TagCloud

3 Tips, wie sich ein gewisses Plugin..

Januar 7th, 2008 von buergermeister

wieder wirkungsvoll gestalten läßt. Manch einer mag sich fragen, warum ich mal wieder so heftig reagiere, auf die Sache mit dem Math Plugin. Naja ganz einfach, hier wird nur auf eine altbekannte Schwachstelle hingewiesen aber auf keinen Fall irgendeine Analyse, wie diese behebar sein könnte betrieben. Es wird sogar mit verzerrenden Mitteln gearbeitet, auf der einen Seite wird nach dem Ausdruck “What is the sum of” gesucht und auf der anderen Seite eine Liste, mit 150 Blogs veröffentlicht bei denen getestet wurde. Dort testete man aber einen anderen Suchstring, wenn man sich die Liste anschaut und auch den ersten Teil des Artikel wird einem eines klar, betroffen waren hauptsächlich Artikel die über Spam oder WordPressplugins handelten. Der Herr hat noch nicht mal kontrolliert ob das alles Blogs sind und ob die wirklich MCSP einsetzen, so hat er u.a die Seiten von Jörg Reinholz getestet, nicht rotglut sondern it-schule.de. Man hat sich auch nicht die Mühe gemacht zu ergründen, warum es bei den 40% bei denen es nicht geklappt hat nicht funktioniert. Ebenfalls unterlassen wurde eine Prüfung der positiv geprüften Blogs. Ein Zahlenwert kam zurück und das reichte scheinbar, naja schreibt bloß nie irgendwelche mathematischen Gleichungen in eure Blogartikel, sonst könnte das Wunderskript nicht mehr funktionieren.

Der erste Ansatzpunkt ist der Suchstring, hier sind im Endeffekt die Möglichkeiten zwar beschränkt (irgendwie muss man ja zum Ausdruck bringen was man erwartet), ein paar Möglichkeiten hab ich im letzten Artikel erwähnt.

Aber nun mal Tacheles, auf der Welt gibt es mehr als nur ein Zahlensystem, zum Beispiel das römische. Eigentlich eine total simple Sache, sogar so simpel das es schnell in ein Stück Code umgesetzt ist, das einem das umrechnet. Es gibt ganze 7 Zahlenzeichen I = 1, V = 5, X = 10, L = 50, C = 100, D = 500, M = 1000. Es funktioniert ganz einfach Links des grösseren Wertes wird subtrahiert (IIX = 10 – 2), rechts addiert (XII = 10 + 2), eigentlich gilt die kürzere Schreibweise also für 15 XV, genauso richtig wäre aber VVV. Das würde eine eventuelles Codestückchen nicht beinflussen. Stellen wir uns das mal als Codeabfolge vor, das Skript hat den Suchstring “Summe” gefunden und sucht nun nach den Zahlenstrings. Unser Programmierer war schon clever er wußte wir schreiben römische Ziffern, er sucht also nach Großbuchstaben, wie oben. Zeichen für Zeichen wird dafür eingelesen, ok jetzt hat er etwas gefunden was wie eine römische Ziffer auschaut ein VII, jetzt braucht unser Spammer wieder ein Ordnungsmerkmal bis wohin das denn eine Ziffer sein könnte, nichts leichter als das es gibt ja das + das irgendwann kommen muß oder ein und/and (unser Spammer ist clever hat das alles abgefangen). Damit hat er den ersten Summanden, fehlt noch der zweite. Auch hier wieder Zeichen für Zeichen vorrücken bis zum nächsten Ordnungsmerkmal. Äh Moment Ordnungsmerkmal, was könnten wir dafür mißbrauchen? Ah nutzen wir doch das Formularfeld was dahinter kommen müßte da sollte ja ein <input type=“text” kommen, ist doch ein schönes Merkmal oder? Was aber wenn da keines kommt? Weil es davor ist? Da muss ich mir als Spambotschreiber mal wieder Gedanken machen zum Schluss bleibt mir nichts anderes übrig als bis zum nächsten Leerzeichen lesen zu lassen ;) So und nun denkt ihr mal ganz einfach darüber nach, wo der Unterschied zwischen einer Maschine und einem Menschen ist. Die Maschine wird auf jeden Fall ein Leerzeichen erkennen, wo eines ist selbst wenn es so dicht ist, dass ein Mensch das kaum wahrnimmt bzw. das folgende Zeichen noch addiert. Dieses war der erste Streich doch der Zweite folgt so gleich…..

Bei mir im Blog haben sich ja schon einige aufgeregt, dass sie mit zu grossen Zahlen rechnen müssen. Tja meine Antwort ist dann immer Ruhe sonst zwinge ich euch binär zu rechnen.. Man sagt immer scherzhafterweise es gibt zwei Arten von Menschen die einen können binär rechnen, die anderen nicht. Bei mir könnte 11 + 10 = 5 sein, wie unser cleverer Spammer das abfangen will? Da gibt es nur eine Methode und die ist sehr wackelig. Es gibt nur die Möglichkeit es als “wahrscheinlich” binäre Zahl zu erkennen, wenn die Zahl nur aus 1 und 0 besteht. Aber wer sagt denn, das in das entsprechende Feld im Pluginadminbereich ein böser Blogger nicht 10~10, 11~11, 100~100, 101~101 usw. eingetragen hat? Richtig keiner. Dieses war der Zweite Streich unde der Dritte folgt sogleich.

Nun es gäbe noch eine Menge Zahlensysteme, wie wäre es mit Hexadezimal? :D Ach wißt ihr was die Methode ist langweilig, wir erfinden unsere eigene Zahlencodierung. Wer sagt denn das man Birnen nicht mit Äpfeln addieren kann? Wie ich mir so etwas vorstelle, kann man derzeit in meinem Kommentarfeld sehen (ja ich weiß unser Held würde sich das Bild holen und durch eine OCR jagen und blablabla)

So das waren jetzt 3 Methoden um da klein und tricky auf so etwas vorbereitet zu sein. Das heißt jetzt nicht ihr sollt das so umsetzen, bedenkt doch wieviele Menschen können binär rechnen? Meine Besucher dürften das können aber auch die vom Biertrinkerblog? Ich will auch nicht das ihr die 1 zu 1 kopiert und umsetzt, macht euch einfach mal Gedanken wie man den Schutz aushebeln könnte und ihr werdet noch 6-7 andere Lösungen finden. Könnt ja Vorschläge und Tricks in den Kommentaren posten. Hab zwar selbst noch einiges auf Lager ;) Einen kleine fiesen Trick sieht man wenn man den Quelltext meiner Seiten betrachtet…….

Geschrieben in Enemy at the Gates, Killer Application | 2 Kommentare »

ähnliche Artikel:
  • None
  • 2 Kommentare

    1. Dudley Sagt:

      Naja so’n bisschen überreagieren is schon okay, kennen wir ja ;-) . Wenn dabei noch was produktives rauskommt – erwünschenswert!

      Finde die momentane Variante sticht angenehm aus der Reihe, mal was anderes.

      Ach und die Sache mit den “Binärverstehern” kommt doch eigentlich nur gut wenn man sagt: “..es gibt genau 10 Arten von Menschen, die einen können binär rechnen, die anderen nicht.” Jeder der das nicht versteht, kann’s nicht.

    2. bash Sagt:

      Der Bodo wollte wissen wie das funzt

    Einen Kommentar abgeben

    Bitte beachte: Die Kommentare werden moderiert. Dies kann zu Verzögerungen bei Deinem Kommentar führen. Es besteht kein Grund den Kommentar erneut abzuschicken.