Zlo jménem Captcha (opisování znaků z obrázku)
|
Jsem zásadní odpůrce Captchy. Je to velmi účinná metoda, jak uživatele co nejvíce nasrat. Captcha je řetězec znaků, který na některých webech musíte opsat z obrázku, abyste mohli přispět diskuzním příspěvkem, poslat e-mail prodejci atp. Důvodem má být zamezení automatického odesílání SPAMu skrz tyto formuláře nebo jiné strojové využití formulářů (roboti vygenerované znaky obvykle neumí rozpoznat a „opsat“). |
 |
Webmasterům však nestačí otravovat lidi jen přepisováním obyčejných znaků. Vývoj Captchy směřuje dál a dál a poslední dobou je v módě generovat co nejdelší a co nejhůř opsatelné řetězce.
Jeden světoznámý server Rapidshare dokonce kdysi přišel s inovativní Captchou, kterou běžně trefíte tak napopáté. A to musíte na monitor koukat z 20 centimetrů. Ovšem zde situaci chápu, Rapidshare poskytuje také služby kompenzované pouze sledováním reklamy, na kterou jste podvědomě při opisování nuceni koukat.
Rapidshare: Opište 4 znaky, na kterých sedí kočička. (Opravdu 4.)
Další specialitou je zakroutit řetězec tak, že některé znaky splynou v jeden (tvarem či barvou). V tomto případě nezbývá nic jiného, než tipovat. Když jsem například na Živě.cz nedávno psal poměrně dlouhý příspěvek do diskuse pod článkem, po odeslání se vtipně zobrazila pouze hláška „Neopsal jste správně znaky z obrázku“. Takový smolný uživatel u Živě.cz pak nemá žádnou jinou možnost, než celý příspěvek napsat znovu (!).
Povinná Captcha je jen nouzový způsob, jak zamezit 99% robotům vkládat SPAM a 50% lidem kvalitní příspěvky. Jen škoda, že webmasteři častěji neaplikují jiné metody proti spamu, např. analýza textu atp.
Čtěte také:
- Na délce záleží! Jak zvolit správné heslo?
- S XSS zranitelností se dá napáchat více škody, než si myslíte
- Hacking webů - obrana, techniky (1)
19. 04. 2009 v 11:11 • Bezpečnost a hacking • autor Michal Smrčka
Názory a komentáře k článku
| [1] vklidu | 12. 05. 2009, 15:53 |
|
Captcha je dnes pro uzivatele cim dal otravnejsi, protoze roboti jsou cim dal lepsi. Vzdy je dulezite zvolit vyvazeny pomer zabezpeceni a uzivatelskeho komfortu.
Co se tyka obranou pred spamem je daleko lepsi delat jednoducha originalni reseni nez slozita, ale vsude rozsirena. Nikdo totiz nebude psat robota pro konkretni server (pokud to neni necim vyznamny server na celem internetu), ale napise robota, ktery postihne co nejvic serveru se stejnou ochranou. Michale, az ti tu bude spamovat nejaky robot, tak taky budes muset udelat nejake zabezpeceni... :) | |
| [2] Michal Smrčka admin | 12. 05. 2009, 19:30 |
| To je pro mě pocta, když naznačuješ, tento web zabezpečený není :) Protože komentáře zabezpečené mám a denně odolávají několika stovkám spamů - a hlavní proritou bylo, aby to nijak nenarušilo uživatelský komfort, přesně jak píšeš. | |
| [3] vklidu | 13. 05. 2009, 09:59 |
|
Logujes si nekde ty pokusy o spam? Me by to zajimalo co ti roboti posilaji. Nemyslim jake reklamy, ale kdybys mel cely http request, tak bych se rad podival jak moc jsou inteligentni, jestli pracuji v session apod... :)
No ochrana pomoci nahledu neni spatna, ale pro inteligentni roboty to neni podle me prekazka. Ale na tvuj web to staci. Zas tak zajimavy asi nejsi, aby psal nekdo robota jen kvuli tvym strankam... :) | |
| [4] Michal Smrčka admin | 13. 05. 2009, 10:54 |
|
Ochrana náhledem roboty nezastaví. Dělám analýzu textu a kromě toho při vkládání "reklamy" na web požaduji zaškrtnout checkbox, který se vygeneruje až událostí onkeyup. Robot událost onkeyup vyvolat zřejmě neumí, každopádně těch ochran mám několik. Neříkám, že je to stoprocentní - v tuto chvíli se na mém webu spamerům nedaří. Až to nějaký chytřejší robot obejde, tak mu v tom zas během pár minut zabráním.
A psát robota na konkrétní web? Spíš možná na nějaký rozšířený fórum (phpbb) nebo třeba redakční systém (wordpress), to se může někomu hodit, ale psát robota kvůli jednomu konkrétnímu webu je chvilková záležitost, muselo by jít o velký prachy... :) Klidně ti pár requestů zaloguju :) | |
| [5] vklidu | 14. 05. 2009, 09:57 |
|
No ale to zaskrtavatko nic moc neresi, protoze i kdyz si ho stylem schoval, tak je videt. Robot analyzuje html kod a ne to co je videt. Kdyby si ho generoval jak pises, tak by to melo efekt, ale takhle ho jen zobrazis uzivateli.
Analyza textu je podle me strasne nedokonala. Zverejnis vubec muj prispevek, kdyz sem napisu via*gra? Hm tak to bez hvezdicky neslo... vidis ja nejsem spammer, ale presto nemuzu napsat prispevek, ktery je k veci... :) To co pises v poslednim odstavci, jsem psal hned prvne, ze se pisou roboti na hodne pouzivane cms nebo velke weby, kde se to vyplati. Je lepsi jednoduche, ale originalni reseni ochrany nez super slozite, ale vsude pouzivane. | |
| [6] Michal Smrčka admin | 14. 05. 2009, 22:07 |
|
To, co říkáš, je sporný. Sice jsem neměl používat slovo "vygeneruje se", což jsem si trochu uvědomil už při psaní, ale smysl je v něčem jiném. Před pár lety jsem na jeden web dal tak 10 submit políček, z toho jen jeden byl odesílací a byl viditelný, ostatní byly jen neviditelné návnady pro spammery. Roboti se tohle naučili rozpoznávat - takovej malej důkaz, že na neviditelný prvky robot nemusí brát vždy ohled.
To skrývání checkboxu je taky estetická věc, prostě neotravuje pořád - to tomu taky nahrálo. Blokaci slova "viagra" jsem zrušil, to byl pozůstatek staršího filtru, který už není potřeba. Zakázal jsem v textu opravdu jen extrémy (ale reálné). Mám ale v plánu udělat procentuální analýzu textu, většina spamu obsahuje málo slov s vysokou relevancí. Web by však neměl takové vzkazy blokovat úplně, ale nějak si ověřit uživatele - teď už klidně tou captchou, ale nějakou normální, jasnou, čitelnou, která člověku nezabere minutu, ale 3 sekundy :) | |
| [7] Jitka | 16. 06. 2009, 10:47 |
| tak pánové, Váš souboj je mimo moje chápání, ale ke Captchě mám svůj komentář z pohledu jiné profese... zajímalo by mě, jestli někdo vysledoval, kolik času luštěním podobných bezpečnostních prvků tráví např. dyslektici.... | |
| [8] ricco | 20. 06. 2009, 22:16 |
| jen sem to zkusil :) | |
| [9] Karel | 03. 09. 2010, 02:17 |
| Nesouhlasím s názorem,že tento web není asi moc zajímavý.Já si tu vždy rád počtu.A s názory autora nemusím vždy souhlasit,ale rozhodně jsou zajímavé.Prostě hezký inteligentní pokec.A ještě se mi líbí,že na mne nikde nic nemrká a nebliká. | |
| [10] Ondra | 15. 01. 2011, 13:54 |
| Souhlas, Captcha je ztráta času a k ničemu. Ale ty jiné způsoby mě zajímaj. | |
| [11] Srutal | 11. 02. 2011, 13:53 |
| Taková progresivní metoda na ochranu proti spamům je Mollom. Administrátor webu si může vybrat mezi analýzou textu a captcha kódem nebo kombinací obojího. Na mém webu jsem registraci uživatelů zabespečil jen captcha kódem a komentáře analýzou textu. Celý systém je velice inteligentní. Vytváří krásné grafy a statistiky. Vyzdvihl bych systém analýzy textu s funkcí tzv. důvěry. Anonymní uživatel napíše komentář a po kliknutí na jedno jediné tlačítko komentář odešle. Provede se analýza a pokud je text vyhodnocen jako nezávadný je příspěvek uložen. Pokud vznikne podezření zobrazí se před uložením výzva k opsání capcha kódu. Funkce důvěry monitoruje IP adresy (možná ještě něco navíc) a pokud je z dané adresy odesláno aspoň 5 legitimních příspěvků, už se captcha kód i při odeslání podezřelého obsahu negeneruje. Ovšem když administrátor stránek označí jakýkoliv příspěvek za nevhodný nebo při opakovaném ukládání podezřelích příspěvků je capcha kod znova vyžadován. | |
Přidat komentář
Kategorie blogu
Twitter feed
- Michal Smrčka:
Včera jsme zahráli trochu jazzu na konferenci Vítejte u nás ve Znojmě http://t.co/ehfj7iHM . Btw zdravím @zitbrno ;)
18.5.2012 22:47 - Michal Smrčka:
@MichalCerny To se mi jednou ve stavu opilosti taky stalo. O to horší, že více než 10 tisíc Kč peněženka odmítá a nejde zavřít
18.5.2012 22:46 - Michal Smrčka:
Rathův obhájce je Adam Černý - muž, který žaluje Lupu kvůli rozkrývání kauzy Tojecool. Náhodička
17.5.2012 07:57
@michalsmrcka
Poslední články
Můj přechod z HTC Desire na iPhone 4S (2012-03-20)
Adrenalinový zážitek? HTC s Androidem. (2012-03-10)
Aukro v nové soutěži odměnuje šikovné programátory (2011-11-18)
Poslední komentáře
ten kdo neumi : Nevm jesi to tady uz nekdo nerikal ale. skouseli jste to nekdo psat na roztazenou gumicku potom gumicku pri pisemce roztahujete a opisujete kdyz se to udela dobre tak se to z nenapnuty gumicky neda precist mam za sebou 8testu vsecny na 1... Ukázat
cockin74: Dekuji za radu. Ukázat
Kaca: ja to delam tam ze si ho nalepim na zidli a sednu si a jenom roztahuju nohy nebo kdyz mame pisemku rozdelim si s kamoskou A4 papir na pul a na kraj toho papiru si tuzkou napisu veci ohnu aby to neslo videt... Ukázat
obluda: Sešit do lavice Ukázat
utrum: Badoo je ješte slabej odvar,merkněte na tohle video,měli byste si dat pozor nato.
http://www.youtube.com/watch?v=4cf1YwEQxIs Ukázat