Come funziona CAPTCHA

Posted on

Che cos’è ?

Si è sicuramente familiarità con questa tecnologia, anche se non si conosce veramente il nome. sta per Test di Turing pubblico completamente automatizzato per distinguere computer e umani. Il suo obiettivo è quello di verificare se un utente (di un’app o di un sito web) è una persona reale o un bot. Per fare questo, si basa su tratti specifici che le persone hanno e le macchine non lo fanno. E”ampiamente usato nel settore web come una buona protezione contro lo spam, bot o attacchi DOS.

Perché abbiamo bisogno ?,

Ci sono un sacco di persone là fuori che vogliono danneggiare il tuo sito web, per motivi diversi. Concorrenza sleale, pubblicità, a volte comportamenti dannosi o solo divertimento. Si può implicare che non è la maggior parte degli utenti web che stanno cercando di sfruttare le debolezze del sistema, ma il problema rimane.

L’esempio più semplice è il DOS (Il Denial of Service), che è un tipo di attacco che si concentra sul rendere una risorsa non disponibile. L’attaccante invia una grande quantità di richieste al server per renderlo incapace di restituire i risultati. Blocca semplicemente il tuo sito web., Fare questo attacco individualmente, da una persona reale, sarebbe un orrore. Sarebbe noioso, estenuante e semplicemente impossibile. Non si può fare manualmente la quantità efficiente di richieste, ma i computer non si esauriscono o annoiati. Non è un problema per loro di fare centinaia di richieste ogni… secondo. ti aiuta a identificare tali comportamenti e bloccarli.

Un altro esempio è la tattica pubblicitaria dannosa. Ogni utente di Internet ha familiarità con lo spam. Ricevi tonnellate di email indesiderate ogni giorno. E”facile da bloccare una particolare e-mail, ma è difficile da proteggere contro quelli sconosciuti., Se uno spammer utilizza un solo account di posta elettronica, possiamo facilmente bloccarlo. Ma immagina ora che lui / lei assume un bot per utilizzare uno dei provider di posta elettronica gratuiti (quello che non usa ). In questo modo, può impostare un nuovo account ogni diversi minuti e inviare contenuti spam dai diversi indirizzi.

Un terzo esempio, più banale – commenti. Un sacco di siti web, anche piccoli blog, stanno combattendo con annunci indesiderati. Naturalmente, possiamo chiudere un occhio su uno o due messaggi di spam. Sfortunatamente, ne vediamo spesso centinaia. È normale trovare contenuti ben scritti con una sezione di commenti spammati., Se vedi un post con centinaia dello stesso messaggio (non realmente correlato al testo), il proprietario probabilmente non lo usa . Anche per le persone reali, ma con cattive intenzioni (i cosiddetti “troll”), può essere una barricata scoraggiante.

Come funziona?

le radici risalgono all’inizio del ventesimo secolo quando Alan Turing voleva rispondere a una domanda: i computer sono in grado di pensare come gli umani? Ha istituito un gioco di imitazione, in cui un interrogatore è stato obbligato a porre due partecipanti serie di domande. I partecipanti erano esseri umani e macchine., La sfida dell “interrogatore era quello di capire quale era l” essere umano. L’interrogatore non era in grado di vederli o sentirli e aveva bisogno di fare affidamento solo sulle risposte. Se l’interrogatore non è stato in grado di decidere o ha deciso male, la macchina ha superato il test di Turing. L’obiettivo è quello di porre tale domanda o di fare tale sfida che i computer non sono in grado di affrontare. Allo stesso tempo, dovrebbe essere facile rispondere per gli umani.

Lo schema è semplice. Si digita alcuni dati o si esegue qualsiasi altra azione e quindi si conferma superando un test., Il tipo più comune di test è un’immagine di un gruppo di lettere distorte. Usa il problema dei computer che non sono in grado di pensare in modo astratto e “vedere” il mondo come fanno le persone. Mentre gli esseri umani sono davvero sofisticati con l’elaborazione di dati visivi, i computer non hanno quelle competenze. Quando guardi l’immagine, puoi leggere rapidamente il modello. Il cervello degli esseri umani è costruito in modo tale che è sempre alla ricerca di un modello noto o forma. Conosci il paradosso di vedere volti e forme negli alberi, nuvole… anche è solo un’illusione. Si chiama pareidolia.,

Mentre si è facilmente in grado di leggere le parole di cui sopra e scriverle, per i computer è solo una massa di zeri e uno. Tuttavia, dobbiamo ricordare come funzionano le macchine. ‘s sfide non dovrebbero essere limitati a qualsiasi numero fisso. Se lo facessero, sarebbe facile insegnare a un computer quale testo corrisponde a una determinata immagine. Pertanto, molti creatori utilizzano algoritmi sofisticati per generare i loro testi distorti in modo casuale. I creatori di re hanno capito un’altra idea. Hanno usato il processo di…, digitalizzare libri e ha chiesto agli utenti di decifrare i pezzi brevi.

A causa dell’evoluzione degli algoritmi bot, le S distorte di testo sono diventate molto più difficili da risolvere. Basta guardare i due esempi qui sotto.

Mentre il primo è abbastanza leggibile, la seconda potrebbe causare alcuni problemi per chi non ha una vista acuta. Pertanto, molti sviluppatori hanno cercato di pensare a un nuovo tipo di ., Il risultato del loro lavoro è stato selezionare-immagini .

Si basa sulla stessa base, ma è solo più difficile da risolvere per le macchine. E ciò che è più importante, è più facile da risolvere per gli esseri umani.

Lo schema è facile. Hai una collezione di immagini e devi scegliere quelle che corrispondono ai requisiti. E ” facile per voi a scegliere quelli giusti. Computer, però, non pensano come gli esseri umani e non è così facile per loro. Si basa su un classico problema di computer vision di etichettatura delle immagini., Anche, è davvero mobile-friendly. E ” più facile toccare le immagini corrispondenti con un indizio di digitare una linea di testo distorto.

Questi approcci hanno i loro contro. Per le macchine, sono difficili da risolvere, ma i sistemi di lettura del testo sono anche solo algoritmi. Pertanto, incoraggiano i problemi con la lettura di s e vengono trattati come bot. Per i non vedenti e le persone con disfunzioni oculari diverse, provoca una barriera tecnologica. Con questo in mente, gli sviluppatori spesso aggiungono il suono alle loro soluzioni di distorsione del testo.,

Funziona in modo simile. Lo script aggiunge ulteriore rumore di fondo per l’audio al fine di rendere più difficile per i bot per risolvere. Ha un piccolo impatto sugli esseri umani, ma aggiunge un sacco di problemi per i programmi di riconoscimento vocale.

Mentre tutte queste soluzioni sono perfette sulla carta, possono ancora essere fastidiose e confuse. Pertanto, Google ha introdotto un nuovo (No re) che ti chiede solo di selezionare una casella.,

Esempio

Hai già alcune conoscenze generali sui diversi tipi di . Ora voglio dirvi di più sulla soluzione più recente e più popolare – no re.

È stato creato come risultato della realizzazione abbastanza ovvia. Bot ottenuto così avanzato che ora è impossibile generare immagini che sono facili da risolvere per gli esseri umani, ma irrisolvibile per loro. Man mano che gli spammer diventano sempre più sofisticati, le immagini diventano sempre più difficili da leggere. Ma la ricerca di Google ha dimostrato che si tratta di un vicolo cieco., La tecnologia IA di oggi può risolvere anche i testi distorti più difficili (precisione quasi del 99,8%).

Così, invece di rendere più difficile per gli esseri umani, hanno deciso di trovare un modo per fare un algoritmo più avanzato. Il suo obiettivo è quello di rendere il processo di controllo facile per voi, ma ancora efficace per la protezione contro i bot.

Non possiamo dire come funziona davvero in dettaglio, perché – è comprensibile – non è disponibile per il pubblico. Quello che sappiamo è che Google ha creato sofisticate tecnologie di analisi. Si cerca in qualche modo di indovinare se sei un essere umano o no., Se pensa che tu sia, devi solo selezionare una casella per dimostrarlo.

È semplice, accessibile e non fastidioso. Se l”analisi non è sufficiente per decidere, il sistema vi chiede di risolvere select-image . Se non è ancora abbastanza, ti chiede di risolvere un più classico, ma molto più difficile di quelli vecchi.

Ok, ora torniamo ad analizzare il motore dietro. Non conosciamo i dettagli, ma cerchiamo di pensare come potrebbe funzionare., A GitHub è possibile trovare una grande analisi quali passi re prende per far funzionare tutto. La combinazione con la carta “io non sono un essere umano: la Rottura del Google re” (da Suphannee Sivakorn, Jason Polakis, e Angelos D. Keromytis), sappiamo che lo script riunisce almeno informazioni su:

  • Plugins
  • User-agent (test se è vero)
  • tempo di Esecuzione, fuso orario
  • Numero di mouse/tastiera/touch azioni nel <iframe> di
  • Probabilmente i cookie lato server

e…,

  • confronta l’ambiente con il comportamento di molte funzioni specifiche del browser e le regole CSS
  • controlla il rendering degli elementi canvas.

Inoltre, la risoluzione dello schermo e gli eventi del mouse non contano davvero. Usiamo diversi dispositivi, usiamo tablet (non c’è quasi nessun comportamento del mouse), quindi sembra saggio. Nel documento, si può anche leggere che mantenere un cookie attivo per + 9 giorni consente di passare re facendo solo clic sulla casella di controllo.

È una soluzione sicura? Al fine di rompere un completamente, si dovrebbe cercare di manipolare il computer a pensare in modo umano., Non è davvero possibile, ma ci sono alcune soluzioni alternative. I computer cercano di rilevare il testo almeno in parte e” indovinare”qual è il risultato o utilizzare algoritmi sofisticati. E ” davvero utile per loro di avere un database di stringa s già rotto. Ci sono siti web che pagano anche i loro utenti per risolvere l ” immagine s. Sembra che può essere davvero utile per i bot nella lotta con .

Finché le persone conoscono le debolezze dei computer, proveranno approcci diversi. Cercheranno di affrontare riducendo la sua complessità., Un hacker intelligente guarderebbe generato e analizzare ciò che li rende così difficile da risolvere. C’è qualcosa sullo sfondo? Giochiamo con il contrasto e sbarazziamoci dei valori medi. Se fai la tua immagine in bianco e nero, la tua sfida sarà molto più semplice. Se si prende in considerazione abbastanza quantità di fattori, sarete in grado di costruire un algoritmo davvero funzionante.

Nessuno pensava che l’immagine sarebbe sempre stata sicura ed era una questione di tempo che sarebbe stata incrinata e… lo era gia’. Per molto tempo, Google immagine re sistema sembrava una scelta sicura., Sfortunatamente, i ricercatori hanno già insegnato alla macchina a indovinare la risposta corretta. Al 70,78 per cento di precisione, come hanno registrato. E ” un grande risultato, con un tempo medio di risolvere meno di 20 secondi. Il sistema di Facebook non è riuscito ancora peggio con 83.5% del tasso di successo.

Molti sistemi di immagini non sono riusciti contro algoritmi avanzati. Jennifer Tam, Jiri Simsa, Sean Hyde e Luis von Ahn (tutti che lavorano per la Carnegie Mellon University, Pittsburgh) volevano capire se fosse facile ingannare anche il suono. Ci sono riusciti con alcuni di loro., Nella primavera del 2012, ci sono stati rapporti che il sistema audio di Google era stato rotto con un tasso di successo del 99%. Gli ingegneri hanno fatto una piccola svista. Il rumore di fondo (la protezione principale) non ha utilizzato i suoni ad alta frequenza. Ha reso facile per gli hacker isolare ogni parola individuando le regioni con frequenze più alte.

E per quanto riguarda la soluzione più recente – no re? Questa tecnica può sembrare più difficile da decifrare ma non è infrangibile. Quest’anno gli esperti di sicurezza della Columbia University hanno schierato una tecnica di attacco contro Facebook e Google non ri. Ci riescono con 41.,57 percentuale di successo (a circa 20 secondi per sfida). E”inferiore al 50%, ma è sufficiente per i bot per rendere il vostro sito web spammato. Possono bombardarti con centinaia di richieste al minuto dopo tutto. Come hanno fatto a decifrarlo? Hanno creato il loro sofisticato algoritmo di ri-rottura e lo hanno confrontato con altri interruttori disponibili. Grazie a ciò hanno implementato una soluzione equilibrata. Hanno raggiunto tale successo, mentre in modalità offline. Quindi, possiamo presumere che un sacco di nessun potere ri deriva dall’analisi della cronologia degli utenti, inaccessibile senza la connessione Internet.,

Contro di

è ampiamente utilizzato e può essere davvero fastidioso. Cerchiamo di essere onesti – digitando alcune lettere stranamente a forma di o risolvere qualsiasi altro tipo di sfide più e più volte è semplicemente irritante. Ok, sappiamo perché gli sviluppatori lo usano. Tuttavia, sembra che stanno cercando di scrollarsi di dosso le loro responsabilità e rendere il vostro. Dicendo questo, avresti in parte ragione. C”è un po” di verità in esso, ma è davvero difficile trovare un altro modo per farlo. Si può provare alcuni algoritmi sofisticati, ma nella maggior parte dei casi, è facile ingannarli.

Un altro problema – accessibilità., Anche se hai grandi occhi, a volte puoi affrontare problemi. Identificare un testo o un’immagine valida (select-image S) non è sempre una cosa semplice. E se la tua visione fosse un po ‘ sfocata o se avessi qualche tipo di disfunzione oculare? La versione audio sembra una soluzione perfetta, ma spesso ha scarsa qualità. E se si utilizza solo testo browser o non hanno una scheda audio installata?

consuma anche il tuo tempo. Si potrebbe dire che ci vogliono solo 2,3 secondi, ma ora immaginate che ogni sito web lo utilizza. Quanti di loro si fa a visitare un giorno?, Quante azioni potrebbe un sito chiederti di eseguire per verificare la tua umanità?

A può danneggiare l’usabilità e l’accessibilità del tuo sito web. Anche se il nuovo re fatto da Google si occupa bene con esso, non tutti i sistemi è così bravo a questo.

Conclusione

Sembra che non ci sia una soluzione perfetta. Con ogni nuova generazione di, ci sono nuove generazioni di bot. Gli algoritmi più sofisticati si utilizzano per proteggere da loro, il più saggio diventano. Ma significa che è completamente inutile e solo infastidisce gli utenti? No, l’idea è ancora buona., Anche semplici s rappresentano una barriera significativa per la maggior parte dei bot primitivi. Non dovremmo privare di esso, ma si prega di notare che non protegge voi e / oi vostri utenti di dati / credenziali di perdita, che può essere attivato da eventuali script di terze parti inclusi nella pagina, estensioni del browser o un trojan MitB.

Vuoi saperne di più? Ecco alcuni link utili:

‘ s obiettivo

  • Qual è lo scopo della tecnologia?,

Breaking

  • Google ri Incrinato nel Nuovo Attacco Automatizzato
  • Stanford Ricercatori Crack Code
  • Breaking Audio s
  • Leggi come un trio di hacker che ha portato Google audio del re in ginocchio
  • Ricercatori hanno ideato un re breaking sistema efficace contro Google e Facebook
  • Re è ancora vulnerabile, forse anche più di prima

Come fa Google non ri di lavoro?

  • Come funziona il nuovo Google re?
  • Come funziona il”No re “di Google?,
  • No re sfida

accessibilità

  • Campagna per uccidere prende il via
  • Come re di Google si occupa di accessibilità?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *