zář 06 04

Můj boj s Holanďany (update)

Datum a čas	pondělí 4. září 2006, 22:55
Tagy	sudoku webdesign css javascript bookmarklet programovani
Komentáře	24 (přejít na komentáře, přidat nový, sledovat pomocí RSS)
Přečteno	47151×
Popis	Začátkem srpna jsem spustil server One-Sudoku.com – přišlo mi to jako poměrně zajímavý nápad, ne moc pracná realizace a lehce zapamatovatelná doména byla volná. Je pravda, že podobných webů pár existuje, například Sudoku League, ale svůj web jsem myslel spíš jako web, na kterém si můžete v práci zahrát sudoku a jako bonus je zde žebříček, než nějakou supersoutěž.

Protože tam je žebříček zemí, očekával jsem nějaké pokusy o manipulaci (jako např. u seti@home, i když samozřejmě v menší míře), ale čekal jsem spíš například SQL injection při úpravě bodů apod. Před řešením nějakého šikovného studenta (nejspíš informatiky) z Nizozemí ovšem smekám.

Maks napsal jednoduchý bookmarklet, který si stačilo přetáhnout do oblíbených, otevřít můj web a spustit. Maks je kluk šikovná, celé to má 1 kB a funguje mnohem rychleji než jiné javascriptové solvery.

Zdrojový kód první verze Maksova bookamerkletu

Asi bych si toho nevšimnul, kdybych neměl radost z nárustu návštěvnosti a ve statistikách serveru nepátral po tom, kdo na mě odkázal :-) (takový podvod mě nenapadl, naivně jsem myslel, že se o mě zmínil nějaký NL blog, takže není nic divného na tom, že NL se vyhouplo z 23. místa na 4. během jednoho dne).

Nápad to byl vážně dobrý, protože opravdu to byli hráči z různých IP adres, v různých časech a bylo vidět, že nic podezřelého se databázi nestalo.

Moje řešení bylo poněkud naivní. Bookmarklet přistupoval vždy na input 1–1, 1–2… 1–81, jak se jednotlivá políčka jmenovala. Navíc by si asi Maks v JavaScriptu neškrtl, kdyby zadání nebylo jako input se zablokovaným vstupem, ale jako obyčejný text (já zvolil radši input, protože se to pak lépe stylovalo). Změnil jsem jméno políček na -1…, přičemž dlouhý hnusný kód byl generován jako číslo obsahující datum, čas, kus IP adresy a z toho md5 otisk. Tento kód se pak v SESSION předal stránce s kontrolou, aby věděla, na jakých proměnných řešení hledat.

Ozkoušel jsem bookmarklet, zaradoval se, že už nejde, vymazal z databáze všechny podezřelé hráče z NL, poupravil počet bodů a šel s pocitem dobře odvedené práce koukat na ordinaci :).

Maks byl asi ten den v lepším duševním stavu, protože na jeho webu už byla při druhých reklamách odpověď (v. 1.3) a Makse rychle napadlo, že na políčka formuláře lze přistupovat nejen podle jména, ale i podle indexu.

Mojí odpovědí bylo velmi provizorní vložení

<input type="hidden" name="fuck_you_maks" />, které překonal velmi rychle (v. 1.4, 1.5), a po něm <input type="text" name="..-82" />.

Když bookmarklet v. 1.5 nefungoval, začínal jsem mít dobrý pocit, jak ho to konečně přestalo bavit a jak jsem vyhrál. Dokonce i web smazal.

Trvalo mi ‚jen‘ asi 24 hodin, než mi došlo, že smazaná stránka by měla hlásit 404 Page Not Found a ne 403 Forbidden. Chyba 403 by dávala smysl, kdyby odkaz vedl na adresář, ze kterého zmizel index.html (či obdoba), ale ne, když odkaz vedl rovnou na .html.

Makse asi napadlo, že když doména patří podle výpisu někomu z ČR a někdo z ČR se poměrně často kouká na jeho web, asi nebude špatný nápad ho v .htaccessu zablokovat.

Anonymyš prozradila existenci verze 1.6, která víceméně fungovala až do dnešního večera.

Zatím poslední řešení se mi moc nelíbí a možná se na něj najde odpověď v JS: třetí řádek je falešný, obsahuje vždy náhodně vygenerovaná čísla 1..9 a inputy se stejnými jmény jsou zde ještě jednou – při odeslání formuláře se tak odešlou ty nižší (pozdější), ale pokud bude bookmarklet přistupovat podle indexu nebo jména, dostane náhodné hodnoty z vyšších (dřívějších, falešných). Celý třetí řádek je pak pomocí CSS schován.

Vadí mi na tom, že to je poměrně nepřístupné řešení – sice nemyslím, že by někdo s hlasovou čtečkou hrál na mém webu sudoku, ale třeba PDA/mobil falešný řádek neschová.

Pokud tohle maks překoná, mám připravené ještě jedno řešením, které už je snad nepřekonatelné (alespoň ne čistě v JS). V každém řádku bude jedno falešné políčko a to, jestli se má schovat, určí CSS soubor vygenerovaný PHP skriptem (opět dostane v SESSION vědět, co zrovna tento uživatel má vidět). Nebudou se tam pak žádná jména opakovat, políček bude z pohledu HTML devadesát a bez přečtení CSS nepůjde poznat, jestli je pravé nebo falešné.

Ale doufám, že až na to nedojde :-)…

Statistiky serveru

Update (den poté)

Asi nejsem sám, kdo se umí kouknout do statistik :-). Teď je ten web zablokován nějak lépe, nedá se tam dostat ani přes anonymizéry ani přes nějaké proxy z proxy4free. Tak budu chvíli doufat :-).

čtvrtek 4. září 2006, 22:55 - 47151× shlédnuto - RSS komentářů - tagy: sudoku webdesign css javascript bookmarklet programovani

, Follow @elfineer

Nepřehlédněte

WebGL globus od Googlu (06. 05. 2011)
Zobrazte data na globu - rozchození za pár minut.
Jak mi pomohla sláva iPhonu? (30. 12. 2007)
Pokračování říjnového článku - jak dlouhodobě pomohlo sudoku-serveru zařazení mezi iPhone aplikace na webu Applu?
Pomůže mi sláva iPhonu? (26. 10. 2007)
Kolikánásobně se zvýší návštěvnost sudoku serveru, pokud vytvořím verzi pro iPhone a odkáže na ní Apple?
Jak se taky může projevit nedostatek místa na serveru (09. 10. 2006)
To si takle jednou sedím u počítače, spát se mi nechce, protože jsem omylem (nikdo mě nevzbudil) spal do dvanácti, tak uvažuju nad tím, že se kouknu na nějaké simpsony, když tu náhle, milá zpráva…
Můj boj s Holanďany: vyhrál jsem? (05. 10. 2006)
Díky velmi chytrému postřehu v komentářích jsem poněkud změnil způsob boje proti bookmarkletům luštících sudoku stisknutím tlačítka.

elfineer - úterý 5. září 2006, 16:13 - web - #

No ještě by šlo generovat obrázek na pozadí nebo celý ve Flashi, ale to teda nikdy :)

Fred - středa 6. září 2006, 16:23 - web - #

Díky za skvělou zábavu. Nemám tak dobré znalosti js, nicméně jsem si našel nějaké scriptíky, které jsem použil a chvíli (8 hodin) jsem si s tím hrál. Výsledek je tady http://xy.wz.cz/…ple7/sudoku/ , není to tak elegantní jako Maksův bookmarklet, který ty data tahal rovnou ze stránky, ale dá se to s tím ošidit velmi rychle. Stačí přetáhnout přes tabulku se sudoku a vyplnit. Má to autonextfocus a na prázdné pole se používá mezerník. Asi bych měl přidat ješte nějaký resizer. Hrál jsem si s tím jen proto, že mi snaha odolat takovýmhle útokům připadala marná. Spíš by to chtělo asi nějaký text, jako Zamyslete se nad sebou a buďte poctiví. Kdyžtak mě rovnou smažte z databáze z dnešních výsledků, byl to pouhý test.

elfineer - středa 6. září 2006, 19:36 - web - #

Teda… :) Fakt dobry… No je jasny, ze prepsanim do jakyhokoliv solveru to vyresit jde, i kdyz tys to povysil na vyssi uroven :).

Nejak moc se tomu branit neda, nejak moc tu databazi procesavat nebudu, u me nejlepsi stejne nic nedostane. Jen jsem nechtel, aby to Maks a spol. resili jednim tlacitkem.

pan Cuketka - čtvrtek 7. září 2006, 00:45 - web - #

…docela ftipný. já soobně bych je zrušil natvrdo, holandsko prostě z žebřícku vyřadil + přidal nějakou pěknou provokativní formulku s holandskou vlakou „holanďanům sudoku luštit zakázáno“ ;)

Fred - čtvrtek 7. září 2006, 09:15 - web - #

Na ten web se taky nemohu dostat, ale koukám, že sem chodí docela často nějaký heaven student. zajímavé Maksův scriptík byl na hell student…, že by Jekyll & Hyde ;-)

mka - středa 20. září 2006, 16:09 - #

A co takhle zkusit to jinak – at si to klidne nekdo resi nejakym bookmarkletem, kdyz to odesle, pekne mu podekujeme a pogratulujeme, nicmene do statistik zapocteme jenom ty, kterym lusteni trvalo nejakou minimalni dobu.

elfineer - středa 20. září 2006, 17:07 - web - #

Diky, to je hodne chytrej napad :)… To zkusim a napisu, jak to jde, jeste jednou dik.

Nejgenialnejsi reseni byvaji ty nejjednodussi…

wanglili - pátek 17. listopadu 2017, 06:35 - web - #

wefge - pátek 4. května 2018, 16:03 - web - #

lucky pacthet

Meeniwo9471 - pondělí 16. července 2018, 11:41 - web - #

pandora charms yeezy beluga 2.0 michael kors canada polo shirts pandora jewelry outlet ugg boots for women birkenstock sandals kate spade handbags pandora charms yeezy shoes yeezy boost 350 v2 nike vapor max tommy hilfiger outlet louboutin outlet ecco shoes for men nike vapor max nike kyrie 4 louboutin louboutin shoes nike outlet store online celine handbags soldier 11 adidas yeezy adidas soccer cleats north face jackets polo outlet online nike outlet coach purses nike vapor max plus nike clearance pandora rings vapor max birkenstock outlet nike soccer cleats adidas yeezy red bottoms mbt shoes clearance nike air max 95 kobe bryant shoes air vapormax goyard bags reebok outlet nike air max 270 red bottom christian louboutin mens shoes longchamp bags coach outlet store pandora bracelet pandora nike presto timberland shoes yeezy boost pandora rings timberland outlet stores lebron 15 timberland boots for men vans jordan 11 win like 82 nike outlet store pandora necklace fake yeezy uptempo ultra boost louboutin mens ray-ban balenciaga shoes under armour clearance pandora bracelets clearance supreme clothing timberland outlet ray ban sunglasses sale pandora jewelry official site michael kors canada pandora charms pandora earrings oakley outlet kd shoes polo ralph lauren outlet coach outlet jordan 11 red north face coats golden goose sneakers nike clearance pandora canada cheap nfl jerseys coach pandora rings nike air vapormax skechers boots pandora jewelry adidas ultra boost pandora jewelry canada goose sale yeezy boost 350 v2 pandora canada pandora canada clarks shoes for women lacoste outlet red bottom shoes replica rolex kd 10 shoes celine michael kors outlet balenciaga sneakers fitflops sale clearance adidas yeezy boost jimmy choo shoes canadian goose longchamp bags new jordans coach outlet longchamp handbags coach outlet online yeezy boost 350 v2 pandora charms clarks shoes for women ray ban sunglasses longchamp uk adidas yeezy jordan shoes nike cortez uggs official site longchamp handbags pandora rings pandora rings pandora ring pandora swarovski crystal converse outlet air max plus pandora jewelry kyrie 3 yeezy boost 350 v2 uggs official site nike shox for men michael kors canada fitflops calvin klein outlet longchamp gym red 11 coach factory outlet curry 4 jordan 11 red calvin klein underwear kevin durant shoes cheap air max 95 curry 4 shoes swarovski jewelry off white vapormax louboutin shoes polo outlet oakley sunglasses air max 97 silver bullet lebron soldier cheap nfl jerseys china salvatore ferragamo balenciaga shoes supremenewyork adidas outlet yeezy boost 350 v2 nike factory yeezy boost pandora charms puma shoes coach bags coach handbags rihanna fenty puma nike outlet store pandora charms sale yeezy zebra pandora uk salvatore ferragamo shoes wholesale jerseys china win like 96 pandora charms pandora charms pandora bracelets clearance pandora bracelet skechers shoes polo ralph lauren outlet ferragamo shoes red bottom shoes for women pandora charm ralph lauren factory store swarovski outlet michael kors jordan retro michael kors outlet ralph lauren outlet 2018.0716W

kakakaoo - pondělí 23. července 2018, 04:45 - #

polo ralph lauren outlet jordan retro 11 cheap jordans free shipping asics outlet nike air max 87 pandora jewelry outlet ralph lauren outlet fitflops canada goose supreme clothing michael kors outlet 180723yueqin

chenjinyan - čtvrtek 23. srpna 2018, 03:42 - web - #

chenjinyan - čtvrtek 23. srpna 2018, 03:45 - web - #

christian louboutin

[url=http://www.coachoutlet-online.eu.com][b]coach outlet online[/b][/url]

chenjinyan - čtvrtek 23. srpna 2018, 03:45 - web - #

[url=http://www.moncler-outlet.com.co][b]moncler outlet[/b][/url] [url=http://www.michaelkors--outlet.ca][b]michael kors canada[/b][/url] [url=http://www.jimmychoo.in.net][b]jimmy choo[/b][/url] [url=http://www.valentino.in.net][b]valentino[/b][/url] [url=http://www.kate-spadeoutlet.in.net][b]kate spade outlet[/b][/url] [url=http://www.pandorajewelrys.in.net][b]pandora jewelry[/b][/url] [url=http://www.canada-goosejacket.ca][b]canada goose jackets[/b][/url] [url=http://www.canada-gooseoutlets.com.co][b]canada goose outlet[/b][/url] [url=http://www.vapormax.org][b]vapormax[/b][/url] [url=http://www.nikeoutletstores.org][b]nike outlet[/b][/url] [url=http://www.outletadidas.us.com][b]adidas outlet[/b][/url] [url=http://www.cheapnfljerseys.in.net][b]cheap nfl jerseys[/b][/url] [url=http://www.canadagoosecoatsoutlet.us.com][b]ralcanada goose coats[/b][/url] [url=http://www.canadagoosecoatsoutlet.us.com][b]canada goose outlet[/b][/url] [url=http://www.nikesocks.org][b]nike socks[/b][/url] 20188.23chenjinyan

RSS

Datum

Update (den poté)

Nepřehlédněte