Wat is ?
u bent zeker bekend met deze technologie, zelfs als u de naam niet echt kent. staat voor volledig geautomatiseerde publieke Turing Test om Computers en mensen uit elkaar te houden. Het doel is om te controleren of een gebruiker (van een app of een website) is een echte persoon of een bot. Om dat te doen, is het gebaseerd op specifieke eigenschappen die mensen hebben en machines don ‘t. It’ s veel gebruikt in de web-industrie als een goede bescherming tegen spam, bots of DOS-aanvallen.
Waarom hebben we dat nodig ?,
Er zijn veel mensen die uw website willen schaden, om verschillende redenen. Oneerlijke concurrentie, reclame, soms kwaadaardig gedrag of gewoon plezier. U kunt impliceren dat het ” is niet de meerderheid van de webgebruikers die proberen om uw systeem zwakke punten te benutten, maar het probleem blijft.
het eenvoudigste voorbeeld is de DOS (de Denial of Service), een type aanval dat gericht is op het niet beschikbaar maken van een bron. De aanvaller stuurt een groot aantal verzoeken naar de server om het niet in staat om resultaten te retourneren. Het blokkeert gewoon uw website., Deze aanval individueel doen, door een echt persoon, zou een verschrikking zijn. Het zou saai, vermoeiend en gewoon onmogelijk zijn. U kunt “t handmatig maken van de efficiënte hoeveelheid verzoeken, maar computers don” t krijgen uitgeput of verveeld. Het is geen probleem voor hen om honderden verzoeken elke… tweede. helpt u om dergelijk gedrag te identificeren en te blokkeren.
een ander voorbeeld is kwaadaardige reclametactiek. Elke internetgebruiker is bekend met spam. U ontvangt ton van ongewenste e-mails elke dag. Het is gemakkelijk om een bepaalde e-mail te blokkeren, maar het is moeilijk te beschermen tegen onbekende., Als een spammer slechts één e-mailaccount gebruikt, kunnen we het gemakkelijk blokkeren. Maar stel je nu voor dat hij / zij huurt een bot om een van de gratis e-mailproviders gebruiken (degene die doesn ‘ t gebruik ). Op die manier, het kan het opzetten van een nieuwe account om de paar minuten en stuur spam inhoud van de verschillende adressen.
een derde voorbeeld, meer triviale-commentaren. Veel websites, zelfs kleine blogs, vechten met ongewenste advertenties. Natuurlijk kunnen we een oogje dichtknijpen bij een of twee spamberichten. Helaas zien we er vaak honderden. Het is gebruikelijk om goed geschreven inhoud te vinden met een gespamde opmerkingen sectie., Als u een bericht met honderden van hetzelfde bericht (niet echt gerelateerd aan de tekst), de eigenaar waarschijnlijk niet gebruiken . Zelfs voor echte mensen, maar met kwade bedoelingen (zogenaamde” trollen”), kan het een ontmoedigende barricade zijn.
Hoe werkt het?
roots dateren uit het begin van de twintigste eeuw toen Alan Turing een vraag wilde beantwoorden – zijn computers in staat om te denken als mensen? Hij zette een spel van imitatie op, waarbij een ondervrager verplicht was om twee deelnemers reeks vragen te stellen. De deelnemers waren mensen en machines., De ondervrager ‘ s uitdaging was om erachter te komen wie de mens was. De ondervrager kon ze niet zien of horen en hoefde alleen op antwoorden te vertrouwen. Als de ondervrager niet in staat was om te beslissen of verkeerd besloot, slaagde de machine voor de Turing-test. Het doel is om zo ’n vraag te stellen of zo’ n uitdaging aan te gaan waar computers niet mee om kunnen gaan. Tegelijkertijd moet het gemakkelijk te beantwoorden zijn voor mensen.
het schema is eenvoudig. U typt gegevens in of voert een andere actie uit en bevestigt deze door een test te doorstaan., Het meest voorkomende type test is een afbeelding van een stel vervormde letters. Het maakt gebruik van de kwestie van computers niet in staat zijn om abstract te denken en “zien” de wereld zoals mensen doen. Terwijl mensen echt verfijnd zijn met het verwerken van visuele gegevens, missen computers die vaardigheden. Als je naar de afbeelding kijkt, kun je snel het patroon lezen. Het brein van de mens is zo geconstrueerd dat het altijd op zoek is naar een bekend patroon of vorm. Je kent de paradox van het zien van gezichten en vormen in bomen, wolken… zelfs het is maar een illusie. Het heet pareidolia.,
hoewel u de bovenstaande woorden gemakkelijk kunt lezen en opschrijven, is het voor computers slechts een massa van nullen en enen. Toch moeten we niet vergeten hoe machines werken. ’s uitdagingen moeten’ t worden beperkt tot een vast aantal. Als ze dat zouden doen, zou het gemakkelijk zijn om een computer te leren welke tekst overeenkomt met een gegeven beeld. Daarom gebruiken veel makers geavanceerde algoritmen om hun vervormde teksten willekeurig te genereren. Makers van re bedacht een ander idee. Ze gebruikten het proces van…, het digitaliseren van boeken en gebruikers gevraagd om de korte stukken te decoderen.
door de zich ontwikkelende botalgoritmen zijn tekstvervormde s een stuk moeilijker op te lossen geworden. Kijk maar naar de twee voorbeelden hieronder.
hoewel de eerste goed leesbaar is, kan de tweede al problemen veroorzaken voor iemand zonder scherp zicht. Daarom hebben veel ontwikkelaars geprobeerd om een nieuw type te bedenken ., Het resultaat van hun werk was select-images .
Het vertrouwt op dezelfde basis, maar het is gewoon moeilijker op te lossen voor machines. En wat belangrijker is, het is makkelijker op te lossen voor mensen.
het schema is eenvoudig. Je hebt een verzameling van beelden en hebben om degenen die overeenkomen met de eisen te kiezen. Het is makkelijk voor jou om de juiste te kiezen. Computers, echter, niet denken als mensen en het is niet zo gemakkelijk voor hen. Het is gebaseerd op een klassiek computervisieprobleem van beeldetikettering., Ook, het is echt mobiel-vriendelijk. Het is makkelijker om beelden te tikken die overeenkomen met een aanwijzing dan typ een lijn van vervormde tekst.
deze benaderingen hebben hun nadelen. Voor machines zijn ze moeilijk op te lossen, maar tekstlezingssystemen zijn ook gewoon algoritmen. Dus, ze moedigen problemen met het lezen s en worden behandeld als bots. Voor blinden en mensen met verschillende ogen disfuncties veroorzaakt het een technologische barrière. Met dat in het achterhoofd voegen ontwikkelaars vaak geluid toe aan hun tekstvervormende oplossingen.,
Het werkt op een vergelijkbare manier. Het script voegt extra achtergrondruis toe aan audio om het moeilijker te maken voor bots om op te lossen. Het heeft een kleine impact op mensen, maar het voegt veel problemen voor spraakherkenningsprogramma ‘ s.
hoewel al deze oplossingen perfect zijn op papier, kunnen ze nog steeds vervelend en verwarrend zijn. Daarom, Google introduceerde een nieuwe (Geen re) die vraagt u alleen om een vakje aan te vinken.,
voorbeeld
u hebt al enige algemene kennis over verschillende soorten . Nu wil ik u meer vertellen over de nieuwste en de meest populaire oplossing – geen re.
Het werd gemaakt als gevolg van de vrij voor de hand liggende realisatie. Bots werd zo geavanceerd dat het nu onmogelijk is om beelden te genereren die gemakkelijk op te lossen zijn voor mensen, maar onoplosbaar voor hen. Naarmate spammers steeds geavanceerder worden, worden afbeeldingen steeds moeilijker te lezen. Maar Google ’s onderzoek toonde aan dat het”is een doodlopende weg., De huidige AI-technologie kan zelfs de moeilijkste vervormde teksten oplossen (bijna 99,8% nauwkeurigheid).
dus in plaats van het moeilijker te maken voor mensen, hebben ze besloten een manier te vinden om een geavanceerder algoritme te maken. Het doel is om het controleproces gemakkelijk voor u, maar nog steeds effectief voor bescherming tegen bots.
we kunnen niet in detail zeggen hoe het echt werkt, omdat – het is begrijpelijk – het niet beschikbaar is voor het publiek. Wat we weten is dat Google geavanceerde analysetechnologie heeft gemaakt. Het probeert te raden of je een mens bent of niet., Als het denkt dat je dat bent, je hoeft alleen maar een vakje aan te vinken om het te bewijzen.
Het is eenvoudig, toegankelijk en niet vervelend. Als de analyse isn ” t genoeg om te beslissen, het systeem vraagt u om select-image op te lossen . Als het nog steeds niet genoeg is , vraagt het je om een klassieker op te lossen, maar een stuk moeilijker dan oude.
Oké, laten we nu teruggaan naar het analyseren van de motor achter. We kennen de details niet, maar laten we proberen na te denken hoe het zou kunnen werken., Bij GitHub kunt u een geweldige analyse vinden welke stappen re neemt om het allemaal te laten werken. Door het te combineren met het artikel “I’ m not a human: Breaking the Google re” (door Suphannee Sivakorn, Jason Polakis en Angelos D. Keromytis), weten we dat het script tenminste informatie verzamelt over:
- Plug-ins
- User-agent (het test of het”echt”is)
- uitvoeringstijd, Tijdzone
- Aantal klik/toetsenbord/touch acties in de
<iframe>van de - waarschijnlijke cookies Server-Side
en it…,
- vergelijkt omgeving met het gedrag van veel browser-specifieke functies en CSS-regels
- controleert de weergave van canvas-elementen.
ook doen schermresolutie en muisgebeurtenissen er niet echt toe. We gebruiken verschillende apparaten, we gebruiken tablets (er is bijna geen muisgedrag), dus het lijkt verstandig. In de paper kunt u ook lezen dat het actief houden van een cookie voor +9 dagen u in staat stelt om re door te geven door alleen op het selectievakje te klikken.
Is de veilige oplossing? Om een volledig te breken, zou je moeten proberen om uw computer te manipuleren om te denken op een menselijke manier., Het is niet echt mogelijk, maar er zijn een aantal oplossingen. Computers proberen de tekst ten minste gedeeltelijk te detecteren en “raden” wat het resultaat is of gebruiken geavanceerde algoritmen. Het is echt nuttig voor hen om een database van al gebroken s string hebben. Er zijn websites die zelfs hun gebruikers betalen voor het oplossen van de afbeelding s. het lijkt erop dat het echt nuttig kan zijn voor bots in de strijd met .
zolang mensen weten over de zwakke punten van computers, zullen ze verschillende benaderingen proberen. Ze zullen proberen aan te pakken door de complexiteit ervan te verminderen., Een slimme hacker zou kijken naar gegenereerde en analyseren wat maakt ze zo moeilijk op te lossen. Is er iets op de achtergrond? Laten we spelen met contrast en zich te ontdoen van middelste waarden. Als je je afbeelding zwart-wit maakt, zal je uitdaging veel eenvoudiger zijn. Als u ” ll rekening houden met voldoende hoeveelheid factoren, zult u in staat zijn om een echt werkende algoritme te bouwen.
niemand dacht dat afbeelding altijd veilig zou zijn en het was een kwestie van tijd dat het zou worden gekraakt en… dat was het al. Voor een lange tijd, Google image re-systeem leek een veilige keuze., Helaas hebben onderzoekers de machine al geleerd om het juiste antwoord te raden. Met 70,78 procent nauwkeurigheid, zoals ze registreerden. Het is een geweldig resultaat, met een gemiddelde oplostijd van minder dan 20 seconden. Het Facebook-systeem faalde nog erger met 83,5% van het slagingspercentage.
veel afbeeldingssystemen zijn mislukt tegen geavanceerde algoritmen. Jennifer Tam, Jiri Simsa, Sean Hyde, en Luis von Ahn (allen werken voor Carnegie Mellon University, Pittsburgh) wilden weten of het ook makkelijk was om geluid voor de gek te houden. Ze slaagden met een aantal van hen., In het voorjaar van 2012, waren er meldingen dat Google ‘ s audiosysteem was gebroken met een 99% slagingspercentage. De ingenieurs hebben een beetje over het hoofd gezien. De ruisachtergrond (de hoofdbescherming) maakte geen gebruik van de hoogfrequente geluiden. Het maakte het gemakkelijk voor de hackers om elk woord te isoleren door het lokaliseren van de regio ‘ s met hogere frequenties.
en hoe zit het met de nieuwste oplossing – geen re? Deze techniek lijkt misschien moeilijker te kraken, maar is niet onbreekbaar. Dit jaar de security experts van Columbia University hebben ingezet een aanval techniek tegen Facebook en Google No re. Ze slagen met 41.,57 procent slagingspercentage (bij ongeveer 20 seconden per uitdaging). Het is minder dan 50%, maar het is genoeg voor bots om uw website gespamd. Ze kunnen je toch bombarderen met honderden verzoeken per minuut. Hoe hebben ze het gekraakt? Ze creëerden hun eigen geavanceerde re-breaking algoritme en vergeleken het met andere beschikbare-breakers. Dankzij dat hebben ze een uitgebalanceerde oplossing ingezet. Ze hebben zo ‘ n succes bereikt in de offline modus. Zo, we kunnen aannemen dat veel geen re macht komt uit het analyseren van de geschiedenis van de gebruiker, ontoegankelijk zonder de internetverbinding.,
Cons van
wordt veel gebruikt en het kan echt vervelend zijn. Laten we eerlijk zijn-het typen van een aantal vreemd gevormde letters of het oplossen van andere soorten uitdagingen over en weer is gewoon irritant. Ok, we weten waarom ontwikkelaars het gebruiken. Niettemin, het lijkt erop dat ze proberen hun verantwoordelijkheden af te schudden en het van jou te maken. Door dat te zeggen, zou je deels gelijk hebben. Er zit wat waarheid in, maar het is echt moeilijk om een andere manier te vinden om dat te doen. U kunt een aantal geavanceerde algoritmen proberen, maar in de meeste gevallen, is het gemakkelijk om ze voor de gek te houden.
een ander probleem – toegankelijkheid., Zelfs als je grote ogen hebt, kun je soms problemen tegenkomen. Het identificeren van een geldige tekst of afbeelding (select-image S) is niet altijd een eenvoudig ding. En wat als je zicht een beetje wazig is of je hebt een soort van oogdisfunctie? De audio-versie lijkt een perfecte oplossing, maar het heeft vaak slechte kwaliteit. En wat als u alleen tekst browsers gebruikt of geen geluidskaart hebt geïnstalleerd?
verbruikt ook uw tijd. Je zou kunnen zeggen dat het slechts 2,3 seconden duurt, maar stel je nu voor dat elke website het gebruikt. Hoeveel van hen bezoek je er per dag?, Hoeveel acties kan een site je vragen om uit te voeren om je menselijkheid te verifiëren?
A kan de bruikbaarheid en toegankelijkheid van uw website schaden. Zelfs als de nieuwe re gemaakt door Google deals goed met het, niet elk systeem is zo goed in.
conclusie
Het lijkt erop dat er geen perfecte oplossing is. Met elke nieuwe generatie van, er zijn nieuwe generaties van bots. Hoe meer geavanceerde algoritmen je gebruikt om ze te beschermen, hoe wijzer ze worden. Maar betekent het is volledig onbruikbaar en gewoon ergert gebruikers? Nee, het idee is nog steeds goed., Zelfs eenvoudige s vormen een belangrijke barrière voor de meeste primitieve bots. We moeten ” t beroven van het, maar houd er rekening mee dat niet beschermt u en/of uw gebruikers over gegevens/referenties lekkage, die kan worden geactiveerd door een derde-partij scripts opgenomen in de pagina, browser-extensies of een MITB trojan.
wilt u meer weten? Hier zijn enkele nuttige links:
’s doel
- Wat is het doel van technologie?,
Breaking
- Google Re gekraakt in nieuwe geautomatiseerde aanval
- Stanford onderzoekers Crack Code
- Breaking Audio s
- lees hoe een trio van hackers bracht Google ‘ s audio re op de knieën
- onderzoekers bedachten een re breaking systeem effectief tegen Google en Facebook
- Re is nog steeds kwetsbaar – misschien zelfs meer dan ooit tevoren
is er geen werk?
- Hoe werkt Nieuwe Google re?
- Hoe werkt Google ” s “No re”?,
- No re challenge
toegankelijkheid
- campagne om te doden start
- Hoe Google ‘ s re omgaat met toegankelijkheid?