ReCaptcha ora è sostanzialmente inutile?

17

Ho letto su Internet che reCaptcha è stato rotto e che i robot spam possono facilmente superarlo. Google ha affrontato questo problema. Hanno piani per risolverlo? Non riesco a trovare questo tipo di informazioni sul Web e speravo che qualcuno potesse avere qualche idea.

Esistono servizi Web simili, affidabili e più sicuri là fuori per questo tipo di cose? Non voglio creare la mia classe di tipo captcha perché l'elaborazione di immagini al volo richiede una notevole quantità di risorse e non desidero creare un captcha di tipo Domande e risposte (non desidero che questa classe abbia bisogno dell'accesso al database).

Eventuali suggerimenti o informazioni sui problemi di reCaptcha sono i benvenuti.

captcha

— Anuvesh
fonte

5

Pensiero casuale: potresti fare un sistema di domande e risposte senza un database, presentando semplici enigmi matematici: "Per favore, digita il numero che ottieni quando moltiplichi 7 per 3:" Qualcuno potrebbe trovare un modo per superarlo? Certo, ma ci vorrebbe almeno un po 'di lavoro, quindi potrebbe valerne la pena.

o un mix di due

— Lukasz Madon,

1

Forse rilevanti: stackoverflow.com/q/448963/590790

3

Il punto di reCaptcha non è forse che il testo è effettivamente scansionato da libri e documenti? In particolare, testo che non può essere letto dall'OCR esistente? Non so come si possa "interrompere" il recaptcha, dato che includono sempre più testo proveniente da più fonti. L'unico modo per "spezzare" veramente sarebbe lo sviluppo di un OCR "perfetto", che rilevi ciò che tutti gli altri falliscono. Al di fuori dell'uso diretto dell'OCR, immagino che qualsiasi altro problema di sicurezza possa essere risolto ...

Qualche tempo fa ce n'era uno interessante che mostrava (ad esempio) una griglia di foto di cani, con un paio di foto di gatti salate a caso, e basta cliccare sui gatti. Non riesco a vedere come automatizzeresti una crepa per quello. L'unico inconveniente è che sarebbe inutilizzabile per i non vedenti.

12

Captcha è sempre stato vulnerabile a un semplice attacco man-in-the-middle in cui lo spammer inoltra le immagini al proprio captcha su un sito Web che offre download di mp3 o porno gratis. Non importa quale tipo di captcha usi.

Rilevare modelli di comportamento è la strada da percorrere.

— Peter Taylor
fonte

Interessante, non conoscevo questo approccio.

7

Non mi è mai piaciuto il captcha. Ho anche visto un'istanza "sul campo" di qualcuno che non è stato in grado di risolvere un captcha nella prima dozzina di tentativi (non chiedere).

Fino ad ora, ho avuto successo nel tenere lontano lo spam da questo sito Web che ho creato, solo controllando che tutte le "richieste periferiche" siano effettivamente eseguite (fogli di stile, script, immagini), confermando che si tratta di un vero e proprio web "in carne e ossa" sessione del browser che chiama il sito Web e nega qualsiasi post con 4 o più URL in essi.

I pochi spammer che sono passati mi sono zittito inserendo nella lista nera il numero IP. (per adesso)

Ma devo dire che non è ancora impermeabile, ma nulla lo è comunque. (Poi di nuovo, suppongo che non ci sia molto da guadagnare dallo spamming di un sito Web con pagerank 2.)

— Stijn Sanders
fonte

1

Ho un collega quasi cieco. Ho abbastanza problemi a decifrare alcuni captcha con la mia vista decente, non riesco a immaginare come sarebbe per una persona quasi cieca.

@jwenting: ecco perché reCAPTCHA e altri servizi / soluzioni CAPTCHA offrono anche un'opzione audio per i non vedenti.

— Lèse majesté,

5

Su un mio piccolo sito, ho bloccato lo spam in questo modo:

Inserisci il nome del giorno della settimana di domani.

In realtà c'è una spiegazione un po 'più di quella, ma hai capito.

Non ho visitato il sito per circa un anno e ho odiato 16000 voci di spam (rispetto a 20 voci di ham). Ho messo questo controllo di integrità lì 2 anni fa e da allora non ho più avuto una voce spam.

Il blocco dello spam è una questione di importanza per il contenuto che stai proteggendo. Finché non si sa che il tuo sito ha almeno 1000 visite al giorno, nessuno si preoccuperà effettivamente di capire perché il loro spam non funzionerà su di te. Sei solo un sito non infiammabile all'interno di un vasto mare di informazioni che nessuno ha la possibilità di analizzare.
Per essere chiari: a meno che tu non stia proteggendo un obiettivo più grande, usa qualcosa di semplice e discreto.

Anche lo spam può essere identificato in base al contenuto.

Da non dimenticare: quando si cerca di difendersi da un attaccante, è molto più facile fargli credere che ci sono riusciti. Una tecnica consiste nell'accettare il contenuto di spam ed eliminarlo entro circa un minuto (dubito che i robot spam abbiano dei controlli a tale proposito).

Infine, puoi sempre chiedere agli utenti di autenticarsi, il che rende molto più facile il tracciamento. Consenti l'accesso tramite tutti i principali servizi (openID, facebook) e dovresti stare bene.

1

Vedere questo articolo da MikeBeach.com , utilizzando alternative captcha, e spiegare in dettagli pro / contro di alcune librerie captcha ben noto o servizi come reCAPTCHA .

citando:

Personalmente, utilizzo una combinazione di Bad Behavior e Defensio sui miei siti e ho visto un forte calo della quantità di spam.

— Frosty Z
fonte

0

Identificazione dell'immagine.

A volte le soluzioni semplici sono le più semplici. Tutto ciò che serve sono alcune immagini casuali di oggetti (ad esempio un cavallo, un gatto, un cane e un'anatra). Quindi, quando qualcuno deve confermare che non è un essere umano, viene visualizzata un'immagine e l'utente deve semplicemente identificare di cosa si tratta.

È possibile che si verifichi un singolo problema con questo. Non tutto ha lo stesso nome ovunque. Quello che chiami un cavallo, i miei nonni chiamavano Pferd. Se cerchi solo madrelingua inglese (o tedesco o qualsiasi altra lingua), hai una soluzione semplice a un semplice problema.

— Glenn Nelson
fonte

potresti farlo al contrario - mostra diverse immagini come risposta e dì all'utente di "fare clic sul cavallo". La domanda sarebbe ovviamente nella lingua in cui sarebbe stato visualizzato il resto della pagina.

— gbjbaanb

@gbjbaanb L'unico problema con questa soluzione è se hai 3 immagini, lo spammer potrebbe fare clic programmaticamente su una delle immagini con una percentuale di successo di 1/3. Ovviamente potresti anche usare un servizio come Akismet, ma c'è ancora la possibilità che possa passare. È tutta una questione di quanti rischi sei disposto a correre.

0

Sento che il modello captcha è rotto per i seguenti motivi.

L'aggiunta di uno al tuo sito sta dicendo all'utente che lo spam è il loro problema, non il tuo.
Le persone ipovedenti non possono usarle.
Agiscono come un eccellente vettore di attacco per l'uomo in mezzo agli attacchi.
Si basano (normalmente) sul fatto che un servizio di terze parti sia online affinché i moduli funzionino.
A volte possono essere rotti da una tecnologia OCR più avanzata.

Quindi, per rispondere alla tua domanda, non penso che sia inutile, svolge il suo compito bene per la maggior parte del tempo, ma è rotto, quindi vorrei sconsigliare personalmente il suo utilizzo.

— Toby
fonte

0

Ho svolto attività di ricerca e sviluppo su una nuova tecnologia che utilizza le associazioni semantiche che gli umani intuiscono tra le immagini per creare semplici sfide di validazione. Dobbiamo sostituire i CAPTCHA basati su testo con qualcosa di meglio ... i loro giorni sono chiaramente numerati. Anche Luis Von Ahn lo ha ammesso nel 2009. Mi brucia anche che abbiamo così tante applicazioni sul web che dipendono da una tecnologia che tutti trovano fastidiosa.

— Chris Ivey
fonte