太倉人才網 [登錄] 2019年10月19日 星期六 您是第 1011942992 位訪者(今天第 245721 位訪問者)  目前在線 1416版本更新 設為首頁 | 加入收藏
2019太倉夏季招聘會; 本站獲“蘇州市人力資源服務知名品牌”; 太倉十大網站; 太倉人才網最新招聘信息; 太倉找工作; 太倉人才網手機版
企業:14830 職位:88381 簡歷:273613 | 實時動態: 今天 17:20:37:求職者[51145*] 應聘了 鹽城扶搖網絡科技有限公司 的職位 沙溪餓了么外賣送餐員/騎手[713388] 更多
當前位置: 全站信息>> 專題欄目>> 專題報道>>正文

:從12306看官方網站的壟斷

發布:吉林快三今天走势图   發布日期:2015-12-17  閱讀次數:  

吉林快三今天走势图 www.huizi.icu

    今天是2015年的12月17日,距離2016年的春節還有1個多月,一年一度的春運高峰又要來了。在大家趕著回家過年的時候,大名鼎鼎的12306又被推上了風口浪尖。最早是以前的網絡擁堵,系統卡、慢,然后是刷票軟件,網絡黃牛,到今年,出現了史上最奇葩的圖片驗證碼。

    之前有新聞稱,12306驗證碼的一次成功輸入率僅為8%,而每天刷票的黃牛,反而術業專攻,熟能生巧,練就了一副火眼金睛,他們人工刷票的速度比普通購票者快上了幾十倍。

    作為一名網站開發人員,為了一探究竟,我親自打開了12306網站,僅僅5分鐘,就發現了一些問題,然后有很多想法,于是動手寫這篇文章。重點就是這個圖片驗證碼。

從12306看官方網站的壟斷

圖1 登錄界面

 

下面這張圖,雖然是網民惡搞,但是也能反映出網民對著那些模棱兩可又小又模糊的驗證碼時焦急而又無從判斷的心情。

從12306看官方網站的壟斷

網民惡搞圖,但是反映的問題是一樣的

 

    當登錄時出現這個圖片驗證碼,鼠標在驗證圖片右鍵,可以查看屬性,于是就獲得這個圖片的地址:https://kyfw.12306.cn/otn/passcodeNew/getPassCodeNew?module=login&rand=sjrand 這是去掉了隨機數的一個地址。輸入這個地址,就能打開單獨的圖片并且包含了問題,而且只需要刷新網頁,就能隨機展現更多的圖片和問題,如下圖:

從12306看官方網站的壟斷

圖2 12306的圖片模式

    這其實是一個很致命的問題,很多所謂的搶票軟件,刷票瀏覽器,就能把這個作為收集問題和圖片的手段。讓一個工作人員,不斷的刷新這個地址,然后將他看到的問題關鍵詞錄入數據庫,比如“雕像”、“帳篷”、“訂書機”。這是第一步,然后,我通過連續刷新圖片觀察到,每次刷新的8張圖片,它們的排列坐標都是一致的,且相同圖片再次出現的時候,圖片主體完全相同。這樣刷票軟件開發者只需要在固定坐標采集像素屬性,就能夠將圖片識別出來,我15年前就用VB6.0寫了游戲對對碰的外掛。其原理如下

從12306看官方網站的壟斷

    上圖假設為一個需要識別的圖片,仔細看,上面我點了9個點(人工點的,有點歪),這9個點相對與這個圖片,是固定的坐標,通過編寫程序實現采集圖片固定坐標的像素屬性是很簡單的。然后上圖就能得出“白、白、白、紅、紅、白、白、蘭、白”這9個點的顏色(實際上應該是更加精確的顏色,比如RGB,這里只為了表述方便)。而這個圖片對應的問題可能是“請選擇下面所有陽光吉林快三今天走势图的logo”,于是,我們把“陽光太倉人才網”和“白、白、白、紅、紅、白、白、蘭、白”存入數據庫。這就是一條識別數據,然后繼續通過刷新上面的地址,獲取更多的信息資源。實際上采集坐標像素屬性的代價很小,我這里舉例9個點,其實完全可以采集更多,比如9*9=81點,12306的圖片每張圖片似乎加入了1-5個干擾點,但是比如采集81個點,只要75個以上匹配數據庫里的記錄,基本上就能判斷了。

    等這些數據資源獲取得差不多了,那么每個圖片是代表什么東西,程序都可以自動通過重新采集指定坐標的屬性來判斷圖片的內容了。當這8張圖總是尺寸固定,位置固定的時候,就能一次性判定8張圖片的內容了。而后再通過類似的漢字識別技術,可以在固定的區域識別12306提出的問題。因為在(圖2)中,我們看到,提出的問題居然和圖片是捆綁在一起的,且問題文字被固定在圖片頂端相同的位置。

    僅僅是試用5分鐘,登錄了12306,就發現了這幾個問題,而且這幾個問題解決起來非常簡單。

1、對驗證圖片的調用需要授權。
    比如,網站的登錄頁面是“https://kyfw.12306.cn/otn/login/init”這個地址,在這個地址調用驗證圖片時,可以在調用的url后面增加授權碼,授權碼可以是通過將一個密鑰進過md5或者sha轉換后的字串,同時結合http Referer,杜絕將驗證碼圖片被直接從其他地方打開的可能,這樣一些編寫的刷票軟件,就不方便直接調用 https://kyfw.12306.cn/otn/passcodeNew/getPassCodeNew?module=login&rand=sjrand 這個地址來收集樣本了。

2、圖片的簡單變換。
    很簡單,把現在的每一副圖片,通過改變上下左右的邊距,在圖片外框尺寸不變的情況下,核心內容出現偏移,這樣就能打亂像素的坐標,且這個偏移是隨機范圍的。比如下圖:

從12306看官方網站的壟斷  從12306看官方網站的壟斷

這樣的圖片依然能被人識別內容,但是通過固定坐標采集,就很難比對了(其實可以通過密集采集,然后按序比對,找出公共序列的方法來比對,但是復雜很多)

3、把問題和圖片分離
    把問題和8個答案圖片放在一起展示,是問題的根源之一,是給了搶票軟件分析圖片采樣數據的機會。如果把問題分離出來,且采用上述1、的方法,那么就很難采樣問題和答案圖片了。

    最后,我目前只是圍繞圖片驗證碼來看待問題,其實,反刷票,反搶票的方法還有很多,我可以肯定,如果鐵道部請我去設計,一定可以完美解決。比如通過綁定手機號碼,限時限量購票等,這些是技術層面的。

    另外從策略層面,可以將購票接口開放到淘寶、微信。鐵道部為什么不這樣做?壟斷!高達數億元人民幣以上的升級開發費用,為何與各種不可理喻的購票流程和糟糕的體驗之間,存在如此巨大的反差。這究竟是一樁何等艱難的生意,需要鐵道部獨自堅守?

    不對外授權,不開放插件,表面上是營造公平,但是恰恰是最大的不公平。好比國家發行的紙幣,防偽能力差,最終獲益的是那些非法制造假幣的犯罪分子,而受害的是老百姓。2013年搶票插件興起,獵豹、360被鐵道部約談,360董事長周鴻祎曾撰文表示,技術一直在推動建設一個高效的公平社會,搶票插件是讓一部分人利用這個高效工具,是一種積極意義的不平等,促使更多人使用搶票插件,省去手工操作、排隊買票的時間,提高整個社會效率。周鴻祎的觀點不錯,正規廠商開發的搶票插件被禁止,但是并不表示所有人都不能搶票了,在我的朋友圈里,能寫搶票程序的就不在少數,更別說那些形成利益鏈的黃牛組織了。

    淘寶、QQ等在全國有那么豐厚的硬件和網絡資源,完全可以承擔春運售票的網絡業務壓力,鐵道部只需要建立一個車票的核心數據庫,通過接口將售票業務放出去,這是最好的方案,為什么還要把這個吃力不討好的業務抓在手里?

    政府機構不會倒閉,不會破產,一旦壟斷了,只要臉皮厚,或者干脆不要臉了,就能一直壟斷下去!壟斷的背后一定有利益的支撐,這個利益恐怕強大到足以讓某些機構厚著臉皮挨罵!而政府機構不盈利,盈利的是誰呢?或者說賺取的不是金錢,是權力?需要深究!

 

 


以上信息或來自于互聯網,若有侵權,請及時聯系本站管理人員! 陽光客服 1987127758

吉林快三今天走势图 太倉人才網WAP 蘇州市人力資源服務業知名品牌 關于我們 網頁制作/數據庫:陽光技術小組 QQ陽光客服
版權所有:吉林快三今天走势图;ICP許可證:蘇B2-20120448;蘇ICP備10224897號-1;軟著登字第0395877號;人力資源中介許可320585000030號
本頁更新時間:2019-10-19 17:22:06 []