CAPTCHA: Jak se stát otrokem podivného obrázku

Pokial patrate po technickej stranke veci a neakych typoch ako aj bez CAPTCHA ten si precitajte tuto

http://www.root.cz/clanky/captcha-negativa-a-sposoby-prelomenia/

alebo toto

http://www.root.cz/clanky/komentarovy-spam/

Stačilo by vymyslet podobné věty (ale ne jen s obměnou jednoho slova) typu: "Opište prosím ve stejném tvaru do kolonky slovo, které do této oranžové věty logicky nepatří." Dá se to přečíst i pro nevidomé a žádný robot by to ještě dlouho sám bez programátora nerozluštil.

No, ovšem v italštině by to asi tak srozumitelné nebylo...

Jenže nesmíte zapomínat na uživatele, pro kterého taková otázka musí být co nejjednodušší. Předložit mi jako uživateli takovouhle kravinu, tak radši žádný formulář neodešlu, než abych četl takovýhle elaborát.

A až se vyvinou skvělé neprolomitelné testy, tak spameři vytvoří porno web a tam budou uživatelé nevědomky řešit úkoly, které budou předkládat jiné servery a za odměnu si budou stahovat nahaté slečny. Tento útok je dávno znám, takže celý boj je už předem prohraný.

Geniální!

captcha sa uz davno lame v azii ... sedia tam bandy deciek a prepisuju captchu... vzhladom na lokalitu je tento sposob velmi lacny a velmi ucinny

Dobře vypadá i ten test "označte všechny obrázky koček" - to robot určitě nevyřeší, ale může to být i nepřekonatelnou překážkou třeba pro lidi s poruchou autistického spektra.

To jenom ilustruje skutečnost, že dost chytrý stroj bude snad v jakémkoli testu lepší, než někteří lidé - jenže tyhle lidi s nějakým funkčním omezením odfiltrovat nechceme. Jenom to autora testu vůbec nenapadne, toho si všimne možná odborník a pak ten, kdo se s tím problémem setkal.

Tak, a co teď s tím?

pamatuju, jak rapidshare měl na captcha kočky a byl to problém poznat

Byl to problém poznat? Vygenerovalo to tuším šest písmenek, na dvou z nich nebylo nic a na čtyřech byly kočky, přitom obrysy písmen byly naprosto zřetelné. Pokud tohle někdo nezvládl rozluštil, pak to musel být pologramotný idiot, kterému počítač nepatří do ruky. Pro normálního člověka to bylo čitelné ihned a naprosto jasně, narozdíl třeba od reCaptcha, se kterou mám dost často problémy sám.

na tech ostatnich pismenech byly obrazky psu a ty nekdy sly od kocek poznat jen tezce

O všem se má pochybovat.

Konkrétně to vypadalo takto:

http://www.labnol.org/wp/images/2008/04/rapidshare-captcha-cats.jpg

http://www.geeksaresexy.net/wp-content/uploads/2008/04/cat.jpg

Naštěstí to na Rapidshare moc dlouho nevydrželo (pár týdnů nebo měsíců), byla to opravdu šílenost, na kterou si nejeden uživatel stěžoval.

V tom případě jsem měl nějak moc štěstí, že jsem to vždycky poznal.

Ale co, premium tohle všechno řeší

Ať koukám jak koukám, tak na té číslici 8 kočku nejsem schopen rozeznat!

driv tam jeste bylo misto obrazku co hledat napsano jen cat, to byl pro nektere hned prvni problem

O všem se má pochybovat.

U tech kocek jsem mel snad padesatiprocentni uspesnost. A jestli jsem ja pologramotny idiot, tak je na tom 98% lidi jeste (mnohem) hur.

Jsem na tom stejně. A řekl bych, že idiot opravdu nejsem..

... no, taky mi to dělalo problém, a to jsem si jistý, že nejsem žádný dyslektik...

Lžeš, arogantní mistře světa!

to byla hruza

Mě se tenhle článek hodně líbí. Po hodně dlouhý době jsem přečetl celý článek až do konce ., A taky jsem rád, že jsem se dozvěděl, že nejsem jedinej, kdo má problémy přečíst některé kódy .

Je to opravdu hrozný, kdyby nebylo spammerů, tak máme všichni o problém míň. Nojo, ale tohle "kdyby" se dá říct i o dalších věcech, třeba o zlodějích - kdyby nebylo zlodějů, nebyly by na dveřích nikde potřeba zámky a klíče,... takže nám asi zbejvá se s tím zžít a být stále krok před spammerama (a zlodějemaú.

Podivejte se na to i z druhe strany, kazdy takovy stret vede ke zlepseni technologii, v tomhle pripade to muze nakopnout vyvoj v oblastech jako automaticke rozpoznavani obrazku a umela inteligence;).

O co mene pitomcu bude sluzeb poskytovanych spamery vyuzivat... Pokud by lide na spamy nereagovali (coz je samozrejme naivni predpokladat, alespon nepatrne procento pitomcu, co si neco objednaji, bude porad existovat), tak to zmizi samo. Taky se to dela jenom kvuli penezum

Nebo kdyby nebylo cikánů, máme všichni o 1000 Kč vyšší plat.

|

Nejlepší ověření je prostou otázkou:

Např.: "Co je dneska za den?", "Napište číslovku patnáct", "Jste robot nebo člověk?", "Kolik je jedna plus dva?"

Robot na takovou otázku nebude schopen odpovědět a naopak je vhodná třeba i pro slepce.

-= M3888 - T2288 - T250 - ME45 - T610 - N3230 - N73 - TouchPro2 - SGS3 - SGS5 =-

To by bylo samozřejmě nejlepší. Bohužel je asi nemožné vymyslet program, co by takové triviální otázky automaticky generoval, takže by se musely opakovat a spamboti by mohli mít přednastavené řešení na každou z nich.

To by ovsem nekdo musel napst bota primo na pro konkretni web a pokud by to byl jen nejaky maly zapadly webik tak na to ti nikdo bota delat nebude...pokud by to byl vetsi projekt tak by se to uz vyplatilo delat na miru :)

Myslím si že by stačila jednoduchá db, kterou vysmahnu za pár minut. Pro malé weby 20-30 otázek.

-= M3888 - T2288 - T250 - ME45 - T610 - N3230 - N73 - TouchPro2 - SGS3 - SGS5 =-

"Co je dneska za den?"

Úterý? ÚTERÝ? úterý? Utery?

Proti robotům používám jednoduchou javascriptovou bariéru s rovnicí typu 7+1 (kterou si i s výsledkem předgeneruju na serveru). Pokud má uživatel zapnutý JS, rovnice se automaticky vyřeší, výsledek doplní do příslušného políčka a řádek ve formuláři skryje. Kdo má vypnutý JS, uvidí 7+1 a vyplní. Používám na několika webech s nejlepšími výsledky (cca 1 spam za půl roku).

To bude fungovat jen do doby, než budou umět boti JS. Nebo než budou umět rozpoznat jednoduchý příklad. Koneckonců jako autor bych se na stránky (pokud by mi to stálo za to) předem podíval a hned bych dokázal napsat na míru bota, který by takové konkrétní příklady řešil.

Jako ideální se mi jeví obrázková captcha od MS, akorát bych ji zjednodušil dotazem typu "klikněte na zvíře (květinu, věc, člověka)

-= M3888 - T2288 - T250 - ME45 - T610 - N3230 - N73 - TouchPro2 - SGS3 - SGS5 =-

Klikněte na... A jak to bude přístupné třeba s vypnutým JS, nebo uživateli s alternativním ovládáním?

Roboti JS hned tak umět nebudou.

Jako to mají na CD-R serveru. Tam je už minimálně rok otázka "Dva a šest je", která se nemění. To musí zmást nejen člověka, ale i roboty

Já si generuju obrázek se čtyřmi znaky jedné barvy a jedním znakem jiné barvy a uživatel musí opsat znaky podle zadané barvy. Nic extrémě složitého na rozluštění, jen umět rozlišit barvy.

(Od té doby se tam spam neobjevil)

Z českých škol: „Internet je to modré e na ploše, po jehož spuštění se zobrazí Seznam internetu.“

Opište všechna červená písmena. (toto napsat třeba modrou barvou - chudáci blondýnky )

ani barvoslepi

O všem se má pochybovat.

Presne to jsem chtel napsat. Jak zareaguje na "secti osm a dvanact a odecti 3".

Ale to už klade zvýšené nároky na inteligenci uživatele

To prakticky nikdo pod 18 let dneska nerozluští.

|

dokud je provozovatele nezacali pouzivat naprosto nesmyslnym zpusobem a dokud se nezacaly objevovat capchy, ktere proste NELZE precist.

Jenže můžete mít sebedokonalejší Kapču ale stejně skrz ní jde vždy projít.

Když už vezmu ten příklad s javascriptem, tak není nic jednodušího, než bota přenastavit na to aby nevyplňoval to skryté pole. Takhle, když si někdo usmyslí zaůtočit na nějaký web přímo, tak se mu to vždy povede...

A jak ten bot pozná, že pole je skryté? Myslíte nevyplnit všechny type="hidden"? To je přece kravina už z principu. Bot se to pole musí pokusit vyplnit, pokud je mi odeslán formulář bez tohoto pole, ani ho nepřeberu k validaci, rovnou ho zahodím.

Uvažuješ špatně: pokud budud chtít zaútočit na určitý web (třeba na Živě ), tak si prostě jeho formulář jednou otevřu, prostuduju si metodu ochrany (skryté pole, pole vyplňované pomocí JS) a podle toho upravím svého bota. Tedy názorně: ve formuláři bude pomocí CSS textový input name="email", který ve skutečnosti bude past na roboty. Proto nastavím robota tak, aby tohle pole nevyplňoval a mám vystaráno.

Ne, já uvažuju dobře, vy mi evidentně nerozumíte Ano, políčko je past na roboty, ale robot to políčko musí vyplnit. Když ho nevyplní, formulář automaticky zahodím.

A navíc si název toho políčka můžu automaticky generovat.

Aha, takhle...

.. tak v tom případě stačí uvažovat dál - políčko musí být vyplněné - zjistím si čím. Dál; políčko má náhodný název - podívám se ve struktuře stánky nad něj - je třeba v divu id="anitspam" -> name políčka získám třeba pomocí DOMu. Id nadřazeného prvku je taky náhodně generované? Opět není problém - projdu CSS a zjistím který prvek je skrytý a obsahuje input. Atd, atd, ... Co na to, že uspěje pouze v 1 ze 100 pokusů, když odesílá tisíce formulářů za minutu?? Problematika komentářového spamu je bohužel trošku složitější než jak jí ukazuje tento článek. Spamovací roboty (ty opravdu kvalitní) nepíší nějací puberťáci co zrovna nemají co na práci, ale opravdoví profíci a jejich "dítka" jsou mnohdy inteligentnější než autoři napadených stránek. Prostě a jednoduše - když bude útočník "profík" a opravdu bude chtít nacpat zrovna >tuto< diskuzi zaspamovat, tak prolomí jakoukoliv CAPTCHu. Otázka spíš je, jestli mu to za to vynaložené úsilí bude stát?! Spíš než na snahu zabránit ve vložení spamu by bylo lepší zaměřit se na to, aby jsme spamerům nedali důvod na web pronikat.

Teď jenom doufám, že je ten text pochopitelný...

Tisíce formulářů za minutu... Brání mi něco implementovat ochranu která umožní odeslat jeden formulář za vteřinu?

Nedělejte z autorů těchto robotů bohy. Měl jsem co dočinění s několika weby (včetně zprofanovaných aplikací typu phpBB), na které jsme dávali nějaký antispam a vždycky stačilo pár jednoduchých opatření.

"zaměřit se na to, aby jsme spamerům nedali důvod na web pronikat."

- to je samozřejmě naprostá kravina. Pro spamovacího bota je atraktivní každý web, který má nějaký formulář. Zažil jsem bota na webu, který měl návštěvnost 5 lidí denně a dohromady byl o ho*ně, dokonce tam nebyla ani žádná diskuze - robot odesílal kontaktní formulář.

Přesně tak. Já zase zažil stránku, kde byla velikost zdrojového kódu taková, že prohlížeč okamžitě spadnul. Ano, mluvím o tunách spamu, opravdu desetitisíce komentářů a ta stránka měla návštěvnost tak 10 lidí za měsíc. Robot zatím nerozná, který web je pro něj atraktivnější, útočí automaticky na každý, kde najde alespoň náznak formu.

Co se ochrany týče, několik let jsem používal pouze statický obrázek s třemi čísly. Za ta léta ani jeden spam. Nyní na všechny weby nasazuji JS ochranu (vypsání skrytého pole JS s určitou hodnotou a její ověření při odeslání formu) a taktéž bez problému.