Авторизация на сайте без ввода логина/пароля

[laimas]

И что? Touch ID тоже взломали, но это не означает, что от этого откажутся.

Программно можно различить фото и видео? Можно, а если так, прокатит ли проекция фото на экране ТВ?

Вы когда-то поступили опрометчиво и были наказаны взломом своего детища. Урок печальный заставил пересмотреть взгляды на безопасность и внести коррективы в код. И так будет всегда, а иначе и не может быть, лучшим и более надежным продукт делается за счет новых и программных решений, алгоритмов, и новых аппаратных решений. Так что не спешите выносить приговор.

[Маэстро]

Сообщение от laimas

а если так, прокатит ли проекция фото на экране ТВ?

-конечно прокатит! в смысле для взломщика аккаунта. по моему мнению на сегодняшний день достойно не работает ни одна система авторизации, построенная на принципе распознавания образов (будь то лицо, глаз, отпечаток пальца), потому что системе можно подсунуть "слепок" с оригинала, пусть и некачественный или мёртвый (гмм..) оригинал. система его всё-равно распознает, т.к. в неё изначально заложена помехоустойчивость.
Совсем другое дело - сравнение файла по цифровому содержимому (о котором я писал в посте) - здесь изменение хотя бы одного бита приведет отказу в авторизации.
Если злоумышленник попытается грузить на сервер разные файлы 1 раз в секунду, то для перебора последовательности из 1024 символов ему потребуется.. эээ... ну короче несколько сотен лет. или я не прав?

[laimas]

Сообщение от laimas

конечно прокатит!

Ошибаетесь.

Сообщение от Маэстро

Совсем другое дело - сравнение файла по цифровому содержимому (о котором я писал в посте) - здесь изменение хотя бы одного бита приведет отказу в авторизации.

Ага, ну прям стена нерушимая.

Зачем вообще фото, которое ничем не отличается от передачи логина и пароля? Это просто подмена одного другим.

Отличить же статичное фото, даже если вы будет менять проекцию его при этом, от видео, это не есть проблема. Потерпите, думаю не долго, ибо с доступностью моб. связи и сулящих ею возможностей, вопросом надежности идентификации занимаются очень серьезно.

[Маэстро]

Сообщение от laimas

Ошибаетесь.

-докажите

Сообщение от laimas

Ага, ну прям стена нерушимая.

-я такого не говорил. наоборот, я всячески сомневаюсь и ищу способы взлома предлагаемого механизма. искренне буду рад, если мне кто-то напишет сценарий взлома. математический расчет показывает, что методом перебора практически не получится. что ещё?

Сообщение от laimas

Зачем вообще фото, которое ничем не отличается от передачи логина и пароля? Это просто подмена одного другим.

-да, но, как говорится в одном анекдоте - "разница в цене!". логин/пароль - это 20 символов, зачастую с заложенным человеческим смыслом типа "vladivostok123". а 1000-2000 случайных символов - это... разве Вы не видите разницу??

Сообщение от laimas

Отличить же статичное фото, даже если вы будет менять проекцию его при этом, от видео, это не есть проблема. Потерпите, думаю не долго, ибо с доступностью моб. связи и сулящих ей возможностей, вопросом надежности идентификации занимаются очень серьезно.

-не забывайте, что так же развиваются и системы синтеза. имею ввиду, что из видео можно нарезать любые кадры, а из фото сделать любой видеоряд и подсунуть системе. даже по телевизору показывают мультики кукол с лицами президентов, а что мешает создать аналогичное видео с Вашим лицом?!
можно и аппаратно: сейчас видеокамеры уже размером с пуговицу - Вы не заметите, как Вас снимут в метро со всех ракурсов и пошлют видео в систему..
Короче говоря, мне некогда "терпеть, ждать.." пока кто-то разработает непробиваемую систему идентификации на основе распознавания фото/видео. Мне нужно внедрять приемлемую систему сейчас и сегодня.

[laimas]

Сообщение от Маэстро

-докажите

Не охота ничего доказывать, а из фото и не надо нарезать видеоряда, достаточно растянуть на временной дорожке слой на нужное время. Но даже видео компрессоры сообразят, и упакуют такой видеоряд по максимуму, так в сцене нет изменения, достаточно будет одного опорного кадра.

Если вы занимались 3D моделированием, то должно быть известно о рендере сцен, просчетах теней в зависимости от источника освещения, его положения и его характеристик, а также перспективы объекта (камеры). То есть математические модели позволяющие определить движение 2D объекта перед нами или же это 3D объект.

По поводу разницы в цене и фото это лучше. Проделайте следующий фокус - загружайте одно и тоже JPEG изображение и запоминайте его хеш MD5 и выводите его на экран. Результат будет будет потрясающий. Если каждый раз загруженное открывать в GD, считывать данные одной и той же ячейки, то результат будет тоже потрясающий.

[Маэстро]

Сообщение от laimas

По поводу разницы в цене и фото это лучше. Проделайте следующий фокус - загружайте одно и тоже JPEG изображение и запоминайте его хеш MD5 и выводите его на экран. Результат будет будет потрясающий. Если каждый раз загруженное открывать в GD, считывать данные одной и той же ячейки, то результат будет тоже потрясающий.

-я знаю об этом. но в описываемом мною механизме не используется никакая PHP-библиотека работы с графикой, либо другая. отправляемый фото-файл не подвергается никаким преобразованиям типа ресайз/масштабирование и т.п. И никто не собирается считывать данные из BMP-матрицы на экране. Фото-файл - это просто stream (поток байт). С аналогичным успехом можно было бы использовать в качестве файла-пароля mp3-саундтрек. Однако его я рекомендовать не буду, т.к. практически все mp3 скачаны из интернета, а не сделаны владельцем смартфона с помощью своей видекамеры (т.е. эти файлы не уникальны).

[laimas]

Сообщение от Маэстро

отправляемый фото-файл не подвергается никаким преобразованиям типа ресайз/масштабирование и т.п.

А вы думаете, что я подвергаю изменениям загружаемый файл? Нет, но JPEG придет такой, каким определит его устройство, платформа, ПО, и каждый раз это по данным будут новый файл. А значит и md5 каждый раз будет новый.

Вы попробуйте, а GD для того, чтобы понять причину. А причина в том, что цвет (данные о цвете) зависят от выше указанного. Поэтому и существует такое понятие как "безопасная палитра", когда я писал, что делал на изображении, то упоминал, что это был файл с индексированной палитрой, иначе сервер будет получать мусор (шум) 100%.

[Маэстро]

Сообщение от laimas

Если вы занимались 3D моделированием... есть математические модели позволяющие определить движение 2D объекта перед нами или же это 3D объект.

и одновременно есть матмодели синтеза 3D объекта по трем 2D-фоткам (снятым с разного ракурса). Поэтому системе, которая отличает 3D от 2D будут показывать синтезированное виде с учетом всех источников света, перспективы и т.д. А, как известно, системы синтеза всегда на шаг впереди перед системами распознавания. Так было и с человеческой речью, и с вирусами..

[Маэстро]

Сообщение от laimas

А вы думаете, что я подвергаю изменениям загружаемый файл? Нет, но JPEG придет такой, каким определит его устройство, платформа, ПО, и каждый раз это по данным будут новый файл. А значит и md5 каждый раз будет новый.

эээ.... что-то тут не так. причем тут вообще JPEG? файл никак не может быть изменен скриптом загрузки от Клиента на сервер, независимо от его типа, формата, назначения! то, что Вы сказали, у меня просто в голове не укладывается. Может возьмем с javascript.ru пару картинок, посчитаем их MD5() и сверим данные? клянусь хеши будут одинаковые. на что бы поспорить?..

[laimas]

Сообщение от Маэстро

Поэтому системе, которая отличает 3D от 2D будут показывать синтезированное виде с учетом всех источников света

Ага, счас, видел я результаты 3D моделирования из 2D, они и рядом не стоят с 3D как оно есть. Это пустой разговор, а драка между "стражами" и "атакующими" будет постоянной. Но это, в тоже время, есть и двигатель поиска новых решений.