Comments 226
ПОСОНЫ НЕ ЧИТАЙТЕ! ТАМ ВИРУС ПИШУ С МИКРОВОЛНОВКИ, КОМП ДЕЗЕНТЕГРИРОВАЛСЯ!!! … ПОСОНЫ!1 Я ОТКРЫЛ И ПРОЧЕЛ — У МЕНЯ ТЦУНАМЕ НАЧАЛОСЬ И СОСЕДА УЖЕ УНИСЛО !!1 ТАМ ВИРОС!1 ПИШУ С БИТОННАЙ ПЛЕТЫ.
ГОРЯЧИЕ ДЕВЧЕНКИ!!! ТОЛЬКО У НАС 100500 САМЫХ ЛУЧШИХ ПРЕДЛОЖЕНИЙ ДОСУГА!!! ВСЕ ИНДИВИДУАЛКИ МОСКВЫ!!! ЗВОНИ СЕЙЧАС!!!

… простите, всегда мечтал написать это в посте настоящего спамера…
Я случайно наткнулся на Ваш сайт в интернете — gmail.com, он красивый, но на нем не очень высокая посещаемость.
Не угодал :) одна из систем это контекстный поиск по базе ответов мэйл-ру в соответствии с темой страницы… иногда очень в «тему» получалось… иногда не очень…
UFO landed and left these words here
Не-не… во-первых бывший, во-вторых я всегда пытался все-таки быть «в тему», и НИКОГДА не занимался вот такой вот шнягой, это уж совсем детский сад :) и пошло… Я подходил к этому делу как к искусству и мои комменты были зачастую «прямо в тему»… Хоть делал их робот…
xkcd недавний прямо в тему


Если бы ты продолжил дальше, возможно ты бы и создал искусственный разум :)
что тут такого? даже фишеры здесь есть. как-никак айтишный ресурс. кому полезен и интересен, те и обитают.
А можно узнать, почему бывший спамер? Неужели нашлось занятие более прибыльное?
А спамер я был по-совмеместительству, я занимался черным СЕО, но покинул ряды ибо надоело :) не все измеряется деньгами… хотя и было время когда на клик-клике да рупоиске по 500$ в день капало :)
Собственно чего и ожидал. Можно запостить коммент который плюсанут 50 человек и продолжат читать Хабр дальше. А можно запостить неудачный коммент и получить от каждого минусанувшего коммент — минус в карму. Казалось бы оценка коммента и оценка человека — разные вещи.
А что он наделал? Я всё пропустил. Капчу хабра разобрал что ли?
он решил создать неофициальную группировку «За чистоту Хабра» и минусовать оффтоп, поощряя интересные тематические топики, особенно крепкие технические. Стал спамить по хабраюзерам с призывами вступать, за что и был решительно забанен администрацией. Дело-то хорошее (поощрять тематические топики и бороться с оффтопом), но вот методы вовлечения в это дело (то бишь спам) были не очень.
Или как бывшее овсяное печенье. А что, тоже очень похоже, тем более такое печенье я очень люблю.
Большинству стартапов хватит «Беcкапчавые ухищрения на JS», ибо «массовые» программы смапа не смогут обойти защиту, а писать скрипт взлома защиты никто не будет ради нескольких тысяч посетителей.
Да вот не так это, сейчас реально уже есть не одна программа которая работает через IE, никаких скриптов для взлома не надо…
Этой программе уже года три, что же она не распространена среди спамеров?
Formcha не фигурирует, и это не может не радовать :) Прям неуловимый Джо.
Я просто при регистрации на форуме добавил дополнительное поле с вопросом по тематике форума, ответ на который все регистрирующиеся заведомо знают.
КейКапча — по моему, слишком муторно. Пользователю проще вбить цифры в картинки чем вчитываться что надо сделать и еще водить 5 минут мышкой.
Читайте статью… а я на хабре с 5 (ПЯТОГО) раза при регистрации только угадал капчу… вот это муторно!!!
я вообще не понимаю зачем капча-картинка, если распознование встроена во все программы для спама?
Тык а как работает хрумер? 3 попытки программно, а потом на антигейт :) так что бред да и только…
Все было бы замечательно, но уже существует не одна программа для полной эмуляции браузера, вернее это и есть просто управляемый со стороны абсолютно честный IE
Почему именно IE? С ff и chrome остальными ещё проще, их докомпилить можно до «нужного» состояния управляемости
Ага, чёто ступил :-)
Для некоторых просто проще скриптик на iMacros написать, чем IE как контрол подключать
Подумал, ie как контрол наверное таки проще будет заюзать
iMacros обсалютно «птичий» язык, на нем НИЧЕГО серьезного не сделаешь… А вот IE как контроль, вот это уже практически не ограниченные возможности по работе с DOM
то, что слово «обсалютно» пишется как «абсолютно» знаю, но ничего не могу с собой поделать… какая-то врожденная неграматность чтоль…
IE не надо «докомпиливать». Даже начинающий скрипт-кидди справится кинуть контрол IE на формочку и написать простейшее с ним взаимодействие.
Ну да, для скрпит-кидди пойдёт.
Докомпилировать надо тру-спамерам, для того, чтобы можно было менять такие штуки, которые через API недоступны, например, «подделать» разное разрешение экрана — типо сэмулировать разных пользователей. В IE это труднее сделать.
Да не надо разрешение экрана, все остальное, кроме разрешения прекрасно рулится и в IE… Докомпиливать нужно только если хочешь создать супер-пупер СПАМ-СЕРВЕР, тогда надо переделывать работу с системой профилей…
Ну и кстате говоря докомпилить до «спам-сервера» имхо довольно не простое занятие, это мнооого времени даже продвинутому кодеру надо…
Не, не так много.
Я за сделал за неделю под заказ в своё время
Заказчику накрутить google analytics надо было
не-не… это ты сделал в один поток? а так чтобы одна копия «сервера» обслуживала 30 потоков? и чтоб все через разные прокси перлись? я имел ввиду полноценную спам-машину, а не просто управляемый «браузерик»…
Нет, не в один, там до 50ти было. Рандомные прокси, и параметры юзверя, разумеется, тоже были.
ну значит респект и продавайте :) такая софтина стоит от 250$ за один экземпляр :)
хм, слушайте, раз вы вроде бы в теме, расскажите про расценки на этом рынке, просто ради интереса.
может какие-то забавные заказы были?
я не занимался спамом на заказ, это уже совсем пошло, я занимался только собственными проектами и написанием собственных технологий, поэтому рассказать особо нечего…
> распознаются по цене около 1$ за 1000 ЛЮБЫХ капчей-картинок

Поскольку распознаватели текстовых и графических каптч — это в основном китайцы и индусы, то сгодится ли для русскоязычного ресурса капча с кириллическими символами?
регулярно вижу запросы в гугле «работа распознование капч» :)
"… Легко обходится с помощью управляемого браузера."
Несмотря на то что «обходится легко», не каждому доступен управляемый браузер. Да и не каждый сможет его настроить под определенные задачи. А это уже сложности для спаммера и плюс для защиты
Можно было в приведенной таблице добавить столбец «Ориентировочная стоимость спам-комплекса» для обхода соответствующих видов защиты, было бы нагляднее.
А какая разница, сколько спамеров смогут обойти защиту? Достаточно одного, чтобы весь форум утонул в спаме.
Почти каждому. Бесплатная библиотечка WebAii позволяет контролировать IE, FF и Сафари, предоставляя удобный интерфейс из .NET.
А предназначена эта либа для тестирования веб-приложений, собственно.
Я тут подумал насчёт KeyCaptcha — мол нет приемлимых способов и всё такое…
А если просто сдвинуть все картинки в левом верхнем углу равномерно по всей картинки, потом отскринякать и отправить на «а ля антигейт»? Там то их и составят…
ХЗ, помом для профи это будет не оч сложно.

PS: я не спамер и становиться оным не собираюсь — так, идеи вслух
В случае с IE сдвинуть их не возможно, ибо Flash (ну или посылать события о движении мыши, вобщем совсем все как-то не очевидно)… В случае с HTML5 браузерами придется на распознающей стороне специальную софтину делать, и тоже не совсем понятно как эти «картинки» искать, вобщем имхо сильно большие затраты… Конечно когда она станет СИЛЬНО популярной, то может что-то придумают, но имхо это будет еще не скоро… вобщем как я и сказал в статье, я бы не взялся за спам через эту штуку…
А зачем их сдвигать? Скачал три флешки из этой кейкапчи, внутри код оказался шаблонным, думаю несколько часов реверсинга ответят на все вопросы по поводу того, как именно происходит общение с сервером и что именно посылается (набор координат?), во всяком случае некоторые отрывки кода на это недвусмысленно намекают. Дальше дело техники — составляем гистрограмму всех картинок, находим с наибольшим совпадением или совпадениями по всплескам, совмещаем, формируем запрос по шаблону из кода флешки и шлем. Готово.
Флэш-загрузчик обфусцирован и «сломать» его в лоб не получится, причем обфусцируется он каждые 5 минут, через 7 минут обфусцированная подпись прокисает… за 5 минут деобфусцировать полиморфный обфускатор анрил :) (я говорю про практику, а не про теорию) :)
Значит нужно навесить обвязку для всего множества этих создаваемых MovieClip'ов и внедрить код который расставит их вместе. Принцип тот же, как и в онлайн играх. Всегда есть два пути — потратить многие месяцы на обход защиты и разбор протокола, или просто внедриться в клиент и дергать за нужные ниточки, все остальное клиент сам обеспечит.
Это вы вообще про что? «Значит нужно навесить обвязку для всего множества этих создаваемых MovieClip'ов» это какого такого множества и как это так «внедрится»… свой Flash Player?
Я конечно флеш изнутри вчера впервые в жизни видел, но насколько понял, в movieclip'ы подгружались изображения, им задавались координаты и на них навешивались обработчики событий. Даже если я и не прав, в любом случае доступ к объектам где-то в коде должен быть доступ (скорее всего даже универсальный), думаю любой флеш программист определенно разберется чем именно приходится оперировать пользователю и как этим управлять изнутри.

Зачем свой флеш плеер? в плагине обязательно где-то есть процедура которой передается код из флешки, навесив на нее свой обработчик всегда можно код править на лету, добавив и свой. Если вам не нравится пример с навесными ботами для игр, посмотрите на руткиты, антивирусы, фаерволы и прочие системы защиты ПО. Это все один и тот же стандартный прием, еще со времен dos. Причем нужно заметить это не сильно сложно и дело нескольких вечеров, зачастую написание своей OCR будет даже сложнее.

P.S
Кстати и свой флеш плеер вполне возможен, adobe всю документацию выложила, код здесь на какой-то разновидности ECMAscript, если вдруг завтра подобные капчи появятся повсеместно (мне кстати кажется это маловероятным, больно уж не приятно сидеть и решать задачки, особенно без возможности обойтись одной клавиатурой), то скорее всего тут же кто-то выпустит специальный sandbox для подобных флешек, в конце концев нужно только код выполнять и добавлять свой.
«Я конечно флеш изнутри вчера впервые в жизни видел» это ключевой момент… В флэше (вернее в AS3) у каждого объекта объявляются public и private методы и свойства, доступ к public свойствам и методам получить можно, а к private только методом хака Flash-плеера…

насчет PS… как появятся, так и поговорим, пока ничего подобного на горизонте нет…
А мне насрать на приват/паблик, ибо я могу править прямо байткод и делать инъекции кода прямо в него, попутно раздвигая уровни видимости. Счастливой защиты!
«в плагине обязательно где-то есть процедура которой передается код из флешки, навесив на нее свой обработчик всегда можно код править на лету, добавив и свой.»

по-моему вы уже начинаете бредить… куда и кто передается? какой код? вы о чем? флэш-плеер это виртуальная машина объектного кода AS3 или AS2, код загружается с сайта… кто и куда еще передется-то???

по-моему вы рассуждаете на темы от которых сильно далеки…
Человек предлагает засплайсить загрузчик кода у флешевого плагина, это вполне даже возможно. Впрочем где-то на хабре проскакивал пример как инжектить код в чужие флешки и более простым способом, посредством обертки из своей флешки.

Хотя лично я бы просто сделал управление через посылку сообщений, а картинки искал бы как CLR и предложил — через гистограммы, получилось бы все довольно тривиально.
И че дальше-то??? ну засплайсить кусочек кода? :) обертка из своей флэшки не может ижектить в чужую…

Вы что-то куда-то не туда и не о том все говорите опять… ну зачем рассуждать на темы, в которых сами разбираетесь по принципу «где-то слышал, бабушка говорила...» ???

Если уж говорить о взломе КейКапчи, то для этого уж проще сделать полное выполнение JS, взять получившуюся картинку с канвы, и потом с ней как-то там возюкаться… пытаться угадать где она должна стоять…

По гистограмме ничего не получится, поскольку задания разные и не все цветовые, всякие они бывают… По шаблонам искать конечно можно, но база капч ясно что будет постоянно меняться, поэтому надо оперативно выдергивать все варианты… + есть возможность сделать персональную капчу, которая будет только у тебя на сайте…

Ну конечно не надо забывать что у КейКапчи есть возможность фильтрации анонимных прокси, которые собираются с каких-только возможно листов, открытых и закрытых… Так что как говоится «удачи»…
Ну вообще это должно позволить в теории скармливать флеш плагину любой код, я прокомментировал лишь это :) И да, прокомментировал лишь потому, что на win-платформе это по сути была моя специализация — автоматизация, правка багов и новая функциональность для закрытого кода, это были как правило программы которым нужно сложное и не стандартное управление (как правило для QA) или просто уже не поддерживаемые разработчиками, так что в этом плане я вполне понимаю о чем говорю.

Конкретно про взлом этой кей-капчи я действительно лишь предположил, как я уже писал, у меня она вообще загрузилась лишь как статичная картинка, причем всегда там было что-то из цветового задания. Подобное с помощью гистограммы действительно можно расставить и как я уже сказал, лично я бы это делал посредством эмуляции мышки.
Капча может там и надежная, только, ИМХО, нахер не нужная. Думаю большинству посетителей гемороиться с растаскиванием картинок ради коммента будет сильно вломы. Проще уж тогда комменты запретить вообще и все :)
передать тоже может как-то и можно… просто надо смотреть в «суть», что кейкаптча это объединение технологий капчи-картинок, js-ухищрений (причем не пробиваемых IE) + потенциальная возможность анализа контента а-ля Akismet. Да и потом я думаю что они со времнем сделают не только «сбор объектов», но и какие-нибудь мини-игры присандалят :)
UFO landed and left these words here
Я думаю она вам ответила что вы «неверно» выполнили задание :D
Стоит упомянуть, что KeyCaptcha работает на флэше.

Лично я считаю, что на не шибко популярном сайте honeypots + всякие обманки в html формы и можно срезать бОльшую часть автоботов. Остаются конкретно заточенные под сайт или индусы, заполняющие формы сами. Тут уже труба совсем, тут ничто не поможет.
не внимательно читали, она работает также на HTML5 если он поддерживается браузером, можете выключить Flash и проверить :)
Ни в опере 10.70, ни в хромиуме 8 при отключенном флэше (включаемом по клику, в обоих браузерах есть такая опция), оно не заработало.

Извините, но если это «работает без флэша», то я — папа римский.
А вы страницу обновляли после того как «отключали» :) и в опере и в хроме я тестировал, и даже в FF с 2 до 4 прежде чем поставить себе на сайт :)
Опция «показывать только по клику» (по сути встроенный flashblock) у меня включена давно и упорно, так что перезагружать страницу не было смысла.
Обработчики, которые определяют установлен-ли flash срабатывают при загрузке страницы, поэтому с flashblock работать не будет…
Я в курсе. Только это ничего не меняет. Есть HTML5, флэш блокирован — капча не работает.
читайте ниже про саппорт и про то, что завтра, я уверен, они поменяют порядок загрузки, если тут такая реакция общественности. И у Вас все будет прекрасно работать :)
Хорошо. Скажите честно: этот пост — пиар keycaptcha? Если да, то хочу похвалить за изобретательность. Статья получилась достаточно интересной и информативной, всеб рекламные статьи такими были.
почти :) ну то есть конечно я владелец кейкапчи ;) но статья реально объективная…
А проблему эту конечно завтра подправим, это ровно на 5 минут :)
Вот у меня и стоит блокиратор флеш — я вошел на их сайт и наблюдал крутящийся диск… пока не включил флеш и рефреш не нажал.
Я думаю что тут надо просто написать в саппорт кейкапчи, чтобы они поменяли приоритет, тобишь если нет HTML5, только тогда показывать Flash, а сейчас если есть Flash, то показывается Flash, и только если нет Flash включается режим HTML5
Вот так это выглядит с отключенным флешем. Крутится и никакого HTML5 там не показывается.
еще раз объясняю что дело в блокираторе флэша… если деактивировать плагин flash, то капча прекрасно покажется через HTML5
А мне, как посетителю от этих нюансов какая разница? Она просто не работает, да и все. А уж причина мне (как посетителю) мало интересна.
:) не работает сегодня, я кину саппорту ихнему ссылочку на этот топи и завтра она уже будет работать :)
Можно просто отсылать на домодерацию всё, что содержит более 2-х ссылок. Как вариант дополнительной защиты
Это вы скажите рамблеру :) с его любителями «мегафонов» «билайнов» и баз для «пробивки людей»… Не весь спам содержит ссылки в наше время…
Не совсем понял. Причем тут рамблер? Или это про почтовый спам?
Премодерация постов (комментов) с большим количеством ссылок — защита от случайного, ненаправленного спама. От «настроенного» на сайт спама не особо помогает.
Почитайте статьи на рамблере и поймете :) там каждый 10 комметарий про «опыт работы в компании мегафон» ;)
Спам бывает и без ссылок. С предложением по оказанию услуг, с телефоном и адресом электронной почты.
Вот так выглядит защита KeyCAPTCHA:
|=========================
| KeyCAPTCHA loader object not found! |
|=========================
Да, зашибись капча. С такой уж точно ничего не пролезет!
Это вы интересно на каком браузере умудрились добится такого фееричного эффекта :) У меня на сайте уже месяца три работает, народ с разными браузерами лезет, все вроде как постят :)
Вы уверены, что узнаете о тех, у кого капча не сработает? :)
Нет, у меня просто есть ручная пост-модерация и там показывается UA и вот там я вижу все что угодно… Поэтому и спросил, интересно стало…
кстате да, скорее всего это блокировка флэша, только не понятно зачем включена блокировка флэша, может проще тогда дективировать плагин?
Тащемта очень много рекламы режет.
Кейкапча понравилась, но там флеш слишком хитро подгружается, поэтому негде ткнуть «разрешить элемент» или «разрешить показ флеш на сайте».
Так что мне пришлось лапками прописывать их сайт в whitelist.
Я напишу им в поддержку, пускай приоритеты поменяют, если есть HTML5, то пускай сначала он показывается, а потом уже Flash
Может я чего не понимаю в этой жизни? Но я вижу очевидные на мой взгляд методы борьбы.
1) Для всяких сайтов-визиток и обычных корп.сайтов — которые не интересны в индивидуальном порядке мне помогает js-догенерация спец.полей в форме. (Видимо управляемые браузера не используют в тотальном масштабе)

2) А если говорить о параноидальном режиме, то очевидно что порогом определения является интеллект, дак почему бы не генерить фотку объекта (с наложениями против одинакого CRC при том же объекте) на которой будет, например слон в камышах и простой ответ что на картинке). Саму отдачу картинки сделать по функции от рандома + особое юзерское окружение (первые движени мыши + разрешалово + user-agent) — и выдавать это флеш-приложенем, вообщем чтобы защитить прямую трансляцию такой пикчи в фермы с китайцами, то есть напрямую ссылкой не передать, надо как-то скриншотить и передавать) дабавим к этоум тайм-лимит чтобы картинка менялась без перезагрузки страницы — там раз в 20 сек и надо просто вбить пока видишь кокретную картинку.

Все что вот навскидку пришло, мне кажется понять что изображено в макрообъекте легче для человека и сложнее для спам-распознавалок. Если еще объектов несколько то там можно усложитьв стиле: третье справа это что?
И цвет правого уха. А временной порого это уже так параноидальный режим протухания против ферм с вбивальщиками, чтобы пока туда-сюда уже было не актуально.
Потому что флэш есть не у всех, и надо чтобы работало без Flash, ну как ни крути надо… А так все что вы описали как раз и делает кейкапча :)
Можно и без флеш — менять перегружать картинку js-ом, но траслировать на фермы ссылкой не получится так как я обозначил, что картинка генерится учитывая переданные ajax-ом индивидуальное окружение. То есть с вашего компа вы никогда не встретите слона в красных камышах по той же ссылке, однако как другие могут видеть. Капча это ужастно замыленные но в итоге ASCII-символы, и все OCR и прочие более сложные алгоритмы в итоге сводятся к тому, чтобы очистить шум и выцыганить символы — коих азбука латиницы + 10 цифр. В итоге капчи искажают до того предела что уже обычный человек не с первого раза их понимает — это портить юзабилити для целевой аудитории. Мое же предложение на порядок сложнее для машины и на столько же проще для человека
насчет «слонов» управляемые браузеры могут брать «отрейдренную» картинку, не надо загружать ее «по ссылке» она берется прямо из браузера…
Ну и я и говорю «скриншот».
Распознавание такой вещи автоматически маловерятно согласны?
А в качестве борьбы против ферм вбивальщиков — таймаут+ тематика. Я слабо представляю себе китайцев понимающих особенности русских мемов и знакомых с лицами, да что тут говорить вопрос заданный по-русски будет просто не осилить.
реальная скорость ответа от антигейта около 20-30 секунд, и я думаю там есть и «русскоговорящие» причем я думаю их там не мало, учитывая что довольно часто вбивают запрос «работа распознование капч»
Да и потом я ведь и совсем даже не против той методики, котрую предлагаете Вы, просто это и есть KeyCAPTCHA по технологии реализации, просто другой тип заданий :) Я думаю что у кейкапчи будут появляться новые типы заданий, а не только такие как сейчас, и я сказал что кину им этот топик :) может они сделают прям как вы говорите :) с возможностью подгрузки «своих» картинок и заданий :)
По-моему это проще, чем моим клиентам на кажду форму давать ребус с «летающими» медведями на велосипеде. Меня бы такая капча выбесила, она же отжирает столько личного времени и утомляет… А базу картинок придумываешь сам из фото. Можно там делать фотки присущие только знающим тематику и связанные со знанием. Вряд ли например китайцы с индусами ответят на картинку мужика в кепке: Лужков.
Однозначно не ответят :) но вопрос опять-же в «промышленности» данного решения, если у меня база предприятий, куда заходят все, кому не лень, делать там что-то «эдакое» как-то чересчур :)
Насчет уйму времени, чтобы пройти предложенную вами капчу надо будет ни чуть не меньше времени чем кейкапчу :) те же яйца :)
А вот еще доработка: чтобы упростить массовое создание таких фото-коллажей или рисунков — делаем комплексные сложные картинки где куча элементов изображена сразу и может меняться положение и цвет многих областей. И с одной такой картинки могут быть вопросы вида:
Цвет головного убора у пернатого слева.
Цвет когтя тигра на задней лапе.
Форма вышитая на сумке охотника
И т.п. может уместить на одной динамической картине.
хочу вас огорчить, когда антигейтам передаются задания, то там есть поле «примечание» и туда можно написать ваше «Цвет когтя тигра на задней лапе»
Протухание задания сводит на нет ручное добавление заданий — они просто будут не актуальны. А как раз ответ на цвет когтя тигра — это быстрее чем современные капчи, не говоря уже о медведях. Детей с садика учат быстро отвечать на такие вопросы. Вообщем, мне лично кажется что идея не лишена смысла…
согласен, идея хорошая, но это идея как раз для кейкапчи :)
Да, кстати если ручной, то это для многих сложнее чем кейкапча сейчас :) А если выбор, то слишком большая вероятность «угадать» «вслепую»
комменты как то намного интереснее самого поста и главное полезнее :)
А у нас с друзьями как-то под пиво была идея сделать графическую капчу, но такую, где знаки нужно кликать. Причём набор знаков тоже немного искажать, чтобы усложнить задачу определения нужных элементов для ботов. Но до реализации как-то дело не дошло. А ближе к вечеру, после ещё нескольких литров, решили вообще сделать вместо капчи тетрис =)
Неужели школьники готовы за 1$ распознавать 1000 капчей?!
Мне кажется, я за всю жизнь не более 1000 распознал, но меня это уже достало.
На самом деле там просто очень суровые школьники которые пишут свою OCR систему :)
Запрещяется применять наш сервис в противоправных целях.

Школьники-двоечники.
Всё понятно, KeyCAPTCHA круче всех, и снится будет мне…
Давайте повторим KeyCAPTCHA сто тыщ миллионов раз и мир станет лучше.
Начало статьи было интересное, а вот к середине комментов начался бардак и совсем уже тупой пиар KeyCAPTCHA.
KeyCAPTCHA индусы китайцы школьники, короче понятно — переход на зимнее время…
Похоже, способ «отправьте sms на номер ***» является самым надежным способом защиты от спама.

И все-таки, вопрос к автору, насколько большой процент JS-каптч сейчас применяется и какое количество ботов реально могут обрабатывать такие каптчи? 1 бот из 1000 (1 — это тот, которые IE)? Судя по всему процент маленький.
Однозначно самый лучший и надежный! Я тоже так думаю, но не стал его включать в обзор, поскольку он действительно отфильтрует довольно много посетителей, по крайней мере на настоящий момент развития этих сервисов и посетителей :) А так конечно Яндексу респект за защиту на народе :)
> www.kyivstar.ua/sms/

Предложенная там каптча для отправки SMS-сообщения загружает 9 картинок и предлагает выбрать 3 (или 4) из них, отвечающих неким критериям. Причём я увидел там только два критерия: 1. принадлежит к живой природе (растение/животное), 2. Не принадлежит к живой природе.

Для начала можно попробовать не придумывать схему взлома/обхода, а попробовать угадывать тупо в лоб, т.е. автоматически тыкать случайно в любые 3 (или 4, если просят 4) картинки из предложенных 9. Каков шанс угадать?
При выборе 3 картинок: (3/9)*(2/8)*(1/7)=0.011904762 (~1.2%)
При выборе 4 картинок: (4/9)*(3/8)*(2/7)*(1/6)=0.007936508 (~0.8%)
На первый взгляд шанс небольшой, но небольшой он только для человека с его медленной скоростью попыток пройти. А для бота, который может делать через сотни прокси-серверов по всему миру делать сотни попыток в минуту, это уже вполне нормальный шанс на успех. Если из десятков тысяч попыток бот пробьётся только в 1% случаев, то этого уже хватит, чтобы заспамить сайт. И это без каких-либо алгоритмов анализа, тупо в лоб, тыкать пальцем в небо на удачу.

Теперь подумаем, как улучшить этот алгоритм.
Картинки все вроде статичные, не генерируются заново при каждом показе, а берутся из некой базы. Их количество конечно.
Вытягиваем с сайта картинки (хотя бы 1000 картинок), вручную распознаём их и присваиваем им теги в зависимости от критериев, по которым в капче просят выбирать картинки. Критериев этих тоже конечное число и оно значительно меньше, чем число картинок. В данном примере я увидел только два критерия: «живая природа», «неживая природа».
Теперь, когда капча даёт нам 9 картинок и просит выбрать 3 или 4 из них, то мы сравниваем предложенные картинки с нашими распознанными изображениями и по тегам определяем, какая из них соответствует каким критериям. В результате, если все предложенные картинки есть в базе, то капча пройдена.

Чем больше стянем и распознаем изображений, тем ближе шанс прохождения капчи будет стремиться к 100%. Изображения фиксированные, их количество конечно, скорость их добавления со стороны сайта скорее всего будет гораздо меньше скорости их распознавания со стороны взломщиков капчи. В итоге такая капча будет малоэффективной.
Со всем уважением нет, не могу так начинать к бывшему спаммеру, но тем не менее — статья читается как на правах рекламы KeyCAPTCHA.
Обойти можно всё — лишь бы это окупалось и хватало мозгов/денег на обход.
А в целом — обзор неплох. Хотел плюсануть — но не буду. Не люблю спаммеров, даже бывших.
Хотя за честность и минусовать не буду :)
Есть еще пара способов борьбы со спамом — SMS проверка и регистрация по приглашениям. Тоже есть своя сфера применения.
кто-то пригласит спамера, спамер пригласит друга, друг пригласит бота, бот пригласит бота
а смс-проверки будут приходить на спамерский телефон, подключенный к спамерному серверу
Банить бота, два бота — друга, два друга — спамера. Глубину бана регулировать с учетом времени регистрации и тп. Есть полное дерево приглашений — вычислить спамеров легко, как вариант запретить под-дереву приглашать друзей/ботов.

Спамерский телефон грубо можно использовать только для проверки 1-ого эккаунта, особо не разгуляешься.
Если развить антигейт до передачи рабочей силе не только одной картинки, но и всего окна браузера, то обойти можно всё. Правда гораздо дороже.

Ну или почти всё: тогда, чтобы защититься от спама, придётся проводить проверки пользователя более тонко и на всем протяжении всех его сессий. Спамерам придется завать такие задания рабочей силе, чтобы их никто не мог отличить от реальных пользователей.

MISSION.
FUCKING.
ACCOMPLISHED.
Для этого как раз и нужны сервисы типа Akismet, reCAPTCHA, KeyCAPTCHA которые могут отслеживать «глобальные» тенденции, и блокировать слишком активных комментаторов по разным сайтам…
Мне интересно, вам не жалко расставаться с дальтониками при использовании кикапчи?
Там в левом нижнем углу кнопочка «с коляской», нажмите, и прилетит капча которую чтобы распознать не надо правильно отличать цвета…
об этом еще надо догадаться. Большинство тупо забьет. Я минуты две тупил пытался понять что надо сделать, пока не навел на ключик и не увидел текст.
Когда курсор не на капчи, то задание тоже показывается, а для просмотра задания надо нажать не на «ключик», а на «вопросик»… :)
В антигейт встраиваем RDP и все виды защиты обходятся людьми на раз-два. Защитники, тоже мне…
Зашёл на кикапча, расставил (секунд 10-15 потратил!) чашки на блюдца, и «The solution of task you submitted was incorrect»

Знаете, второй раз не рискну)) Так что способ еще тот.

Я кстати придумал способ уничтожения спама как класса. Кто что думает? По методу краудсорсинга — на проекте типа кикстартер.ком.

Смысл в том, что люди, который заеб*л какой-то спамер (клиент), скидывались бы деньгами на хак этого клиента. То есть тут мне один перец шлёт про дачи на киевском шоссе уже тысячу лет, я бы не пожалел 10 долларов на то чтобы его сайт положили. Или телефон мобильный.

Вас кто-то достал — вы идёте, ищете его по номеру телефона или сайту, кидаете монетку. Набирается сумма — отдаётся подрядчику.
а?)
В своё время в Питере был такой способ борьбы с конкурентами во время предвыборной кампании: на лобовое стекло автомобилей агенты Жопкина суперклеем клеили агитку «Голосуй за Пупкина!».
Так и здесь, возможно, что этот способ будут использовать для борьбы с конкурентом.
нет, заказать массированную рекламу своих конкурентов — не думаю, что на это кто-то пойдёт, если можно те же деньги потратить сразу наняв хакера, понимаете?
а хакеры они всесильны ;) и сломают все что угодно прям на РАЗ и очччень дешево!!! ;)
а вот про это хотелось бы подробней, я сам не разбираюсь.

у меня сложилось впечатление, что это, практически, так)
АГА АЛЬТРУИСТЫ ПРОСТО!!! они пароли на 1-2-3 подбирают и дыры ищут в «произвольной» системе ;)
нет, про всесильность.

деньги, понятно, что нужны большие, чем больше спамер, тем больше у него пострадавших, на это и расчет
ох…

серьёзно? со мной нужно логически непротиворечивыми фразами на русском или английском.

Все «ходы» записаны :)

вот как вы собрали капчу:
https://www.keycaptcha.com/showerrcap/5814788227fc1bba5ae8dd0d77e4de4b33d6f7a8

если это «правильно» :) то я извиняюсь конечно…
Ну скажите Ваш IP, тогда покажу где были ВЫ :) по-времени и типу «чашки» именно вы…
есть еще вот так https://ap.keycaptcha.com/showerrcap/150ca7130b58dc8f6ff984eb18ec7f5e48b09151
еще раз повторяю — я не дибил и способен эти чашки расставить. Будете усердствовать? ))

то есть вы там действительно работаете что ли?.. тогда советую дизайн посимпатичнее хотя бы сделать…
сорри, ссылка не верная https://www.keycaptcha.com/showerrcap/150ca7130b58dc8f6ff984eb18ec7f5e48b09151
если я догадался самостоятельно вашу ссылку исправить чтобы она стала верная, то и чашки как-нибудь расставлю)
Я еще вчера ответил, что да, не скрываю… Но статью написал не предвзятую… Анализ абсолютно честный и я действительно в «прошлой жизни» активно занимался черным SEO, в том числе разрабатывал «продвинутые» системы для спама своих проектов…
Если бы Вы хотя-бы попали в «цвет», то капча-бы прошла :) но Вы не угодали ни цвет, ни узор, и как-то странно располажили чашки относительно блюдец :) вобщем поздравляю ВЫ РОБОТ ;)
KeyCAPTCHA веселая штука, я раз 20 там всякие штучки расставлял по цветам)))
В свое время на одном из проектов нам помогло простое обезличивание имен полей в форме…
У вас капча построена на статистике изображений, что ни есть гуд. Были статьи по-этому вопросу, где рассматривали скорость добавления новых изображений и скорость их распознавания и они мягко говоря не равны, создатель на порядки сливает. Ваши бы идеи с svg, https и т.п. да в мирных целях.

Я поковырял, но на халяву нет желания консультировать. Кому нужно могу написать бота за соотв вознаграждение :)

p.s. Я не спамер, и не бывший спамер ;)
я смотрю «теоретики» расплодились :) какое вознаграждение вы считаете достойным за разработку такого бота?
От 100eur. в зависимости от языка на котором вам это нужно реализовать и под какую платформу.
замечательно, любой язык, любая платформа, на ваш вкус, деньги на WMZ, забили :) 100 eur…
Надо во еще как, как улучшение КейКапчи:
Сделать более простые задания но чтобы была работа мышкой, чтобы такое задание нельзя было передать, а ретрансляция урла не давала идентичное задание. Например обведи мышкой по часовой стрелке квадратик. Зачем 20 медведей то? Но в целом я согласен путь KeyCaptcha правилен, но реализация не очень — 1 из 3 заданий я провалил. Лучше мышиные жесты как нить использовать. 3
Кстати как раз алгоритм взлома KeyCAPTHA напрашивается сам сабой у них в любом случае соответствие двух цветов у двух объектов между которыми белое поле. Все что нужно это поместить исходные объекты поверх расставленных при соответствии цветов. Если заморочиться то ахинея а не защита. Лучше наверное в сторону жестов + лингвальные модификации заданий. То есть чтобы автоматически распознать КАКОЙ жест надо нарисовать мышкой было нельзя. Вот такие еще мысли есть…
Вообще тут очевидно куда копать — все в чистом виде плоские задания основанные на цвете и геометрии обречены на провал, то есть порог отсева бота и человека идет на уровне способа распознать в достаточно узких условиях. В итоге все более крутые фильтры + адаптивные персептроны уже распознают настолько, что приходится зашумлять простые капчи так, что и человек не вписывается. Значит в плоских заданий все труднее опередить машину. Очевидно же что надо задействовать обиходное макро-знание, которое не доступно в автоматном режиме. Если соревноваться с шахматным симулятором то не многие будут умнее бота, но человек существо социальное и этих социальных знаний в его голове тьма — вот их и надо использовать в купе с мышиными треками. Тут барьер будет огромный.
Я полагаю одно задание типа: дорисуй_смайлик может стать невозможным в автоматическом режиме. Другое дело генерация большого количества непохожих таких вот капч… это вопрос…
дело не в том «куда копать», дело в том что сейчас это «не откопано», и в ближайшее время откопано не будет… А если будет откопано, то «легким движением руки» все «откопки» сводятся в НОЛЬ путем введения нового вида заданий :)
Дело в том, что сейчас в КейКапчи есть только капча «собрать объекты», но это временно, сама технология позволяет легко создавать интерактивные капчи любого вида… И эти новые виды обязательно будут добавляться, если возникнут проблемы, что кто-то научится распозновать существубщие задания. КейКапча это в первую очередь технология, платформа для создания любых интерактивных капч.
Сегодня я щедр на «искрометные портянки» :)
Надо вообще просто сделать:
генерировать лингвистическими алгоритмами вопрос типа — «есть подчеркните слово которое растет в земле» и куча слов, среди которых лишь одно овощь. При неправильном ответе такого вопроса уже не будет и вместо морковки может быть в следующий раз свекла.

Просто, легко для человека + мышка + можно создать автоматически генерацию таких загадок.

Для разгадывания потребуется уже не просто персептрон а полноценное осмысление текста, такие алгоритмы тоже есть но они точятся на предметную область и весьма не просты. В РосНИИ ИИ такие делают строго под заказ под конкретную тематическую отрасль. А если бы такие системы были полноценны то поисковики бы искали горааааздо лучше
спасибо за идею… как начнут ломать «переставь объекты», так начнем слова подчеркивать :) пока не актуально…
Эх, кейкапча не заработала на айпаде, хотя написано что работает :(
Уже должна работать вернее :) проверьте пожалуйста, если не лениво ;)
ничем принципиально не отличается вроде как от reCAPTCHA, тоже капча-картинка, просто еще с аудио-вариантом…
Mollom как минимуму это эвристический анализ сообщений, например, комментариев. Комментарий сначала улетает на сервер Mollom, потом возвращается на сайт.
Есть платные и бесплатные версии.
Не вижу ничего родственного с reCAPTCHA, где юзер должен оцифровывать изображения
Значит это Akismet :) это ровно та же технология, просто насколько я увидел у них капча ужасная и рядом audio… Насчет «эвристики», это к Akismet… Кстати технология интеграции KeyCAPTCHA с веб-сайтом позволяет «легким движением руки» расширить функционал до эвристического анализа… Только если честно я в сам такой анализ не верю, ибо спам бывает разный, и иногда ну очень-уж изобретательный… Намного проще анализировать «общий баланс» постов по системе и таким образом «вычленять» сильно активных «комментаторов» + списки анонимных прокси…
А дайте пжалста ссылку на Javascript защиту, для которой нужен «управляемый браузер»?
Хочется посмотреть (ничего только не подумайте!) почему это нельзя сделать без участия оного.
Браузер нужен управляемый, не потому что какую-то конкретную защиту нельзя обойти без JS, а чтобы «не греть голову» над каким-то там видом защиты, который придумал конкретный вебмастер… Это надо для промышленных масштабов, а не чтобы завалить конкретный сайт спамом… А вообще можно на AJAX'е такое наваять, что блин задолбаешься разбираться и эмулировать…
Т.е. что-то типа AutoIT?
Записываем движения пользователя-эталона, заменяем переменные значения на значения из базы и запускаем?
Нет, не то, это «приблудка», нормалный управляемый браузер контроллируется скриптами на php, python или perl и работает по произвольному алгоритму, а не выполняет записанные действия эталонного пользователя…

Вернее запись действий пользователя обычно тоже там есть, но это не основное, основное это именно возможность работы по произвольному алгоритму написанному на каком-то универсальном скриптовом языке…
А как насчет технологии защиты блогов вида Паразит Эллиминатор. Когда единая связная база всех сайтов и один спаленный коммент автоматом вычеркивает все другие прорвавшиеся из всех сайтов сразу?
Это все насколько я примерно понимаю как раз и может входить в рамки Akismet или Mollom… Но беда что защита форм регистраций за частую намного более важна…
Значит на регистрацию ставим keyCaptcha или самописную ловушку на JS/PHP, а для комментов юзаем Disqus, Mollom или Akismet.

> Disqus Не универсальна, подходит только для комментов в блоги.
Что за бред? Дискус встраивается в любой сайт на ПХП.
Для популярных CMS есть плагины
drupal.org/project/disqus
extensions.joomla.org/extensions/social-web/social-comments/5259

> Комменты читателей перестают быть частью контента вашего сайта с точки зрения поисковика.
Опять неправда. Зависит от того как настроишь. Второй вариант (можно настроить) комменты хранятся в моей базе данных и выводятся мною или движком моего сайта и одновременно на сервере дискуса, позволяя модерировать, отлавливать спам и т.д. Базы синхронизируются. Если делать так, то индексация не страдает. + бонус: авторизация по социалкам и всякие там лайки и социальные закладки.

Если говорить о минусах дискуса, то он скорее в том что это коммерческая контора, которая как и все, кто стремится заработать на хлеб будут всячески подталкивать тебя к платной версии, и я не могу гарантировать что их сегодняшняя плюшевая (привлекательная) политика по использованию сервиса не изменится через год. Вот в этом вижу единственный подводный камень дискуса.

Утопическая мысль:
если-бы эти три плагина: Disqus, Mollom или Akismet создали-бы единый черный список комментаторов, и пополняли-бы его, то результат для каждого был-бы сильно лучше. А так как каждый борется за свой кусок хлеба — проигрывает юзер. Поэтому опен-сурсные решения все-таки рулят :)

«Значит на регистрацию ставим keyCaptcha или самописную ловушку на JS/PHP, а для комментов юзаем Disqus, Mollom или Akismet.»
— если только Вам кажется, что KeyCAPTCHA это сильно сложно для пользователей, я-бы вообще воткнул везде кейкапчу :) ну это понятно что я… :)

«Что за бред? Дискус встраивается в любой сайт на ПХП. »
— да я имею ввиду что формы произвольные защитить не возможно этим делом, например форму регистрации…

«Комменты читателей перестают быть частью контента вашего сайта с точки зрения поисковика.»
— тут может и погорячился, просто все сайты, которые видел, были на WP и без комментов :) может кто-то и настраивает, а может и не знают что это вообще можно сделать :) сорри за неточность…

А вообще с дискусом действительно я как-то значит плохо познакомился… сорри если кого ввел в заблуждение, статью подправлю, если буду где-то еще ее размещать…

«Утопическая мысль»
А не спасет это, это уберет конечно значительную часть «идиотов с мегафонами»… Но на их месте будут более изобретательные товарищи…
Хотя собственно тогда все это вообще не принципиально, тогда нет никаких принципиальных различий межде Disqus, Mollom и Akismet…

Я-то думал что Disqus специально «тырит себе» все комменты, и у спамеров-SEO, тобишь для поднятия PR/ТИЦ'ев полностью отпадает мотивация спамить в сайты с Disqus…

Ну а если это не так, тогда они все просто банальные конкуренты с идентичными по-смыслу системами Disqus, Mollom и Akismet…
> reCAPTCHA, предоставляющий одни из самых сложных для распознавания капчи.

В чем-же сложность рекапчи, если картинку можно точно так-же скормить антигейту, и распознавать ее будет не OCR а все равно человек??? Какая разница в таком случае насколько сложна капча-картинка и почему я слышу нотки грусти в ваших фразах, когда заходит речь о рекапче? И еще, почему рекапча — единственный сервис, который поддерживает гугл? Поддерживает настолько, что официальный сайт редиректит на копию сайта, только на домене гугла?
Пардон, в англоязычной вики прочитал что гугл купил рекапчу в сентябре 2009. Вопрос с гуглом решен.

Private Key — это что?
и может-ли это принципиально усложнить задачу для антигейта?
Ну там не рекапча у них, но все-равно коммент смотрится «изящно» так… ;)
:) нет, это просто для «идентификации» сайта… это ключ с помощью которого «подписываются» MD5 сообщения…
Ну вы попробуйте разгадать подряд своими глазами и руками 20 рекапч, и посмотрите, какой будет процент :)
Mollom (бесплатная версия) имеет ограничение на 100 (человеческих) комментариев в день и 100 капч в день. Если больше — 30 евро в месяц и т.д. согласно прайслисту: mollom.com/pricing

Akismet не изучал, но полагаю что ребята тоже не волонтеры.

А где-же всемогущий опен-сорс?
KeyCAPTCHA почти опен-соурс, полностью бесплатная если не хочешь персональную капчу или фильтрацию анонимных прокси… Все остальное бесплатно :)
А вообще совсем-совсем бесплатно держать такой сервис может позволить себе только гугл :) ну или бооольшой меценат :)
Only those users with full accounts are able to leave comments. Log in, please.