Là reCaptcha bây giờ về cơ bản là vô dụng?


17

Là reCaptcha bây giờ về cơ bản là vô dụng?

Tôi đã đọc trên internet rằng reCaptcha đã bị hỏng và các bot spam có thể dễ dàng khắc phục nó. Google đã giải quyết vấn đề này chưa. Họ có kế hoạch gì để sửa nó không? Tôi không thể tìm thấy loại thông tin này trên web và tôi đã hy vọng ai đó có thể có một cái nhìn sâu sắc.

Có bất kỳ dịch vụ web tương tự, đáng tin cậy, an toàn hơn ngoài kia cho loại điều này không? Tôi không muốn phải tạo lớp loại hình xác thực của riêng mình vì quá trình xử lý hình ảnh đang hoạt động khá tốn tài nguyên và tôi không muốn tạo hình ảnh xác thực kiểu hỏi đáp (Tôi không muốn lớp này cần truy cập DB).

Mọi đề xuất hoặc thông tin về các vấn đề của reCaptcha đều được chào đón.


5
Suy nghĩ ngẫu nhiên: Bạn có thể thực hiện một hệ thống hỏi đáp mà không cần cơ sở dữ liệu, bằng cách trình bày các câu đố toán học đơn giản: "Vui lòng nhập số bạn nhận được khi nhân 7 với 3:" Ai đó có thể tìm ra cách để vượt qua điều đó không? Chắc chắn, nhưng nó sẽ mất ít nhất một chút công việc, vì vậy nó có thể là giá trị nó.

hoặc kết hợp hai
Lukasz Madon

1
Có lẽ có liên quan: stackoverflow.com/q/436163/590790

3
Không phải là điểm của reCaptcha rằng văn bản thực sự được quét văn bản từ sách và tài liệu? Cụ thể, văn bản mà OCR hiện tại không thể đọc được? Tôi không biết làm thế nào bạn có thể "phá vỡ" recaptcha, vì chúng luôn bao gồm nhiều văn bản hơn từ nhiều nguồn hơn. Cách duy nhất để thực sự "phá vỡ" nó là phát triển một OCR "hoàn hảo", phát hiện những gì tất cả những người khác thất bại. Ngoài việc sử dụng trực tiếp OCR, tôi tưởng tượng mọi vấn đề bảo mật khác có thể được khắc phục ...

Có một điều thú vị một thời gian trước đó cho thấy (ví dụ) một lưới các hình ảnh của những con chó, với một vài hình ảnh của những con mèo được muối ngẫu nhiên, và bạn chỉ cần nhấp vào những con mèo. Tôi không thể thấy cách bạn sẽ tự động hóa một vết nứt cho điều đó. Hạn chế duy nhất là nó sẽ không sử dụng được cho những người mù.

Câu trả lời:


12

Captcha luôn dễ bị tấn công bởi một kẻ tấn công trung gian đơn giản, nơi kẻ gửi thư rác chuyển hình ảnh thành hình ảnh xác thực của chính nó trên một trang web cung cấp tải xuống mp3 hoặc khiêu dâm miễn phí. Không quan trọng bạn sử dụng loại captcha nào.

Phát hiện các mẫu hành vi là cách để đi.


Thật thú vị, không biết cách tiếp cận đó.

7

Tôi không bao giờ thích captcha. Tôi thậm chí đã thấy một trường hợp 'trong lĩnh vực' của một người không thể giải được một hình ảnh xác thực trong hàng chục lần thử đầu tiên (đừng hỏi).

Cho đến bây giờ, tôi đã thành công trong việc ngăn chặn spam khỏi một trang web mà tôi đã thiết lập, chỉ bằng cách kiểm tra tất cả các 'yêu cầu vĩnh viễn' được thực hiện (bảng định kiểu, tập lệnh, hình ảnh), xác nhận đó là trang web 'xác thịt' thực sự- phiên trình duyệt gọi trang web và từ chối bất kỳ bài đăng nào có 4 URL trở lên.

Một vài kẻ gửi thư rác đã vượt qua tôi đã im lặng bằng cách đưa vào danh sách đen số IP. (bây giờ)

Nhưng tôi phải nói rằng điều này vẫn không thấm nước, nhưng dù sao cũng không có gì. (Sau đó, một lần nữa, tôi đoán không có gì nhiều để có được spam trang web với pagerank 2.)


1
Tôi là một đồng nghiệp gần như bị mù. Tôi đã khá khó khăn khi giải mã một số captcha bằng thị lực tốt của mình, không thể tưởng tượng được nó sẽ như thế nào đối với một người gần như mù.

@jwenting: Đó là lý do tại sao reCAPTCHA và các dịch vụ / giải pháp CAPTCHA khác cũng cung cấp tùy chọn âm thanh cho người khiếm thị.
Lèse majesté

5

Trên một trang web nhỏ của tôi, tôi đã chặn thư rác như thế này:

Vui lòng nhập tên của ngày mai trong tuần.

Trong thực tế có một chút giải thích hơn thế, nhưng bạn có ý tưởng.

Tôi đã không truy cập trang web trong một năm hoặc lâu hơn và bỏ qua 16000 mục spam (so với 20 mục ham). Tôi đã đặt kiểm tra sự tỉnh táo này từ 2 năm trước và kể từ đó đã không có một mục spam nào.

Ngăn chặn thư rác là vấn đề quan trọng của nội dung bạn đang bảo vệ. Miễn là trang web của bạn không biết có ít nhất 1000 lượt truy cập mỗi ngày, sẽ không có ai thực sự quan tâm đến việc tại sao thư rác của họ không hoạt động với bạn. Bạn chỉ là một số trang web không dễ cháy trong một biển thông tin rộng lớn mà không ai có cơ hội phân tích.
Vì vậy, để rõ ràng: trừ khi bạn đang bảo vệ một mục tiêu lớn hơn, hãy sử dụng một cái gì đó đơn giản và không phô trương.

Ngoài ra thư rác cũng có thể được xác định dựa trên nội dung.

Đừng quên: khi cố gắng chống đỡ kẻ tấn công, việc khiến họ tin rằng họ đã thành công sẽ dễ dàng hơn nhiều. Một kỹ thuật là chấp nhận nội dung spam và xóa nó trong vòng một phút hoặc lâu hơn (tôi nghi ngờ các bot spam có kiểm tra chống lại điều đó).

Cuối cùng, bạn luôn có thể yêu cầu người dùng xác thực, điều này giúp việc theo dõi dễ dàng hơn rất nhiều. Cho phép đăng nhập thông qua tất cả các dịch vụ chính (openID, facebook) và bạn sẽ ổn.



0

Nhận dạng hình ảnh.

Đôi khi giải pháp đơn giản là dễ nhất. Tất cả những gì bạn cần là một số hình ảnh ngẫu nhiên của các đồ vật (ví dụ: ngựa, mèo, chó và vịt). Sau đó, khi ai đó cần xác thực rằng họ không phải là một con người, một hình ảnh được hiển thị và người dùng chỉ cần xác định nó là gì.

Bạn có thể gặp phải một vấn đề duy nhất với điều này. Không phải mọi thứ đều có cùng tên ở khắp mọi nơi. Những gì bạn gọi là một con ngựa mà ông bà của tôi gọi là Pferd. Nếu bạn chỉ nhắm đến người nói tiếng Anh (hoặc tiếng Đức hoặc bất kỳ ngôn ngữ nào cho vấn đề đó), bạn đã có một giải pháp đơn giản cho một vấn đề đơn giản.


bạn có thể làm điều này theo cách khác - hiển thị một số hình ảnh dưới dạng câu trả lời và bảo người dùng 'nhấp vào con ngựa'. Câu hỏi rõ ràng sẽ là ngôn ngữ mà phần còn lại của trang sẽ được hiển thị.
gbjbaanb

@gbjbaanb Vấn đề duy nhất với giải pháp đó là nếu bạn có 3 hình ảnh, người gửi thư rác có thể lập trình nhấp vào một trong những hình ảnh với tỷ lệ thành công là 1/3. Tất nhiên bạn cũng có thể sử dụng một dịch vụ như Akismet, nhưng vẫn có khả năng nó có thể lướt qua. Tất cả chỉ là vấn đề về mức độ rủi ro mà bạn sẵn sàng đi cùng.

0

Tôi cảm thấy rằng mô hình captcha bị hỏng vì những lý do sau.

  1. Thêm một vào trang web của bạn là nói với người dùng rằng thư rác là vấn đề của họ chứ không phải của bạn.
  2. Những người khiếm thị không thể sử dụng chúng.
  3. Chúng hoạt động như một vector tấn công tuyệt vời cho con người trong các cuộc tấn công ở giữa.
  4. Họ (thông thường) dựa vào dịch vụ của bên thứ ba đang trực tuyến để biểu mẫu của bạn hoạt động.
  5. Đôi khi chúng có thể bị phá vỡ bởi công nghệ OCR tiên tiến hơn.

Vì vậy, để trả lời câu hỏi của bạn, tôi không nghĩ rằng nó là vô ích, nó thực hiện nhiệm vụ của nó hầu hết thời gian, nhưng nó bị hỏng nên tôi sẽ tư vấn chống lại việc sử dụng nó.


0

Tôi đã thực hiện R & D trên một công nghệ mới sử dụng các liên kết ngữ nghĩa mà con người giao tiếp giữa các hình ảnh để tạo ra những thách thức xác nhận đơn giản. Chúng tôi cần thay thế CAPTCHA dựa trên văn bản bằng thứ gì đó tốt hơn ... ngày của họ được đánh số rõ ràng. Ngay cả Luis Von Ahn cũng thừa nhận nhiều vào năm 2009. Điều đó cũng làm tôi đau đầu khi chúng ta có quá nhiều ứng dụng trên web phụ thuộc vào một công nghệ mà mọi người đều thấy khó chịu.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.