深蓝居

评论

#1楼  2008-06-04 10:31 Microshaoft      

又没有服务器端时间戳

cookie = Encrypt(VerifyCode + ServerTimeStamp)   回复  引用  查看    

#2楼  2008-06-04 10:40 amingo      

不错!   回复  引用  查看    

#3楼  2008-06-04 10:46 簡簡單單..      

谢谢提醒..   回复  引用  查看    

#4楼 [楼主] 2008-06-04 11:14 深蓝      

@Microshaoft
用服务器时间戳？这个我不知道怎么做，时间戳是一直变化的吧？如果是，那么还是需要将时间戳保存到Session中才能在用户提交的时候进行验证。如果不是，那么每次发相同的Cookie值和验证码值就通过验证了。
  回复  引用  查看    

#5楼  2008-06-04 12:03 求知无傲      

学习   回复  引用  查看    

#6楼  2008-06-04 12:42 PerfectDesign      

@深蓝
microshaoft讲的其实就是及时过期cookie，跟你这个讲的一个样
及时销毁，就是及时过期你的cookie就可以   回复  引用  查看    

#7楼  2008-06-04 12:55 菜菜灰      

受教了，非常感谢~   回复  引用  查看    

#8楼 [楼主] 2008-06-04 13:33 深蓝      

@PerfectDesign
哦。这样啊。能不能给出一下基于时间戳的的验证码验证的示例代码，我不知道时间戳怎么做。谢谢。   回复  引用  查看    

#9楼  2008-06-04 13:43 boot [未注册用户]

请教楼主一个问题，不重新拨号，不用代理，如何让机器人切换IP？我看到有人确实可以做到。   回复  引用    

#10楼  2008-06-04 14:00 柳永法 [未注册用户]

楼主无意中提供了好几种方案   回复  引用    

#11楼  2008-06-04 14:04 airwolf2026      

不错.关注下   回复  引用  查看    

#12楼 [楼主] 2008-06-04 14:14 深蓝      

@boot
要切换IP很容易，操作系统提供了netsh命令用于重新设置本机的IP，可以用程序来调用该命令。如果要完全自己写程序来实现改IP我还不知道怎么做，估计得调用Windows的API吧。   回复  引用  查看    

#13楼  2008-06-04 14:26 PerfectDesign      

@深蓝
encrype(verifycode+datime.now.addminites(1))
下次你在decrypt的时候就比对这个时间，如果超过1分钟，那么验证码就过期了

这样机器人就不能拿一个验证码对（肉眼看到的验证码和cookie里面存储的加密串）用一分钟以上了。   回复  引用  查看    

#14楼  2008-06-04 14:28 小猪凯      

受教

销毁session的问题以后俺也要注意了.   回复  引用  查看    

#15楼  2008-06-04 15:08 Microshaoft      

@深蓝
Session 是否过期不重要
Cookie 是否过期不重要

关键是：
Encrypt(VerifyCode + ServerTimeStamp)
解密后判断里面的时间戳是否过期！
超时后防止重放

使用Cookie可以支持负载均衡   回复  引用  查看    

#16楼 [楼主] 2008-06-04 15:33 深蓝      

@PerfectDesign
@Microshaoft
的确是一个不错的办法，直接限制了验证码在生成后n分钟内有效。不过n值不好权衡，太长了（哪怕是只有1分钟）还是容易被机器人利用（一个多线程的投票机器人一分钟内投几百票还是没有问题的），太短了用户体验又不是很好。   回复  引用  查看    

#17楼  2008-06-04 18:14 airwolf2026      

楼主说的用netsh切换IP只是本地的(目前国内的网络环境哈)   回复  引用  查看    

#18楼  2008-06-04 20:47 菜菜灰      

还是没有太明白时间戳的概念，c#有这个方法吗？
Encrypt   回复  引用  查看    

#19楼  2008-06-04 21:01 菜菜灰      

另外问下
Session["CheckCode"] = null;
和
Session.Remove("CheckCode");

有什么区别，我觉得销毁应该使用下面的方法~   回复  引用  查看    

#20楼  2008-06-04 22:48 niat_alex      

学习了 ~~~   回复  引用  查看    

#21楼  2008-06-05 07:04 小灰 [未注册用户]

我也发表过类似文章：http://www.svnhost.cn/Article/Detail-34.shtml   回复  引用    

#22楼  2008-06-05 19:17 这个文章不应该公布111 [未注册用户]

11111111这篇文章不该公布出来。 你没发现很多人是带着搞破坏的心情来的嘛？

文章是好文章，但是公布出来会造成更大的混乱。

就好像你打开了一个潘多拉盒子。

希望你认真想想这个问题。

最好不要公开。

我填的信箱是真实的， 有什么事可以和我讨论。 来信要注明你的身份

PS 这个验证码安全的问题我早已经发现了。现在正筹划一个有关验证码安全解决方案的项目。有兴趣可以联系我。   回复  引用    

#23楼 [楼主] 2008-06-06 01:39 深蓝      

@这个文章不应该公布111
我不这样认为，我的这篇博客的目的是提高网站开发人员的安全意识，减少这种错误的发生。而且我发布在博客园上，而不是什么所谓的黑客论坛上，博客园中大部分人都是做网站开发的，我觉得做网站开发就应该要知道这些。
科学也是一把双刃剑，科学的进步也给社会造成更大的威胁，难道就因为这样大家就不去学习科学技术了吗？科学就不发展了吗？不，相反我们要更广泛的普及科学知识，让更多的人了解科学。   回复  引用  查看    

#24楼  2008-06-06 08:57 你错了 [未注册用户]

我们是为了改进，可不应该在没有一个切实有效的解决方法前来公布，

很多大公司都是在解决问题以后才发行补丁并公布的。

考虑问题要从大局出发。

我们是要为了防止出现问题，而不是为了制造更大的麻烦。

比如就你的解决方案来说，你有没有考虑到如果在应用中不可以销毁SESSION

该怎么解决？ 还有这样的解决方案依然不能改变验证码识别技术破解的现状。   回复  引用    

#25楼  2008-06-06 15:03 S.Sams      

切换IP得用代理, 切换本机的IP, 对外网IP是没有任何改变的.   回复  引用  查看    

#26楼  2008-06-07 19:48 1111111111 [未注册用户]

博客园已经启用这种技术了   回复  引用    

#27楼  2008-06-15 13:33 user001 [未注册用户]

很高深吗？

不见得,更多的你们还不知道呢.   回复  引用    

#28楼  2008-06-15 14:54 rex xiang      

这个...其实是个很老的程序漏洞了吧.
至少我2年前就看到过相关的文章,的确需要提醒一下,很多时候都容易被人忽略掉.   回复  引用  查看    

#29楼  2008-07-29 11:13 benlei [未注册用户]

是啊，在一些关键的业务中的确需要考虑这个问题   回复  引用    

社区  新闻  新用户注册  刷新评论列表