Czy reCaptcha jest teraz zasadniczo bezużyteczne?

17

Czy reCaptcha jest teraz zasadniczo bezużyteczne?

Czytałem w Internecie, że reCaptcha jest zepsuty, a roboty spamujące mogą go łatwo pokonać. Czy Google w ogóle to rozwiązało. Czy planują to naprawić? Nie mogę znaleźć tego rodzaju informacji w Internecie i miałem nadzieję, że ktoś może mieć wgląd.

Czy istnieją podobne, niezawodne i bezpieczniejsze usługi internetowe dla tego typu rzeczy? Nie chcę tworzyć własnej klasy typu captcha, ponieważ przetwarzanie obrazu w locie wymaga dość dużych zasobów i nie chcę tworzyć captcha typu pytania i odpowiedzi (nie chcę, aby ta klasa potrzebowała dostępu do bazy danych).

Wszelkie sugestie lub informacje dotyczące problemów reCaptcha są mile widziane.

Anuvesh
źródło
5
Losowa myśl: możesz zrobić system typu Pytania i odpowiedzi bez bazy danych, przedstawiając proste łamigłówki matematyczne: „Wpisz liczbę, którą otrzymujesz, mnożąc liczbę 7 przez 3:„ Czy ktoś mógłby wymyślić sposób na obejście tego? Jasne, ale zajmie to trochę pracy, więc może warto.
lub mieszanka dwóch
Łukasz Madon
1
Być może istotne: stackoverflow.com/q/448963/590790
3
Czy nie ma sensu reCaptcha, że ​​tekst jest faktycznie skanowanym tekstem z książek i dokumentów? W szczególności tekst, którego nie można odczytać w istniejącym OCR? Nie wiem, jak można „złamać” recaptcha, ponieważ zawsze zawierają więcej tekstu z większej liczby źródeł. Jedynym sposobem na prawdziwe „zerwanie” byłoby opracowanie „idealnego” rozpoznawania OCR, który wykrywa wszystkie inne niepowodzenia. Wyobrażam sobie, że poza bezpośrednim użyciem OCR można by rozwiązać inne problemy związane z bezpieczeństwem ...
Jakiś czas temu był interesujący, który pokazywał (na przykład) siatkę zdjęć psów, z kilkoma zdjęciami kotów solonymi losowo, a ty po prostu klikasz koty. Nie rozumiem, jak zautomatyzowałbyś do tego crack. Jedyną wadą jest to, że byłby bezużyteczny dla osób niewidomych.

Odpowiedzi:

12

Captcha zawsze była narażona na prosty atak typu man-in-the-middle, w którym spamer przekazuje obrazy do własnego captcha na stronie internetowej, która oferuje pobieranie plików mp3 lub porno za darmo. Nie ma znaczenia, jakiego typu captcha używasz.

Wykrywanie wzorców zachowań jest właściwą drogą.

Peter Taylor
źródło
Ciekawe, nie znałem tego podejścia.
7

Nigdy nie lubiłem captcha. Widziałem nawet jeden przypadek „w terenie” kogoś, kto nie jest w stanie rozwiązać captcha w pierwszych kilkunastu próbach (nie pytaj).

Do tej pory nie udało mi się usunąć spamu z tej jednej witryny, którą utworzyłem, po prostu sprawdzając, czy faktycznie wykonywane są wszystkie „prośby peryferyjne” (arkusze stylów, skrypty, obrazy), potwierdzając, że jest to prawdziwa strona internetowa „ciało i kości” sesja przeglądarki wywołująca witrynę i odrzucająca jakikolwiek post zawierający co najmniej 4 adresy URL.

Nieliczni spamerzy, którzy przeszli, uciszyli mnie, umieszczając na czarnej liście numer IP. (Na razie)

Ale muszę powiedzieć, że nadal nie jest wodoodporny, ale i tak nic nie jest. (Z drugiej strony, sądzę, że nie ma wiele do zyskania na spamowaniu strony za pomocą PageRank 2.)

Stijn Sanders
źródło
1
Mam współpracownika, który jest prawie ślepy. Mam dość problemów z rozszyfrowaniem niektórych captcha moim przyzwoitym wzrokiem, nie wyobrażam sobie, jak by to było dla osoby prawie niewidomej.
@jwenting: Dlatego reCAPTCHA i inne usługi / rozwiązania CAPTCHA zapewniają również opcję audio dla osób niedowidzących.
Lèse majesté
5

Na mojej małej stronie zablokowałem spam w następujący sposób:

Wprowadź nazwę jutrzejszego dnia tygodnia.

W rzeczywistości jest trochę więcej wyjaśnień, ale masz pomysł.

Od około roku nie odwiedzam tej witryny i zapisuję 16 000 wpisów spamowych (w porównaniu do 20 wpisów z szynką). Umieściłem tę kontrolę poczytalności 2 lata temu i od tego czasu nie otrzymałem żadnego wpisu spamu.

Blokowanie spamu ma znaczenie dla treści, które chronisz. Dopóki Twoja witryna nie wie, że ma co najmniej 1000 odwiedzin dziennie, nikt nie będzie się zastanawiać, dlaczego ich spam nie działa na Ciebie. Jesteś tylko niepalną stroną w ogromnym morzu informacji, których nikt nie ma okazji przeanalizować.
Żeby było jasne: chyba że chronisz większy cel, użyj czegoś prostego i dyskretnego.

Również spam można zidentyfikować na podstawie zawartości.

Nie zapominaj: gdy próbujesz atakować atakującego, łatwiej jest im przekonać, że im się udało. Jedną z technik jest akceptowanie spamu i usuwanie go w ciągu około minuty (wątpię, czy boty spamowe sprawdzają to).

Na koniec zawsze możesz poprosić użytkowników o uwierzytelnienie, co znacznie ułatwia śledzenie. Zezwól na logowanie za pośrednictwem wszystkich głównych usług (openID, facebook) i powinieneś być w porządku.


źródło
1

Zobacz ten artykuł z MikeBeach.com , stosując alternatywy dla captchas i szczegółowo wyjaśniając zalety / wady niektórych znanych bibliotek captcha lub usług, takich jak reCAPTCHA .

Cytowanie:

Osobiście używam kombinacji Bad Behavior i Defensio na moich stronach i zauważyłem duży spadek ilości spamu.

Frosty Z
źródło
0

Identyfikacja obrazu

Czasami najprostsze są najprostsze rozwiązania. Wystarczy kilka losowych zdjęć przedmiotów (np. Konia, kota, psa i kaczki). Następnie, gdy ktoś musi potwierdzić, że nie jest człowiekiem, wyświetlany jest obraz, a użytkownik musi po prostu zidentyfikować, co to jest.

Możesz mieć z tym jeden problem. Nie wszystko ma wszędzie tę samą nazwę. Jak nazywacie konia, moi dziadkowie nazywali Pferd. Jeśli dążysz tylko do mówienia po angielsku (lub w języku niemieckim lub dowolnym innym języku), masz proste rozwiązanie prostego problemu.

Glenn Nelson
źródło
możesz to zrobić na odwrót - pokaż kilka zdjęć jako odpowiedź i każ użytkownikowi „kliknąć konia”. Pytanie oczywiście brzmiałoby w języku, w którym reszta strony
miałaby
@gbjbaanb Jedyny problem z tym rozwiązaniem polega na tym, że jeśli masz 3 obrazy, spamer może programowo kliknąć jeden z obrazów ze współczynnikiem powodzenia 1/3. Oczywiście możesz również skorzystać z usługi takiej jak Akismet, ale nadal istnieje możliwość, że może się przedostać. Wszystko zależy od tego, z jakim ryzykiem jesteś gotowy.
0

Wydaje mi się, że model captcha jest zepsuty z następujących powodów.

  1. Dodanie jednego do swojej witryny informuje użytkownika, że ​​spam jest jego problemem, a nie twoim.
  2. Osoby niedowidzące nie mogą ich używać.
  3. Działają one jako doskonały wektor ataku dla ataków człowieka w środku.
  4. Oni (zwykle) polegają na tym, że twoje formularze działają online, jako usługa zewnętrzna.
  5. Czasami można je złamać dzięki bardziej zaawansowanej technologii OCR.

Aby odpowiedzieć na twoje pytanie, nie sądzę, aby było bezużyteczne, przez większość czasu wykonuje swoje zadanie, ale jest zepsute, więc osobiście odradzam jego użycie.

Toby
źródło
0

Prowadziłem prace badawczo-rozwojowe nad nową technologią, która wykorzystuje semantyczne skojarzenia, które ludzie intuicyjnie między obrazami tworzą proste wyzwania sprawdzania poprawności. Musimy zastąpić tekstowe CAPTCHA czymś lepszym ... ich dni są wyraźnie ponumerowane. Nawet Luis Von Ahn przyznał się do tego w 2009 roku. Pali mnie też, że mamy tak wiele aplikacji w Internecie, które zależą od technologii, która dla każdego jest denerwująca.

Chris Ivey
źródło