¿ReCaptcha ahora es básicamente inútil?


17

¿ReCaptcha ahora es básicamente inútil?

He leído en Internet que reCaptcha se ha roto y los robots de spam pueden superarlo fácilmente. ¿Ha abordado Google esto en absoluto? ¿Tienen algún plan para arreglarlo? No puedo encontrar este tipo de información en la web, y esperaba que alguien pudiera tener alguna idea.

¿Existen servicios web similares, confiables y más seguros para este tipo de cosas? No quiero tener que hacer mi propia clase de tipo captcha porque el procesamiento de imágenes sobre la marcha consume bastante recursos y no quiero hacer un tipo de captcha de preguntas y respuestas (no quiero que esta clase necesite acceso a DB).

Cualquier sugerencia o información sobre los problemas de reCaptcha son bienvenidos.


55
Pensamiento aleatorio: podría hacer un sistema de tipo de preguntas y respuestas sin una base de datos, presentando simples acertijos matemáticos: "Escriba el número que obtiene cuando multiplica 7 por 3:" ¿Podría alguien encontrar una manera de superar eso? Claro, pero tomaría al menos un poco de trabajo, por lo que podría valer la pena.

o una combinación de dos
Lukasz Madon


3
¿No es el punto de reCaptcha que el texto en realidad es texto escaneado de libros y documentos? Específicamente, ¿texto que no podría leer el OCR existente? No sé cómo puede "romper" recaptcha, ya que siempre incluyen más texto de más fuentes. La única forma de realmente "romper" sería desarrollar un OCR "perfecto", que detecte lo que todos los demás fallan. Fuera de usar directamente OCR, me imagino que cualquier otro problema de seguridad podría solucionarse ...

Hubo una interesante hace un tiempo que mostraba (por ejemplo) una cuadrícula de imágenes de perros, con un par de imágenes de gatos salados al azar, y simplemente hace clic en los gatos. No puedo ver cómo automatizarías un crack para eso. El único inconveniente es que sería inutilizable para personas ciegas.

Respuestas:


12

Captcha siempre ha sido vulnerable a un simple ataque de hombre en el medio donde el spammer transmite las imágenes a su propio captcha en un sitio web que ofrece descargas de mp3 o porno de forma gratuita. No importa qué tipo de captcha uses.

Detectar patrones de comportamiento es el camino a seguir.


Interesante, no conocía ese enfoque.

7

Nunca me gustaron los captcha's. Incluso he visto una instancia 'en el campo' de alguien que no puede resolver un captcha en los primeros doce intentos (no pregunte).

Hasta ahora, he tenido éxito para mantener el spam fuera de este sitio web que configuré, simplemente comprobando que todas las 'solicitudes periódicas' se realizan realmente (hojas de estilo, scripts, imágenes), confirmando que es una verdadera web 'de carne y hueso' sesión del navegador que llama al sitio web y niega cualquier publicación con 4 o más URL en ellas.

Los pocos spammers que pasaron me quedé en silencio al poner en la lista negra el número de IP. (por ahora)

Pero debo decir que esto todavía no es resistente al agua, pero nada lo es de todos modos. (Por otra parte, supongo que no hay mucho para ganar enviando spam a un sitio web con pagerank 2).


1
Tengo un compañero de trabajo que es casi ciego. Ya tengo suficientes problemas para descifrar algunos captchas con mi vista decente, no puedo imaginar cómo sería para una persona casi ciega.

@jwenting: Es por eso que reCAPTCHA y otros servicios / soluciones CAPTCHA también brindan una opción de audio para personas con discapacidad visual.
Lèse majesté

5

En un pequeño sitio mío, bloqueé el spam de esta manera:

Ingrese el nombre del día de la semana de mañana.

De hecho, hay un poco más de explicación que eso, pero se entiende la idea.

No había visitado el sitio durante un año más o menos y tengo 16000 entradas de spam (en comparación con 20 entradas de jamón). Puse este control de cordura allí hace 2 años y no he tenido una entrada de spam desde entonces.

El bloqueo de spam es una cuestión de importancia del contenido que está protegiendo. Mientras no se sepa que su sitio tiene al menos 1000 visitas al día, nadie se molestará en ver por qué su spam no funcionará en usted. No es más que un sitio no inflamable dentro de un vasto mar de información que nadie tiene la oportunidad de analizar.
Para ser claros: a menos que esté protegiendo un objetivo más grande, use algo simple y discreto.

También se puede identificar el spam en función del contenido.

Sin olvidar: al tratar de defenderse de un atacante, es mucho más fácil hacerles creer que tuvieron éxito. Una técnica es aceptar el contenido de spam y eliminarlo dentro de un minuto más o menos (dudo que los bots de spam tengan comprobaciones contra eso).

Por último, siempre puede solicitar a los usuarios que se autentiquen, lo que facilita mucho el seguimiento. Permita el inicio de sesión a través de todos los servicios principales (openID, facebook) y debería estar bien.



0

Identificación de imagen.

A veces, las soluciones simples son las más fáciles. Todo lo que necesita son algunas imágenes aleatorias de objetos (por ejemplo, un caballo, un gato, un perro y un pato). Luego, cuando alguien necesita validar que no son humanos, se muestra una imagen y el usuario simplemente debe identificar qué es.

Puede encontrarse con un solo problema con esto. No todo tiene el mismo nombre en todas partes. Lo que llamas un caballo, mis abuelos lo llamaron Pferd. Si solo apunta a hablantes de inglés (o alemán o cualquier otro idioma), tiene una solución simple a un problema simple.


puede hacer esto al revés: muestre varias imágenes como respuesta y dígale al usuario que 'haga clic en el caballo'. La pregunta obviamente estaría en el idioma en que se mostraría el resto de la página.
gbjbaanb

@gbjbaanb El único problema con esa solución es que si tiene 3 imágenes, el spammer podría hacer clic programáticamente en una de las imágenes con una tasa de éxito de 1/3. Por supuesto, también podría utilizar un servicio como Akismet, pero aún existe la posibilidad de que se escape. Todo depende de cuánto riesgo esté dispuesto a asumir.

0

Siento que el modelo de captcha está roto por las siguientes razones.

  1. Agregar uno a su sitio le dice al usuario que el spam es su problema, no el suyo.
  2. Las personas con discapacidad visual no pueden usarlos.
  3. Actúan como un excelente vector de ataque para el hombre en los ataques medios.
  4. Ellos (normalmente) confían en que un servicio de terceros esté en línea para que sus formularios funcionen.
  5. A veces pueden romperse con tecnología OCR más avanzada.

Entonces, para responder a su pregunta, no creo que sea inútil, realiza su tarea bien la mayor parte del tiempo, pero está rota, por lo que personalmente recomendaría no usarla.


0

He estado haciendo I + D en una nueva tecnología que utiliza las asociaciones semánticas que los humanos intuyen entre las imágenes para crear desafíos de validación simples. Necesitamos reemplazar CAPTCHA basados ​​en texto con algo mejor ... sus días están claramente numerados. Incluso Luis Von Ahn lo admitió en 2009. También me quema que tengamos tantas aplicaciones en la web que dependen de una tecnología que a todos les resulta molesta.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.