Хочу сделать регистрацию без email, посоветуйте вычислительную задачку для браузера

очень дружелюбный ресурс :)

Злой русский ресурс как все люди в России. Всё гармонично, зато чотко. Какой ресурс ещё даёт возможность задать 10 резервных паролей?

Тебе нужно строить хэширование пользователей на основе фингерпринтинга браузера

Два одинаковых новых макбука с одинаковыми браузерами из магазина и ты проиграл.

Тебе нужно строить хэширование пользователей на основе фингерпринтинга браузера

ну и да: напишут быстро плагин, который шлёт мне нули или рандомчик в эти фингерпринт-поля

В принципе можно сделать следующее, пусть пользователь при регистрации набирает свой ник с помощью экранной клавиатуры, но при этом набранное запоминается не как строка букв, а как строка кодов букв, то есть в странице будет где-то таблица вида

simbol_a=477554
...
simbol_Z=4798955
...
simbol_9=37896785

И при нажатии на соответствующую кнопку в переменную с именем будет добавляться не символ буквы, а её код.

Ну и тебе на сервер уходит строка вида 39860967;34567478;9876437;5765869
Это у тебя решит сразу несколько проблем:

1. борьба с использованием букв из разных языков, но со схожим написанием для создания визуально совпадающих имён.
2. под твой сайт надо будет писать отдельного робота.
3. имя нельзя вставить копипастой,а значит его ввод с помощью мыши займёт некое минимальное время. (но скопировать в шпаргалку можно!)

В принципе можно сделать следующее, пусть пользователь при регистрации набирает свой ник с помощью экранной клавиатуры

Что мешает боту делать то-же самое? Определить каждую отдельную кнопку этой клавиатуры и распознать букву вообще элементарно. Также симулировать движение мыши как будто человек двигает с нужными интервалами так-же делается легко.

Я вот для одной игры с ущербным инвентарем написал бота который перебирает все элементы инвентаря(просто эмулируем нажатия кнопок), распознает текст и пиктограммы(OpenCV, даже алгоритм писать не пришлось готовый гуглится за 5 минут), распознается весь текст(Tesseract OCR) и затем все это показывает в удобной таблице. А ведь в отличии от экранной клавиатуры инвентарь в игре висит в 3D пространстве с перспективным искажением да еще и полупрозрачный, так что распознать экранную клавиатуру это вообще простейшее дело.

Определить каждую отдельную кнопку этой клавиатуры и распознать букву вообще элементарно.

Названия переменных и даже местоположение тех или иных кнопок на клавиатуре можно менять(обсфуцировать) для каждой сессии, а буквы можно отображать не шрифтом, а вызовом картинок с одинаковым размером файла и подмешанным шумом для изменения их хешсуммы.

Эдак самым простым решением окажется прикрутить к боту руку манипулятьр и opencv и показывать ему отрендеренную страницу браузера, чтоб он там сам мышкой по ней возил.

Или вот ещё вариант, названия и коды кнопок неизменны, но реальное соответствие кнопки экранному символу кодируется тем, какое изображение записывается в файл с внешним видом буквы, таким образом одна и таже строка при отправке на сервер будет всякий раз иметь новое случайное значение.

Названия переменных и даже местоположение тех или иных кнопок на клавиатуре можно менять(обсфуцировать) для каждой сессии

Так не надо лезть в код или в переменные, и подмешивание не поможет. В том боте что я для игры писал там разные размеры букв с разным цветом и фоном(из-за того что фон полупрозрачный то шум на фоне почти всегда разный), и все это Tesseract OCR распознает без какой-либо фильтрации а ведь можно еще фильтры всякие сделать. Все что надо это сделать снимок экрана и использовать opencv + tesseract, то как код написан вообще не важно хоть каждый раз разные реализации.

И сколько спамеров это осилят или просто сделают ради какого-то малопопулярного форума?

И ведь не забывай, надо ведь ещё и курсор мыши наводить и эмитировать нажатие.

из-за того что фон полупрозрачный

то просто игнорируем слой под фоном.
Надо всё сливать в одно изображение в одном слое, а не как ты услужливо сортировать.

И сколько спамеров это осилят или просто сделают ради какого-то малопопулярного форума?

Столько-же сколько и для других подобных каптч.

И ведь не забывай, надо ведь ещё и курсор мыши наводить и эмитировать нажатие.

Продукты над которыми я работал и работаю именно так и тестируются через движения мыши и эмуляции нажатия клавиатуры/мыши. Куча библиотек/программ для этого сделано, некоторые даже специально под браузеры сделаны.

то просто игнорируем слой под фоном. Надо всё сливать в одно изображение в одном слое, а не как ты услужливо сортировать.

Видимо ты не правильно понял, я с игры получаю только скриншот финального рендеринга(игра вообще нативная и рендерит в DirectX11, можно конечно попробовать перехватывать вызовы, но зачем если и так работает).

помести сервер за CloudFlare - делов-то

Я лет 20 назад с помощью FineReader распохнавал текст с со сканов книжки, так вот, мой опыт показывает что коректное распознавание текста на сканированной бумаге начинается 300 dpi, то есть простое снижение dpi уже может сделать невозможным безъошибочное распознавание.
Может тебе с этим поэсперементировать?

Сделай 120 и для каждой следующей буквы бери новый шрифт и слегка меняй размер.

Может тебе с этим поэсперементировать?

Было бы интересно попробовать, но сейчас жалко на это время тратить. Я как-то писал под заказ бота для обхода капчи где цифры были с искажением и генерированным мусором перед и за цифрами, распознавало правильно где-то в 40%-60% случаях что полностью устраивало. Написать такой для лимитированного количества символов не так сложно, не важно как искажаются всегда можно посчитать процент вероятности каждого символа на соответствии с каждым символом из конечного набора. Затем просто в обратную сторону для каждого символа выбрать вариант с наибольшим процентом совпадения, так как нам известно что для каждого символа есть только одно изображение(можно конечно дублировать символы на экранной клавиатуре, но это не особо усложнит алгоритм).

помести сервер за CloudFlare - делов-то

Зачем мне любое действие пользователя за 200 мсек, когда можно за 10.

Если у тебя в проверке «юзерности» не участвует юзер своими человеческими действиями, то это как раз то, о чем я говорю.

Почему просто не использовать привязку к существующим сервисам, как мног е сейчас делают? То есть авторизуются в других сервисах.

Если у тебя в проверке «юзерности»

Тред вообще не про проверку юзерности. Мне похрен кто сидит на сайте, мешки с мясом или роботы, лишь бы от них был толк. Я лишь интересовался замедлением регистрации, утяжелением задачи регистрации роботам.

Почему просто не использовать привязку к существующим сервисам

Зависеть от внешних субподрядчиков на ровном месте - ну такое.

Отсылай код подтверждения регистрации по почте до востребования.

Отсылай код подтверждения регистрации по почте до востребования.

Конный гонец с донесением у нас на вип-тарифах.

не надо ничего.

юзер генерит уникальный логин и AES, отправляет на сервер. регистрация завершена.

при входе вводим логин. по логину сервер выбирает ключ, которым шифрует все, что отдает клиенту. а дальше клиент либо может это расшифровать (если он помнит свой ключик) либо нет.

как предотвратить DDOS и спам это совсем другие вопросы.

юзер генерит уникальный логин и AES, отправляет на сервер.

База порвётся в первый час спама такой хренью в 100500 потоков.

Каптча

Да.

т.е. база не сможет выполнить 100500 тупых инсертов? окей, но тогда с инсертами (и валидацией) емейлов при регистрации у нас еще больше проблем.

жрать говно нынче в моде как я погляжу

т.е. база не сможет выполнить 100500 тупых инсертов?

Может, но зачем.

окей, но тогда с инсертами (и валидацией) емейлов

У нас нет емейлов, написано же.

Может, но зачем.

ты мне скажи, это же твой сценарий.

ограничения бот-регистраций и спама, как уже говорилось, это другой вопрос.

стандартный подход - цифровая идентификация посетителя и запрет повторных действия для данного айди в течение … минут … часов… дней. нафейхоа одному юзеру регистрироваться каждый день по 5 раз в день?

в стандартный набор для формирования цифрового слепка посетителя входит много разного интересного, в принципе тема не настолько закрытая, чтобы изобретать велосипед. подозрительная активность по совокупности признаков детектится в целом нормально и эффективно предотвращает разного рода ДДОСы. на этом люди даже деньги зарабатывают. что-нибудь эдакое, несложное, от пионеров и пенсионеров, на коленке, вполне можно запилить самому, в обозримые сроки.

если тебе хочется защититься от спам-регистрации методом создания недешевой нагрузки на клиенте - пусть коротенький RSA брутфорсит. забрутфорсил - расшифровал сообщение - отправил на сервак - сервер провел сравнение - велкам.

но лучше пусть биткойн майнит )

ты мне скажи, это же твой сценарий.

Про засылку чего-то в базу ты написал, так что не мой это сценарий.

То, что ты пропустил или не понял вторую часть сообщения, многое о теье говорит.

Успехов.

То, что ты пропустил или не понял вторую часть сообщения, многое о теье говорит

Ты описал гуглокапчу «I am not a robot», так что я не стал вступать в срачь по факту твоего технологического боянизма.

И во-вторых никто так и не понял, к чему ты начал говорить не по теме треда, а про идентификацию и различение юзеров между собой.

ограничения бот-регистраций и спама, как уже говорилось, это другой вопрос.

Это не «Другой вопрос», а тема треда. Точнее «ограничение бот-регистраций», а про спам речи не шло.

Простейший вариант - тупо зашифровать своим секретным ключом AES128 строчку вида <256-bit-random-salt> и на входе расшифровывать обратно, сверяя timestamp. Но может есть чё попроще или наоборот поумнее, понадёжнее или «так же надёжно, но вычислительно сильно дешевле»?

Да, можно подешевле.
сервер посылает:

• timestamp
• N (номер секунды от 1 до 5)
• client_no (порядковый номер GET-запроса твоей страницы login.html)
• Hash(timestamp + N + client_no + KEY)

здесь плюсом обозначена конкатенация,
KEY = ключ сервера (случайное число, читаем его из /dev/random при запуске процесса сервера),
Hash = быстрая хэш-функция, которая не обязана быть совсем криптостойкой (т.е., можно взять стандартную криптографическую хеш-функцию и ослабить её, уменьшив кол-во внутренних циклов в несколько раз для ускорения вычислений)

Спасибо. Да, действительно, можно упростить просто до нешифрованного пакета с чексуммой-с-ключом в конце…

Кормить говном пользователей не дав им возможность восстановления доступа? Да ты в тренде, может ещё и tox используешь?

Восстановление доступа к аккаунту ты как планируешь сделать? А пользователя ты спросил? Ему оно надо на каком-то местячковом ресурсе регистрироваться?

Восстановление доступа к аккаунту ты как планируешь сделать?

Попрошу особо озабоченных сохранением контроля над аккаунтом задать в профиле суперсложный master-пароль и записать его в укромном месте, а так же ещё дополнительных 3 пароля попроще для логина.

Просто не сильно понятно, с чего вдруг все решили, что восстановление доступа должно быть именно через e-mail. А почему не через фейсбук, например?

Ему оно надо на каком-то местячковом ресурсе регистрироваться?

Я спросил, он сказал что ему очень надо.

Ты только что до этого заявил, что не хочешь зависеть от внешних и предлагаешь Фейсбук. Хотя и-мейл тоже не на твоём сервисе.

Ты только что до этого заявил, что не хочешь зависеть от внешних и предлагаешь Фейсбук. Хотя и-мейл тоже не на твоём сервисе.

Пока вроде следую своему заявлению.

Тогда я спокоен!

Что-то больше похоже на дерьмо. Уж лучше на почту отправлять ссылку для входа. Вышел – проси новую ссылку. Ни паролей ни чгео не нужно. Вот это оптимально.

Лучше делегировать это дело какому-нибудь KYC-сервису. Ну чтобы точно конплюхтеры не регались.

https://sr.ht/~sircmpwn/mkproof/

Алгоритм там описан, тебе осталось переписать на JS.

Алгоритм там описан, тебе осталось переписать на JS.

Не увидел там запрошенного в треде proof-of-time или -of-memory.

Что-то больше похоже на дерьмо. Уж лучше на почту отправлять ссылку для входа. Вышел – проси новую ссылку. Ни паролей ни чгео не нужно. Вот это оптимально.

Супердерьмо идея. Вместо «зайди на страницу» надо «зайди на страницу, проверь почту, зайди опять по ссылке». Усложнение жизни юзера в планы не входит.

Супердерьмо идея. Вместо «зайди на страницу» надо «зайди на страницу, проверь почту, зайди опять по ссылке». Усложнение жизни юзера в планы не входит.

Хранишь сессию в вечных куках и всё. Если у пользователя есть пара логин+пароль, то пароль он скорее всего выберет какой-то простой, что с безопаснстью не вяжется. Или вообще не будет его запоминать – что вынуждает идти на почту.

А вот капча – это полная фигня. Типа человек тебе должен доказывать что он человек. Причём аудитором выступает тупая железка. Тебе случайно отражение садиста в зеркале не подмигивает?

Делай матан капчу из Демидовича. И ботов и дебилов отсечёт разом. Профит.

А просто разрешать регистрацию раз в десять секунд, не? if(currenttine - lastregistrationtime < 10) return error(«please wait some time»);

Сам же говоришь «маленький сайтик»…