Является ли reCaptcha сейчас бесполезным?

17

Является ли reCaptcha сейчас бесполезным?

Я читал в интернете, что reCaptcha был сломан и спам-боты могут легко его преодолеть. Обращался ли Google к этому вообще? Есть ли у них планы исправить это? Я не могу найти этот тип информации в Интернете, и я надеялся, что кто-то может иметь некоторое понимание.

Существуют ли аналогичные, надежные, более безопасные веб-сервисы для такого рода вещей? Я не хочу создавать свой собственный класс с типом капчи, потому что обработка изображений на лету довольно ресурсоемка, и я не хочу делать капчу типа Q & A (я не хочу, чтобы этот класс нуждался в доступе к БД).

Любые предложения или информация о проблемах reCaptcha приветствуются.

captcha 
Anuvesh
источник
5
Случайная мысль: Вы могли бы сделать систему типов вопросов и ответов без базы данных, представив простые математические головоломки: «Пожалуйста, введите число, которое вы получите, когда умножите 7 на 3:» Может кто-нибудь придумать способ обойти это? Конечно, но это займет, по крайней мере, немного работы, так что это может стоить того.
или смесь из двух
Лукаш Мадон
1
Возможно, актуально: stackoverflow.com/q/448963/590790
3
Не является ли смысл ReCaptcha в том, что текст на самом деле является отсканированным текстом из книг и документов? В частности, текст, который не может быть прочитан существующим OCR? Я не знаю, как вы можете «сломать» recaptcha, так как они всегда включают больше текста из большего количества источников. Единственный способ по-настоящему «сломать» это разработать «идеальный» OCR, который обнаруживает, что все остальные терпят неудачу. Вне непосредственного использования OCR, я думаю, что любые другие проблемы безопасности могут быть исправлены ...
Некоторое время назад был интересный, который показал (например) сетку изображений собак, с парой изображений котов, посоленных в случайном порядке, и вы просто нажимаете на кошек. Я не вижу, как вы могли бы автоматизировать крэк для этого. Единственный недостаток - это было бы непригодно для слепых.

Ответы:

12

Captcha всегда были уязвимы для атаки простого человека-в-середины, где спамер реле образами своей собственной капчи на сайте, который предлагает mp3 скачать или порно бесплатно. Неважно, какой тип капчи вы используете.

Обнаружение моделей поведения - путь.

Питер Тейлор
источник
Интересно, не знал такого подхода.
7

Мне никогда не нравились капчи. Я даже видел один случай «в поле» кого-то, кто не может решить капчу в первых дюжинах попыток (не спрашивайте).

До сих пор мне удавалось не допускать спама на этом веб-сайте, который я создал, просто проверяя, действительно ли выполняются все «периферийные запросы» (таблицы стилей, скрипты, изображения), подтверждая, что это настоящий «плоть и кости». сессия браузера, вызывающая веб-сайт и запрещающая любое сообщение с 4 или более URL-адресами в них.

Несколько спамеров, которые прошли, я замолчал, занеся в черный список номер IP. (на данный момент)

Но я должен сказать, что это все еще не водонепроницаемый, но все равно ничего. (Опять же, я думаю, что нет ничего особенного, чтобы получить спам на сайте с PageRank 2.)

Стейн Сандерс
источник
1
У меня есть сотрудник, который почти слеп. У меня достаточно проблем с расшифровкой некоторых капч с моим приличным зрением, я не могу представить, как это будет для почти слепого человека.
@jwenting: Вот почему reCAPTCHA и другие услуги / решения CAPTCHA также предоставляют аудио-функцию для слабовидящих.
Lèse Majesté
5

На небольшом сайте я заблокировал спам следующим образом:

Пожалуйста, введите название завтрашнего дня недели.

На самом деле есть немного больше объяснения, чем это, но вы поняли идею.

Я не посещал сайт в течение года или около того и имел 16000 записей спама (по сравнению с 20 записями ветчины). Я поставил эту проверку здравомыслия 2 года назад, и с тех пор не было ни одной записи о спаме.

Защита от спама важна для контента, который вы защищаете. Пока ваш сайт не знает, как минимум, 1000 посещений в день, никто не будет беспокоиться о том, почему его спам не будет работать на вас. Вы просто какой-то не спамный сайт в огромном море информации, который никто не имеет возможности проанализировать.
Итак, чтобы быть ясным: если вы не защищаете большую цель, используйте что-то простое и ненавязчивое.

Также спам может быть идентифицирован на основе контента также.

Не стоит забывать: при попытке противостоять злоумышленнику гораздо проще заставить их поверить, что они добились успеха. Один из методов - принять спам и удалить его в течение минуты (я сомневаюсь, что спам-боты проверяют это).

Наконец, вы всегда можете попросить пользователей пройти аутентификацию, что значительно упрощает отслеживание. Разрешите вход через все основные сервисы (openID, facebook) и у вас все будет хорошо.

1

Смотрите эту статью на MikeBeach.com , используя альтернативы капчам и подробно объясняя плюсы и минусы некоторых известных библиотек каптчи или сервисов, таких как reCAPTCHA .

Цитирование:

Лично я использую комбинацию Bad Behavior и Defensio на своих сайтах, и я видел большое снижение количества спама.

Морозный Z
источник
0

Идентификация изображения.

Иногда простые решения являются самыми легкими. Все, что вам нужно, это несколько случайных изображений объектов (например, лошадь, кошка, собака и утка). Затем, когда кому-то нужно подтвердить, что он не человек, отображается изображение, и пользователь должен просто определить, что это такое.

Вы можете столкнуться с одной проблемой с этим. Не у всех везде одинаковое имя. То, что вы называете лошадью, мои бабушка и дедушка называли Pferd. Если вы нацелены только на носителей английского языка (или немецкого или любого другого языка в этом отношении), у вас есть простое решение простой проблемы.

Гленн Нельсон
источник
Вы можете сделать это наоборот - показать несколько изображений в качестве ответа и сказать пользователю «нажать на лошадь». Вопрос, очевидно, будет на том языке, на котором будет отображаться остальная часть страницы.
gbjbaanb
@gbjbaanb Единственная проблема с этим решением - если у вас есть 3 изображения, спамер может программно нажать на одно из изображений с вероятностью успеха 1/3. Конечно, вы также можете использовать такой сервис, как Akismet, но есть вероятность, что он может проскочить. Все дело в том, с каким риском вы готовы пойти.
0

Я чувствую, что модель капчи не работает по следующим причинам.

  1. Добавление одного на ваш сайт говорит пользователю, что спам - это их проблема, а не ваша.
  2. Люди с нарушениями зрения не могут их использовать.
  3. Они выступают в качестве отличного вектора атаки для человека в середине атаки.
  4. Они (как правило) полагаются на то, что сторонние службы подключены к сети для работы ваших форм.
  5. Иногда они могут быть сломаны более продвинутой технологией OCR.

Поэтому, чтобы ответить на ваш вопрос, я не думаю, что это бесполезно, большую часть времени он хорошо выполняет свою задачу, но он сломан, поэтому я бы лично посоветовал не использовать его.

Тоби
источник
0

Я занимался исследованиями и разработками новой технологии, которая использует интуитивные семантические ассоциации между изображениями для создания простых задач проверки. Нам нужно заменить текстовые CAPTCHA чем-то лучшим ... их дни четко сочтены. Даже Луис Фон Ан признал это в 2009 году. Меня также огорчает, что у нас в Интернете так много приложений, которые зависят от технологии, которую все считают раздражающей.

Крис Айви
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.