Спамеры

[KEMnEP]

Мыши плакали, кололись. но продолжали грызть кактус, стафте рекапчу 2.0 люди, не мучайте себя...

[SashaMinsky]

KEMnEP, интересно найти ошибку, это уже как вызов

[LavIgor]

Язык по умолчанию должен быть где - у системы, у браузера?

Задаётся в настройках конференции.

[SashaMinsky]

Задаётся в настройках конференции.

Так для гостей он ведь совпадает с языком конференции по умолчанию, установленным админом, то есть всегда русский.

Есть ли вариант смоделировать эту ошибку? То есть вот как мне зарегистрироваться у себя на форуме, не отвечая на вопрос-антиспам?

[LavIgor]

SashaMinsky, у Вас совпадает, а у других по каким-либо причинам может и не совпадать.
В любом случае правка выше не требуется.

[SashaMinsky]

SashaMinsky, у Вас совпадает, а у других по каким-либо причинам может и не совпадать.

Ну выходит это редкий случай, думаю у большинства все же стоит русский. У меня точно он выбран))
Значит, ошибку еще надо поискать.

[Борис Бердичевский]

Придется логи прикручивать и проверять, в чем же дело

Да, сразу увидите провальные вопросы.
Также согласно логам я ни разу не видел прохождения без ответа на вопрос.

[Борис Бердичевский]

Ещё раз. Я утверждаю, что в коде:

Код: Выделить всё

   function validate()
   {
       global $config, $db, $user;
 
      $error = '';
 
      if (!sizeof($this->question_ids))
      {
         return false;
      }

return false; приводит к проскакиванию без ответа на вопрос.

[LavIgor]

Также согласно логам я ни разу не видел прохождения без ответа на вопрос.

Это же очевидно: данное действие в логи не заносится.

return false; приводит к проскакиванию без ответа на вопрос.

Да, абсолютно верно!
См. весь текст, что я набирал выше.

[Борис Бердичевский]

Это же очевидно: данное действие в логи не заносится.

Заношу в логи я своими скриптами. Так что я это могу видеть: каждая попытка регистрации уже заносится в логи.

Да, абсолютно верно!

Опаньки!
Т.е. вы фактически признали, что здесь есть проблема (дырка) секьюрити!
Представьте себе, что зловредный скрипт спама сумеет изловчиться попасть в эту дырочку!
Вы вот не в курсе, что имеете дело со мной, более 10 лет отработавшим в фирме Чек Поинт!

[LavIgor]

Т.е. вы фактически признали, что здесь есть проблема (дырка) секьюрити!

Опаньки!
Этим Вы фактически признали, что не читали мои сообщения выше!

Борис Бердичевский, а у Вас для всех вопросов есть ответы на языке по умолчанию (и есть ли вопросы на этом языке)?
На вид код абсолютно корректный: если вопросов/ответов нет, то и блокировать не нужно.

[Борис Бердичевский]

LavIgor,
я отлично понял вашу мысль: мол, если не будет хотя бы одного вопроса по английски, то попадём в эту яму.
Но как специалиста по комп. секьюрити меня это не интересует, а интересует наличие дырки.
Вы мою мысль: зловредный скрипт спама сумеет изловчиться и попасть в эту дырочку также проигнорировали!

Отправлено спустя 3 минуты 25 секунд:

если вопросов/ответов нет, то и блокировать не нужно.

Я видел, что вопросы/ответы были, а спам проходил (через этот if ).

[rxu]

Вы мою мысль: зловредный скрипт спама сумеет изловчиться и попасть в эту дырочку также проигнорировали!

Суть в том, что никакой дырки нет, есть неправильная настройка функции со стороны пользователя.
Можно, например, вообще убрать каптчу, и говорить, что ядро дырявое. Можно криво настроить, и говорить то же самое.

Отправлено спустя 10 минут 44 секунды:
Теперь насчет приведенного кода.
В \phpbb\captcha\plugins функция function validate() проверяет ответы и в случае положительного исхода меняет значение переменной $this->solved на true. Изначально оно установлено в 0, оно же false при преобразовании типов.
В случае отсутствия вопросов, функция возвращает false, значение $this->solved не изменяется и также остается false.

[SashaMinsky]

значение $this->solved не изменяется и также остается false.

Насколько я вижу по коду, значение $this->solved используется только внутри класса капчи, чтобы узнать, выводить ли капчу еще раз.
А в ucp_register результат прохождения капчи оценивается по ответу функции validate - либо она вернула false, либо переменную error с каким-то текстом.
Мог что-то пропустить, не настаиваю на этой версии, но как-то так для меня выглядит, копаю дальше

[rxu]

SashaMinsky, всё правильно. Нет вопроса - нет ошибки. Что не так?