|
|
 | Hjælp til at gøre indhold af felt bagvendt
Fra : Rune Jensen |
Dato : 02-07-08 18:40 |
|
I forbindelse med en diskussion i sikkerhedsgruppen om at holde
spambotter ude fra kontaktforme, er jeg faldet over en gammel idé med
at gøre mailadressen omvendt med entities. Den kan (tror jeg) gøres
smartere med CSS.
Mit spørgsmål er her, for specifikationerne er lidt uklare:
Hvordan definerer man i CSS, at et felts indhold er skrevet på
"arabisk" manér, dvs. bagvendt?
Det skal være sådan, at f.eks. en submit-knap value, der skal
beskrivelsen være f.eks. "Send meddelelse" ell. lignende, men skrevet
bagfra, så man kun får den tekst skrevet læseligt, hvis browseren
forstår CSS.
Jeg er kommet så langt, at det er noget med BIDI-OVERRIDE, men så
stopper forståelsen.
MVH
Rune Jensen
| |
 Erik Ginnerskov (03-07-2008)
| Kommentar
Fra : Erik Ginnerskov |
Dato : 03-07-08 05:32 |
| | |
Birger (03-07-2008)
| Kommentar
Fra : Birger |
Dato : 03-07-08 09:17 |
|
"Rune Jensen" <runeofdenmark@gmail.com> skrev i en meddelelse
news:648aa0bd-6b8d-49a7-88f7-4a47493084be@f63g2000hsf.googlegroups.com...
I forbindelse med en diskussion i sikkerhedsgruppen om at holde
spambotter ude fra kontaktforme, er jeg faldet over en gammel idé med
at gøre mailadressen omvendt med entities. Den kan (tror jeg) gøres
smartere med CSS.
Mit spørgsmål er her, for specifikationerne er lidt uklare:
Hvordan definerer man i CSS, at et felts indhold er skrevet på
"arabisk" manér, dvs. bagvendt?
Det skal være sådan, at f.eks. en submit-knap value, der skal
beskrivelsen være f.eks. "Send meddelelse" ell. lignende, men skrevet
bagfra, så man kun får den tekst skrevet læseligt, hvis browseren
forstår CSS.
Jeg er kommet så langt, at det er noget med BIDI-OVERRIDE, men så
stopper forståelsen.
Vil umiddelbart mene at den ikke holder.
Hvis du "vender" teksten med css - så står den helt almindeligt i din
kode...
Og det må være det, pointen er at man skal undgå?
Birger
-----
http://bbsorensen.dk
http://varmeretter.dk - hverdagsmad. Sundt, nemt, hurtigt og billigt. Daglig
opdatering.
| |
Erik Ginnerskov (04-07-2008)
| Kommentar
Fra : Erik Ginnerskov |
Dato : 04-07-08 22:46 |
| | |
Rune Jensen (03-07-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 03-07-08 02:43 |
|
On 3 Jul., 10:16, "Birger" <s...@bbsorensen.com> wrote:
> Vil umiddelbart mene at den ikke holder.
> Hvis du "vender" teksten med css - så står den helt almindeligt i din
> kode...
> Og det må være det, pointen er at man skal undgå?
Det var idéen, ja. Jeg må lige tænke, for som du siger, er den ikke så
nem.
Hvad jeg er lidt i vildrede med; Efter sigende, hvis man benytter
karakterhenvisninger, f.eks.a for a, så bliver det omsat til et
'a' i feltet ved POST.
Idéen var at lave det samme, men med CSS. Overhovedet ikke muligt?
MVH
Rune Jensen
| |
Birger (03-07-2008)
| Kommentar
Fra : Birger |
Dato : 03-07-08 12:07 |
|
"Rune Jensen" <runeofdenmark@gmail.com> skrev i en meddelelse
news:d43c4ba5-eb3f-47b6-9487-cbdabf7ea84d@z66g2000hsc.googlegroups.com...
On 3 Jul., 10:16, "Birger" <s...@bbsorensen.com> wrote:
> Vil umiddelbart mene at den ikke holder.
> Hvis du "vender" teksten med css - så står den helt almindeligt i din
> kode...
> Og det må være det, pointen er at man skal undgå?
Det var idéen, ja. Jeg må lige tænke, for som du siger, er den ikke så
nem.
Hvad jeg er lidt i vildrede med; Efter sigende, hvis man benytter
karakterhenvisninger, f.eks.a for a, så bliver det omsat til et
'a' i feltet ved POST.
Idéen var at lave det samme, men med CSS. Overhovedet ikke muligt?
MVH
Rune Jensen
Når du alligevel bruger en form, hvorfor så ikke holde email adressen
privat, og lade script (PHP eller ASP), sende mailen?
Alternativet er vel et login, så kun personer du ved hvem (og/eller hvor)
er, har adgang til sider med "følsomme oplysninger".
Birger
-----
http://bbsorensen.dk
http://varmeretter.dk - hverdagsmad. Sundt, nemt, hurtigt og billigt. Daglig
opdatering.
| |
Rune Jensen (03-07-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 03-07-08 02:44 |
|
On 3 Jul., 06:31, "Erik Ginnerskov" <erik.ginners...@live.dk> wrote:
> Siden giver vist svaret på dit spørgsmål.
Som Birger skriver, er det måske ikke lige ud af landevejen. Men jeg
tager et kig.
MVH
Rune Jensen
| |
Bertel Lund Hansen (03-07-2008)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 03-07-08 09:54 |
|
Rune Jensen skrev:
> I forbindelse med en diskussion i sikkerhedsgruppen om at holde
> spambotter ude fra kontaktforme, er jeg faldet over en gammel idé med
> at gøre mailadressen omvendt med entities.
Du er blevet klar over begrænsningerne ved ideen (bl.a. klartekst
i koden). Hvis du brugfer dansk som sprog på siden, kan du
benytte dig af at der ikke er så mange der forstår det.
Hvis du f.eks. laver forskellige submitknapper, kan du skrive på
den rigtige "Knald skidtet afsted nu". Det er der vist ikke mange
botter der forstår.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Rune Jensen (03-07-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 03-07-08 08:19 |
|
On 3 Jul., 13:07, "Birger" <s...@bbsorensen.com> wrote:
> "Rune Jensen" <runeofdenm...@gmail.com> skrev i en meddelelsenews:d43c4ba5-eb3f-47b6-9487-cbdabf7ea84d@z66g2000hsc.googlegroups.com...
> On 3 Jul., 10:16, "Birger" <s...@bbsorensen.com> wrote:
>
> > Vil umiddelbart mene at den ikke holder.
> > Hvis du "vender" teksten med css - så står den helt almindeligt i din
> > kode...
> > Og det må være det, pointen er at man skal undgå?
>
> Det var idéen, ja. Jeg må lige tænke, for som du siger, er den ikke så
> nem.
>
> Hvad jeg er lidt i vildrede med; Efter sigende, hvis man benytter
> karakterhenvisninger, f.eks.a for a, så bliver det omsat til et
> 'a' i feltet ved POST.
>
> Idéen var at lave det samme, men med CSS. Overhovedet ikke muligt?
>
> MVH
> Rune Jensen
>
> Når du alligevel bruger en form, hvorfor så ikke holde email adressen
> privat, og lade script (PHP eller ASP), sende mailen?
> Alternativet er vel et login, så kun personer du ved hvem (og/eller hvor)
> er, har adgang til sider med "følsomme oplysninger".
Det er ikke kun til email. Det er faktisk en udbygning af diskussionen
i sikerhedsgruppen, som gik på slørig af email alene.
Idéen skulle bruges generelt. F.eks. til submit i gæstebøger også.
MVH
Rune Jensen
| |
Rune Jensen (03-07-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 03-07-08 08:26 |
|
On 3 Jul., 10:53, Bertel Lund Hansen <unosp...@lundhansen.dk> wrote:
> Rune Jensen skrev:
>
> > I forbindelse med en diskussion i sikkerhedsgruppen om at holde
> > spambotter ude fra kontaktforme, er jeg faldet over en gammel idé med
> > at gøre mailadressen omvendt med entities.
>
> Du er blevet klar over begrænsningerne ved ideen (bl.a. klartekst
> i koden). Hvis du brugfer dansk som sprog på siden, kan du
> benytte dig af at der ikke er så mange der forstår det.
>
> Hvis du f.eks. laver forskellige submitknapper, kan du skrive på
> den rigtige "Knald skidtet afsted nu". Det er der vist ikke mange
> botter der forstår.
Jeg er bange for, det bliver for komplekst.
Hele idéen var, at man med CSS kunne "omvende" et felts value. Det
smarte her skulle være, at feltet så kun var omvendt, hvis brugeren
forstod CSS. Hvad selve værdien af value er, kan man jo lave en dummy-
ID i stedet. Det er ikke så vigtigt. Det vigtigste er, den ikke er ens
med og uden CSS.
Men lige nu kan jeg faktisk ikke finde en løsning på selve det at få
vendt value om. Det virker nemlig ikke med Bidi-override og direction:
rtl. Så måske Birger har ret.
MVH
Rune Jensen
| |
Birger (03-07-2008)
| Kommentar
Fra : Birger |
Dato : 03-07-08 16:22 |
|
"Rune Jensen" <runeofdenmark@gmail.com> skrev i en meddelelse
news:b7d8d9e8-2afa-4e96-9c9a-8d33149d0771@j22g2000hsf.googlegroups.com...
On 3 Jul., 10:53, Bertel Lund Hansen <unosp...@lundhansen.dk> wrote:
> Rune Jensen skrev:
>
> > I forbindelse med en diskussion i sikkerhedsgruppen om at holde
> > spambotter ude fra kontaktforme, er jeg faldet over en gammel idé med
> > at gøre mailadressen omvendt med entities.
>
> Du er blevet klar over begrænsningerne ved ideen (bl.a. klartekst
> i koden). Hvis du brugfer dansk som sprog på siden, kan du
> benytte dig af at der ikke er så mange der forstår det.
>
> Hvis du f.eks. laver forskellige submitknapper, kan du skrive på
> den rigtige "Knald skidtet afsted nu". Det er der vist ikke mange
> botter der forstår.
Jeg er bange for, det bliver for komplekst.
Hele idéen var, at man med CSS kunne "omvende" et felts value. Det
smarte her skulle være, at feltet så kun var omvendt, hvis brugeren
forstod CSS. Hvad selve værdien af value er, kan man jo lave en dummy-
ID i stedet. Det er ikke så vigtigt. Det vigtigste er, den ikke er ens
med og uden CSS.
Men lige nu kan jeg faktisk ikke finde en løsning på selve det at få
vendt value om. Det virker nemlig ikke med Bidi-override og direction:
rtl. Så måske Birger har ret.
MVH
Rune Jensen
Helt nede i det, det handler om, er CSS et redskab til at skille form fra
indhold.
Du angiver med CSS, hvordan du vil have tingene vist - derfor kan CSS ikke
"gøre" noget.
Jeg forstår godt hvad du er ude på. Og det er smart, hvis det virker ;>).
Hvis du skal have nogen chance, skal du skifte til en anden class på det
felt det handler om, inden indsendelsen - f.eks. i en onsubmit.
Men jeg har nu mine tvivl om det vil påvirke value. Det skal i teorien kun
påvirke hvordan tingene vises - ikke indholdet; value er den samme, uanset
om den vises rtl eller ltr.
Og value er også den samme, uanset om clienten forstår CSS eller ej...
Forstår bots scripting?
Hvis man i et script vender et felts value, vil en bot så køre scriptet?
Birger
-----
http://bbsorensen.dk
http://varmeretter.dk - hverdagsmad. Sundt, nemt, hurtigt og billigt. Daglig
opdatering.
| |
Rune Jensen (03-07-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 03-07-08 08:35 |
|
On 3 Jul., 10:53, Bertel Lund Hansen <unosp...@lundhansen.dk> wrote:
> Du er blevet klar over begrænsningerne ved ideen (bl.a. klartekst
> i koden). Hvis du brugfer dansk som sprog på siden, kan du
> benytte dig af at der ikke er så mange der forstår det.
Jomen, jeg arbejder med et par udgaver. Den første er at få vendt
value rundt, så det ikke er ens før og efter afsendelse.
Det næste er, man kan jo udnytte den "bagvendte" til at forlange en
kode, f.eks.
Skriv ordet <span style="direction: rtl">steH</span>
Den er lidt mere medgørlig, men kræver, man skriver ordet hver gang.
Hvis man kan vende value med CSS, kan man _i stedet_ gøre dette.
Hvis CSS understøttes, så vend value rundt. Det felt, som forlanger et
kodeord (f.eks. skriv tallet fire), kan man give en display: none. Det
er ikke nødvendigt, hvis brugeren forstår CSS, for det forstår botter
jo ikke.
Hvis derimod CSS ikke understøttes, vil value ikke blive bagvendt -
men så vil til gengæld feltet med krævning af kodeordet komme frem.
Ved POST er det så bare at tjekke, om value er bagvendt (brugeren
forstår CSS, altså er det ikke en bot)
eller - om kodeordet er rigtigt.
MVH
Rune Jensen
| |
Rune Jensen (04-07-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 04-07-08 17:25 |
|
On 3 Jul., 17:22, "Birger" <s...@bbsorensen.com> wrote:
> Helt nede i det, det handler om, er CSS et redskab til at skille form fra
> indhold.
> Du angiver med CSS, hvordan du vil have tingene vist - derfor kan CSS ikke
> "gøre" noget.
OK, ny idé:
Lav et felt, som beder om kodeord.
Sæt det til display: none
I teorien skal feltet jo ikke vises og ikke sendes med, hvis brugeren
forstår CSS
Hvis brugeren ike forstår CSS, kommer spørgsmålet om kodeord frem.
Altså man udnytter alt "ekstra-kode" til noget fornuftigt.
Problemet er så bare, hvis botten ikke udfylder feltet, for så skal
meddelelse stadig accepteres. Ellers vil man ikke understøtte brugere,
som ikke forstår CSS.
Man kan måske lave to felter med samme name?
> Jeg forstår godt hvad du er ude på. Og det er smart, hvis det virker ;>).
> Hvis du skal have nogen chance, skal du skifte til en anden class på det
> felt det handler om, inden indsendelsen - f.eks. i en onsubmit.
> Men jeg har nu mine tvivl om det vil påvirke value. Det skal i teorien kun
> påvirke hvordan tingene vises - ikke indholdet; value er den samme, uanset
> om den vises rtl eller ltr.
> Og value er også den samme, uanset om clienten forstår CSS eller ej....
Jep, og det er jo logik, nu jeg sådan tænker mig om. Men idéen opstod
som følge af, at et felt, som indeholder f.eks. vil få den
entity oversat ved submit - og jeg ville så bare overføre det til CSS.
> Forstår bots scripting?
Ikke ret mange. Men en del forstår efterhånden HTML entities/
karakterhenvisninger, og kan oversætte dem.
> Hvis man i et script vender et felts value, vil en bot så køre scriptet?
Det er noget, som skal testes. Men jeg kunne forestille mig, de har en
form for sikkerhed indbygget, så de ikke kritikløst udfører alt JS på
en side. I teorien kan de vel havne i endeløse loops f.eks., hvis det
er dårligt lavet kode.
MVH
Rune Jensen
| |
Rune Jensen (04-07-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 04-07-08 17:32 |
|
On 4 Jul., 23:46, "Erik Ginnerskov" <erik.ginners...@live.dk> wrote:
> Birger wrote:
> > Hvis du "vender" teksten med css - så står den helt almindeligt i din
> > kode...
>
> Pointen er vel at skrive teksten bagvendt i koden og så med css retvende
> den, så den bliver læselig for almindelige dødelige.
Ja, det kan - måske - brges til en side som LKI, hvor der bedes om et
ord skrevet bagfra.
I stedet for at skrive på siden "skriv dette ord bagfra", kan man vise
ordet, som det skal skrives.
Det er også fint nok til log in og til egentlige kontakforme, hvor
kodeord ikke skal skrives mere end én gang. Men til f.eks.
kommentarfelter i en Blog, der vil det være irriterende for brugeen at
skulle taste kodeord hver gang.
Hovedidéen var at "ændre tekst" med CSS i value i et form felt. Som
Birger skriver kan det ikke rigtigt lade sig gøre. Men den anden idé
med at skrive et ord bagfra - jo, sandsynligvis. Det skal da testes i
hvert fald.
MVH
Rune Jensen
| |
|
|