reCaptchaは今では基本的に役に立たないのですか?

17

reCaptchaは今では基本的に役に立たないのですか?

reCaptchaが壊れており、スパムボットが簡単にそれを克服できることをインターネットで読みました。Googleはこれにまったく対処しましたか。修正する予定はありますか?この種の情報はウェブ上で見つけることができず、誰かが何らかの洞察を得られることを望んでいました。

この種のことに対して、同様の、信頼性が高く、より安全なWebサービスがありますか?オンザフライの画像処理はかなりリソースを消費するため、独自のキャプチャタイプのクラスを作成する必要はありません。また、Q&Aタイプのキャプチャを作成したくありません(このクラスにDBアクセスが必要ないようにします)。

reCaptchaの問題に関する提案や情報を歓迎します。

captcha 
アヌヴェシュ
ソース
5
ランダムな考え:単純な数学パズルを提示することにより、データベースなしでQ&A型システムを実行できます。「7×3を掛けるときに取得する数値を入力してください」。確かに、しかしそれは少なくとも少しの作業を要するので、それは価値があるかもしれません。
または2つのミックス
ルカシュマドン
1
おそらく関連する:stackoverflow.com/q/448963/590790
3
reCaptchaのポイントは、テキストが実際に書籍や文書からスキャンされたテキストではないのですか?具体的には、既存のOCRで読み取ることができなかったテキストですか?彼らは常により多くのソースからより多くのテキストを含んでいるので、私はあなたがrecaptchaを「破る」ことができる方法を知りません。真に「破壊」する唯一の方法は、他のすべてが失敗することを検出する「完全な」OCRを開発することです。OCRを直接使用する以外に、他のセキュリティ問題が修正されると思います
しばらく前に面白いものがありました。たとえば、犬の写真のグリッドが表示され、猫の写真がランダムに塩漬けされていて、猫をクリックするだけです。そのためのクラックを自動化する方法がわかりません。唯一の欠点は、視覚障害者には使用できないことです。

回答:

12

Captchaは、スパム送信者がmp3ダウンロードまたはポルノを無料で提供するWebサイト上の独自のcaptchaに画像を中継する単純な中間者攻撃に対して常に脆弱です。使用するキャプチャの種類は関係ありません。

行動パターンを検出する方法があります。

ピーター・テイラー
ソース
興味深いことに、そのアプローチを知りませんでした。
7

私はキャプチャが好きではありませんでした。私は最初の数十回の試行でキャプチャを解決できない誰かの「現場」でのインスタンスを見たことさえあります(尋ねないでください)。

これまで、設定したこの1つのWebサイトからスパムを防ぐことに成功しました。すべての「周辺のリクエスト」が実際に実行されていること(スタイルシート、スクリプト、画像)を確認し、それが実際の「肉と骨」のWebであることを確認するだけでウェブサイトを呼び出すブラウザセッション、および「em」の4つ以上のURLを持つ投稿を拒否します。

IP番号をブラックリストに登録することで、私がすり抜けた少数のスパマーは黙っていました。(今のところ)

しかし、これはまだ防水ではありませんが、とにかく何もありません。(それから、pagerank 2でWebサイトをスパムすることはほとんどないでしょう。)

スティン・サンダース
ソース
1
私はほとんど盲目の同僚です。私はまともな視力でいくつかのキャプチャを解読するのに非常に苦労していますが、ほとんど盲目の人にとってどのようなものか想像できません。
@jwenting:それが、reCAPTCHAおよび他のCAPTCHAサービス/ソリューションが視覚障害者のための音声オプションも提供する理由です。
Lèseはmajesté
5

私の小さなサイトで、次のようなスパムをブロックしました。

明日の曜日の名前を入力してください。

実際、それ以上の説明がありますが、あなたはそのアイデアを理解します。

私は1年ほどサイトを訪れたことがなく、16000件のスパムエントリを嫌っていました(20件のハムエントリと比較して)。私は2年前にこの健全性チェックを行いましたが、それ以来1つのスパムエントリはありません。

スパムブロックは、保護しているコンテンツの重要性の問題です。あなたのサイトが1日に少なくとも1000回の訪問があることを知らない限り、誰も彼らのスパムがあなたにうまくいかない理由を実際に気にすることはありません。あなたは、誰も分析する機会のない広大な情報の海の中にある、単なるスパングルでないサイトです。
明確にするために、より大きなターゲットを保護している場合を除き、シンプルで控えめなものを使用します。

同様に、コンテンツに基づいてスパムを識別することもできます。

忘れてはならないのは、攻撃者をかわそうとするとき、彼らが成功したと信じさせることははるかに簡単です。1つの手法は、スパムコンテンツを受け入れて1分ほどで削除することです(スパムボットがそれに対してチェックすることは疑わしいです)。

最後に、いつでもユーザーに認証を求めることができるため、追跡がはるかに簡単になります。すべての主要なサービス(openID、facebook)を介したログインを許可すると、問題ありません。

0

画像の識別。

簡単なソリューションが最も簡単な場合もあります。必要なのは、オブジェクトのランダムな画像(馬、猫、犬、アヒルなど)だけです。次に、誰かが自分が人間ではないことを検証する必要がある場合、画像が表示され、ユーザーはそれが何であるかを単に識別する必要があります。

これにより、単一の問題が発生する場合があります。すべてが同じ名前であるとは限りません。あなたが馬と呼ぶものは、私の祖父母はプファードと呼ばれます。英語を話す人(または、ドイツ語またはその単一の言語)のみを目的としている場合は、単純な問題の簡単な解決策があります。

グレン・ネルソン
ソース
反対の方法でこれを行うことができます-答えとしていくつかの画像を表示し、「馬をクリックする」ようにユーザーに伝えます。質問は、明らかにページの残りの部分はに表示するつもりだったの言語になります。
gbjbaanb
@gbjbaanbこのソリューションの唯一の問題は、3つの画像がある場合、スパマーは1/3の成功率でプログラムでいずれかの画像をクリックする可能性があることです。もちろん、Akismetのようなサービスを使用することもできますが、それでも抜ける可能性があります。それは、あなたがいくらリスクを冒すかという問題です。
0

次の理由でキャプチャモデルが壊れているように感じます。

  1. サイトに1つ追加すると、ユーザーにスパムが問題であり、あなたの問題ではないことがわかります。
  2. 視覚障害者はそれらを使用できません。
  3. これらは、中間者攻撃の優れた攻撃ベクトルとして機能します。
  4. 彼らは(通常)フォームが機能するためにオンラインになっているサードパーティのサービスに依存しています。
  5. 時々、それらはより高度なOCRテクノロジーによって破壊される可能性があります。

だからあなたの質問に答えるために、私はそれが役に立たないと思います、それはほとんどの場合それが仕事をうまく実行しますが、それは壊れているので私はその使用に対して個人的に助言します。

トビー
ソース
0

私は、画像間の人間の直感的なセマンティックアソシエーションを使用して、簡単な検証の課題を作成する新しいテクノロジーの研究開発を行ってきました。テキストベースのCAPTCHAをより良いものに置き換える必要があります...それらの日は明らかに番号が付けられています。Luis Von Ahnでさえ2009年に認めました。また、ウェブ上に非常に多くのアプリケーションがあり、誰もが迷惑を感じるテクノロジーに依存していることも私を燃やします。

クリス・アイヴィー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.