand account. Zelfs met Recaptcha (wat ik niet aanraad), kun je daar veel slimmer mee opgaan. Je hoeft niet meteen al een Recaptcha te tonen voordat je inlogt. Dat was wat er gebeurde. Je kunt dat bijvoorbeeld doen na enkele foute inlogpogingen. Of je stelt server side een wachttijd in.
Je kunt controleren of je een gebruiker met een browser hebt of een bot die bijvoorbeeld niet eens javascript of HTML5 begrijpt.
Anti-spam maatregelen moeten zodanig worden gekozen dat je niet het kind met het badwater weggooid - altijd. Het is niet voor niets dat slechte anti-spam methoden zoals Bayes (in email spam filters) waarbij false positives een statistische garantie zijn, worden gecombineerd met andere ongerelateerde methoden om de zekerheid te vergroten. Je kunt dus vele factoren controleren om te zien of je te maken hebt met een aanvaller of met een legitieme gebruiker. Dat geeft een grote mate van zekerheid.
Stuur me maar een PM als je hier meer over verder wilt weten.
IE11 is in 2015 voorzien van nieuwe functionaliteit voor Windows 7,8.x,10 en server versies en het ontvangt security patches, inclusief patches voor onveilige crypto. Het ondersteunt o.a. HTML5 (natuurlijk volgens de Microsoft methode). En ze worden nog jaren ondersteund.
HTTP 2 is wel erg nieuw om nu al te besluiten HTTP 1.1 maar bij het grof vuil te zetten. Ik snap dat je bij wilt blijven enzo en extra veiligheid is zeker ook nooit weg, maar er is nog een enorme installed base en die blijft voorlopig wel even.
Weet je wel zeker dat de inlogmethode niet werkt? Ik weet niet wat je doet precies. Als je het toepassen van een methode af laat hangen van een slechte ondersteuningscheck (er zijn meer slechte checks in omloop dan goede), bijvoorbeeld heel grof op een bepaalde hoofdversie of een externe check (data graaiers: vies, bah) die geblockt wordt, dan is de kans aanwezig dat het wel werkt, maar dat de check die je uitvoert het niet doet.
Ik gebruik diverse browsers voor diverse taken, die niet gemixt kunnen worden. Een OS update (als dat iets zou oplossen) is ook geen optie wegens dev werkstation.
Hoe dan ook, wat mij hier echt interesseert is dat er geen hoepeltjes worden ingesteld om doorheen te springen, daar heb ik (excusez les mots) echt een enorme schijthekel aan. Als mens ben ik geen trekpop die je ongestraft kunstjes kunt laten doen. Voor domme tijdrovende en irritante taken heb ik een computer. Die heeft (nog) geen gevoel. Ik mep terug als je me lang genoeg treitert.
@NMe
IE11 zit in Windows 7, 8, 8.1 en 10. Edge is wel default in 10. IE11 wordt wijd gebruikt en het wordt elke maand geupdate en de versienummers zijn geen constanten. Het OS heeft er weinig mee te maken. Het is een ondersteund OS en wordt door velen gebruikt, ongetwijfeld ook door veel Tweakers bezoekers. Terecht, de overige besturingsystemen zijn rommel en voorzien van steeds meer datagraaierij. Je kunt wel raden dat in mijn volgende OS (zodra dat eindelijk kan) geen woordje "Windows" voorkomt. En een andere browser komt niet af van een datagraaier. Zelfs aan Firefox moet je ook flink sleutelen om alle calls home uit te schakelen. Maar goed, dit is sowieso niet de oplossing.
Het gaat hier om het instellen van een "beschermingsmaatregel" (Recaptcha) die in feite een pesterij is. Er is geen sprake van het downgraden van inlogbeveiliging, je blijft de best beschikbare inlogmethode kiezen per gebruiker. Het zijn twee verschillende issues met twee verschillende oplossingen.
Bij Recaptcha gebruik bij inloggen -wat pas een week of zo aanstaat- gaat het met name over beveiliging tegen DDoS en wachtwoord raden (dictionary/brute forcing) van een bestaand account. Zelfs met Recaptcha (wat ik niet aanraad), kun je daar veel slimmer mee opgaan. Je hoeft niet meteen al een Recaptcha te tonen voordat je inlogt. Dat was wat er gebeurde. Je kunt dat bijvoorbeeld doen na enkele foute inlogpogingen. Of je stelt server side een wachttijd in.
Je kunt controleren of je een gebruiker met een browser hebt of een bot die bijvoorbeeld niet eens javascript of HTML5 begrijpt.
Anti-spam maatregelen moeten zodanig worden gekozen dat je niet het kind met het badwater weggooid - altijd. Het is niet voor niets dat slechte anti-spam methoden zoals Bayes (in email spam filters) waarbij false positives een statistische garantie zijn, worden gecombineerd met andere ongerelateerde methoden om de zekerheid te vergroten. Je kunt dus vele factoren controleren om te zien of je te maken hebt met een aanvaller of met een legitieme gebruiker. Dat geeft een grote mate van zekerheid.
Stuur me maar een PM als je hier meer over verder wilt weten.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
:strip_icc():strip_exif()/u/286431/avatar_60x60.jpg?f=community){kind=avatar}
Dank, dat vind ik ook. Mijn methode is o.a. filtering van crap domeinen en cookies weggooien. In principe kunnen alle cookies als tracking cookies worden gebruikt. Ook zonder cookies: veel sites gebruiken Google scripts vanaf Google servers voor bepaalde functies. Of Google Analytics. Of icoontjes van Facebook en Twitter. Allemaal mooi voor de developers, webmasters en de marketing dept., maar niet zo mooi voor de privacy van de gebruiker. De bekende discussie, ik wil hem niet opnieuw starten.
Klopt, maar ik schreef al: het komt uit Redmond en daar hebben ze een eigen "smaak". Niet fijn natuurlijk.
Ik gebruik meerdere browsers en die zijn verschillend ingericht voor specifieke taken. Zoals ik schreef, zelfs Firefox is niet goed voor je privacy vanwege de vele home calls. Je moet flink aan de slag om die allemaal uit te zetten. Niet geschikt voor eindgebruikers. Het is een wijd verbreide doorvertelde mening ook onder beheerders en zelfs hier een daar wat security specialisten dat Firefox goed is voor privacy. Aan de ene kant klopt dat (zelfs Tor gebruikt het in flink aangepaste vorm), maar bij een default install is dat niet zo, ook niet als je de beperkte GUI gebruikt om een paar dingen uit te zetten. Dat was wat ik zei. Ik zei niet dat slechter is dan IE of iets dergelijks. Ik gebruik ze allebei voor verschillende niet-compatible doeleinden. Dat heeft met mijn werk te maken.
Zoals ik schreef, Bayes is een methode die per definitie statistisch onbetrouwbaar is, dat is zelfs de premisse van de methode. Daar kan geen discussie over zijn, het is een feit. By design zijn er behoorlijk wat false positives bij Bayes alleen, en veel minder bij de scoring methode. Van Bayes heb je minder goede en goede implementaties en varianten. Scoring is een manier om meerdere meerdere detectie-elementen te combineren en zo tot meer zekerheid te komen, dàt was het punt dat ik maakte.
Overigens is onafhankelijke scoring niet de beste antispam methode. Het is in feite dom, want het is een onafhankelijke optelling van kenmerkscores, zonder te kijken wat die kenmerken zijn, zoals een mens zou doen. Er zijn tegenwoordig veel betere methoden van spam detectie met vrijwel geen false positives. False positives zijn niet erg handig in email, dan moet je als gebruiker alsnog je spam folder controleren of die mail wordt al tegengehouden op de scanner. De tijd dat je nog weg kon komen met een slecht functionerende spam filter ligt al een tijdje achter ons. Er zijn natuurlijk nog wel gratis mail providers en providers die SpamAssassin installeren en er verder niet naar omkijken, maar het is een ander verhaal in bedrijven. Je kunt je niet veroorloven mail te missen van een grote (potentiele) klant. Een goede spam filter betaalt zich terug.
Maar goed, waar het mij om ging was dat je met intelligente detectie via een combinatie van kenmerken verder komt dan met methoden die de gebruiker het werk laten doen en ze en passant irriteert. Dat geldt ook voor bijvoorbeeld "wasstraten" van DDoS aanvallen. Dat kun je op de goede en de verkeerde manier doen. Een groot anti-DDoS bedrijf uit de VS doet het (deels) op de verkeerde manier.
Er zijn ook spam "filters" die op elk bericht een mail naar de verzender sturen en vragen om op een link te klikken om te bevestigen. Dus ook naar alle valse afzenderadressen (envelope from of From header) die de spammer gebruikt. Iemand met zo'n filter vraagt dus aan derden en kennissen of ze alsjeblieft als spam filter willen dienen.
@mrmrmr Je hebt hele verhalen geschreven met hints dat het allemaal beter kan... maar bedenk wel dat wij slechts een eindige voorraad tijd en kennis tot onze beschikking hebben. En bovendien dit soort dingen tijdens een aanval zullen (moeten) doen.
Je kan klagen over die captcha, maar het werkte wel. In dit concrete voorbeeld was bijvoorbeeld 'na 1 foute inlogpoging' ook al niet goed, want de kans was juist erg groot dat er direct al een goede login werd gedaan. Op ip limieteren werkte niet voldoende goed omdat de brute-forcer heel veel losse ip's gebruikte... dus nog steeds een grote kans had om niet geblokkeerd te worden.
Verder was Recaptcha niet nieuw, dat gebruiken we al jaren bij de login-pagina. We konden daardoor heel eenvoudig tijdens die brute-force aanval de grenzen voor het verschijnen van de captcha aanpassen en ons zo ineens tegen die aanval beschermen.
Helaas bleek door het grote aantal one-hits dat pas na de eerste foute poging de captcha tonen niet voldoende was, dus zijn we naar herkenningspunten gaan kijken die zelfs vooraf al een captcha konden geven zonder dat we enige kennis van de bezoeker hadden. We hebben uiteraard gezocht naar herkenningspunten die naast eenvoudig in te bouwen ook een grote kans op true-positives gaven met een kleine op false-positives.
Je kan ranten op het feit dat dat een slechte beveiligingscheck is, maar het werkte wel en was een kwestie van een paar uur sleutelen. Allerlei complexe zaken met bijhouden en herkennen van betrouwbare ip's vs niet-betrouwbare, 2-factor authentication, etc, dat zijn zaken die we niet zomaar even tussendoor kunnen toevoegen. Bovendien is de kans groot dat dat veel meer impact heeft op de gebruikerservaring dan een paar eenvoudige maatregelen.
En dan terugkerend op die "slechte check", hij werkte wel... dus vanuit ons beoogde doel was ie helemaal niet slecht Het is helaas wel zo dat ie niet 0 false-positives had.
Voor de toekomst; aangezien we niet kunnen voorspellen op wat voor manier we in de toekomst aangevallen gaan worden (het is zelfs niet altijd op de logins gericht), zullen we ook bij toekomstige aanvallen vooral grijpen naar eenvoudige - snel te implementeren - oplossingen zodat we de aanval zsm kunnen afslaan. En helaas zal dat vrijwel altijd gepaard gaan met enkele false-positives
Daarbij zal ook gelden dat hoe meer iemand "lijkt" op zo'n aanvaller, hoe groter de kans op false-positives is
Je kan klagen over die captcha, maar het werkte wel. In dit concrete voorbeeld was bijvoorbeeld 'na 1 foute inlogpoging' ook al niet goed, want de kans was juist erg groot dat er direct al een goede login werd gedaan. Op ip limieteren werkte niet voldoende goed omdat de brute-forcer heel veel losse ip's gebruikte... dus nog steeds een grote kans had om niet geblokkeerd te worden.
Verder was Recaptcha niet nieuw, dat gebruiken we al jaren bij de login-pagina. We konden daardoor heel eenvoudig tijdens die brute-force aanval de grenzen voor het verschijnen van de captcha aanpassen en ons zo ineens tegen die aanval beschermen.
Helaas bleek door het grote aantal one-hits dat pas na de eerste foute poging de captcha tonen niet voldoende was, dus zijn we naar herkenningspunten gaan kijken die zelfs vooraf al een captcha konden geven zonder dat we enige kennis van de bezoeker hadden. We hebben uiteraard gezocht naar herkenningspunten die naast eenvoudig in te bouwen ook een grote kans op true-positives gaven met een kleine op false-positives.
Je kan ranten op het feit dat dat een slechte beveiligingscheck is, maar het werkte wel en was een kwestie van een paar uur sleutelen. Allerlei complexe zaken met bijhouden en herkennen van betrouwbare ip's vs niet-betrouwbare, 2-factor authentication, etc, dat zijn zaken die we niet zomaar even tussendoor kunnen toevoegen. Bovendien is de kans groot dat dat veel meer impact heeft op de gebruikerservaring dan een paar eenvoudige maatregelen.
En dan terugkerend op die "slechte check", hij werkte wel... dus vanuit ons beoogde doel was ie helemaal niet slecht
Het is helaas wel zo dat ie niet 0 false-positives had.Voor de toekomst; aangezien we niet kunnen voorspellen op wat voor manier we in de toekomst aangevallen gaan worden (het is zelfs niet altijd op de logins gericht), zullen we ook bij toekomstige aanvallen vooral grijpen naar eenvoudige - snel te implementeren - oplossingen zodat we de aanval zsm kunnen afslaan. En helaas zal dat vrijwel altijd gepaard gaan met enkele false-positives
Daarbij zal ook gelden dat hoe meer iemand "lijkt" op zo'n aanvaller, hoe groter de kans op false-positives is
/u/125506/link-8bit.png?f=community)
:strip_exif()/u/394654/logo.gif?f=community){kind=logo}
Ik heb vorig jaar meerdere keren updates op Windows systemen uitgevoerd waar geen IE updates bij zaten. Dat een update voor het OS zelf heel toevallig ook van toepassing kan zijn voor IE is puur en alleen omdat het zo in het OS zit verweven dat je er niet aan ontkomt.
Wat er wereldwijd gebruikt wordt boeit niet. Het gaat hier over welke browsers tweakers.net bezoekt. Dat je moeder en buurvrouw elke site bezoeken met IE omdat ze niet beter weten dan die grote blauwe E is niet boeiend als ze niet verder komen dan de website van de lokale breiclub.
Er is een artikel van op Tweakers, maar die kan ik even niet zo snel vinden. Het toont wel aan dat maar een heel klein percentage met IE de site bezoekt vergeleken met de andere twee grootheden.
Voor W10 dus.
Minimaal. Je krijgt nog steeds verschillen tussen de drie Windows versies als je puur functioneel gaat kijken en daar komt uit dat W7 toch wel het minst functioneel is omdat het gewoon op een veroudert OS draait.
Je hebt zelf niet eens door hoe ver jij van de realiteit bent verwijdert. De hele beveiliging en werking van het inloggen moet maar aangepast worden, omdat jij te lui bent om cookies voor Tweakers te bewaren. Juist omdat je cookies verwijdert moet je meerdere keren per dag opnieuw inloggen. En dát is juist hetgeen van de recaptcha die je krijgt veroorzaakt. Dat 'verdachte' gedrag icm het gebruik van een toch wel antieke browser is precies de reden van jouw probleem.Jij kiest dus voor het eerste en zit met het ongemak wat dat veroorzaakt. Neem dat dan voor lief ipv te komen klagen. Er is uitgelegd waarom je telkens die captcha krijgt. Kies je voor iets meer gemak, dan is het probleem opgelost.
Jij ziet maar 1 oplossing en dat is dat jij niets hoeft te doen en Tweakers zich maar moet aanpassen aan jou. Zo werkt de wereld niet. Prima dat je niet mee reageert, dan hoeft er ook niets aangepast te worden.
Commandline FTW | Tweakt met mate
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
:strip_exif()/u/67342/tnet3.gif?f=community)
Kijk voor de grap eens welke reacties in dit topic de meeste plusjes krijgen.
PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
:strip_icc():strip_exif()/u/351644/images.jpg?f=community)
Ik merk veel frustratie. Je hebt al een loggende firewall, toont wel aan dat er wat IT kennis in je zit.
Zo kan je dit toch ook wel oplossen
Recaptcha solver?
Life is meant to be experienced
/u/154974/Jelly_avatar01_small.png?f=community){kind=avatar}
|<----------------------------------------------arm length---------------------------------------------->|
|<-------------------------------------------where the cat is--------------------------------------------->|
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Nou, lekker dan. Alsof een mens niet snel iets kan zien/vinden op een plaatje. Fijne vorm van discriminatie dan, je doet iets te snel dus ben je een machine.
Commandline FTW | Tweakt met mate
Niet aanstellen, da's gewoon een van de weinige manieren waarop je mens van machine kan onderscheiden. Als je het niet wil triggeren moet je langzamer zijn, en anders moet je wat vaker klikken.:
[...]
Nou, lekker dan. Alsof een mens niet snel iets kan zien/vinden op een plaatje. Fijne vorm van discriminatie dan, je doet iets te snel dus ben je een machine.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
:strip_icc():strip_exif()/u/32590/Meteora60.jpg?f=community)
Pagina: 1