Sådan fungerer CAPTCHA

Posted on

Hvad er ?

Du er helt sikkert bekendt med denne teknologi, selvom du don”t virkelig kender navnet. står for fuldstændig automatiseret Offentlig Turing-Test for at fortælle computere og mennesker fra hinanden. Målet er at kontrollere, om en bruger (af en app eller et websiteebsted) er en rigtig person eller en bot. For at gøre det, det er afhængig af specifikke træk, som folk har, og maskiner don”t. det er meget udbredt i webebbranchen som en god beskyttelse mod spam, bots eller DOS-angreb.

Hvorfor har vi brug for ?,

Der er mange mennesker derude, der vil skade dit websiteebsted af forskellige årsager. Illoyal konkurrence, reklame, undertiden ondsindet adfærd eller bare sjov. Du kan antyde det ” s ikke de fleste webeb-brugere, der forsøger at udnytte systemets svagheder, men problemet er fortsat.

det enkleste eksempel er DOS (Denial of Service), som er en type angreb, der er fokuseret på at gøre en ressource utilgængelig. Angriberen sender en stor mængde anmodninger til serveren for at gøre det ude af stand til at returnere resultater. Det blokerer simpelthen dit websiteebsted., At gøre dette angreb individuelt af en rigtig person ville være en rædsel. Det ville være kedeligt, udmattende og simpelthen umuligt. Du kan ikke manuelt gøre den effektive mængde af anmodninger, men computere don”t få opbrugt eller keder sig. Det er ikke et problem for dem at gøre hundredvis af anmodninger hver… anden. hjælper dig med at identificere sådanne adfærd og blokere dem.et andet eksempel er ondsindet reklametaktik. Hver internetbruger er bekendt med spam. Du modtager tonsvis af uønskede e-mails hver dag. Det er nemt at blokere en bestemt e-mail, men det er svært at beskytte mod ukendte dem., Hvis en spammer kun bruger en e-mail-konto, kan vi nemt blokere den. Men forestil dig nu, at han / hun ansætter en bot til at bruge en af de gratis e-mail-udbydere (den, der gør ikke”t brug ). På den måde kan den oprette en ny konto hvert par minutter og sende spamindhold fra de forskellige adresser.

et tredje eksempel, mere trivielt – kommentarer. En masse hjemmesider, selv små blogs, kæmper med uønskede annoncer. Selvfølgelig kan vi blinde øje med en eller to spam-meddelelser. Desværre ser vi ofte hundredvis af dem. Det er normalt at finde velskrevet indhold med en spammed kommentarer sektion., Hvis du ser et indlæg med hundredvis af den samme besked (ikke rigtig relateret til teksten), ejeren sandsynligvis gør ikke”t brug . Selv for rigtige mennesker, men med onde hensigter (såkaldte “Trold”), kan det være en nedslående barrikade.

Hvordan virker det?

rødder går tilbage til begyndelsen af det tyvende århundrede, da Alan Turing ønskede at besvare et spørgsmål – er computere i stand til at tænke som mennesker? Han oprettede et spil efterligning, hvor en forhørsleder var forpligtet til at stille to deltagere række spørgsmål. Deltagerne var mennesker og maskiner., Den interrogator ” s udfordring var at finde ud af, hvilken en var mennesket. Forhørsmanden kunne ikke se eller høre dem og havde kun brug for at stole på svar. Hvis forhørsmanden ikke var i stand til at beslutte eller beslutte forkert, bestod maskinen Turing-testen. Målet er at stille et sådant spørgsmål eller at gøre en sådan udfordring, som computere ikke er i stand til at tackle. Samtidig skal det være let at svare for mennesker.

ordningen er enkel. Du skriver nogle data eller udfører en anden handling og bekræfter den derefter ved at bestå en test., Den mest almindelige type test er et billede af en flok forvrængede bogstaver. Det bruger spørgsmålet om computere, der ikke er i stand til at tænke abstrakt og “se” verden, som folk gør. Mens mennesker er virkelig sofistikerede med behandling af visuelle data, mangler computere disse færdigheder. Når du ser på billedet, kan du hurtigt læse mønsteret. Hjernen hos mennesker er konstrueret på en sådan måde, at det”s altid søger efter et kendt mønster eller form. Du kender Paradokset ved at se ansigter og former i træer, skyer… selv det ” s bare en illusion. Det hedder pareidolia.,

Mens du er let i stand til at læse de ovennævnte ord, og skriv dem ned, for computere, det er bare en masse af nuller og ettaller. Ikke desto mindre skal vi huske, hvordan maskiner fungerer. “s udfordringer bør” t være begrænset til et fast antal. Hvis de ville, ville det være let at lære en computer, hvilken tekst der svarer til et givet billede. Derfor bruger mange skabere sofistikerede algoritmer for at generere deres forvrængede tekster tilfældigt. Skabere af re regnet ud en anden id.. De brugte processen med…, digitalisering af bøger og bad brugerne om at dekryptere de korte stykker.

På grund af de udviklende botalgoritmer er tekstforvrængede S blevet meget sværere at løse. Bare se på de to eksempler nedenfor.

Mens den første er ganske læsbar, den anden allerede kunne give visse problemer for nogen, uden skarpe syn. Derfor forsøgte mange udviklere at tænke på en ny type ., Resultatet af deres arbejde var select-images .

Det bygger på det samme fundament, men det er bare sværere at løse for maskiner. Og hvad er vigtigere, det er lettere at løse for mennesker.

ordningen er let. Du har en samling af billeder og er nødt til at vælge dem, der matcher kravene. Det ” s nemt for dig at vælge de rigtige. Computere, dog don”t tænke som mennesker, og det er ikke så let for dem. Det er afhængig af et klassisk computersynsproblem med billedmærkning., Også, det ” s virkelig mobil-venlige. Det er nemmere at trykke billeder, der svarer med et fingerpeg end skrive en linje af forvrænget tekst.

disse tilgange har deres ulemper. For maskiner er de svære at løse, men tekstlæsningssystemer er også bare algoritmer. Således tilskynder de problemer med at læse s og behandles som bots. For blinde mennesker og mennesker med forskellige øjne dysfunktioner forårsager det en teknologisk barriere. Med det i tankerne tilføjer udviklere ofte lyd – til deres tekstforvridende løsninger.,

Det virker på en lignende måde. Scriptet tilføjer yderligere baggrundsstøj til lyd for at gøre det sværere for bots at løse. Det har en lille indflydelse på mennesker, men det tilføjer en masse problemer for stemmegenkendelsesprogrammer.selvom alle disse løsninger er perfekte på papir, kan de stadig være irriterende og forvirrende. Derfor introducerede Google en ny (Ingen re), der kun beder dig om at markere en boks.,

Eksempel

Du allerede har en overordnet viden om de forskellige typer . Nu vil jeg fortælle dig mere om den nyeste og mest populære løsning – Ingen re.

det blev oprettet som et resultat af den helt indlysende realisering. Bots fik så avanceret, at det ” s nu umuligt at generere billeder, der er nemme at løse for mennesker, men uløselige for dem. Efterhånden som spammere bliver mere og mere sofistikerede, blev billederne sværere og sværere at læse. Men Googles forskning viste, at det er en blindgyde., Dagens AI-teknologi kan løse selv de sværeste forvrængede tekster (næsten 99,8% nøjagtighed).

så i stedet for at gøre det sværere for mennesker, har de”besluttet at finde en måde at lave en mere avanceret algoritme på. Dens mål er at gøre kontrolprocessen let for dig, men stadig effektiv til beskyttelse mod bots.

Vi kan ikke sige, hvordan det virkelig fungerer i detaljer, fordi – det er forståeligt – det er ikke tilgængeligt for offentligheden. Det, vi ved, er, at Google skabte sofistikeret analyseteknologi. Det forsøger på en eller anden måde at gætte, om du”er et menneske eller ej., Hvis det tror du er, skal du bare markere en boks for at bevise det.

Det er enkelt, tilgængeligt og ikke irriterende. Hvis analysen isn ” t nok til at beslutte, systemet beder dig om at løse select-image . Hvis det ” s stadig ikke nok, det beder dig om at løse en mere klassisk , men meget sværere end gamle.

Okay, lad os komme tilbage til at analysere motoren bag. Vi don ‘t kender detaljerne, men lad’ s forsøge at tænke, hvordan kunne det arbejde., På GitHub kan du finde en god analyse, hvilke skridt re tager for at få det hele til at fungere. Ved at kombinere det med papiret “jeg er ikke et menneske: at Bryde Google re” (ved Suphannee Sivakorn, Jason Polakis, og Angelos D. Keromytis), ved vi, at scriptet samler mindst oplysninger om:

  • Plugins
  • User-agent (det forsøg, hvis det”s real)
  • gennemførelsestid, tidszone
  • Antallet af klik/tastatur/touch-handlinger i <iframe> af
  • Sandsynligvis cookies server-side

og det…,

  • sammenligner miljø med opførelsen af mange bro .serspecifikke funktioner og CSS-regler
  • kontrollerer gengivelsen af lærredelementer.

også, skærmopløsning og mus begivenheder don”t virkelig noget. Vi bruger forskellige enheder, vi bruger tabletter (der er næsten ingen museadfærd), så det virker klogt. I papiret kan du også læse, at hvis du holder en cookie aktiv i +9 dage, kan du passere re ved kun at klikke på afkrydsningsfeltet.

er en sikker løsning? For at bryde en helt, ville du nødt til at forsøge at manipulere din computer til at tænke på en menneskelig måde., Det er ikke rigtig muligt, men der er nogle løsninger. Computere forsøger at registrere teksten i det mindste delvist og “gætte” hvad”er resultatet eller bruge sofistikerede algoritmer. Det er virkelig nyttigt for dem at have en database over allerede brudt s streng. Der er websebsteder, der endda betaler deres brugere for at løse billedet s. det ser ud til, at det virkelig kan være nyttigt for bots i kampen med .

så længe folk ved om computerens svagheder, vil de prøve forskellige tilgange. De vil forsøge at tackle ved at reducere dens kompleksitet., En smart hacker ville se på genereret og analysere, hvad der gør dem så svære at løse. Er der noget i baggrunden? Lad ” s spille med kontrast og slippe af med de midterste værdier. Hvis du gør dit billede sort og hvidt, vil din udfordring være meget enklere. Hvis du ” vil tage højde for nok mængde faktorer, vil du være i stand til at opbygge en virkelig fungerende algoritme.

ingen troede, at billedet altid ville være sikkert, og det var et spørgsmål om tid, at det ville være revnet og… det var det allerede. I lang tid, Google image re-system virkede som et sikkert valg., Desværre har forskere allerede lært maskinen at gætte det rigtige svar. Ved 70,78 procent nøjagtighed, som de registrerede. Det er et fantastisk resultat, med en gennemsnitlig tid til at løse mindre end 20 sekunder. Facebook-systemet mislykkedes endnu værre med 83.5% af succesraten.

mange billedsystemer mislykkedes mod avancerede algoritmer. Jennifer Tam, Jiri Simsa, Sean Hyde, og Luis von Ahn (alle, der arbejder for Carnegie Mellon University, Pittsburgh) ønskede at finde ud af, om det var let at narre lyd så godt. De lykkedes med nogle af dem., I foråret 2012 var der rapporter om, at Googles lydsystem var blevet brudt med en 99% succesrate. Ingeniørerne lavede lidt tilsyn. Støj baggrunden (den vigtigste beskyttelse) didn”t bruge de højfrekvente lyde. Det gjorde det nemt for hackere at isolere hvert ord ved at lokalisere regioner med højere frekvenser.

og hvad med den nyeste løsning – Ingen re? Denne teknik kan virke sværere at knække, men er ikke ubrydelig. I år sikkerhedseksperter fra Columbia University har indsat et angreb teknik mod Facebook og Google Ingen re. De lykkes med 41.,57 procent succesrate (på omkring 20 sekunder pr udfordring). Det er mindre end 50%, men det er nok for bots til at gøre din hjemmeside spammet. De kan bombardere dig med hundredvis af anmodninger i minuttet efter alle. Hvordan knækkede de det? De skabte deres egen sofistikerede re-breaking algoritme og sammenlignet det med andre tilgængelige-breakers. Takket være, at de”ve indsat en afbalanceret løsning. De ” ve opnået en sådan succes, mens i offline-tilstand. Så, vi kan antage, at en masse ingen re magt kommer fra at analysere brugerhistorik, utilgængelige uden internetforbindelsen.,

ulemper ved

er meget udbredt, og det kan være virkelig irriterende. Lad ” s være ærlig-at skrive nogle mærkeligt formede bogstaver eller løse andre typer af udfordringer igen og igen er simpelthen irriterende. Ok, vi ved, hvorfor udviklere bruger det. Ikke desto mindre ser det ud til, at de ” forsøger at ryste deres ansvar og gøre det til dit. Ved at sige det, ville du delvis have ret. Der er en vis sandhed i det, men det”s virkelig svært at finde en anden måde at gøre det. Du kan prøve nogle avancerede algoritmer, men i de fleste tilfælde, Det”s let at narre dem.

et andet problem – tilgængelighed., Selvom du har gode øjne, kan du nogle gange få problemer. Identifikation af en gyldig tekst eller billede (select-image s) isn”t altid en simpel ting. Og hvad nu hvis din vision er lidt sløret, eller du har en form for øjendysfunktion? Lydversionen synes at være en perfekt løsning, men den har ofte dårlig kvalitet. Og hvad nu hvis du bruger tekst-kun bro ?sere eller don”t har et lydkort installeret?

bruger også din tid. Man kan sige, at det kun tager 2,3 sekunder, men forestil dig nu, at hvert websiteebsted bruger det. Hvor mange af dem besøger du en dag?, Hvor mange handlinger kan et siteebsted bede dig om at udføre for at bekræfte din menneskehed?

A kan skade dit websiteebsteds brugervenlighed og tilgængelighed. Selv hvis den nye re lavet af Google handler godt med det, ikke alle systemer er så god til det.

konklusion

det ser ud til, at der ikke er nogen perfekt løsning. Med hver ny generation af, der er nye generationer af bots. Jo mere sofistikerede algoritmer du bruger til at beskytte mod dem, jo klogere bliver de. Men betyder det, er helt ubrugelig og bare irriterer brugerne? Nej, ideen er stadig god., Selv enkle s repræsenterer en betydelig barriere for de fleste primitive bots. Vi shouldn ” t fratage det, men bemærk, at ikke beskytter dig og/eller dine brugere om data/legitimationsoplysninger lækage, som kan udløses af eventuelle tredjeparts scripts inkluderet i siden, bro .serudvidelser eller en MitB trojan.

vil du vide mere? Her er nogle nyttige links:

‘s mål

  • hvad er formålet med teknologi?,

at Bryde

  • Google re Krakket i Nye Automatiserede Angreb
  • Stanford Forskere Knække Koden
  • at Bryde Audio s
  • Læs, hvordan en trio af hackere bragt Google ‘ s audio re knæ
  • Forskere udarbejdet en ny bryde systemet er effektivt mod Google og Facebook
  • Re er stadig sårbare, og måske endda mere end nogensinde før

Hvordan virker Google er ingen re arbejde?

  • Hvordan virker ny Google re arbejde?
  • Hvordan fungerer Google ” s “No re”?,
  • ingen udfordring

tilgængelighed

  • kampagne for at dræbe spark i gang
  • hvordan Google”S håndterer tilgængelighed?

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *