O reCaptcha agora é basicamente inútil?

17

O reCaptcha agora é basicamente inútil?

Eu li na internet que o reCaptcha foi quebrado e os bots de spam podem superá-lo facilmente. O Google resolveu isso? Eles têm planos para consertar isso? Não consigo encontrar esse tipo de informação na web e esperava que alguém tivesse alguma ideia.

Existem serviços web semelhantes, confiáveis ​​e mais seguros disponíveis para esse tipo de coisa? Não quero ter que criar minha própria classe de tipo captcha porque o processamento de imagens on-the-fly consome bastante recursos e não quero criar um captcha de tipo de perguntas e respostas (não quero que essa classe precise de acesso ao banco de dados).

Quaisquer sugestões ou informações sobre os problemas do reCaptcha são bem-vindas.

Anuvesh
fonte
5
Pensamento aleatório: Você poderia fazer um sistema de perguntas e respostas sem um banco de dados, apresentando quebra-cabeças matemáticos simples: "Digite o número que você obtém ao multiplicar 7 por 3:" Alguém poderia descobrir uma maneira de superar isso? Claro, mas levaria pelo menos um pouco de trabalho, por isso pode valer a pena.
ou uma mistura de dois
Lukasz Madon 07/07
1
Talvez relevante: stackoverflow.com/q/448963/590790
3
O objetivo do reCaptcha não é que o texto seja realmente digitalizado em livros e documentos? Especificamente, texto que não pôde ser lido pelo OCR existente? Não sei como você pode "interromper" a recaptcha, pois eles sempre incluem mais texto de mais fontes. A única maneira de realmente "quebrar" seria desenvolver um OCR "perfeito", que detecta o que todos os outros falham. Fora de diretamente usando OCR, eu imagino quaisquer outras questões de segurança poderia ser corrigido ...
Há um tempo interessante, que mostrava (por exemplo) uma grade de fotos de cães, com algumas fotos de gatos salgados aleatoriamente, e você apenas clica nos gatos. Não vejo como você automatizaria uma rachadura para isso. A única desvantagem é que seria inutilizável para pessoas cegas.

Respostas:

12

O Captcha sempre esteve vulnerável a um simples ataque man-in-the-middle, em que o remetente de spam transmite as imagens para seu próprio captcha em um site que oferece downloads de mp3 ou pornografia de graça. Não importa que tipo de captcha você usa.

Detectar padrões de comportamento é o caminho a percorrer.

Peter Taylor
fonte
Interessante, não conhecia essa abordagem.
7

Eu nunca gostei de captcha's. Eu até vi uma instância 'no campo' de alguém que não é capaz de resolver um captcha nas primeiras dezenas de tentativas (não pergunte).

Até agora, eu consegui manter o spam fora desse site que eu montei, apenas verificando se todas as 'solicitações periféricas' são realmente executadas (folhas de estilo, scripts, imagens), confirmando que é uma verdadeira 'carne e osso' - sessão do navegador chamando o site e negando qualquer postagem com 4 ou mais URLs neles.

Os poucos spammers que passaram, fiquei em silêncio ao colocar na lista negra o número de IP. (por enquanto)

Mas devo dizer que isso ainda não é à prova d'água, mas nada é assim. (Então, novamente, acho que não há muito a ganhar com spam em um site com o pagerank 2.)

Stijn Sanders
fonte
1
Eu tenho um colega de trabalho que é quase cego. Tenho problemas suficientes para decifrar alguns captchas com minha visão decente, não consigo imaginar como seria para uma pessoa quase cega.
@jwenting: É por isso que o reCAPTCHA e outros serviços / soluções CAPTCHA também fornecem uma opção de áudio para deficientes visuais.
Lèse majesté
5

Em um pequeno site meu, bloqueei spam como este:

Digite o nome do dia da semana de amanhã.

De fato, há um pouco mais de explicação do que isso, mas você entendeu.

Eu não tinha visitado o site por um ano ou mais e tinha 16.000 entradas de spam (em comparação com 20 entradas presas). Eu coloquei essa verificação de integridade há 2 anos e não recebi uma entrada de spam desde então.

O bloqueio de spam é uma questão de importância do conteúdo que você está protegendo. Contanto que seu site não tenha pelo menos 1000 visitas por dia, ninguém se preocupará em saber por que o spam não funcionará em você. Você é apenas um site não spamizável, dentro de um vasto mar de informações que ninguém tem chance de analisar.
Portanto, para ficar claro: a menos que você esteja protegendo um alvo maior, use algo simples e discreto.

Também o spam pode ser identificado com base no conteúdo também.

Não se esqueça: ao tentar se defender de um invasor, é muito mais fácil fazê-los acreditar que foram bem-sucedidos. Uma técnica é aceitar o conteúdo de spam e excluí-lo dentro de um minuto mais ou menos (duvido que os robôs de spam tenham verificações contra isso).

Por fim, você sempre pode solicitar que os usuários se autentiquem, o que facilita muito o rastreamento. Permitir login através de todos os principais serviços (openID, facebook) e você deve ficar bem.


fonte
1

Veja este artigo em MikeBeach.com , usando alternativas aos captchas e explicando em detalhes os prós / contras de algumas bibliotecas ou serviços de captcha conhecidos, como o reCAPTCHA .

Citação:

Pessoalmente, uso uma combinação de Bad Behavior e Defensio em meus sites e vi uma grande queda na quantidade de spam.

Z gelado
fonte
0

Identificação de imagem.

Às vezes, soluções simples são as mais fáceis. Tudo o que você precisa são algumas imagens aleatórias de objetos (por exemplo, um cavalo, um gato, um cachorro e um pato). Então, quando alguém precisa validar que não é humano, uma imagem é exibida e o usuário deve simplesmente identificar o que é.

Você pode ter um único problema com isso. Nem tudo tem o mesmo nome em todos os lugares. Como você chama um cavalo, meus avós chamavam de Pferd. Se você está buscando apenas falantes de inglês (ou alemão ou qualquer outro idioma), você tem uma solução simples para um problema simples.

Glenn Nelson
fonte
você pode fazer o contrário - mostrar várias imagens como resposta e dizer ao usuário para 'clicar no cavalo'. A questão seria, obviamente, na língua que o resto da página estava indo para ser exibido em.
gbjbaanb
@gbjbaanb O único problema dessa solução é que, se você tiver 3 imagens, o remetente de spam poderá clicar programaticamente em uma das imagens com uma taxa de sucesso de 1/3. É claro que você também pode usar um serviço como o Akismet, mas ainda existe a possibilidade de que ele ocorra. É tudo uma questão de quanto risco você está disposto a correr.
0

Eu sinto que o modelo captcha está quebrado pelos seguintes motivos.

  1. Adicionar um ao seu site indica ao usuário que o spam é problema deles, não seu.
  2. Pessoas com deficiência visual não podem usá-las.
  3. Eles atuam como um excelente vetor de ataque para o homem nos ataques intermediários.
  4. Eles (normalmente) contam com um serviço de terceiros online para que seus formulários funcionem.
  5. Às vezes, eles podem ser quebrados pela tecnologia OCR mais avançada.

Portanto, para responder à sua pergunta, não acho que seja inútil, ele executa sua tarefa muito bem na maioria das vezes, mas está quebrado, então eu pessoalmente aconselho a não usá-lo.

Toby
fonte
0

Venho desenvolvendo pesquisa e desenvolvimento em uma nova tecnologia que usa as associações semânticas que os seres humanos intuem entre as imagens para criar desafios simples de validação. Precisamos substituir os CAPTCHAs baseados em texto por algo melhor ... seus dias estão claramente contados. Até Luis Von Ahn admitiu isso em 2009. Também me queima o fato de termos tantos aplicativos na Web que dependem de uma tecnologia que todos consideram irritante.

Chris Ivey
fonte