Ist reCaptcha jetzt grundsätzlich nutzlos?

17

Ist reCaptcha jetzt grundsätzlich nutzlos?

Ich habe im Internet gelesen, dass reCaptcha kaputt ist und Spam-Bots es leicht überwinden können. Hat Google das überhaupt angesprochen. Haben sie Pläne, das Problem zu beheben? Ich kann diese Art von Informationen nicht im Web finden und ich hatte gehofft, dass jemand einen Einblick hat.

Gibt es ähnliche, zuverlässigere und sicherere Webservices für diese Art von Dingen? Ich möchte keine eigene Captcha-Typklasse erstellen, da die direkte Bildverarbeitung ziemlich ressourcenintensiv ist, und ich möchte kein Captcha vom Typ Q & A erstellen (ich möchte nicht, dass diese Klasse DB-Zugriff benötigt).

Anregungen oder Informationen zu Problemen von reCaptcha sind willkommen.

captcha Anuvesh
quelle
5
Zufälliger Gedanke: Sie könnten ein Q & A-Typ-System ohne Datenbank erstellen, indem Sie einfache mathematische Rätsel darstellen: "Bitte geben Sie die Zahl ein, die Sie erhalten, wenn Sie 7 mit 3 multiplizieren:" Könnte jemand einen Weg finden, um darüber hinwegzukommen? Klar, aber es würde zumindest ein bisschen Arbeit kosten, also könnte es sich lohnen.
oder eine Mischung aus zwei
Lukasz Madon
1
Vielleicht relevant: stackoverflow.com/q/448963/590790
3
Ist es nicht der Sinn von reCaptcha, dass der Text tatsächlich aus Büchern und Dokumenten gescannt wird? Insbesondere Text, der von vorhandener Texterkennung nicht gelesen werden konnte? Ich weiß nicht, wie Sie Recaptcha "unterbrechen" können, da sie immer mehr Text aus mehr Quellen enthalten. Der einzige Weg, um wirklich zu "brechen", wäre die Entwicklung einer "perfekten" Texterkennung, die erkennt, was bei allen anderen fehlschlägt. Abgesehen von der direkten Verwendung von OCR könnte man sich vorstellen, dass andere Sicherheitsprobleme behoben werden könnten ...
Vor einiger Zeit gab es eine interessante, die (zum Beispiel) ein Raster mit Bildern von Hunden zeigte, mit ein paar Bildern von Katzen, die zufällig eingesalzen wurden, und Sie klicken einfach auf die Katzen. Ich kann nicht sehen, wie Sie einen Riss dafür automatisieren würden. Der einzige Nachteil ist, dass es für Blinde unbrauchbar wäre.

Antworten:

12

Captcha war schon immer einem einfachen Man-in-the-Middle-Angriff ausgesetzt, bei dem der Spammer die Bilder an ein eigenes Captcha auf einer Website weiterleitet, auf der MP3-Downloads oder Pornos kostenlos angeboten werden. Es spielt keine Rolle, welche Art von Captcha Sie verwenden.

Das Erkennen von Verhaltensmustern ist der richtige Weg.

Peter Taylor
quelle
Interessant, wusste diesen Ansatz nicht.
7

Ich mochte nie Captcha. Ich habe sogar eine Instanz 'im Feld' von jemandem gesehen, der in den ersten Dutzend Versuchen kein Captcha lösen konnte (nicht fragen).

Bis jetzt war es mir gelungen, Spam von dieser einen Website fernzuhalten, indem ich einfach überprüfte, ob alle "Periferal Requests" tatsächlich ausgeführt wurden (Stylesheets, Skripte, Bilder) und bestätigte, dass es sich um ein echtes "Fleisch und Knochen" -Web handelte. Browsersitzung, die die Website aufruft und Beiträge mit 4 oder mehr URLs ablehnt.

Die wenigen Spammer, die vorbei kamen, verstummten, als ich die IP-Nummer auf die schwarze Liste setzte. (zur Zeit)

Aber ich muss sagen, das ist immer noch nicht wasserdicht, aber nichts ist trotzdem. (Andererseits gibt es wohl nicht viel zu gewinnen, wenn man eine Website mit PageRank 2 spammt.)

Stijn Sanders
quelle
1
Ich habe einen Kollegen, der fast blind ist. Ich kann mir nicht vorstellen, wie es für einen fast blinden Menschen wäre, einige Captchas mit meinem anständigen Sehvermögen zu entziffern.
@jwenting: Deshalb bieten reCAPTCHA und andere CAPTCHA-Dienste / -Lösungen auch eine Audiooption für Sehbehinderte.
Majestätsbeleidigung
5

Auf einer kleinen Website habe ich Spam wie folgt blockiert:

Bitte geben Sie den Namen des morgigen Wochentags ein.

Tatsächlich gibt es ein bisschen mehr Erklärungen, aber Sie haben die Idee.

Ich hatte die Site seit ungefähr einem Jahr nicht mehr besucht und hatte 16000 Spam-Einträge (im Vergleich zu 20 Ham-Einträgen). Ich habe diese Überprüfung vor 2 Jahren durchgeführt und seitdem keinen Spam-Eintrag mehr erhalten.

Das Blockieren von Spam ist eine Frage der Wichtigkeit des Inhalts, den Sie schützen. Solange nicht bekannt ist, dass Ihre Website mindestens 1000 Besuche pro Tag hat, wird sich niemand darum kümmern, warum ihr Spam nicht auf Sie zutrifft. Sie sind nur eine nicht spammbare Site in einem riesigen Informationsmeer, das niemand analysieren kann.
Um es klar zu sagen: Wenn Sie kein größeres Ziel schützen, verwenden Sie etwas Einfaches und Unauffälliges.

Ebenso gut kann Spam anhand des Inhalts identifiziert werden.

Nicht zu vergessen: Wenn Sie versuchen, einen Angreifer abzuwehren, ist es viel einfacher, ihn für erfolgreich zu halten. Eine Technik besteht darin, Spam-Inhalte zu akzeptieren und innerhalb einer Minute zu löschen (ich bezweifle, dass Spam-Bots dies überprüfen).

Zuletzt können Sie die Benutzer jederzeit zur Authentifizierung auffordern, was das Nachverfolgen erheblich vereinfacht. Erlaube die Anmeldung über alle wichtigen Dienste (openID, Facebook) und es sollte dir gut gehen.


quelle
1

Lesen Sie diesen Artikel von MikeBeach.com , in dem Sie Alternativen zu Captchas verwenden und im Detail die Vor- und Nachteile einiger bekannter Captcha-Bibliotheken oder -Dienste wie reCAPTCHA erläutern .

Zitat:

Persönlich verwende ich auf meinen Websites eine Kombination aus Bad Behavior und Defensio und habe einen starken Rückgang der Spam-Menge festgestellt.

Frosty Z
quelle
0

Bildidentifikation.

Manchmal sind einfache Lösungen am einfachsten. Alles, was Sie brauchen, sind einige zufällige Bilder von Objekten (z. B. ein Pferd, eine Katze, ein Hund und eine Ente). Wenn dann jemand bestätigen muss, dass er kein Mensch ist, wird ein Bild angezeigt und der Benutzer muss einfach identifizieren, was es ist.

Sie könnten dabei auf ein einzelnes Problem stoßen. Nicht überall hat alles den gleichen Namen. Was du ein Pferd nennst, haben meine Großeltern ein Pferd genannt. Wenn Sie nur Englisch sprechen (oder Deutsch oder eine andere Sprache), haben Sie eine einfache Lösung für ein einfaches Problem.

Glenn Nelson
quelle
Sie können dies auch in umgekehrter Richtung tun. Zeigen Sie mehrere Bilder als Antwort an und fordern Sie den Benutzer auf, auf das Pferd zu klicken. Die Frage würde offensichtlich in der Sprache lauten, in der der Rest der Seite angezeigt werden sollte.
gbjbaanb
@gbjbaanb Das einzige Problem bei dieser Lösung ist, dass der Spammer bei 3 Bildern programmgesteuert auf eines der Bilder mit einer Erfolgsrate von 1/3 klicken kann. Natürlich könnten Sie auch einen Dienst wie Akismet nutzen, aber es besteht immer noch die Möglichkeit, dass er durchschlüpft. Es ist alles eine Frage des Risikos, mit dem Sie gehen wollen.
0

Ich habe das Gefühl, dass das Captcha-Modell aus den folgenden Gründen defekt ist.

  1. Wenn Sie Ihrer Website eine hinzufügen, wird dem Benutzer mitgeteilt, dass es sich um ein Spam-Problem handelt und nicht um Ihr Problem.
  2. Sehbehinderte Menschen können sie nicht benutzen.
  3. Sie wirken als ausgezeichneter Angriffsvektor für den Menschen bei mittleren Angriffen.
  4. Sie sind (normalerweise) darauf angewiesen, dass ein Drittanbieter online ist, damit Ihre Formulare funktionieren.
  5. Manchmal können sie durch fortgeschrittenere OCR-Technologie zerstört werden.

Um Ihre Frage zu beantworten, halte ich es nicht für nutzlos, es erfüllt seine Aufgabe die meiste Zeit gut, aber es ist kaputt, so dass ich persönlich von seiner Verwendung abraten würde.

Toby
quelle
0

Ich habe an einer neuen Technologie geforscht, die die semantischen Assoziationen verwendet, die Menschen zwischen Bildern intuitiv erkennen, um einfache Validierungsprobleme zu lösen. Wir müssen textbasierte CAPTCHAs durch etwas Besseres ersetzen ... ihre Tage sind klar nummeriert. Sogar Luis Von Ahn gab dies im Jahr 2009 zu. Es brennt mich auch, dass wir so viele Anwendungen im Web haben, die von einer Technologie abhängen, die jeder nervt.

Chris Ivey
quelle