reCaptchaはクラック/ハッキング/ OCR /敗北/破壊されていますか？[閉まっている]

reCAPTCHAを打ち破るためにプログラミング手法が使用されましたか？

私は、特にreCAPTCHAが完全に自動化された人のいない方法によって時代遅れになっている証拠と潜在的なデモンストレーションを見ることに興味があります。

明確にするために、CAPCHA、ポルノを求める人、またはメカニカルタークの入力をチームが担当するかどうかに関係なく、人間を含むreCAPTCHAの不正行為ソリューションを探すのではなく、

また、動物の種類や背景フィールド、JavaScriptのトリックなど、reCAPTCHAに代わるものを探していません。

ここでの回答のほとんどすべてが、CAPTCHA の概念の非効率性に原則的に関連していることに気づきます。私はそれらに非常に同意しますが、実際には数か月前にOWASPで講演し、それについて説明しました -質問は非常に具体的です、それで私はデモンストレーションを提供します。
しかし、最初に、CAPTCHAは無意味で役に立たず、実装とは無関係であるというのは真実であるため、そのデモンストレーションはさておき、他のコメントを読み直します。

しかし、本当に、CAPTCHA Killerをチェックしてください。CAPTCHA画像をアップロードすると、すぐにではなくても、自動的にOCRされた回答が提供されます。また、APIも提供します（REST、おそらくSOAPです）。私は個人的に多数のreCAPTCHA画像を試してみましたが、実際には、最も簡単な（または少なくとも最も速い）画像が壊れていました。

更新：CAPTCHA KillerのWebサイトは、法的圧力下にあるようで、現在削除されています。トピックの完全な概要については、http：//captcha.org/を参照してください。

そして、そう、OCRはCAPTCHAで保護されたサイトを壊すための最良の方法ではありません-他にも多くのより良い方法があります。

4chanがどのようにreCAPTCHAを打ち負かし、それを使用してTime.comの年間TIME 100投票結果を操作したかに関するこの詳細なレポートに興味があるかもしれません。

Recaptchaのハッキング（別名「陰茎の洪水」）

次に使用した方法は、reCAPTCHAの実装に欠陥があるかどうかを確認することでした。彼らがreCAPTCHAについて発見したことの1つは、デコードするために常に2つの単語をユーザーに提示することでした-1つの単語はreCAPTCHAシステムによって認識されているコントロールワードであり、もう1つは未知の単語です（reCAPTCHAは人間を使用してOCRエラーを修正します）。ウィキペディアはこのプロセスについて説明しています。「スキャンされたテキストは、2つの異なる光学式文字認識プログラムによる分析を受けます。プログラムが同意しない場合は、疑わしい単語がキャプチャに変換されます。単語は、既知のコントロールワードとともに表示され、人間によってラベルが付けられます。人間の裁判官によって一貫して単一のラベルが付けられた単語は、コントロールワードとしてリサイクルされます。」2iasdo4匿名が認識したことは、未知のスキャンされたテキストに常に同じ単語でラベルを付けた場合、そして何千回もこれを行うと、結局、未知の単語の大部分がその単語で誤ってラベル付けされることになります。彼らがしなければならなかったのは、キャプチャの2つの単語を見て、「簡単」なものの適切なラベルを入力し（おそらく2つの光学式スキャナが同意するものと思われます）、「陰茎」という単語を入力するだけでした。難しいもの。彼らがこれを頻繁に行うと、すぐに画像のかなりの割合が「陰茎」としてラベル付けされ、自動投票機能が復元されます（匿名では失われなかった副作用の1つが、今後数年間の概念でした） 「ペニス」という単語がテキスト全体にランダムに挿入された多くのデジタルブックがあります。更新：私はベンモーラーに尋ねました、

reCAPTCHAの最適化

「ペニス」という単語をテキストにまき散らすという概念と同じくらい魅力的で、匿名チームは時計がカチカチと音を立てていることを知っていました。彼らは手動で何度も何度も投票する必要がありました。そして、彼らはできるだけ早くキャプチャに入ることができる必要がありました。彼らは、スキップできるreCAPTCHA単語をすばやく決定できる一連のガイドラインを作成しました。例えば：

あなたは2つの単語を与えられます：1つの本物、1つの偽物。

以下のため[REAL FAKE]か[FAKE REAL]、あなただけで入力することができREAL、それが受け入れられるべきです。

[LOOKSREAL LOOKSREAL]またはの場合[LOOKSFAKE LOOKSFAKE]、通常は両方の単語を入力する方が簡単です。どれが本物かを決めるのに貴重な時間を無駄にしないでください。

偽の単語を識別するには、外観と単語の種類の両方を使用します。それらの1つだけに依存しないでください。

ルールセット全体がここにあります：偽のキャプチャー。

CAPTCHAシステムの弱点は、CAPTCHAの画像を見て結果を入力することだけが中国の人々でいっぱいの部屋を設定することです。これは、実際にスパムを行っている自動システムにプラグインします。

それについてあなたが本当にできることはあまりありません。

また、実際の画像に対して画像認識やOCRなどを行うよりもはるかに安価です（逆に0.01ドル未満で応答が返される場合があります）。

キャプチャを使用するプレッシャーに屈する前に、CSSによって非表示になっている「コメント」というラベルの付いたフィールドを作成するなど、クリエイティブな回避策を検討してください。このフィールドに入力すると、要求はサーバーによってドロップされます。低賃金の労働者でいっぱいの部屋を倒すための良い方法がまだない場合でも、ほとんどのボットはそれに失敗します。

更新：CAPTCHAを削除するとコンバージョン率がほぼ10％増加するケーススタディを読んでください。ボットを除外するためだけにリードの10％を失っている場合、それはかなり壊れていることを私に示します。ほとんどの企業にとって10％が何を意味するか想像してみてください。

私のお気に入りのキャプチャはMicrosoftからのものです。http：//research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra（アクセスを制限するための動物種画像認識）は、ユーザーに猫と犬の写真を識別するように要求することで機能するHIPです。この作業はコンピューターにとっては困難ですが、ユーザー調査によると、人々はそれを迅速かつ正確に達成できることがわかっています。多くの人が楽しいと思っています。

これは無料のサービスであり、開始するためのサンプルコードがあります。

ひびが入るまでどれくらいかかるのかしら。

reCAPTACHAは壊れておらず、長期間は使用できません。問題は、独自のキャプチャを実装している場合、壊れていると、修正におそらく長い時間がかかることです。

これは、reCAPTCHAのセキュリティに関するページから引用したものです。

reCAPTCHAはWebサービスです。つまり、すべての画像がサーバーによって生成され、評価されます。（…）これは、保護の追加レベルも提供します。セキュリティの脆弱性が見つかった場合は、CAPTCHAを自動的に更新できます。

たとえば、誰かが私たちの歪んだ画像を読み取ることができるプログラムを書いた場合、Webマスターが側で何かを変更する必要なく、非常に短い時間でより多くの歪みを追加できます。

これらはキャプチャに特化しているため、改良版が保存されており、必要に応じて短時間で展開できるようになっています。（弱い方がまだ壊れていないのに、なぜ彼らはより強いセキュリティを作成する必要があるのですか？）

それが打ち負かされただけでなく、便利なアプリケーションがその上に首尾よく構築され、直接ダウンロードサイトの大きなリスト（megauploadやRapidshareだけでなく）のあらゆる種類の無料アカウント保護を打ち負かす最も驚くべきツールになります）。

Jdownloaderはオープンソースであり、Javaで記述されているため、ソースコードをのぞくと、コードが壊れている場合だけでなく、その方法にも対応できます。

編集：ほとんどの直接ダウンロードサイトはreCaptchaを使用していませんが、より単純なCaptchaメソッド（3つの大文字が異なる色で色分けされています）を使用しています。それでも、JdownloaderとCryptload（Jdownloaderに似たプログラム）は、Captchaメソッドを効果的に壊したことがわかっている唯一の動作する実装です。reCaptchaを解読する実装については聞いたことがありません。

更新：reCaptcha全体（reCaptcha全体ではない）の少なくとも1つの実装もクラックされているようです。

2010年12月の更新：JdownloaderがついにreCaptcha を破っているようです。プラグインはまだ実験的で、Windows版のJdownloaderでのみ機能しますが、私が試した仲間から聞いたように、機能します。

CAPTCHA全般の問題を取り上げた昨年のデフコンでのスピーチがありました。彼らがしたことの1つは、複数の無料のOCRエンジンを使用して、最高の言葉に投票してもらいました。これを行うことで、彼らは成功するややまともなチャンスを得ることができました。ある種、それは40％かそこらでしたが、それはreCaptchaではなかったと思います。

• 「実際には、それ[reCAPTCHAの]はかなり無駄になった上で1月4日[2011]スパマーは明らかに回避reCAPTCHAのそのソフトウェアの一部にその集団の手を持って、完全に自動化された登録プロセスが可能になります。ボットは確かに非常に忙しく、忙しくしています以来、」 [1]

2〜3年前、テキスト入力ベースのキャプチャアプローチは、戦いに負けたときに不法侵入しました。人間には完全に不可能です。これは、応答がコンピュータによって生成されないことを確認するためのテストとして、CAPTCHAの元のパラダイムに矛盾します。

更新：
ことを注意reCAPTCHAのがが所有しているグーグルが、グーグル社は、独自のサービスで、それを使用しません。
これは、Gmailの登録など、 Google自体/内部 でex。

GoogleのreCAPTCHAは常に2語であることに注意してください。
これは、他のユーザーが使用するために提供されているGoogleのreCAPTCHAを含む画像のリンクです。

そしてreCAPTCHAのスクリーンショット：

私は読者に明白な結論を出すために去ります。

引用：[1]
reCAPTCHAクラッキングスパムボットがヒットしたvBulletinフォーラム| PC Proブログ2011年1月12日、 Davey Winderによる
投稿

reCAPTCHAで保護されたシステムで、ページが読み込まれ、1秒後に投稿が成功したブログのコメントが表示されます。User-Agentは意味がありませんでした（この特定のケースでは、Ubuntu 9.25 / Firefox 3.8を実行していると主張しています）。参照元は、まったく関係のないサイトからのものであり、私たちへのリンクはありません。

これは明らかに自動化されています。

reCAPTCHAは破られていません。もしそうなら、なぜGoogleはそれを購入し、Google内のテクノロジーを適用してGoogle製品の詐欺やスパム保護を強化することを発表したのですか？

Googleから9/16/09にGoogleブログに投稿されたreCAPTCHAを取得：

このように、reCAPTCHAの独自のテクノロジーにより、スキャンされた画像を光学式文字認識（OCR）と呼ばれるプレーンテキストに変換するプロセスが改善されます。このテクノロジーは、GoogleブックスやGoogleニュースアーカイブ検索などの大規模なテキストスキャンプロジェクトにも役立ちます。プレーンテキストを検索したり、モバイルデバイスで簡単にレンダリングしたり、視覚障害者に表示したりできるため、テキストバージョンのドキュメントを用意することは重要です。したがって、Google内のテクノロジーを適用して、Google製品の詐欺やスパム保護を強化するだけでなく、書籍や新聞のスキャンプロセスを改善します。

キャプチャを倒す最も簡単な方法は、Amazon Mechanical Turkです。Hotmail、AOL、Gmailアカウントを登録するために人々にそれぞれニッケルを支払うカーミットウェルダという名前の男がいます。これは、5セントで6,000の偽の電子メールアカウントです。他の人にあなたのために汚い仕事をさせてもらえば、ビジネスを行うコストはかなり安いです。私たちのサーバーのスパムフィルターがHotmailからの何かを拒否したいのも不思議ではありません。

AFAIK実際には、RE-CAPTCHAの実装を解読するツールはありませんが、最終的には誰かがそれを取得すると思います。

自動化された方法で行うことができないデジタル化された本をre-captchaが設計したため、誰かがそれを手に入れられたとしても、RE-captchaプロジェクト全体は無意味です。

ところで：

CAPTCHAシステムの弱点は、CAPTCHAの画像を見て結果を入力することだけが中国の人々でいっぱいの部屋を設定することです。これは、実際にスパムを行っている自動システムにプラグインします。

そのように考えるシステムを保護することはできません。これは、「ホストが古い軍用バンカーにない場合、Webアプリケーションは十分に安全ではありません。今や人々はあなたのマシンを盗むことができるからです」のようなものです。

recaptchaを解体するために使用される多くの方法があります。ニューラルネットワークを使用してプログラムを自動的に解決することは困難ですが、イメージを取得して、Amazonの機械的なトルコ語または同等のプログラムでそれらを解決することは可能です。

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/