Comments 36
Что-то в этом определённо есть :)
Запросы придется писать вручную, если это будет делать генератор, то для вашего сайта быстро напишут распарсер по типу "Напишите пожалуйста слово [слово] используя [количество] [знаки] [место] и [количество] [знаки] [место]" и т.д.
Вывод остается классическим: если кому-то нужно, то обойдут вашу зитрую защиту. Если не нужно — сойдет любая капча от автоботов-пауков
Вывод остается классическим: если кому-то нужно, то обойдут вашу зитрую защиту. Если не нужно — сойдет любая капча от автоботов-пауков
Графическая капча генерирует _бесконечное_ количество вариантов автоматически.
Для вашего решения вопросы должны составляться человеком, то есть количество вариантов ограничено. Такую защиту можно легко обходить, имея несколько ответов и перебирая варианты.
Для вашего решения вопросы должны составляться человеком, то есть количество вариантов ограничено. Такую защиту можно легко обходить, имея несколько ответов и перебирая варианты.
Предыдущий оратор опередил
Она автоматически использует определенный набор цифр и уже исходя из этого становится уязвимой!
Ваш метод тоже использует определенный конечный набор букв :))
ну он как минимум раза в 3 а в случае с симолами то и в 4 раза больше
мало того идея не в наборе а в вопросе который не поймёт машина но поймёт человек
Машине не обязательно что-то понимать, если есть возможность перебрать. Машина тупая и ей миллион итераций сделать - раз плюнуть.
Как будут ломать вашу капчу? Элементароно. Достаточно знать 5-10 правильных ответов, а программа будет стучаться на сайт до тех пор, пока он не отдаст ей вопрос, на который ответ известен.
примен на PHP:
if (isset($questions[$currentQuestion])) {
$replay = $questions[$currentQuestion];
} else {
continue;
}
Как будут ломать вашу капчу? Элементароно. Достаточно знать 5-10 правильных ответов, а программа будет стучаться на сайт до тех пор, пока он не отдаст ей вопрос, на который ответ известен.
примен на PHP:
if (isset($questions[$currentQuestion])) {
$replay = $questions[$currentQuestion];
} else {
continue;
}
ну и стуке на пятом уже можно банить по ипу ! Хотя доля правды есть ... будем думать дальше..!
IP можно менять разными способами, например через прокси-сервера...
А можно ли это делать програмно? Даже если и можно то согласитесь что сложность всёравно выше чем у простой циферно-буквенной каптчи.
Некоторые зарубежные компании отказываются впускать на свои сайты юзеров использующих прокси.
Некоторые зарубежные компании отказываются впускать на свои сайты юзеров использующих прокси.
Программно можно все ))
Возможно у взломщика есть база на несколько десятков тысяч проксей, бот-нет или что-то еще...
Но даже если у вас есть база _всех_ проксей в мире, пробивать айпишник по ней на каждом запросе - дело затратное.
Ну в общем суть проблемы с ограниченным количеством вариантов думаю ясна...
Возможно у взломщика есть база на несколько десятков тысяч проксей, бот-нет или что-то еще...
Но даже если у вас есть база _всех_ проксей в мире, пробивать айпишник по ней на каждом запросе - дело затратное.
Ну в общем суть проблемы с ограниченным количеством вариантов думаю ясна...
Ужас. Я бы не прошел. Я - бот.
Почему ограниченое количество? ... разве имеет границы человеческая фантазия ? А тут же и великий русский язык ... м? ... я думаю любому боту сложно будет подобрать ответ если он не понимает вопрос .. так что вариант типа: "Напишите пожалуйста слово [слово] используя [количество] [знаки] [место] и [количество] [знаки] [место]" и т.д.
При просьбе написать 2 слова через пробел ! Уже не покатит )
При просьбе написать 2 слова через пробел ! Уже не покатит )
Помните зарю компьютерной эпохи, dos, когда на пробеле рисовали "any key"? Потому что иначе юзеры не могли найти ее, ту самую any key, которую просил нажать комп... Не будет ли с вашими капчами то же самое?
Я думаю что *конфетно\букетный* период уже пройден человечеством и те кто знают что такое сайт и для чего нужна каптча, вполне смогут найти пару символов на клавиатуре. Да и подстегнет это что ли всю подонкОФФскую братию ). Хотя вот еще вариант: уж если разговор зашол о кнопочках.... ок нопочках в интернете то почему не не попросить нажать какуюто кнопку определенного цвета порядка, или с определенным изображением ..тогда и вовсе отпадает надобность искать кнопки на клаве --почитал--вкурил--нажал ! )
Рассуждая о том что может человек и не может машина...по крайней мере машина которая будет пытаться взломать защиту.. Так вот можно попробовать использовать аудио информацию. Я понимаю что сейчас многие подумают --КАК ТАК ? в немом интеренте появится звук ? 0-0 но ведь наш любимый дорогой инет уже давно не безмолвен и впринципе звуком из коробочки никого уже не испугать. По поводу аудио я так понимаю что сложность о5 же будет заключаться в размере баз, но если звук совместить с рисунком или вопросом то вполне можно увеличить число итераций до такого котрое убъёт интерес к сайту !
И снова опоздали :) На крупных сайтах капчи озвучены, и уже есть методы расшифровки звуко-каптч и методы анти-расшифровки и ... короче эти капчи уже звучат ужасно, не лучше чем выглядят их графические братья
но если звук совместить с рисунком или вопросом то вполне можно увеличить число итераций до такого котрое убъёт интерес к сайту !... у пользователя ;)
)стараюсь не забывать об этом.
Есть кстати еще вариант с вопросами типа --ЧТО ЭТО ?
На сколько я помню когда то была сложность в идентификации изображения! Т.е. возможно нарезать кусочки видео на котороых будет чтото происходить --идти дождь, падать человек, улыбаться мордачка ну и т.д. думаю идея понятна --и соответственно вопрос --Видели ли вы улыбающегося человека в показанном видео? (при этом в видео он присутствовать не обязан)
Есть кстати еще вариант с вопросами типа --ЧТО ЭТО ?
На сколько я помню когда то была сложность в идентификации изображения! Т.е. возможно нарезать кусочки видео на котороых будет чтото происходить --идти дождь, падать человек, улыбаться мордачка ну и т.д. думаю идея понятна --и соответственно вопрос --Видели ли вы улыбающегося человека в показанном видео? (при этом в видео он присутствовать не обязан)
Тут о5 же можно будет попробовать создать базу с видео НО есть проблема --как создать аналогичную базу ? чтобы машина могла сопоставлять их ... Плюс ко всему ведь вопрос о наличии того что было прост --- а вот вопрос о наличии того чего небыло ? ...
Чем хороша графическая капча буква/цифры? НЕ НАДО ДУМАТЬ. Увидел цифры - ввел цифры, капча выделяется из общего контента как правило, ничего читать и ни во что вникать не надо, язык знать никакой не надо специально (японский файлообменник с капчей-текстовой головоломкой представьте себе, с которого по ссылке файл пытаетесь утащить, ппц, для японцев онли =)).
Все капчи с вопросами, головоломками и т.п. имеют существенный минус - надо вникать, юзера это раздражает когда он хочет быстро пройти дальше. Ну и еще - распознать оптическое изображение корректно программно сложнее, чем текст и написать парсер и логику ответов (если речь идет об ограниченном кол-ве вариантов вопросов).
Как компромисс - задавать очень простой и ВСЕМ понятный вопрос (типа "2х3=?"), но выдавать вопрос в виде защищенной но читабельной капчи, сложность взлома возрастает многократно (но опять же, ключевая фраза "всем понятный" что не так уж легко достижимо).
Показывать видео, а тем более спрашивать "что это" - жесть ИМХО, т.к. во-первых видео это трафик (представляю себе как я через GPRS захожу на сайт, а там капча в виде видео. единственно очевидная мне человеческая реакция тут - внезапное жгучее желание замочить аффтара этой идеи), вопрос что это - это как рапидшаровские кошки, в том плане что совершенно непроходимо для доброй половины юзеров (как в силу грамотности так и в силу неоднозначности мышления), плюс составлять базу для таких вопросов-ответов неблагодарное занятие - день спама запросами и новую базу можно делать смело, а это, блин, недешево обойдется ))
Так что пока ничего лучше обычной капчи не придумано ИМХО, а вот альтернативные способаы защиты изображения от программного распознавания - актуальная тема ))
Все капчи с вопросами, головоломками и т.п. имеют существенный минус - надо вникать, юзера это раздражает когда он хочет быстро пройти дальше. Ну и еще - распознать оптическое изображение корректно программно сложнее, чем текст и написать парсер и логику ответов (если речь идет об ограниченном кол-ве вариантов вопросов).
Как компромисс - задавать очень простой и ВСЕМ понятный вопрос (типа "2х3=?"), но выдавать вопрос в виде защищенной но читабельной капчи, сложность взлома возрастает многократно (но опять же, ключевая фраза "всем понятный" что не так уж легко достижимо).
Показывать видео, а тем более спрашивать "что это" - жесть ИМХО, т.к. во-первых видео это трафик (представляю себе как я через GPRS захожу на сайт, а там капча в виде видео. единственно очевидная мне человеческая реакция тут - внезапное жгучее желание замочить аффтара этой идеи), вопрос что это - это как рапидшаровские кошки, в том плане что совершенно непроходимо для доброй половины юзеров (как в силу грамотности так и в силу неоднозначности мышления), плюс составлять базу для таких вопросов-ответов неблагодарное занятие - день спама запросами и новую базу можно делать смело, а это, блин, недешево обойдется ))
Так что пока ничего лучше обычной капчи не придумано ИМХО, а вот альтернативные способаы защиты изображения от программного распознавания - актуальная тема ))
ну используя какойнибуть 3gp файлик весом в копейку я думаю думать о трафике особо не стоит ... да и даже у меня (человека из страны с одним из самых дорогоих интерентов) анлим ! ) ... а в силу того что наступает недалёкое будущее и корабли начинают бороздить просторы как вы знаете ... о трафике беспокоятся скорее провайдеры нежели пользователи!
Вникать ? ... ну эм тогда с вашим примером про 2x3=? тоже без определенных знаний и вычислений не разберешся так что ...как говориться хрен редьки не слаще!
Вникать ? ... ну эм тогда с вашим примером про 2x3=? тоже без определенных знаний и вычислений не разберешся так что ...как говориться хрен редьки не слаще!
Мне понравилась однажды каптча в виде нескольких рисунков, при наведении они увеличиваются, на них были фотографии кошек и собак, и нужно было выбрать те фотографии, на которых изображены кошки.
ИМХО может быть это и долго, но на живых кошек и собак смотреть веселее, чем на исковерканные буквы, на которые поверх наложены иконки кошек и собак.
ИМХО может быть это и долго, но на живых кошек и собак смотреть веселее, чем на исковерканные буквы, на которые поверх наложены иконки кошек и собак.
Классно когда делать нечего и можно посидеть потыкать рисунки. Но если Вас волнует (меня - волнует, особенно когда хиты миллионами в день измеряются) то кол-во пользователей, которые забьют на прохождение сложной капчи и уйдут с ресурса не досмотрев несколько страниц с рекламой (не говоря уж о том, чтобы войти в состав ядра аудитории ресурса и приносить еженедельно несколько десятков ценных хитов) - то это не метод ИМХО =)
Еще проблема, с которой бороться так никто толком и не научился - это полуавтоматические боты для спама в блоги, форумы и гестбуки), когда бот показывает капчу оператору, а тот ее распознает. Эту проблему можно было бы решить используя для отображения капчи большинством защищаемых ресурсов неких крупных капча-сервисов, т.е. капча показывается как счетчик - средствами стороннего сервиса, отдающего отдельным web-интерфейсом ресурсу значение для проверки капчи. Тогда можно было бы фильтровать юзера, пытающегося слишком быстро ввести подряд капчи на разных страницах. Может и дойдет до этого =)
Еще проблема, с которой бороться так никто толком и не научился - это полуавтоматические боты для спама в блоги, форумы и гестбуки), когда бот показывает капчу оператору, а тот ее распознает. Эту проблему можно было бы решить используя для отображения капчи большинством защищаемых ресурсов неких крупных капча-сервисов, т.е. капча показывается как счетчик - средствами стороннего сервиса, отдающего отдельным web-интерфейсом ресурсу значение для проверки капчи. Тогда можно было бы фильтровать юзера, пытающегося слишком быстро ввести подряд капчи на разных страницах. Может и дойдет до этого =)
До сих пор лучше чем уникальная (пусть даже простая) и постоянно изменяющаяся защита ничего не придумано. Если постоянно сбивать с толку ботов и спамеров изменяющимися типа капч, подтасовкой имен полей, фиктивными слоями, псевдо-кнопками и т.д. и не лениться это менять (можно даже "запрограммировать" автоматическую смену), а главное чтобы защита была своя, чем больше крупных поратлов будут использовать что-то одно, тем больше мотивов у спамеров будет написать "открывашку" для этого
Sign up to leave a comment.
Каптча