Con người và thay đổi

  • Bởi tqvn2004
    27/08/2009
    21 phản hồi

    Người ta không thay đổi khi bạn nói họ nên thay đổi. Con người chỉ thay đổi khi họ nói với bản thân rằng họ phải thay đổi.

    Hãy chia sẻ suy nghĩ của bạn

    21 phản hồi

    Khách viết:
    Nhờ các bác xem lại hệ thống Capcha bên x-cafe như thế nào mà mã chữ đánh vô chính xác 100%, nhưng đều bị cho là sai!

    Thêm vào đó, mọi khi khác, nếu đánh sai thì capcha cho mã mới, nhưng lần này thì vẫn giữ mã cũ. Nhưng tiếp tục đánh vào là tiếp tục bị báo lỗi.

    Máy thì vẫn được set để nhận Cookies như mọi khi!

    Thanks,

    unknown

    Bác Unknown mến,

    Captcha thường xuyên thay đổi, nếu bác bấm F5 hoặc gõ captcha sai, mà nhận được một captcha giống hệt như cũ là không ổn rồi. Để tôi kiểm tra lại xem sao, nhưng cũng phải hỏi thêm bác: Bác có truy cập X-cà qua proxy hay chương trình che dấu IP nào không? Tôi muốn kiểm tra xem ở đâu đó có lưu lại cache của Captcha hay không...

    Huân

    Nhờ các bác xem lại hệ thống Capcha bên x-cafe như thế nào mà mã chữ đánh vô chính xác 100%, nhưng đều bị cho là sai!

    Thêm vào đó, mọi khi khác, nếu đánh sai thì capcha cho mã mới, nhưng lần này thì vẫn giữ mã cũ. Nhưng tiếp tục đánh vào là tiếp tục bị báo lỗi.

    Máy thì vẫn được set để nhận Cookies như mọi khi!

    Thanks,

    unknown

    Đinh Mạnh Vĩnh viết:
    Tin tặc đã ngừng đánh vào Dân Luận, nhưng vẫn duy trì tấn công vào diễn đàn X-cafevn.org. Một số độc giả trong nước cho biết không truy cập được Dân Luận như mọi khi, có lẽ do hệ thống tường lửa trong nước chặn Dân Luận chặt hơn. (admin viết)

    Tại sao tặc ngừng đánh Dân Luận mà vẫn đánh xca?

    Mấy hôm nay vào DL có lúc được, lúc không. Nhưng tôi tìm ra được vài proxy cũng tốt lắm, tính chia sẻ với bà con nhưng lỡ tin tặc biết thì lại khó cho tôi (không vào được nữa!), lại cất công tìm nữa, oải lắm, già rồi! :(

    DL cố gắng cẩn thận, không biết tặc đang mưu tính điều gì, tại sao đánh xca mà bỏ DL?

    Tôi cũng không rõ lý do phía sau của tin tặc khi tấn công Dân Luận nhẹ hơn nhiều so với X-cà lần này. Có điều khi tin tặc tấn công X-cà thì Dân Luận cũng chịu ảnh hưởng do: (1) hệ thống phòng thủ chặt hơn làm độc giả khó vào; (2) server đáp ứng chậm hơn, do tải phía X-cà tăng đột ngột.

    Tin tặc đã ngừng đánh vào Dân Luận, nhưng vẫn duy trì tấn công vào diễn đàn X-cafevn.org. Một số độc giả trong nước cho biết không truy cập được Dân Luận như mọi khi, có lẽ do hệ thống tường lửa trong nước chặn Dân Luận chặt hơn. (admin viết)

    Tại sao tặc ngừng đánh Dân Luận mà vẫn đánh xca?

    Mấy hôm nay vào DL có lúc được, lúc không. Nhưng tôi tìm ra được vài proxy cũng tốt lắm, tính chia sẻ với bà con nhưng lỡ tin tặc biết thì lại khó cho tôi (không vào được nữa!), lại cất công tìm nữa, oải lắm, già rồi! :(

    DL cố gắng cẩn thận, không biết tặc đang mưu tính điều gì, tại sao đánh xca mà bỏ DL?

    Tin tặc đã ngừng đánh vào Dân Luận, nhưng vẫn duy trì tấn công vào diễn đàn X-cafevn.org. Một số độc giả trong nước cho biết không truy cập được Dân Luận như mọi khi, có lẽ do hệ thống tường lửa trong nước chặn Dân Luận chặt hơn.

    Trong trường hợp không truy cập được Dân Luận, mời độc giả vào các blog dự phòng của Dân Luận để đọc tin tức:

    http://danluan.wordpress.com

    http://danluanvietnam.wordpress.com

    http://danluanvn.blogspot.com

    http://facebook.com/danluanvn

    Khách viết:
    Theo tôi, bác nên dùng capcha dạng chữ nét uốn éo với cỡ mỗi chữ cái khác nhau, dễ cho mắt người nhưng khó cho nhận dạng tự động.

    Chúng tôi phải cân bằng giữa "khó phá" và "tốn nguồn tài nguyên". Nếu đây là captcha chống spam, bắt vài ba con bot một ngày thì có thể làm nhiều kiểu phức tạp, nhưng đây là captcha để trả lời vài trăm request/giây, hàng chục ngàn con bot mỗi ngày thì phải gọn nhẹ tối đa :)

    Nguyên văn đoạn trích của Michael Mandelbaum trong cuốn The World is Flat là: "People don’t change when you tell them there is a better option. They change when they conclude they have no other option."

    Bác tqvn2004 dịch ra tiếng Việt như thế cũng hay. Nhưng câu tiếng Việt có vẻ không đúng lắm. Con người ta bị ảnh hưởng nhiều bởi những mối quan hệ xã hội. Tiếng việt có câu: "Gần mực thì đen, gần đèn thì rạng".

    Theo tôi, bác nên dùng capcha dạng chữ nét uốn éo với cỡ mỗi chữ cái khác nhau, dễ cho mắt người nhưng khó cho nhận dạng tự động.

    Admin viết:
    Tin tặc hiện nay đang sử dụng một mạng bot (botnet) rất lớn để đánh vào server X-cà và Dân Luận. Ban đầu họ chủ yếu đánh vào diễn đàn X-cafevn.org, nhưng từ hôm qua bắt đầu đánh thẳng vào Dân Luận. Lưu ý là đợt tấn công trước (bắt đầu từ 2071/2010) vẫn chưa kết thúc, tức là có 2-3 botnet đang đồng thời hoạt động.

    Vì có nhiều bot trong tay, nên tin tặc đánh rất chậm, số lượng request gửi tới server mỗi phút chỉ 1-2 cái. Do đó chúng tôi không có cách nào để phân biệt bot và người sử dụng, nếu chỉ dựa vào tần số sử dụng. Việc dùng captcha + cookie cũng là một cách để phân biệt bot và người, sau đó gán cho người một id riêng biệt để truy cập, gần giống như dùng session ID.

    Mã độc mà tin tặc sử dụng có khả năng xử lý khá cao, bằng chứng là mã captcha toán cộng bị phá dễ dàng, tiếp đó là mã captcha bằng hình nhưng chữ thẳng. Hiện nay chúng tôi phải dùng đến captcha chữ xoay nghiên, và chỉ được gõ vào một số ký tự được đánh dấu đặc biệt thì có vẻ mới chặn được tin tặc. Hiện tại Dân Luận vẫn đang bị DoS nặng, nhưng do có một lỗi nhỏ trong mã độc điều khiển cuộc tấn công Dân Luận mà các request tấn công đều... trượt. Do đó tôi mới tạm bỏ captcha đi đấy :D Chắc là mai tin tặc sẽ điều chỉnh lại, và sẽ lại phải dùng captcha trở lại...

    Vài dòng thông báo tình hình để các bác biết...

    Tin tặc hiện nay đang sử dụng một mạng bot (botnet) rất lớn để đánh vào server X-cà và Dân Luận. Ban đầu họ chủ yếu đánh vào diễn đàn X-cafevn.org, nhưng từ hôm qua bắt đầu đánh thẳng vào Dân Luận. Lưu ý là đợt tấn công trước (bắt đầu từ 2071/2010) vẫn chưa kết thúc, tức là có 2-3 botnet đang đồng thời hoạt động.

    Vì có nhiều bot trong tay, nên tin tặc đánh rất chậm, số lượng request gửi tới server mỗi phút chỉ 1-2 cái. Do đó chúng tôi không có cách nào để phân biệt bot và người sử dụng, nếu chỉ dựa vào tần số sử dụng. Việc dùng captcha + cookie cũng là một cách để phân biệt bot và người, sau đó gán cho người một id riêng biệt để truy cập, gần giống như dùng session ID.

    Mã độc mà tin tặc sử dụng có khả năng xử lý khá cao, bằng chứng là mã captcha toán cộng bị phá dễ dàng, tiếp đó là mã captcha bằng hình nhưng chữ thẳng. Hiện nay chúng tôi phải dùng đến captcha chữ xoay nghiên, và chỉ được gõ vào một số ký tự được đánh dấu đặc biệt thì có vẻ mới chặn được tin tặc. Hiện tại Dân Luận vẫn đang bị DoS nặng, nhưng do có một lỗi nhỏ trong mã độc điều khiển cuộc tấn công Dân Luận mà các request tấn công đều... trượt. Do đó tôi mới tạm bỏ captcha đi đấy :D Chắc là mai tin tặc sẽ điều chỉnh lại, và sẽ lại phải dùng captcha trở lại...

    Vài dòng thông báo tình hình để các bác biết...

    Tôi hiểu đôi chút về web tuy không phải chuyên gia, nhiều khi có vài ý kiến nhưng không có điều kiện kiểm chứng, nên chỉ xin nêu ra đây để các cao thủ tham khảo và tìm ra giải pháp tốt hơn.

    Theo tôi nghĩ, captcha được tạo ra chủ yếu để chống spam thông tin với mức độ lớn, cho nên dùng captcha vào việc chống dos/ddos là không thích hợp.

    Thiết nghĩ muốn chống dos/ddos nhưng không làm khó khách thăm là phải lập trình phía server (dựa vào IP hay session Id, và tần số truy cập) để quyết định chấp nhận thao tác hay không.

    Cùng lắm, nếu dựa vào IP hay session Id không xong thì phải kết hợp captcha+cookie và tần số truy cập có cùng cookie mới mong tránh bị tấn công (nói như thế này là tôi đã gián tiếp tiết lộ cách tấn công đề cập trong phản hồi trước).

    Để giảm thiểu việc làm khó khách thăm, có một cách là lập trình phía server để quan sát tần số truy cập tổng cộng trong một thời gian hợp lý, nếu con số này cao quá giới hạn (thường do bị tấn công) thì mới tự động mở chế độ captcha lên, và tắt nó đi nếu tần số thấp vì chỉ gồm những truy cập bình thường.

    Dù có captcha nhưng đồng thời cũng dùng cookie thì tin tặc vẫn có thể tấn công như thường. Tôi nghĩ ra một cách tấn công nhưng không tiện nói ra đây! (nếu bác Admin cần biết thì tôi sẽ gởi email riêng)

    Cảnh báo này là để DL cố tìm ra cách khác làm sao vừa giữ được an ninh/an toàn vừa không gây khó cho khách viếng thăm.

    Khách viết:
    Trích dẫn:
    Về mặt kỹ thuật, hiện nay giải pháp lưu lại cookie vẫn là lựa chọn duy nhất mà chúng tôi có để chống lại DoS. Nếu không phân biệt được "thường dân" và "bộ đội" để phục vụ, thì server X-cà và Dân Luận chỉ có nước... đóng cửa, chứ không phải là mất đi một vài khách vì khó vào :)

    Có thể nào lập trình để trong trường hợp browser tắt cookie thì DL sẽ trình bày một giao diện với nút mở cookie nhưng chỉ cho website DL thôi?

    Quyền tắt / bật cookie nằm ở phía người sử dụng, cụ thể là trình duyệt (nếu nằm ở phía web site thì những trang web quảng cáo sẽ "tận dụng tối đa" cookie :D), do đó DL dù muốn cũng không điều khiển được việc này.

    Tuy nhiên bác có thể tắt cookie cho tất cả các trang web, trừ một số trang đặc biệt. Và đặt Dân Luận vào danh sách trang đặc biệt đó. Cách thực hiện như thế nào là tùy ở loại trình duyệt và phiên bản trình duyệt, bác có thể tham khảo một số thông tin ở đây:

    http://support.hubris.net/knowledge_base/039.html

    Tra google với từ khóa: Enable cookie per-site basis

    Trích dẫn:
    Về mặt kỹ thuật, hiện nay giải pháp lưu lại cookie vẫn là lựa chọn duy nhất mà chúng tôi có để chống lại DoS. Nếu không phân biệt được "thường dân" và "bộ đội" để phục vụ, thì server X-cà và Dân Luận chỉ có nước... đóng cửa, chứ không phải là mất đi một vài khách vì khó vào :)

    Có thể nào lập trình để trong trường hợp browser tắt cookie thì DL sẽ trình bày một giao diện với nút mở cookie nhưng chỉ cho website DL thôi?

    Về mặt kỹ thuật, hiện nay giải pháp lưu lại cookie vẫn là lựa chọn duy nhất mà chúng tôi có để chống lại DoS. Nếu không phân biệt được "thường dân" và "bộ đội" để phục vụ, thì server X-cà và Dân Luận chỉ có nước... đóng cửa, chứ không phải là mất đi một vài khách vì khó vào :)

    Về hình thức Captcha, để tôi tìm cách cho font chữ to lên một chút cho dễ đọc. Hiện tại Captcha của X-cà đặt ở chế độ đơn giản nhất nên không làm chữ to nhỏ, ngoằn ngoèo, có nhiều gạch ngang v.v...; do đó bác tưởng là text. Nếu bác bấm nút phải chuột vào, sẽ thấy máy báo "save image..." đấy :D

    Ý bác nói là số có hình ngoằn nghèo như những con giun có phải không ạ?

    Hình dãy số tôi thấy hiển thị thì thẳng băng, trơn tru chứ không có dạng image.

    Máy thì có feed cookies đấy chứ, nhưng server của x-cafe đếch chịu ăn, nên cũng đành chịu thôi!

    Admin viết:

    6 con số đó được viết dưới dạng image, bác ạ. Tôi thử trên mấy máy của mình thì đều vào ngon lành. Bác thử kiểm tra xem mình đã bật cookie lên chưa, vì cách kiểm tra này bắt buộc phải bật cookie (server sẽ lưu lại trong máy bác một cookie hoàn toàn vô hại, chỉ để đánh dấu rằng bác đã trải qua kỳ kiểm tra gian khổ mà thôi :D). Nếu đã bật cookie, thì proxy hay gì đó mà bác dùng để vượt tường lửa có cản cookie không? Bác kiểm tra lại mấy cái đó nhé!

    Tôi e rằng điều kiện "bật cookie" không mấy tốt cho bạn đọc. Tuy rằng Dân Luận hay X-cafe dùng cookie vô hại nhưng các websites khác có thể cũng dùng cookie thậm chí ở mức độ nhạy cảm.

    Về captcha, đề nghị nên chọn loại nào dễ đọc hơn chư loại vừa rồi hết sức khó đọc và làm thối chí người muốn vào thăm.

    Khách viết:
    Hiện tại, đệm dùng dãy số 6 con (chứ có thấy image nào) vẫn lúc được lúc không! Đánh các con trúng đấy, nhưng vẫn báo là sai!

    Đánh lần thứ hai được cho vào thì thấy blank page.

    6 con số đó được viết dưới dạng image, bác ạ. Tôi thử trên mấy máy của mình thì đều vào ngon lành. Bác thử kiểm tra xem mình đã bật cookie lên chưa, vì cách kiểm tra này bắt buộc phải bật cookie (server sẽ lưu lại trong máy bác một cookie hoàn toàn vô hại, chỉ để đánh dấu rằng bác đã trải qua kỳ kiểm tra gian khổ mà thôi :D). Nếu đã bật cookie, thì proxy hay gì đó mà bác dùng để vượt tường lửa có cản cookie không? Bác kiểm tra lại mấy cái đó nhé!

    Hiện tại, đệm dùng dãy số 6 con (chứ có thấy image nào) vẫn lúc được lúc không! Đánh các con trúng đấy, nhưng vẫn báo là sai!

    Đánh lần thứ hai được cho vào thì thấy blank page.

    Server X-cà bị đánh DoS liên tục với cường độ lớn, và tin tặc đã sử dụng bot "có trí tuệ", có khả năng tìm và xử lý văn bản dưới dạng text, nên cả ngày hôm nay chúng tôi rất vất vả chống đỡ. Do phải thử nhiều dạng kiểm tra khác nhau, nên không có thời gian để chỉnh hướng dẫn sử dụng đi kèm (chưa kịp sửa thì đã bị phá :D).

    Hiện nay chúng tôi đang chuyển sang dùng image thay vì text, hi vọng là tin tặc sẽ gặp khó khăn hơn. Về lý thuyết, image cũng có thể bị phá nếu tin tặc dùng chương trình nhận dạng ảnh. Hi vọng là các bot mà tin tặc sử dụng không đến mức "đỉnh cao trí tuệ" như thế :D

    Bác đã có thể vào lại X-cà, và chúng tôi đã sửa hướng dẫn cho đúng với captcha mà chúng tôi đang dùng. Chúc bác một cuối tuần vui vẻ!

    Chào bác Huân,

    Hiện tại vào x-cafe, thì gặp trang đệm như sau, trích:
    "
    Hãy gõ cả đề bài và kết quả phép toán dưới đây vào ô trống (ví dụ nếu được hỏi 3+4=? thì phải gõ ĐẦY ĐỦ 3+4=7) và bấm nút gửi đi. Nếu làm toán quá khó, bạn có thể tóm tắt Bổ Đề Cơ Bản trong ba chữ, viết trả lời của mình vào ô trống và bấm nút gửi đi:"

    Tuy nhiên, phía dưới không có bài toán nào để làm, mà chỉ thấy một dãy số vô nghĩa, gồm 5 hay 6 con số bên cạnh ô trống để điền vào kết quả (ví dụ: 741250)

    Các bác KT x-cafe đúng là đang làm khó cho dân! :)

    Trích dẫn:
    Người ta không thay đổi khi bạn nói họ nên thay đổi. Con người chỉ thay đổi khi họ nói với bản thân rằng họ phải thay đổi.

    — Michael Mandelbaum

    Sự thay đổi của một người có thể ở hai mức độ: tư tưởng/ý nghĩ và hành động/thái độ.

    Khi bạn nói với người khác, hành động của họ không/chưa thay đổi nhưng tư tưởng của họ có lẽ thay đổi. Tư tưởng thay đổi sẽ dẫn tới hành động thay đổi.

    Tóm lại: Một cách gián tiếp người ta có lẽ thay đổi hành động khi bạn nói họ nên thay đổi.

    Chứ cứng nhắc tin vào "Người ta không thay đổi khi bạn nói họ nên thay đổi" thì nói với người khác làm gì cho mỏi miệng mà chẵng được chi!