Comment CAPTCHA Fonctionne

qu’est-Ce que ?

Vous êtes sûrement familier avec cette technologie, même si vous ne »savent pas vraiment le nom. signifie test de Turing public entièrement automatisé pour distinguer les ordinateurs et les humains. Son but est de vérifier si un utilisateur (d’une application ou d’un site web) est une personne réelle ou un bot. Pour ce faire, il repose sur des traits spécifiques que les gens ont et les machines don »t. Il est largement utilisé dans l » industrie du web comme une bonne protection contre le spam, bots ou attaques DOS.

Pourquoi avons-nous besoin ?,

Il y a beaucoup de gens qui veulent nuire à votre site web, pour différentes raisons. Concurrence déloyale, publicité, comportement parfois malveillant ou simplement amusant. Vous pouvez impliquer que ce n « est pas la majorité des utilisateurs web qui tentent d » exploiter les faiblesses de votre système, mais le problème demeure.

L’exemple le plus simple est le dos (le déni de Service), qui est un type d’attaque qui vise à rendre une ressource indisponible. L’attaquant envoie une grande quantité de requêtes au serveur pour le rendre incapable de renvoyer des résultats. Il bloque simplement votre site web., Faire cette attaque individuellement, par une personne réelle, ce serait une horreur. Ce serait ennuyeux, épuisant et tout simplement impossible. Vous ne pouvez pas faire manuellement la quantité efficace de demandes, mais les ordinateurs ne sont pas épuisés ou ennuyés. Il »n’est pas un problème pour eux de faire des centaines de demandes chaque… deuxième. vous aide à identifier de tels comportements et à les bloquer.

un autre exemple est la tactique publicitaire malveillante. Chaque internaute est familier avec le spam. Vous recevez des tonnes de courriels indésirables chaque jour. Il est facile de bloquer un e-mail particulier, mais il est difficile de se protéger contre les inconnus., Si un spammeur utilise un seul compte de messagerie, nous pouvons facilement le bloquer. Mais imaginez maintenant qu’il / elle embauche un bot pour utiliser l’un des fournisseurs de messagerie gratuits (celui qui n’utilise pas ). De cette façon, il peut créer un nouveau compte toutes les quelques minutes et envoyer du contenu spam à partir des différentes adresses.

Un troisième exemple, plus trivial – commentaires. Beaucoup de sites Web, même de petits blogs, se battent avec des publicités indésirables. Bien sûr, nous pouvons fermer les yeux sur un ou deux messages de spam. Malheureusement, nous en voyons souvent des centaines. Il est habituel de trouver du contenu bien écrit avec une section de commentaires spammés., Si vous voyez un message avec des centaines du même message (Pas vraiment lié au texte), le propriétaire n »utilise probablement pas . Même pour de vraies personnes, mais avec de mauvaises intentions (soi-disant « trolls »), cela peut être une barricade décourageante.

Comment ça marche?

Les racines remontent au début du XXe siècle quand Alan Turing a voulu répondre à une question – les ordinateurs sont-ils capables de penser comme des humains? Il a mis en place un jeu d’imitation, où un interrogateur était obligé de poser une série de questions à deux participants. Les participants étaient des humains et des machines., Le défi de l »interrogateur était de comprendre lequel était l » être humain. L’interrogateur ne pouvait ni les voir ni les entendre et ne devait se fier qu’aux réponses. Si l’interrogateur était incapable de décider ou se trompait, la machine passait le test de Turing. Le but est de poser telle question ou de faire un tel défi que les ordinateurs sont incapables de faire face. En même temps, il devrait être facile de répondre pour les humains.

Le schéma est simple. Vous tapez des données ou effectuez toute autre action, puis confirmez-la en passant un test., Le type de test le plus courant est une image d’un tas de lettres déformées. Il utilise la question des ordinateurs ne pouvant pas penser de manière abstraite et « voir » le monde comme les gens le font. Alors que les humains sont vraiment sophistiqués avec le traitement des données visuelles, les ordinateurs manquent de ces compétences. Lorsque vous regardez l’image, vous pouvez rapidement lire le motif. Le cerveau des humains est construit de telle manière qu »il est toujours à la recherche d » un motif ou une forme connue. Vous connaissez le paradoxe de voir des visages et des formes dans les arbres, les nuages… même il est juste une illusion. Il est appelé pareidolia.,

Pendant que vous êtes facilement en mesure de lire les mots ci-dessus et de les écrire, pour les ordinateurs c’est juste une masse de zéros et de uns. Néanmoins, nous devons nous rappeler comment fonctionnent les machines. les défis ne devraient pas être limités à un nombre fixe. S’ils le faisaient, il serait facile d’apprendre à un ordinateur quel texte correspond à une image donnée. Par conséquent, de nombreux créateurs utilisent des algorithmes sophistiqués afin de générer leurs textes déformés au hasard. Les créateurs de re ont trouvé une autre idée. Ils ont utilisé le processus de…, numérisation des livres et a demandé aux utilisateurs de décrypter les morceaux courts.

en raison de l’évolution des algorithmes de bot, les s déformés par le texte sont devenus beaucoup plus difficiles à résoudre. Il suffit de regarder les deux exemples ci-dessous.

Alors que le premier est tout à fait lisible, le second peut déjà causer des problèmes pour quelqu’un sans une forte vision. Par conséquent, beaucoup de développeurs ont essayé de réfléchir à un nouveau type de ., Le résultat de leur travail a été select-images .

Elle s’appuie sur la même base, mais c’est juste plus difficile à résoudre pour les machines. Et ce qui est plus important, il est plus facile à résoudre pour les humains.

Le programme est facile. Vous avez une collection d’images et devez choisir celles qui correspondent aux exigences. Il est facile pour vous de choisir les bonnes. Ordinateurs, toutefois, ne pense pas comme les humains et il est pas si facile pour eux. Il repose sur un problème classique de vision par ordinateur d’étiquetage d’image., En outre, il est vraiment mobile-friendly. Il est plus facile de taper des images correspondant à un indice que de taper une ligne de texte déformé.

Ces approches ont leurs inconvénients. Pour les machines, ils sont difficiles à résoudre, mais les systèmes de lecture de texte ne sont que des algorithmes. Ainsi, ils encouragent les problèmes de lecture s et sont traités comme des robots. Pour les personnes aveugles et les personnes ayant des dysfonctionnements oculaires différents, il provoque une barrière technologique. Dans cet esprit, les développeurs ajoutent souvent du son à leurs solutions qui déforment le texte.,

Cela fonctionne d’une manière similaire. Le script ajoute un bruit de fond supplémentaire à l’audio afin de le rendre plus difficile à résoudre pour les robots. Il a un faible impact sur les humains, mais il ajoute beaucoup de problèmes pour les programmes de reconnaissance vocale.

bien que toutes ces solutions soient parfaites sur le papier, elles peuvent toujours être ennuyeuses et déroutantes. Par conséquent, Google a introduit un nouveau (pas de re) qui vous demande seulement de cocher une case.,

Exemple

Vous avez déjà quelques connaissances générales sur les différents types de . Maintenant, je veux vous en dire plus sur la solution la plus récente et la plus populaire – no re.

Il a été créé à la suite de la réalisation tout à fait évidente. Les robots sont devenus si avancés qu  » il est maintenant impossible de générer des images faciles à résoudre pour les humains mais insolubles pour eux. À mesure que les spammeurs deviennent de plus en plus sophistiqués, les images deviennent de plus en plus difficiles à lire. Mais la recherche de Google a montré qu  » il est une impasse., La technologie D’IA d’aujourd’hui peut résoudre même les textes déformés les plus difficiles (près de 99,8% de précision).

donc, au lieu de le rendre plus difficile pour les humains, ils ont décidé de trouver un moyen de faire un algorithme plus avancé. Son objectif est de rendre le processus de vérification facile pour vous, mais toujours efficace pour vous protéger contre les bots.

nous ne pouvons pas dire comment cela fonctionne vraiment en détail, car – c’est compréhensible – ce n’est pas disponible pour le public. Ce que nous savons, C’est que Google a créé une technologie d’analyse sophistiquée. Il essaie en quelque sorte de deviner si vous êtes un humain ou non., Si elle pense que vous êtes, vous avez juste à cocher une case pour le prouver.

Il est simple, accessible et pas gênant. Si l’analyse n’est pas suffisant pour décider, le système vous demande de résoudre sélectionnez image . Si il est pas encore assez, il vous demande de résoudre un plus classique , mais beaucoup plus difficile que les anciens.

Bon, maintenant on va revenir à l’analyse de la moteur. Nous ne connaissons pas les détails, mais essayons de penser comment cela pourrait fonctionner., Chez GitHub, vous pouvez trouver une excellente analyse des mesures que re prend pour que tout fonctionne. En le combinant avec le document « i’m not a human: Breaking the Google re » (par Suphannee Sivakorn, Jason Polakis et Angelos D. Keromytis), nous savons que le script rassemble au moins des informations sur:

  • Plug-ins
  • User-agent (il teste s’il est réel)
  • temps d’exécution, fuseau horaire
  • Nombre d’actions 4d145e6b55″> des
  • cookies probables Côté Serveur

et il…,

  • compare l’environnement avec le comportement de nombreuses fonctions spécifiques au navigateur et les règles CSS
  • vérifie le rendu des éléments de canevas.

de plus, la résolution de l’écran et les événements de la souris n’ont pas vraiment d’importance. Nous utilisons différents appareils, nous utilisons des tablettes (il n’y a presque pas de comportement de souris), donc cela semble sage. Dans le papier, vous pouvez également lire que garder un cookie actif pendant + 9 jours vous permet de passer re en cliquant uniquement sur la case à cocher.

est-ce une solution sécurisée? Afin de briser un complètement, vous devriez essayer de manipuler votre ordinateur pour penser d’une manière humaine., Ce n  » est pas vraiment possible, mais il y a quelques solutions de contournement. Les ordinateurs essaient de détecter le texte au moins en partie et « deviner » quel est le résultat ou utiliser des algorithmes sophistiqués. C »est vraiment utile pour eux d’avoir une base de données déjà cassé chaîne. Il existe des sites Web qui paient même leurs utilisateurs pour résoudre l  » image s. Il semble que cela puisse être vraiment utile pour les robots dans la lutte avec.

tant que les gens connaissent les faiblesses des ordinateurs, ils essaieront différentes approches. Ils vont essayer de s’attaquer en réduisant sa complexité., Un pirate intelligent regarderait généré et analyser ce qui les rend si difficiles à résoudre. Y a-t-il quelque chose en arrière-plan? Jouons avec le contraste et débarrassons-nous des valeurs moyennes. Si vous faites votre image en noir et blanc, votre défi sera beaucoup plus simple. Si vous allez prendre en compte suffisamment de facteurs, vous serez en mesure de construire un algorithme qui fonctionne vraiment.

personne ne pensait que l’image serait toujours en sécurité et c’était une question de temps qu’il serait fissuré et… il l’était déjà. Pendant longtemps, le système Google Image re semblait être un choix sûr., Malheureusement, les chercheurs ont déjà appris à la machine à deviner la bonne réponse. À 70, 78% de précision, comme ils l’ont enregistré. C’est un excellent résultat, avec un temps moyen de résolution inférieur à 20 secondes. Le système Facebook a échoué encore pire avec 83.5% de taux de réussite.

beaucoup de systèmes d’images ont échoué contre des algorithmes avancés. Jennifer Tam, Jiri Simsa, Sean Hyde et Luis von Ahn (tous travaillant pour L’Université Carnegie Mellon, Pittsburgh) voulaient savoir s’il était facile de tromper le son aussi. Ils ont réussi avec certains d’entre eux., Au printemps 2012, il y avait des rapports que le système audio de Google avait été cassé avec un taux de réussite de 99%. Les ingénieurs ont fait un petit oubli. Le bruit de fond (la protection principale) n’a pas utilisé les sons à haute fréquence. Il a été facile pour les pirates d’isoler chaque mot en localisant les régions avec des fréquences plus élevées.

et qu’en est – il de la nouvelle solution-no re? Cette technique peut sembler plus difficile à craquer mais n’est pas incassable. Cette année, les experts en sécurité de L’Université Columbia ont déployé une technique d’attaque contre Facebook et Google no re. Ils réussissent avec 41.,Taux de réussite de 57% (à environ 20 secondes par défi). Il est inférieur à 50%, mais il est suffisant pour les bots pour faire votre site spammé. Ils peuvent vous bombarder de centaines de demandes par minute après tout. Comment ont-ils craquer? Ils ont créé leur propre algorithme de rupture sophistiqué et l’ont comparé à d’autres casseurs disponibles. Grâce à cela, ils ont déployé une solution équilibrée. Ils ont obtenu un tel succès en mode hors ligne. Donc, nous pouvons supposer que beaucoup de puissance pas re vient de l’analyse de l’historique des utilisateurs, inaccessible sans la connexion internet.,

contre de

est largement utilisé et il peut être vraiment ennuyeux. Soyons honnêtes-taper des lettres de forme étrange ou résoudre d  » autres types de défis encore et encore est tout simplement irritant. Ok, nous savons pourquoi les développeurs l’utilisent. Néanmoins, il semble qu »ils essaient de se débarrasser de leurs responsabilités et de le faire vôtre. En disant cela, vous auriez en partie raison. Il y a une certaine vérité en elle, mais il est vraiment difficile de trouver une autre façon de le faire. Vous pouvez essayer des algorithmes sophistiqués, mais dans la plupart des cas, il est facile de les tromper.

un Autre problème d’accessibilité., Même si vous avez de grands yeux, vous pouvez parfois faire face à des problèmes. Identifier un texte ou une image valide (select-image s) n’est pas toujours une chose simple. Et si votre vision est un peu floue ou si vous avez une sorte de dysfonctionnement oculaire? La version audio semble une solution parfaite, mais elle a souvent une qualité médiocre. Et si vous utilisez des navigateurs texte uniquement ou ne pas avoir une carte son installée?

consomme également votre temps. Vous pourriez dire que cela ne prend que 2,3 secondes mais imaginez maintenant que chaque site web l’utilise. Combien d’entre eux visitez-vous par jour?, Combien d’actions un site pourrait-il vous demander d’effectuer afin de vérifier votre humanité?

a peut nuire à la convivialité et à l’accessibilité de votre site web. Même si la nouvelle re faite par Google traite bien avec elle, pas tous les systèmes est si bon à cela.

Conclusion

Il semble qu’il n’y est pas de solution parfaite. Avec chaque nouvelle génération , il y a de nouvelles générations de robots. Les algorithmes les plus sophistiqués que vous utilisez pour vous en protéger, plus ils deviennent sages. Mais cela signifie-t-il qu’il est complètement inutilisable et agace simplement les utilisateurs? Non, l’idée est toujours bonne., Même les s simples représentent une barrière importante pour la plupart des robots primitifs. Nous ne devrions pas en priver, mais veuillez noter que cela ne vous protège pas et/ou vos utilisateurs à propos des fuites de données/informations d’identification, qui peuvent être déclenchées par des scripts tiers inclus dans la page, des extensions de navigateur ou un cheval de Troie MitB.

voulez-vous en savoir plus? Voici quelques liens utiles:

s’objectif

  • Quel est le but de la technologie?,

Breaking

  • Google re craqué dans une nouvelle attaque automatisée
  • Les chercheurs de Stanford craquent le Code
  • Breaking Audio s
  • lire comment un trio de pirates informatiques a mis à genoux l’audio re de Google
  • Les chercheurs ont mis au point un système de re breaking efficace contre Google et Facebook
  • Re est toujours vulnérable – peut-être
    • Comment fonctionne le nouveau Google re?
    • Comment fonctionne Google »s « Aucun » travail?,
    • Pas de re challenge

    accessibilité

    • Campagne de tuer coup d’envoi
    • Comment Google »s re traite de l’accessibilité?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *