Du bist nicht angemeldet.

#1 03.10.2020 07:08:16

AW_archde
Mitglied

Registrierung bei archlinux.org absurd

Registrierung bei archlinux.org verlangt Beantwortung von
What is the output of "date -u +%V$(uname)|sha224sum|sed 's/\W//g'"?

Heute erhalte ich
fabfd1abbc6d5320a6787dfdfe55b677b3a15302fd997c021518abb272aefa57c365d735bbacfb3dfdede3c731b2fcd1

Kann man das pasten? Oder muss man jedes einzelne Zeichen manuell eingeben?

Bei mir kommt:
Sorry, your answer was wrong. Try again!

Absurde Registrierung!

Offline

#2 03.10.2020 09:31:51

Paik6lee
Gast

Re: Registrierung bei archlinux.org absurd

AW_archde schrieb:

Heute erhalte ich
fabfd1abbc6d5320a6787dfdfe55b677b3a15302fd997c021518abb272aefa57c365d735bbacfb3dfdede3c731b2fcd1

...und ich erhalte

zensiert

Da musst du wohl grundsätzlich was falsch gemacht haben.

Sorry, your answer was wrong. Try again!

Sehe ich auch so

Mod-Edit: Korrektes Captcha des offiziellen Forums zensiert.

Beitrag geändert von schard (03.10.2020 10:39:51)

#3 03.10.2020 10:38:19

GerBra
Mitglied

Re: Registrierung bei archlinux.org absurd

AW_archde schrieb:

Kann man das pasten? Oder muss man jedes einzelne Zeichen manuell eingeben?

Das kann kopiert/gepastet werden.

AW_archde schrieb:

Bei mir kommt:
Sorry, your answer was wrong. Try again!
Absurde Registrierung!

Legitime Registrierung.
Es wird erwartet, die erwünschte Phrase von einem Archlinux System aus zu erstellen.
Zwei(einhalb) Dinge (neben der falschen Eingabe des Befehls) können IMHO die Ursache sein
1. falsches Systemdatum/Uhrzeit
2. Es wird nicht einer der von Archlinux bereitgestellten Kernel verwendet
⅛: eine absonderliche Shell (abseits sh,bash,zsh) verwendet shellspezifische Implementierungen von date und/oder uname

Zum Verständnis der Befehlskette diese einfach aufbrechen, das "Spannende" befindet sich vor der ersten Pipe(|).
Aufgrund der Länge deiner geposteten Ausgabe tippe ich darauf , daß die Ausgabe von einem Nicht-Archlinux-System bzw. einen anderen/eigenen Kernel stammt.
Was zeigt bei dir:
uname
uname -a

Offline

#4 03.10.2020 11:18:35

Paik6lee
Gast

Re: Registrierung bei archlinux.org absurd

GerBra schrieb:

Aufgrund der Länge deiner geposteten Ausgabe tippe ich darauf , daß die Ausgabe von einem Nicht-Archlinux-System bzw. einen anderen/eigenen Kernel stammt.

Die Länge der Ausgabe hat überhaupt nichts damit zu tun, weil die Länge der Checksumme immer gleich ist, unabhängig von der Länge der Eingabe.

Er hat aus unerfindlichen Gründen vielmehr sha384sum statt wie er angibt sha224sum verwendet; wenn man damit die Checksumme bildet, komme ich auf dieselbe Checksumme, die er gepostet hat.

#5 03.10.2020 11:19:18

Gerry_Ghetto
Mitglied

Re: Registrierung bei archlinux.org absurd

GerBra schrieb:

Legitime Registrierung.
Es wird erwartet, die erwünschte Phrase von einem Archlinux System aus zu erstellen.

Wie kommst du darauf, dass die Registrierung von einem Arch Linux aus gemacht werden muss? Dieser Check funktioniert auch mit Fedora.

Aufgrund der Länge deiner geposteten Ausgabe tippe ich darauf , daß die Ausgabe von einem Nicht-Archlinux-System bzw. einen anderen/eigenen Kernel stammt.

Die Ausgabelänge einer Hashfunktion ist immer die gleiche. Die Länge der Ausgabehashsumme beträgt in seinem Fall 96 Zeichen, die 48 Bytes darstellen, die genau 384 Bits entsprechen.

Um diese These zu überprüfen:

korrekt=$(date -u +%V$(uname))
echo $korrekt | sha384sum | sed 's/\W//g'

Dann erhalte ich die gleiche Ausgabe wie AW_archde.

Offline

#6 03.10.2020 11:23:22

schard
Moderator

Re: Registrierung bei archlinux.org absurd

Die Registrierung im offiziellen Forum wird OP allerdings so wie so nichts bringen, falls er immer noch archfi verwendet.
https://bbs.archlinux.org/misc.php?action=rules

Offline

#7 03.10.2020 11:46:03

GerBra
Mitglied

Re: Registrierung bei archlinux.org absurd

Gerry_Ghetto schrieb:

Wie kommst du darauf, dass die Registrierung von einem Arch Linux aus gemacht werden muss? Dieser Check funktioniert auch mit Fedora.

Formuliere ich es anderes: Auf einem Archlinux-System wird auf jeden Fall die erforderliche Ausgabe erzeugt. Der Kernelname (uname -s) *kann* je nach Kernelkompilierung anders sein - ggf. auch distributionsabhängig.

Gerry_Ghetto schrieb:

Die Ausgabelänge einer Hashfunktion ist immer die gleiche. Die Länge der Ausgabehashsumme beträgt in seinem Fall 96 Zeichen, die 48 Bytes darstellen, die genau 384 Bits entsprechen.

Um diese These zu überprüfen:

korrekt=$(date -u +%V$(uname))
echo $korrekt | sha384sum | sed 's/\W//g'

Dann erhalte ich die gleiche Ausgabe wie AW_archde.

Da (fixe Ausgabelänge) hast du recht. Allerdings paßt dann trotzdem die im 1. Post gepostete Phrasen(länge) nicht zum vom OP verwendeten sha*x*-Befehl. Das Captcha ist zudem auch "dynamisch" bzw. sessiongebunden.

//Edit zu "absurd": Die Registrierung ist IMHO um Längen angenehmer als Ampeln, Fußgängerüberwege oder Radfahrer auf obskuren Bildern zählen zu müssen,

Beitrag geändert von GerBra (03.10.2020 11:55:46)

Offline

#8 03.10.2020 12:01:48

Paik6lee
Gast

Re: Registrierung bei archlinux.org absurd

GerBra schrieb:

Formuliere ich es anderes: Auf einem Archlinux-System wird auf jeden Fall die erforderliche Ausgabe erzeugt. Der Kernelname (uname -s) *kann* je nach Kernelkompilierung anders sein - ggf. auch distributionsabhängig.

Der Kernelname wird doch überhaupt nicht abgefragt, sondern lediglich ein "uname" ohne weitere Optionen, und das dürfte distributionsübergreifend immer die Zeichenkette "Linux" liefern. In sofern ist der Einwand irrelevant.

Da (fixe Ausgabelänge) hast du recht. Allerdings paßt dann trotzdem die im 1. Post gepostete Phrasen(länge) nicht zum vom OP verwendeten sha*x*-Befehl. Das Captcha ist zudem auch "dynamisch" bzw. sessiongebunden.

Die passt deswegen nicht, weil er den Hash mit sha384sum und nicht wie angegeben (und bei der Registrierung gefordert) mit sha224sum gebildet hat. Was er sich dabei gedacht hat, uns mit diesen widersprüchlichen Angaben zu versorgen, muss er und schon selber sagen.

#9 03.10.2020 12:23:40

AW_archde
Mitglied

Re: Registrierung bei archlinux.org absurd

schard schrieb:

Die Registrierung im offiziellen Forum wird OP allerdings so wie so nichts bringen, falls er immer noch archfi verwendet.
https://bbs.archlinux.org/misc.php?action=rules

Ich verwende kein archfi.

Kernel: 5.8.13-arch1-1
Shell: bash 5.0.18
Terminal: gnome-terminal

hwclock --show --verbose
hwclock von util-linux 2.36
Systemzeit: 1601718145.161131
Versuch zu öffnen: /dev/rtc0
Using the rtc interface to the clock.
Letzte Abweichungskorrektur vorgenommen bei 1575900444 Sekunden nach 1969
Letzte Kalibrierung vorgenommen bei 1575900444 Sekunden nach 1969
Hardwareuhr geht nach UTC Zeit
Die Hardwareuhr läuft vermutlich in UTC.
Auf Uhrtick wird gewartet …
… Uhrtick wurde empfangen
Zeit gelesen aus Hardwareuhr: 2020/10/03 09:42:26
Zeit der Hardwareuhr: 2020/10/03 09:42:26 = 1601718146 Sekunden seit 1969
Es vergingen 25817702 Sekunden seit der letzten Anpassung.
Die errechnete Abweichung der Hardware-Uhr beträgt 0.000000 Sekunden.
2020-10-03 11:42:25.137082+02:00


timedatectl
               Local time: Sa 2020-10-03 11:43:59 CEST
           Universal time: Sa 2020-10-03 09:43:59 UTC
                 RTC time: Sa 2020-10-03 09:43:59     
                Time zone: Europe/Zurich (CEST, +0200)
System clock synchronized: yes                       
              NTP service: active                     
          RTC in local TZ: no 

Ich habe die Befehlszeile
date -u +%V$(uname)|sha224sum|sed 's/\W//g'
von hier
https://bbs.archlinux.org/register.php?agree=Agree
in einen Gnome-Terminal mit Gpaste kopiert.

Habe den hashing algorithm nicht manuell durch Eingabe ge-/verändert.

Offline

#10 03.10.2020 12:33:14

Paik6lee
Gast

Re: Registrierung bei archlinux.org absurd

AW_archde schrieb:

Habe den hashing algorithm nicht manuell durch Eingabe ge-/verändert.

Dir scheint entgangen zu sein, dass die Seite bei jedem Aufruf ein anderes Prüfverfahren verlangt, mal sha384sum, dann sha256sum, und ein anderes mal sha224sum oder sha1sum, oder sha512sum...

Du musst also schon für das aktuell angeforderte Prüfverfahren die Checksumme bilden und die dann auch sofort eintragen.

#11 03.10.2020 12:51:03

AW_archde
Mitglied

Re: Registrierung bei archlinux.org absurd

Paik6lee schrieb:
AW_archde schrieb:

Habe den hashing algorithm nicht manuell durch Eingabe ge-/verändert.

Dir scheint entgangen zu sein, dass die Seite bei jedem Aufruf ein anderes Prüfverfahren verlangt, mal sha384sum, dann sha256sum, und ein anderes mal sha224sum oder sha1sum, oder sha512sum...

Du musst also schon für das aktuell angeforderte Prüfverfahren die Checksumme bilden und die dann auch sofort eintragen.

Danke.

Offline

#12 03.10.2020 13:51:16

GerBra
Mitglied

Re: Registrierung bei archlinux.org absurd

Paik6lee schrieb:

Der Kernelname wird doch überhaupt nicht abgefragt, sondern lediglich ein "uname" ohne weitere Optionen

Mein:
man uname
sieht das "anders", d.h. uname ohne Optionen == uname -s. Ich habe gerade keinen eigenen oder anderen Distri-Kernel zur Hand, meine aber daß der Kernelname per Kerneleinstellung veränderbar wäre. Extra suchen werde ich jetzt nicht deswegen, v.a. da das Problem ja erledigt zu sein scheint.

//Edit: Kurzes Greppen und Überfliegen der Kernel config.gz scheint deine/eure Version zu bestätigen, ich habe das wohl mit der Localversion verwechselt.

Beitrag geändert von GerBra (03.10.2020 14:00:12)

Offline

#13 04.10.2020 09:18:59

AW_archde
Mitglied

Re: Registrierung bei archlinux.org absurd

Ein versteckter/verschleierter Hinweis, nur für Linuxspezialisten verständlich, dass (bei neuem Seitenaufruf) der hashing algorithm wechseln könnte, wäre ja nicht schlecht. Damit wäre dieser Thread vielleicht nicht entstanden und einige fühlten sich nicht vor den Kopf gestossen. Die Registrierung enthält eine Falle und ist dadurch schon ein bisschen absurd. Oder soll das ein Test sein?

Warum löscht der Moderator das captcha? Das ist doch in dem Falle nie gleich (nicht statisch), sondern wechselt ständig (ist dynamisch). Oder verstehe ich da was falsch?

Offline

#14 04.10.2020 09:34:50

Dirk
Moderator

Re: Registrierung bei archlinux.org absurd

AW_archde schrieb:

Ein versteckter/verschleierter Hinweis, nur für Linuxspezialisten verständlich, dass (bei neuem Seitenaufruf) der hashing algorithm wechseln könnte, wäre ja nicht schlecht.

Vielleicht bin ich zu blöd zu verstehen, was dein Problem damit ist, aber man muss doch nur einfach Copy&Paste von dem Befehl machen, der da zwischen den Anführungszeichen angegeben wird. Wer das nicht hin bekommt, sollte vielleicht kein Arch benutzen.

Offline

#15 04.10.2020 09:57:31

niemand
Mitglied

Re: Registrierung bei archlinux.org absurd

Warum löscht der Moderator das captcha? Das ist doch in dem Falle nie gleich (nicht statisch), sondern wechselt ständig (ist dynamisch). Oder verstehe ich da was falsch?

Es ist eine Woche lang das Gleiche. Du solltest versuchen, nachzuvollziehen, was die Zeile macht. So Grundlagenwissen ist bei der Verwendung von Arch höchst vorteilhaft.

Offline

#16 04.10.2020 10:04:27

Paik6lee
Gast

Re: Registrierung bei archlinux.org absurd

AW_archde schrieb:

Ein versteckter/verschleierter Hinweis, nur für Linuxspezialisten verständlich, dass (bei neuem Seitenaufruf) der hashing algorithm wechseln könnte, wäre ja nicht schlecht.

Ich verstehe das Problem nicht. Man ruft die Seite auf, gibt seine Daten für die Registrierung ein, und beantwortet die Frage, die einem gestellt wird. Es ist doch praxisfremd, dass die Seite überhaupt mehrfach aufgerufen wird. Und wenn doch, dann beantwortet man eben genau immer nur die Frage, die einem gestellt wird.

Die Registrierung enthält eine Falle und ist dadurch schon ein bisschen absurd. Oder soll das ein Test sein?

Das ist doch bei den zuvor schon angesprochenen Captchas aus Bildern von Ampeln, Fußgängerüberwegen oder Radfahrern auch nicht anders. Da würde keiner auf die Idee kommen, sich zuerst die Ampeln anzeigen zu lassen, die Seite erneut aufzurufen um auf den dann angezeigten Fußgängerüberwegen die Ampeln zu markieren.

Es geht ja vor allem darum, eine Registrierung von Bots zu erschweren. Und da ist es bestimmt nicht zielführend, wenn eine Woche lang dieselbe Checksumme gültig ist; deshalb der laufende Wechsel der Berechnungsmethode. Eine wirkliche Hürde ist das aber auch nicht, weil man mit einem simplen Einzeiler (den der Moderator gleich gerne wieder zensieren darf) z. B.

curl https://bbs.archlinux.org/register.php?agree=Agree |grep uname |cut -b 38-80 >captcha.sh && chmod +x captcha.sh && echo $(./captcha.sh)

die aktuelle Checksumme ermitteln kann.

Warum löscht der Moderator das captcha? Das ist doch in dem Falle nie gleich (nicht statisch), sondern wechselt ständig (ist dynamisch). Oder verstehe ich da was falsch?

Fand ich auch unangemessen, da Moderatorentscheidungen aber nicht diskutabel sind, habe ich es einfach nur zur Kenntnis genommen.

#17 04.10.2020 11:30:47

niemand
Mitglied

Re: Registrierung bei archlinux.org absurd

Und da ist es bestimmt nicht zielführend, wenn eine Woche lang dieselbe Checksumme gültig ist; deshalb der laufende Wechsel der Berechnungsmethode.

Welcher laufende Wechsel? Ich habe die Registrierung gerade testweise aufgerufen, und es wird genau die Frage gestellt, die im Einangsbeitrag zu lesen ist. Offensichtlich gibt’s nur fünf Varianten.

Fand ich auch unangemessen

Du fändest es angemessen,  wenn eine für eine Woche gültige Antwort im Klartext da rumsteht? Warum? Warum möchtest du unbedingt, dass das al.o-Forum von Spammern überrannt wird, wenn du gleich noch ’nen Einzeiler mitlieferst? Bist du irgendwie unsozial, oder so?

Dein primitiver Einzeiler gibt allerdings nur den String auf der Konsole aus – wie’s ein popeliges Copy&Paste auch machen würde. Zurückkopieren muss man in beiden Fällen manuell. Und darum geht es. Noch dazu funktioniert es nicht einmal bei jeder Variante der Frage. Insofern hast du nun auch nix Tolles zustandegebracht.

Das Captcha ist als Hürde für den 08/15-Spambot|Clickworker gedacht, bevor jetzt  als „Argument“ gebracht wird, dass es ja eh nicht sicher wäre. Und den Job tut’s offensichtlich ganz gut, solange keiner das aktuelle Ergebnis irgendwo abkippt. Was genau hättest du davon, wenn diese sehr einfache und bequeme Methode gewechselt und umständlicher gemacht werden müsste? Bist du ein Fan von den Datenkraken, möchtest lieber kostenlos für Googles KI-Trainingsprogramme arbeiten, und denen dabei noch helfen, ihre Profile von den Leuten zu erweitern?

Beitrag geändert von niemand (04.10.2020 11:51:27)

Offline

#18 04.10.2020 11:52:19

Paik6lee
Gast

Re: Registrierung bei archlinux.org absurd

niemand schrieb:

Welcher laufende Wechsel? Ich habe die Registrierung gerade testweise aufgerufen, und es wird genau die Frage gestellt, die im Einangsbeitrag zu lesen ist.

Wie alle (außer dir) zwischenzeitlich mitbekommen haben, wird bei jedem Aufruf der Seite eine andere Berechnungsmethode angefordert. Dass es bei dir gerade mal wieder sha224sum war ist eher Zufall, beim nächsten Aufruf wird es aber schon wieder ganz anders sein.

Dein primitiver Einzeiler gibt allerdings nur den String auf der Konsole aus – wie’s ein popeliges Copy&Paste auch machen würde. Zurückkopieren muss man in beiden Fällen manuell. Und darum geht es. Insofern hast du nun auch nix Tolles zustandegebracht.

Der primitive Einzeiler sollte nur zeigen, wie niedrig die Hürde für einen Bot-Entwickler wäre, sich den Captcha automatisiert zu holen. Der wird auch nicht mit Copy&Paste hantieren, sondern es in eine Variable ausgeben und damit weiterarbeiten.

#19 04.10.2020 12:16:45

niemand
Mitglied

Re: Registrierung bei archlinux.org absurd

Wie alle (außer dir) zwischenzeitlich mitbekommen haben, wird bei jedem Aufruf der Seite eine andere Berechnungsmethode angefordert.

Du hast lange beim Schreiben gebraucht. Ich habe noch nachgeschoben, dass es fünf Varianten gibt.

Die eigentliche Frage hast du aber leider nicht beantwortet: Was soll der Mist?

Offline

#20 04.10.2020 13:20:42

Gerry_Ghetto
Mitglied

Re: Registrierung bei archlinux.org absurd

niemand schrieb:

Du fändest es angemessen,  wenn eine für eine Woche gültige Antwort im Klartext da rumsteht?

Ja, ich persönlich finde das angemessen. Ausserdem ist es ja nicht nur eine Woche lang gültig, sondern jedes Jahr eine Woche lang.

Warum?

Warum nicht? Wo ist das Problem? Die Hashsumme ist ja nichts geheimes, nichts was man schützen müsste. Sie enthält keine Personendaten. Und es wird ja auch erwartet, dass jeder Mensch sie mit Hilfsmitteln berechnen kann.

Warum möchtest du unbedingt, dass das al.o-Forum von Spammern überrannt wird, wenn du gleich noch ’nen Einzeiler mitlieferst? Bist du irgendwie unsozial, oder so?

Erstens einmal unterstellst du hier Dinge und zweitens hat das mit "sozial sein" nichts, aber auch rein gar nichts zu tun.

Oder hast du aktuelle Daten, die eine statistisch signifikante Zunahme von Spammern auf archlinux.org zeigen, die ausschliesslich auf diesen Beitrag zurück zu führen sind?

Und könntest du uns Einblick geben in die Welt von Spammer und Bots, die darauf angewiesen sind, das Resultat der Berechnung in einem Forum erfahren zu müssen?

Dein primitiver Einzeiler gibt allerdings nur den String auf der Konsole aus – wie’s ein popeliges Copy&Paste auch machen würde. Zurückkopieren muss man in beiden Fällen manuell. Und darum geht es. Noch dazu funktioniert es nicht einmal bei jeder Variante der Frage. Insofern hast du nun auch nix Tolles zustandegebracht.

Das Captcha ist als Hürde für den 08/15-Spambot|Clickworker gedacht, bevor jetzt  als „Argument“ gebracht wird, dass es ja eh nicht sicher wäre. Und den Job tut’s offensichtlich ganz gut, solange keiner das aktuelle Ergebnis irgendwo abkippt. Was genau hättest du davon, wenn diese sehr einfache und bequeme Methode gewechselt und umständlicher gemacht werden müsste? Bist du ein Fan von den Datenkraken, möchtest lieber kostenlos für Googles KI-Trainingsprogramme arbeiten, und denen dabei noch helfen, ihre Profile von den Leuten zu erweitern?

Deiner eigenen Aussage zufolge besteht der Schutz ja nicht im Kennen vom Resultat, sondern im Zurückkopieren dessen. Demzufolge ist das Veröffentlichen des Resultates in keinster Weise schädlich.

Und wenn du andere fragst, was der Mist soll, dann erkläre doch bitte auch, was du mit deiner unsachlichen Propaganda hier eigentlich bezwecken willst?

Offline

#21 04.10.2020 13:57:21

niemand
Mitglied

Re: Registrierung bei archlinux.org absurd

Erstens einmal unterstellst du hier Dinge und zweitens hat das mit "sozial sein" nichts, aber auch rein gar nichts zu tun.

Oder hast du aktuelle Daten, die eine statistisch signifikante Zunahme von Spammern auf archlinux.org zeigen, die ausschliesslich auf diesen Beitrag zurück zu führen sind?

Unsozial ist’s, einen Schutz, in den andere Arbeit gesteckt haben, mutwillig auszuhebeln, und damit die Arbeit potentiell zu entwerten.

Und wenn du andere fragst, was der Mist soll, dann erkläre doch bitte auch, was du mit deiner unsachlichen Propaganda hier eigentlich bezwecken willst?

Schön wär’s halt gewesen, wenn es Leute zum Nachdenken angeregt hätte. Ich sehe, dass die Degeneration der Emphatie schon soweit fortgeschritten zu sein scheint, dass das nicht mehr der Fall sein kann. Daher sorry für die Störung.

Offline

#22 04.10.2020 14:00:33

Paik6lee
Gast

Re: Registrierung bei archlinux.org absurd

Gerry_Ghetto schrieb:

Oder hast du aktuelle Daten, die eine statistisch signifikante Zunahme von Spammern auf archlinux.org zeigen, die ausschliesslich auf diesen Beitrag zurück zu führen sind?

Vor allem: welcher Bot scannt schon genau dieses Forum und diesen Beitrag, um einen völlig aus dem Kontext veröffentlichen Hash als Antwort eines anderen Forums für die Anmeldung zu verwenden, der sich darüber hinaus noch wöchentlich ändert und auch nur für die Berechnung des 224-Bit-Hashes dient? Das Szenario ist an den Haaren herbeigezogen und völlig praxisfremd, da käme er mit so einem primitiven Einzeiler deutlich bequemer ans Ziel. Den muss er übrigens hier auch nicht abschreiben, denn wer Bots programmieren kann wird auch so eine simple Information aus der Webseite extrahieren können.

#23 04.10.2020 14:09:37

Dirk
Moderator

Re: Registrierung bei archlinux.org absurd

Ich denke, wir können diesen Thread hier mal beenden.

Wenn irgendjemand an einer sachlichen Diskussion darüber interessiert ist, wie man Webseiten und Foren am besten vor automatisierten Registrierungen durch Bots schützen kann, kann ja gern einfach einen Thread im Café eröffnen.

Offline

Fußzeile des Forums