ReCaptcha est-il désormais pratiquement inutile?

17

J'ai lu sur Internet que reCaptcha a été brisé et que les robots anti-spam peuvent facilement le surmonter. Google a-t-il résolu ce problème? Ont-ils des plans pour y remédier? Je ne trouve pas ce type d'informations sur le Web, et j'espérais que quelqu'un pourrait avoir un aperçu.

Existe-t-il des services Web similaires, fiables et plus sécurisés pour ce type de choses? Je ne veux pas avoir à créer ma propre classe de type captcha car le traitement d'image à la volée est assez gourmand en ressources, et je ne veux pas faire de captcha de type Q&R (je ne veux pas que cette classe ait besoin d'un accès DB).

Toutes suggestions ou informations sur les problèmes de reCaptcha sont les bienvenues.

captcha

— Anuvesh
source

5

Pensée aléatoire: vous pourriez faire un système de type Q&R sans base de données, en présentant des énigmes mathématiques simples: "Veuillez taper le nombre que vous obtenez lorsque vous multipliez 7 par 3:" Quelqu'un pourrait-il trouver un moyen de dépasser cela? Bien sûr, mais cela prendrait au moins un peu de travail, donc cela pourrait valoir le coup.

ou un mélange de deux

— Lukasz Madon

1

Peut-être pertinent: stackoverflow.com/q/448963/590790

3

Le but de reCaptcha n'est-il pas que le texte est en fait du texte scanné à partir de livres et de documents? Plus précisément, du texte qui ne pouvait pas être lu par l'OCR existante? Je ne sais pas comment vous pouvez "casser" le recaptcha, car ils incluent toujours plus de texte provenant de plus de sources. La seule façon de vraiment "casser" ce serait de développer un OCR "parfait", qui détecte ce que tous les autres échouent. En dehors de l'utilisation directe de l'OCR, j'imagine que d'autres problèmes de sécurité pourraient être corrigés ...

Il y en avait un intéressant il y a quelque temps qui montrait (par exemple) une grille de photos de chiens, avec quelques photos de chats salés au hasard, et vous cliquez simplement sur les chats. Je ne vois pas comment vous automatiseriez une fissure pour cela. Le seul inconvénient est qu'il serait inutilisable pour les aveugles.

12

Captcha a toujours été vulnérable à une simple attaque d'homme au milieu où le spammeur relaie les images vers son propre captcha sur un site Web qui propose des téléchargements mp3 ou du porno gratuitement. Peu importe le type de captcha que vous utilisez.

La détection des modèles de comportement est la voie à suivre.

— Peter Taylor
source

Intéressant, ne connaissait pas cette approche.

7

Je n'ai jamais aimé le captcha. J'ai même vu un cas «sur le terrain» d'une personne incapable de résoudre un captcha dans les douze premières tentatives (ne demandez pas).

Jusqu'à présent, j'ai réussi à garder le spam sur ce site Web que j'ai créé, juste en vérifiant que toutes les `` demandes périférales '' sont effectivement effectuées (feuilles de style, scripts, images), confirmant qu'il s'agit d'un véritable Web `` chair et os ''. session de navigateur appelant le site Web et refusant toute publication contenant au moins 4 URL.

Les quelques spammeurs qui ont réussi à passer sont restés silencieux en faisant une liste noire sur le numéro IP. (pour l'instant)

Mais je dois dire que ce n'est toujours pas étanche, mais rien ne l'est quand même. (Là encore, je suppose qu'il n'y a pas grand-chose à gagner à spammer un site Web avec pagerank 2.)

— Stijn Sanders
source

1

J'ai un collègue qui est presque aveugle. J'ai assez de mal à déchiffrer certains captchas avec ma vue décente, je ne peux pas imaginer ce que ce serait pour une personne presque aveugle.

@jwenting: C'est pourquoi reCAPTCHA et d'autres services / solutions CAPTCHA offrent également une option audio pour les malvoyants.

— Lèse majesté

5

Sur un petit site à moi, j'ai bloqué le spam comme ceci:

Veuillez saisir le nom du jour de la semaine de demain.

En fait, il y a un peu plus d'explication que cela, mais vous avez l'idée.

Je n'avais pas visité le site depuis un an environ et je possède 16 000 entrées de spam (par rapport à 20 entrées de jambon). J'ai mis cette vérification d'esprit là-bas il y a 2 ans et je n'ai plus eu d'entrée de spam depuis.

Le blocage du spam est une question d'importance pour le contenu que vous protégez. Tant que votre site n'est pas connu pour avoir au moins 1000 visites par jour, personne ne se souciera vraiment de savoir pourquoi son spam ne fonctionnera pas sur vous. Vous n'êtes qu'un site non spammable dans une vaste mer d'informations que personne n'a la possibilité d'analyser.
Donc, pour être clair: à moins que vous ne protégiez une cible plus grande, utilisez quelque chose de simple et discret.

Le spam peut également être identifié en fonction du contenu.

N'oubliez pas: lorsque vous essayez de vous défendre contre un attaquant, il est beaucoup plus facile de lui faire croire qu'il a réussi. Une technique consiste à accepter le contenu indésirable et à le supprimer dans une minute environ (je doute que les robots collecteurs de courrier indésirable soient vérifiés par rapport à cela).

Enfin, vous pouvez toujours demander aux utilisateurs de s'authentifier, ce qui facilite beaucoup le suivi. Autorisez la connexion via tous les principaux services (openID, facebook) et tout ira bien.

1

Consultez cet article de MikeBeach.com , en utilisant des alternatives aux captchas et en expliquant en détail les avantages / inconvénients de certaines bibliothèques ou services captcha bien connus tels que reCAPTCHA .

Citant:

Personnellement, j'utilise une combinaison de mauvais comportement et de Defensio sur mes sites, et j'ai vu une grande baisse de la quantité de spam.

— Frosty Z
source

0

Identification d'image.

Parfois, des solutions simples sont les plus simples. Tout ce dont vous avez besoin est quelques images aléatoires d'objets (par exemple un cheval, un chat, un chien et un canard). Ensuite, lorsque quelqu'un a besoin de valider qu'il n'est pas un être humain, une image s'affiche et l'utilisateur doit simplement l'identifier.

Vous pouvez rencontrer un seul problème avec cela. Tout n'a pas le même nom partout. Ce que vous appelez un cheval mes grands-parents ont appelé un Pferd. Si vous ne visez que des anglophones (ou l'allemand ou toute autre langue d'ailleurs), vous avez une solution simple à un problème simple.

— Glenn Nelson
source

vous pouvez le faire dans l'autre sens - montrez plusieurs images comme réponse et dites à l'utilisateur de «cliquer sur le cheval». La question serait évidemment dans la langue dans laquelle le reste de la page allait être affichée.

— gbjbaanb

@gbjbaanb Le seul problème avec cette solution est que si vous avez 3 images, le spammeur pourrait cliquer par programme sur l'une des images avec un taux de réussite de 1/3. Bien sûr, vous pouvez également utiliser un service comme Akismet, mais il est toujours possible qu'il passe à travers. Tout dépend du niveau de risque que vous êtes prêt à assumer.

0

Je pense que le modèle captcha est cassé pour les raisons suivantes.

Ajouter un à votre site, c'est dire à l'utilisateur que le spam est son problème, pas le vôtre.
Les personnes malvoyantes ne peuvent pas les utiliser.
Ils agissent comme un excellent vecteur d'attaque pour l'homme au milieu des attaques.
Ils dépendent (normalement) d'un service tiers en ligne pour que vos formulaires fonctionnent.
Parfois, ils peuvent être brisés par une technologie OCR plus avancée.

Donc pour répondre à votre question, je ne pense pas que ce soit inutile, il remplit bien sa tâche la plupart du temps, mais il est cassé donc je déconseille personnellement son utilisation.

— Toby
source

0

J'ai fait de la recherche et développement sur une nouvelle technologie qui utilise les associations sémantiques que les humains ont intuitives entre les images pour créer des défis de validation simples. Nous devons remplacer les CAPTCHA basés sur du texte par quelque chose de mieux ... leurs jours sont clairement numérotés. Même Luis Von Ahn l'a admis en 2009. Cela me brûle aussi que nous ayons tellement d'applications sur le Web qui dépendent d'une technologie que tout le monde trouve ennuyeux.

— Chris Ivey
source