Зараз reCaptcha в принципі марний?

17

Зараз reCaptcha в принципі марний?

Я читав по Інтернету, що reCaptcha був порушений, і спам-боти можуть це легко подолати. Чи взагалі це вирішив Google. Чи мають вони якісь плани це виправити? Я не можу знайти такий тип інформації в Інтернеті, і я сподівався, що хтось може мати деяке розуміння.

Чи є подібні, надійні, безпечніші веб-сервіси для подібних речей? Мені не хочеться робити свій власний клас типу captcha, оскільки обробка зображень на ходу досить ресурсомістка, і я не хочу робити капчу типу Q&A (я не хочу, щоб цей клас потребував доступу до БД).

Будь-які пропозиції або інформація про проблеми ReCaptcha вітаються.

captcha 
Анувеш
джерело
5
Випадкова думка: Ви можете зробити систему запитань і запитань без бази даних, подаючи прості математичні пазли: "Будь ласка, введіть число, яке ви отримаєте, коли ви помножите 7 на 3:" Чи може хтось придумати спосіб подолати це? Звичайно, але це займе хоч трохи роботи, так що, можливо, воно того варто.
або суміш двох
Лукаш Мадон
1
Може бути доречним: stackoverflow.com/q/448963/590790
3
Чи не сенс reCaptcha в тому, що цей текст насправді відсканований текст із книг та документів? Зокрема, текст, який не міг прочитати існуючий OCR? Я не знаю, як можна "зламати" recaptcha, оскільки вони завжди включають більше тексту з більшої кількості джерел. Єдиним способом по-справжньому "зламати" було б розробити "досконалий" OCR, який виявляє, що всі інші провалюються. Крім прямого використання OCR, я б уявив, що будь-які інші проблеми з безпекою можуть бути виправлені ...
Назад з’явилася цікава, яка показала (наприклад) сітку фотографій собак, де пару зображень котів солили навмання, і ви просто натискаєте на котів. Я не бачу, як би ви автоматизували тріщину для цього. Єдиний недолік - це непридатність для незрячих людей.

Відповіді:

12

Captcha завжди був вразливим до простої атаки "людина-посеред", коли спамер ретранслює зображення у власну капчу на веб-сайті, який пропонує завантаження mp3 або порно безкоштовно. Не має значення, який тип капчу ви використовуєте.

Виявлення моделей поведінки - це шлях.

Пітер Тейлор
джерело
Цікаво, що не знав такого підходу.
7

Я ніколи не любив капчу. Я навіть бачив один екземпляр «у полі» того, хто не в змозі розгадати капчу в перших десятках спроб (не питайте).

До сих пір я успішно захищав спам від цього веб-сайту, який я створив, лише перевіряючи, чи всі "периферійні запити" виконуються (таблиці стилів, сценарії, зображення), підтверджуючи, що це справжня веб-сторінка "із плоті та кісток". сеанс браузера, що дзвонить на веб-сайт і забороняє будь-яку публікацію з 4 або більше URL-адресами в них.

Кілька спамерів, які пройшли повз мене, я замовк, перейшовши в чорний список IP-номера. (зараз)

Але мушу сказати, що це все ще не є водонепроникним, але все одно нічого немає. (Знову ж таки, я думаю, що немає нічого, щоб отримати спам на веб-сайті із pagerank 2.)

Штійн Сандерс
джерело
1
У мене є колега, який майже сліпий. У мене досить проблематично розшифровувати деякі каптачі з пристойним зором, я не уявляю, що це було б для майже сліпої людини.
@jwenting: Ось чому reCAPTCHA та інші послуги / рішення CAPTCHA також надають можливість аудіо для людей із вадами зору.
Lèse majesté
5

На невеликому моєму сайті я заблокував спам так:

Введіть назву завтрашнього дня тижня.

Насправді є трохи більше пояснень, ніж це, але ви розумієте.

Я не відвідував сайт рік або близько того, і мав 16000 записів спаму (порівняно з 20 записками шинки). Я поставив цю перевірку на розсудливість 2 роки тому і з тих пір не мав жодної записи спаму.

Блокування спаму - важливе значення вмісту, який ви захищаєте. Поки ваш сайт не знає щонайменше 1000 відвідувань на день, ніхто не буде турбуватися насправді, дивлячись, чому їх спам не працюватиме на вас. Ви просто якийсь не спам-сайт у величезному морі інформації, який ніхто не має можливості проаналізувати.
Тож, щоб бути зрозумілим: якщо ви не захищаєте більшу ціль, використовуйте щось просте і ненав'язливе.

Також спам можна ідентифікувати на основі вмісту.

Не забувати: намагаючись відстояти нападника, набагато простіше змусити їх повірити, що їм це вдалося. Один з методів - це прийняти вміст спаму та видалити його протягом хвилини або близько того (я сумніваюся, що спам-боти мають перевірку на це).

Нарешті, ви завжди можете попросити користувачів пройти автентифікацію, що значно відстежує процес відстеження. Дозвольте ввійти через усі основні сервіси (openID, facebook), і вам слід добре.

1

Дивіться цю статтю з MikeBeach.com , використовуючи альтернативи captchas та детально пояснюючи плюси / мінуси деяких відомих капчу або інших служб, таких як reCAPTCHA .

Цитування:

Особисто я на своїх сайтах використовую комбінацію поганої поведінки та Defensio , і я помітив велике зниження кількості спаму.

Морозний Z
джерело
0

Ідентифікація зображення

Іноді прості рішення найпростіші. Все, що вам потрібно, - це кілька випадкових зображень предметів (наприклад, кінь, кішка, собака та качка). Потім, коли комусь потрібно перевірити, що вони не є людиною, відображається зображення, і користувач повинен просто визначити, що це таке.

Ви можете зіткнутися з цією проблемою. Не все скрізь має однакове ім’я. Те, що ви називаєте конем, мої бабусі і дідусі називали Пферда. Якщо ви маєте на меті лише носіїв англійської мови (або німецької або будь-якої єдиної мови з цього приводу), у вас є просте рішення простої проблеми.

Гленн Нельсон
джерело
ви можете зробити це навпаки - покажіть кілька зображень як відповідь і скажіть користувачеві «натиснути на коня». Питання, очевидно, буде мовою, на якій буде відображатися решта сторінки.
gbjbaanb
@gbjbaanb Єдина проблема з цим рішенням - якщо у вас є три зображення, спамер може програматично натиснути на одне із зображень зі швидкістю 1/3 успіху. Звичайно, ви також можете скористатися такою послугою, як Akismet, але все ж є можливість, через яку вона може проскочити. Вся справа в тому, з яким ризиком ви готові піти.
0

Я відчуваю, що модель captcha зламана з наступних причин.

  1. Додавання його на ваш сайт повідомляє користувачеві, що спам - це їхня проблема, а не ваша.
  2. Люди з вадами зору не можуть їх використовувати.
  3. Вони виступають прекрасним вектором нападу для людини при посередніх атаках.
  4. Вони (як правило) покладаються на послугу третьої сторони, яка працює в Інтернеті.
  5. Іноді їх можна зламати за допомогою більш досконалої технології OCR.

Тому, щоб відповісти на ваше запитання, я не думаю, що це марно, але це виконує завдання добре протягом більшої частини часу, але воно порушено, тому я особисто радив би його не використовувати.

Тобі
джерело
0

Я займався науково-дослідною роботою над новою технологією, яка використовує семантичні асоціації, які люди інтуїтують між зображеннями, щоб створити прості виклики перевірки. Нам потрібно замінити текстові CAPTCHA на щось краще ... їх дні чітко пронумеровані. Навіть Луїс Фон Ан зрештою визнав це в 2009 році. Це також спалює мене, що у нас в Інтернеті так багато додатків, які залежать від технології, яку всі вважають дратівливою.

Кріс Айві
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.