jak działa CAPTCHA

Posted on

co to jest ?

z pewnością znasz tę technologię, nawet jeśli naprawdę nie znasz jej nazwy. oznacza całkowicie zautomatyzowany publiczny Test Turinga, który odróżnia Komputery od ludzi. Jego celem jest sprawdzenie, czy użytkownik (aplikacji lub strony internetowej) jest prawdziwą osobą lub botem. Aby to zrobić, opiera się na konkretnych cechach, które ludzie mają, a Maszyny Nie”t. it”jest szeroko stosowany w branży internetowej jako dobra ochrona przed spamem, botami lub atakami DOS.

Dlaczego potrzebujemy ?,

istnieje wiele osób, które chcą zaszkodzić twojej stronie, z różnych powodów. Nieuczciwa konkurencja, Reklama, czasami złośliwe zachowanie lub po prostu zabawa. Możesz sugerować, że nie większość użytkowników sieci próbuje wykorzystać słabości Twojego systemu, ale problem pozostaje.

najprostszym przykładem jest DOS( Denial of Service), który jest rodzajem ataku, który koncentruje się na uczynieniu zasobu niedostępnym. Atakujący wysyła dużą liczbę żądań do serwera, aby nie mógł zwrócić wyników. Po prostu blokuje Twoją stronę., Wykonanie tego ataku pojedynczo, przez prawdziwą osobę, byłoby horrorem. Byłoby to nudne, wyczerpujące i po prostu niemożliwe. Nie możesz ręcznie tworzyć wydajnej ilości żądań, ale komputery nie są wyczerpane lub znudzone. To nie jest problem dla nich, aby zrobić setki żądań każdego… drugi. pomaga zidentyfikować takie zachowania i je zablokować.

Innym przykładem jest złośliwa taktyka reklamowa. Każdy internauta jest zaznajomiony ze spamem. Codziennie otrzymujesz mnóstwo niechcianych wiadomości e-mail. Łatwo jest zablokować jeden konkretny e-mail, ale trudno jest go chronić przed nieznanymi., Jeśli spamer używa tylko jednego konta e-mail, możemy go łatwo zablokować. Ale wyobraź sobie teraz, że zatrudnia bota do korzystania z jednego z darmowych dostawców poczty e-mail (tego, który nie używa ). W ten sposób może zakładać nowe konto co kilka minut i wysyłać spam z różnych adresów.

trzeci przykład, bardziej trywialny – komentarze. Wiele stron internetowych, nawet małych blogów, walczy z niechcianymi reklamami. Oczywiście możemy przymknąć oko na jedną lub dwie wiadomości spamowe. Niestety często widzimy ich setki. Zwykle można znaleźć dobrze napisane treści ze spamowanymi komentarzami., Jeśli widzisz post z setkami tej samej wiadomości (tak naprawdę nie związanej z tekstem), właściciel prawdopodobnie nie używa . Nawet dla prawdziwych ludzi, ale ze złymi intencjami (tzw. „trolle”), może to być zniechęcająca barykada.

Jak to działa?

korzenie sięgają początku XX wieku, kiedy Alan Turing chciał odpowiedzieć na jedno pytanie – czy komputery są w stanie myśleć jak ludzie? Zorganizował grę imitacji, w której przesłuchujący miał obowiązek zadawać dwóm uczestnikom serię pytań. Uczestnikami byli ludzie i maszyny., Zadaniem przesłuchującego było ustalenie, który z nich jest człowiekiem. Przesłuchujący nie był w stanie ich zobaczyć ani usłyszeć i musiał polegać jedynie na odpowiedziach. Jeśli przesłuchujący nie był w stanie zdecydować lub zadecydował źle, maszyna przeszła test Turinga. Celem jest zadanie takiego pytania lub podjęcie takiego wyzwania, z którym komputery nie są w stanie sobie poradzić. Jednocześnie powinna być łatwa do odpowiedzi dla ludzi.

schemat jest prosty. Wpisujesz jakieś dane lub wykonujesz inne działanie, a następnie potwierdzasz je zdając test., Najczęstszym rodzajem testu jest obraz grupy zniekształconych liter. Wykorzystuje problem komputerów, które nie są w stanie myśleć abstrakcyjnie i „widzieć” świat tak, jak ludzie. Podczas gdy ludzie są naprawdę wyrafinowani w przetwarzaniu danych wizualnych, komputery nie mają tych umiejętności. Gdy spojrzysz na obraz, możesz szybko odczytać wzór. Mózg człowieka jest skonstruowany w taki sposób, że zawsze szuka on znanego wzoru lub kształtu. Znasz paradoks widzenia twarzy i kształtów w drzewach, chmurach… nawet to tylko iluzja. Nazywa się pareidolia.,

chociaż możesz łatwo odczytać powyższe słowa i zapisać je, dla komputerów jest to tylko masa zer i jedynek. Niemniej jednak musimy pamiętać, jak działają maszyny. wyzwania nie powinny być ograniczone do żadnej ustalonej liczby. Gdyby tak było, łatwo byłoby nauczyć komputer, który tekst odpowiada danemu obrazowi. Dlatego wielu twórców używa wyrafinowanych algorytmów, aby losowo generować zniekształcone teksty. Twórcy re wymyślili inny pomysł. Wykorzystali proces…, digitalizacji książek i poprosił użytkowników o odszyfrowanie krótkich fragmentów.

ze względu na ewoluujące algorytmy botów, zniekształcone teksty S stały się o wiele trudniejsze do rozwiązania. Wystarczy spojrzeć na dwa przykłady poniżej.

chociaż pierwszy jest dość czytelny, drugi może już powodować problemy dla kogoś bez ostrego wzroku. Dlatego wielu programistów starało się wymyślić nowy typ ., Efektem ich pracy były select-images .

opiera się na tym samym fundamencie, ale jest po prostu trudniejszy do rozwiązania dla maszyn. A co ważniejsze, łatwiej jest to rozwiązać dla ludzi.

schemat jest prosty. Masz kolekcję zdjęć i musisz wybrać te, które pasują do wymagań. Łatwo Ci wybrać właściwe. Komputery jednak nie myślą jak ludzie i nie jest to dla nich takie łatwe. Opiera się na klasycznym komputerowym problemie wizualizacji etykiet obrazów., Ponadto jest bardzo przyjazny dla urządzeń mobilnych. Łatwiej jest dotykać obrazów odpowiadających wskazówkom, niż wpisywać linię zniekształconego tekstu.

te podejścia mają swoje wady. Dla maszyn są trudne do rozwiązania, ale systemy odczytu tekstu to także tylko algorytmy. W ten sposób zachęcają do problemów z czytaniem s i są traktowane jak boty. Dla osób niewidomych i osób z różnymi dysfunkcjami oczu stanowi barierę technologiczną. Mając to na uwadze, programiści często dodają do swoich rozwiązań zniekształcających dźwięk.,

działa w podobny sposób. Skrypt dodaje dodatkowy szum tła do dźwięku, aby utrudnić rozwiązywanie botów. Ma niewielki wpływ na ludzi, ale dodaje wiele problemów dla programów do rozpoznawania głosu.

chociaż wszystkie te rozwiązania są idealne na papierze, nadal mogą być denerwujące i mylące. Dlatego Google wprowadził nowy (nie re), który prosi tylko o zaznaczenie pola wyboru.,

przykład

masz już ogólną wiedzę na temat różnych typów . Teraz chcę powiedzieć więcej o najnowszym i najpopularniejszym rozwiązaniu-no re.

powstał w wyniku dość oczywistej realizacji. Boty stały się tak zaawansowane, że teraz niemożliwe jest wygenerowanie obrazów, które są łatwe do rozwiązania dla ludzi, ale dla nich nierozwiązywalne. Gdy spamerzy stają się coraz bardziej wyrafinowani, obrazy stają się coraz trudniejsze do odczytania. Ale badania Google wykazały, że to ślepy zaułek., Dzisiejsza technologia AI może rozwiązać nawet najtrudniejsze zniekształcone teksty (prawie 99,8% dokładności).

więc zamiast utrudniać ludziom, postanowili znaleźć sposób na bardziej zaawansowany algorytm. Jego celem jest, aby proces sprawdzania był łatwy dla ciebie, ale nadal skuteczny w ochronie przed botami.

nie możemy szczegółowo powiedzieć, jak to naprawdę działa, ponieważ – to zrozumiałe – nie jest dostępne dla publiczności. Wiemy, że Google stworzyło zaawansowaną technologię analizy. Próbuje odgadnąć, czy jesteś człowiekiem, czy nie., Jeśli myśli, że jesteś, musisz tylko zaznaczyć pole, aby to udowodnić.

jest to proste, dostępne i nie denerwujące. Jeśli analiza nie wystarczy do podjęcia decyzji, system poprosi o rozwiązanie select-image . Jeśli to wciąż nie wystarczy, prosi o rozwiązanie bardziej klasyczne, ale o wiele trudniejsze niż stare.

dobrze, teraz wróćmy do analizy silnika za. Nie znamy szczegółów, ale spróbujmy pomyśleć, jak to działa., Na GitHub możesz znaleźć świetną analizę, jakie kroki podejmuje re, aby to wszystko działało. Łącząc go z artykułem „I' m not a human: Breaking the Google re” (autorstwa Suphannee Sivakorn, Jason Polakis i Angelos D. Keromytis), wiemy, że skrypt zbiera co najmniej informacje o:

  • Plug-ins
  • User-agent (testuje, czy jest prawdziwy)
  • czas wykonania, Strefa czasowa
  • liczba kliknięć/klawiatury/dotknięć w <iframe> z
  • prawdopodobnie po stronie serwera plików cookie

i to…,

  • porównuje środowisko z zachowaniem wielu funkcji specyficznych dla przeglądarki, a reguły CSS
  • sprawdza renderowanie elementów canvas.

również rozdzielczość ekranu i zdarzenia myszy nie mają znaczenia. Używamy różnych urządzeń, używamy tabletów (prawie nie ma zachowania myszy), więc wydaje się to mądre. W artykule można również przeczytać, że utrzymanie pliku cookie przez +9 dni pozwala przejść ponownie, klikając tylko pole wyboru.

czy to bezpieczne rozwiązanie? Aby całkowicie złamać, będziesz musiał manipulować komputerem, aby myśleć w sposób ludzki., To nie jest naprawdę możliwe, ale są pewne obejścia. Komputery próbują wykryć tekst przynajmniej częściowo i „odgadnąć” jaki jest wynik lub użyć wyrafinowanych algorytmów. To naprawdę pomocne dla nich, aby mieć bazę danych już złamanego ciągu S. Istnieją strony internetowe, które nawet płacą swoim użytkownikom za rozwiązywanie s obrazu. wydaje się, że może to być naprawdę pomocne dla botów w walce z .

dopóki ludzie wiedzą o słabościach komputerów, będą próbować różnych podejść. Będą starali się rozwiązać problem, zmniejszając jego złożoność., Sprytny haker spojrzy na wygenerowane i przeanalizuje, co sprawia, że są tak trudne do rozwiązania. Jest coś w tle? Zagrajmy z kontrastem i pozbądźmy się średnich wartości. Jeśli zrobisz obraz czarno-biały, twoje wyzwanie będzie znacznie prostsze. Jeśli weźmiesz pod uwagę wystarczającą ilość czynników, będziesz w stanie zbudować naprawdę działający algorytm.

nikt nie przypuszczał, że obraz zawsze będzie bezpieczny i to była kwestia czasu, że zostanie pęknięty i… już było. Przez długi czas, google image Re system wydawał się bezpieczny wybór., Niestety, naukowcy już nauczyli maszynę odgadnąć poprawną odpowiedź. Z dokładnością do 70,78%. To świetny wynik, ze średnim czasem rozwiązywania mniej niż 20 sekund. System Facebook nie powiódł się jeszcze gorzej z 83,5% wskaźnik sukcesu.

wiele systemów obrazowych nie powiodło się z zaawansowanymi algorytmami. Jennifer Tam, Jiri Simsa, Sean Hyde i Luis von Ahn (wszyscy pracujący dla Carnegie Mellon University w Pittsburghu) chcieli dowiedzieć się, czy łatwo jest oszukać dźwięk. Niektóre z nich odniosły sukces., Wiosną 2012 roku pojawiły się doniesienia, że system audio Google został uszkodzony z 99% skutecznością. Inżynierowie zrobili małe przeoczenie. Tło hałasu (główne zabezpieczenie) nie używało dźwięków o wysokiej częstotliwości. Ułatwiło to hakerom wyizolowanie każdego słowa poprzez zlokalizowanie regionów o wyższych częstotliwościach.

a co z najnowszym rozwiązaniem – no re? Technika ta może wydawać się trudniejsza do złamania, ale nie jest nie do złamania. W tym roku eksperci ds. bezpieczeństwa z Uniwersytetu Columbia wdrożyli technikę ataku na Facebook i Google no re. Udało im się z 41.,57 procent sukcesu (około 20 sekund na wyzwanie). To mniej niż 50%, ale wystarczy, aby boty spamowały Twoją stronę. Mogą bombardować cię setkami żądań na minutę. Jak to złamali? Stworzyli własny wyrafinowany algorytm ponownego łamania i porównali go z innymi dostępnymi łamaczami. Dzięki temu wdrożyli wyważone rozwiązanie. Osiągnęli taki sukces w trybie offline. Możemy więc przypuszczać, że wiele nie ma mocy re pochodzi z analizy historii użytkowników, niedostępnych bez połączenia z Internetem.,

wady

jest szeroko stosowany i może być naprawdę irytujący. Bądźmy szczerzy-pisanie dziwnie ukształtowanych liter lub rozwiązywanie innych wyzwań w kółko jest po prostu irytujące. Ok, wiemy dlaczego deweloperzy go używają. Niemniej jednak, wygląda na to, że próbują zrzucić swoje obowiązki i uczynić je Twoimi. Mówiąc to, miałbyś częściowo rację. Jest w tym trochę prawdy, ale naprawdę trudno znaleźć inny sposób, aby to zrobić. Można spróbować wyrafinowanych algorytmów, ale w większości przypadków łatwo je oszukać.

kolejny problem-dostępność., Nawet jeśli masz świetne oczy, czasami możesz napotkać problemy. Identyfikacja poprawnego tekstu lub obrazu (select-image s) nie zawsze jest prosta. A co jeśli twój wzrok jest trochę niewyraźny lub masz jakąś dysfunkcję oka? Wersja audio wydaje się idealnym rozwiązaniem, ale często ma słabą jakość. A co jeśli używasz przeglądarek tekstowych lub nie masz zainstalowanej karty dźwiękowej?

również pochłania twój czas. Można powiedzieć, że zajmuje to tylko 2,3 sekund, ale teraz wyobraź sobie, że każda strona go używa. Ile z nich odwiedzasz dziennie?, Ile działań może wymagać od ciebie strona, aby zweryfikować Twoje człowieczeństwo?

A może zaszkodzić użyteczności i dostępności witryny. Nawet jeśli nowy re przez Google radzi sobie z nim dobrze, nie każdy system jest w tym tak dobry.

podsumowanie

wydaje się, że nie ma idealnego rozwiązania. Z każdym nowym pokoleniem, są nowe pokolenia botów. Im bardziej wyrafinowane algorytmy, których używasz do ochrony przed nimi, tym są mądrzejsze. Ale czy to znaczy, że jest całkowicie bezużyteczny i po prostu denerwuje użytkowników? Nie, pomysł jest nadal dobry., Nawet proste s stanowią istotną barierę dla większości prymitywnych botów. Nie powinniśmy go pozbawiać, ale należy pamiętać, że nie chroni Ciebie i / lub Twoich użytkowników przed wyciekiem danych / poświadczeń, który może być wywołany przez skrypty stron trzecich zawarte na stronie, rozszerzenia przeglądarki lub trojana MitB.

chcesz wiedzieć więcej? Oto kilka przydatnych linków:

’s goal

  • jaki jest cel technologii?,

łamanie

  • Google re pęknięty w Nowym zautomatyzowanym ataku
  • badacze ze Stanford Crack Code
  • łamanie Audio S
  • przeczytaj, jak trio hakerów przyniósł audio Re Google na kolana
  • naukowcy opracowali re łamanie systemu skutecznego przeciwko Google i Facebook
  • Re jest nadal podatny – być może nawet bardziej niż kiedykolwiek wcześniej

Jak działa Google ' s no re?

  • Jak działa Nowy Google re?
  • jak działa Google ” s „No re”?,
  • No re challenge

accessibility

  • rusza kampania zabijania
  • jak Google radzi sobie z accessibility?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *