Czy zostały użyte jakieś metody programowania, aby pokonać reCAPTCHA?
Jestem zainteresowany zobaczeniem dowodów i potencjalnie demonstracji, że w szczególności reCAPTCHA stała się przestarzała dzięki całkowicie zautomatyzowanym, bezludzkim metodom.
Aby wyjaśnić, nie szukamy rozwiązań do oszukiwania reCAPTCHA, które w jakikolwiek sposób angażują ludzi, niezależnie od tego, czy są to zespoły zajmujące się wypełnianiem CAPCHA, poszukiwacze porno czy Mechaniczny Turk.
Ja również nie szuka alternatyw dla reCAPTCHA, jak zbieranie rodzaj zwierzęcia, lub pola tła lub oszustwa javascript.
pwned
w tym tematuOdpowiedzi:
Zauważam, że prawie wszystkie odpowiedzi tutaj odnoszą się w zasadzie do nieskuteczności koncepcji CAPTCHA - i choć bardzo się z nimi zgadzam, to tak naprawdę kilka miesięcy temu wygłosiłem wykład w OWASP wyjaśniając tylko to - pytanie jest bardzo konkretne , więc zapewnię demonstrację.
Ale najpierw powtórzę tę demonstrację na boku, ponownie przeczytam inne komentarze, ponieważ prawdą jest, że CAPTCHA jest bezcelowe i nie jest pomocne, nie ma znaczenia w implementacji ...
Ale tak naprawdę, sprawdź CAPTCHA Killer . Możesz przesłać obraz CAPTCHA, który automatycznie, jeśli nie natychmiast, dostarczy odpowiedź OCR. Zapewnia również API (myślę, że REST, ale może też SOAP). Osobiście wypróbowałem wiele obrazów reCAPTCHA i faktycznie były to jedne z najłatwiejszych (lub przynajmniej najszybszych) zepsutych.
AKTUALIZACJA : Witryna CAPTCHA Killer została usunięta, najwyraźniej pod presją prawną. Zobacz http://captcha.org/, aby uzyskać pełny przegląd tematu.
I tak, OCR nie jest najlepszym sposobem na rozbicie strony chronionej CAPTCHA - jest wiele innych lepszych sposobów.
źródło
Możesz być zainteresowany tym szczegółowym raportem o tym, jak 4chan pokonał reCAPTCHA i wykorzystał go do manipulowania wynikami corocznej ankiety Time.com TIME 100 .
źródło
Słabość systemów CAPTCHA polega na tym, że ludzie w Chinach tworzą pokoje pełne ludzi, których jedynym zadaniem jest spojrzenie na obraz CAPTCHA i wpisanie wyniku, który podłącza się do zautomatyzowanego systemu, który faktycznie wykonuje spam.
Tak naprawdę niewiele możesz z tym zrobić.
Jest to również znacznie tańsze niż próba rozpoznania obrazu, OCR itp. Na rzeczywistym obrazie (w drugą stronę możesz otrzymać odpowiedź za mniej niż 0,01 USD).
źródło
Zanim poddasz się presji związanej z używaniem captcha, rozważ kreatywne obejścia, takie jak umieszczenie pola z etykietą „Twoje komentarze”, które jest ukryte przez CSS. Jeśli pole jest wpisane, żądanie jest odrzucane przez serwer. Większość botów da się na to nabrać, nawet jeśli nadal nie ma dobrego sposobu na pokonanie pokoju pełnego niedostatecznie opłacanych pracowników, w czym i tak captcha nie pomaga.
AKTUALIZACJA : Wystarczy przeczytać studium przypadku, w którym usunięcie CAPTCHA zwiększyło współczynniki konwersji o prawie 10%. To by mi wskazywało, że jest raczej zepsuty, jeśli tracisz 10% potencjalnych klientów tylko po to, aby odfiltrować boty. Wyobraź sobie, co 10% oznacza dla większości firm.
źródło
Moja ulubiona captcha pochodzi od firmy Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Jest to usługa bezpłatna i mają przykładowy kod, dzięki któremu możesz zacząć.
Zastanawiam się, ile czasu minie, zanim pęknie.
źródło
reCAPTACHA nie jest zepsuta i to nie potrwa długo. Chodzi o to, że jeśli zaimplementujesz własną captcha, jeśli jest zepsuta, prawdopodobnie naprawienie tego zajmie dużo czasu.
To pochodzi ze strony o zabezpieczeniach reCAPTCHA :
Uważam, że ponieważ specjalizują się w captcha, mają zapisane ulepszone wersje, gotowe do wdrożenia w krótkim czasie, jeśli zajdzie taka potrzeba. (Dlaczego mieliby tworzyć silniejsze zabezpieczenia, skoro słabszy jeszcze się nie zepsuł?)
źródło
Nie tylko został pokonany, ale także z powodzeniem zbudowano na nim przydatną aplikację , która stała się najbardziej niesamowitym narzędziem do pokonywania wszelkiego rodzaju zabezpieczeń bezpłatnych kont z dużej listy witryn do bezpośredniego pobierania (nie tylko megaupload i rapidshare ).
Jdownloader jest open source i napisany w Javie, więc zerknięcie na kod źródłowy może odpowiedzieć nie tylko na to, czy jest uszkodzony, ale także w jaki sposób .
Edycja : Większość witryn do bezpośredniego pobierania nie używa reCaptcha, ale prostszą metodę Captcha (3 duże litery w różnych kolorach). Niemniej jednak Jdownloader i Cryptload (program podobny do Jdownloadera) to jedyne działające implementacje, o których wiem, że skutecznie złamały metodę Captcha. Nie słyszałem o żadnej implementacji do złamania reCaptcha.
Aktualizacja : Wygląda na to, że co najmniej jedna implementacja reCaptcha (a nie cała reCaptcha) również została złamana .
Aktualizacja grudzień 2010 : Wydaje się, że Jdownloader w końcu pokonuje reCaptcha . Wtyczka jest nadal eksperymentalna i działa tylko w wersjach Jdownloadera dla systemu Windows, ale, jak powiedział mi kolega, który ją wypróbował, działa.
źródło
W zeszłym roku na Defcon odbyło się przemówienie, które dotyczyło ogólnych problemów z CAPTCHA. Jedną z rzeczy, które zrobili, było użycie wielu bezpłatnych silników OCR i skłonienie ich do głosowania na najlepsze słowa. Robiąc to, byli w stanie osiągnąć dość przyzwoitą szansę na sukces. W przypadku jednego rodzaju było to około 40%, chociaż nie sądzę, by to była reCaptcha.
źródło
2-3 lata temu podejście captcha oparte na wpisywaniu tekstu przekroczyło granicę, gdy przegrali bitwę, tj. Dalsze komplikacje sprawiają, że są one stosunkowo (ponieważ zwiększa się moc komputera, podczas gdy ludzie nie) są łatwiejsze dla maszyn i bardziej odrażające i odpychające, jeśli nie. całkowicie niemożliwe dla ludzi. Jest to sprzeczne z oryginalnym paradygmatem CAPTCHA jako testem zapewniającym, że odpowiedź nie jest generowana przez komputer
Aktualizacja: pamiętaj,
że reCAPTCHA jest własnością Google Inc., ale Google Inc. nie używa go we własnych usługach.
Oto link do strony internetowej z captcha używanej przez samo Google / wewnętrznie np. Do rejestracji w Gmailu:
Pamiętaj, że reCAPTCHA Google zawsze zawiera 2 słowa.
Oto link do obrazu z reCAPTCHA Google oferowanym do wykorzystania przez innych .
I zrzut ekranu reCAPTCHA:
Zostawiam czytelnikowi oczywiste wnioski.
Cytowane: [1]
fora vBulletin dotknięte przez reCAPTCHA cracking spam bot | Blog PC Pro
Wysłany 12 stycznia 2011 przez Davey Winder
źródło
Widzę komentarze na blogu w systemie chronionym przez reCAPTCHA, gdzie strona ładuje się i 1 sekundę później post został pomyślnie utworzony. Agent użytkownika był nonsensem (w tym konkretnym przypadku twierdził, że działa w systemie Ubuntu 9.25 / Firefox 3.8), strona odsyłająca pochodzi z zupełnie niepowiązanej witryny bez linku do nas.
Jest to wyraźnie zautomatyzowane.
źródło
reCAPTCHA nie został pokonany. Gdyby tak było, dlaczego Google po prostu go kupił i ogłosił, że będzie stosować technologię Google w celu zwiększenia ochrony przed oszustwami i spamem w produktach Google?
od Google nabywa reCAPTCHA opublikowane na blogu Google 16.09.2009:
źródło
Najłatwiejszym sposobem na pokonanie Captchas jest Amazon Mechanical Turk. Jest facet o imieniu Kermit Welda, który płaci każdemu po 5 centów za rejestrowanie kont Hotmail, AOL i Gmail. To 6000 fałszywych kont e-mail po 5 centów = 300 dolarów dziennie. Koszt prowadzenia działalności gospodarczej jest dość niski, gdy inni ludzie wykonują za Ciebie brudną robotę. Nic dziwnego, że filtry antyspamowe naszego serwera chcą odrzucać cokolwiek z usługi Hotmail.
źródło
AFAIK W praktyce nie ma narzędzia do złamania implementacji RE-captcha, ale zakładam, że ostatecznie ktoś je dostanie.
To dość zabawne, jeśli komuś się to uda, to cały projekt RE-captcha jest bezcelowy, ponieważ re-captcha zaprojektował digitalizację książek, których nie można zrobić w sposób zautomatyzowany.
BTW:
Nie możesz zabezpieczyć systemu myślącego w ten sposób, to tak, jakby powiedzieć "twoja aplikacja internetowa nie jest wystarczająco bezpieczna, jeśli twojego hosta nie ma w starym wojskowym bunkrze, ponieważ teraz ludzie mogą ukraść twoją maszynę".
źródło
Istnieje wiele metod, które są używane do bzdurnej recaptchy. Chociaż trudno jest używać programów obsługujących sieć neuronową do automatycznego rozwiązywania problemów, możliwe jest pobranie obrazu i skorzystanie z mechanicznego turka amazona lub innego równoważnego programu do ich rozwiązania.
http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/
źródło