reCaptcha ถูกแคร็ก / แฮ็ค / OCR'd / พ่ายแพ้ / แตก? [ปิด]


172

มีการใช้วิธีการเขียนโปรแกรมใดเพื่อเอาชนะ reCAPTCHA หรือไม่

ฉันสนใจที่จะเห็นหลักฐานและการสาธิตที่เป็นไปได้ที่ reCAPTCHA โดยเฉพาะนั้นล้าสมัยด้วยวิธีการอัตโนมัติและไร้มนุษย์อย่างสมบูรณ์

เพื่อความกระจ่างแจ้งไม่ใช่มองหาวิธีแก้ปัญหาการโกง reCAPTCHA ที่เกี่ยวข้องกับมนุษย์ไม่ว่าทางใดก็ตามไม่ว่าจะเป็นทีมที่ได้รับมอบหมายให้กรอก CAPCHAs ผู้ค้นหาสื่อลามกหรือเครื่องกลเติร์ก

ฉันยังไม่ได้มองหาทางเลือก reCAPTCHA เช่นการเลือกประเภทของสัตว์หรือพื้นหลังหรือจาวาสคริปต์


18
จำนวนข้อมูลที่ผิดในคำตอบเหล่านี้คือน่าอัศจรรย์ หาก ReCaptcha ได้รับ "เสีย" จากนั้นมีคนบอก Facebook, Craigslist และ TicketMaster ได้ดีกว่า! : p
Jeff Atwood

15
เจฟฟ์พวกเขาได้รับแจ้งและข้อมูลที่ผิดเพียงอย่างเดียวอ้างถึง CAPTCHA ว่าเป็นกลไกความปลอดภัยที่ถูกต้อง มันถูกทำลายสังเกตุทั้งในการใช้งานทั่วไปและในทางทฤษฎี (ไม่เพียง reCAPTCHA แต่แนวคิดของ CAPTCHA) ในทางตรงกันข้ามมันไม่มีคุณค่าอย่างสมบูรณ์ฉันได้อ้างถึงเว็บไซต์นี้ว่าเป็นกรณีการใช้งานที่ถูกต้องสำหรับ CAPTCHA - นอกเหนือจากกลไกอื่น ๆ อีกมากมายมันสามารถทำงานร่วมกันเพื่อลดค่าใช้จ่าย "ผู้โจมตี" เพียงเล็กน้อย มากกว่า.
AviD

13
ฉันผิดหวังที่ตัวแบบไม่มีpwnedอยู่ในนั้น
skaffman

2
บางวิจัยเพิ่มเติมในหัวข้อ: schneier.com/blog/archives/2010/10/analyzing_captc.html ที่จริงฉันพบความคิดเห็นน่าสนใจยิ่งกว่าการโพสต์หรือการวิจัยตัวเอง ...
307 AviD AviD

9
Oo! สุดยอด CAPTCHA! xkcd.com/810
AviD

คำตอบ:


92

ฉันสังเกตเห็นว่าคำตอบเกือบทั้งหมดที่นี่เกี่ยวข้องกับความไม่มีประสิทธิภาพของแนวคิดของ CAPTCHA ตามหลักการ - และในขณะที่ฉันเห็นด้วยกับพวกเขามากจริงๆแล้วได้พูดคุยกับ OWASPเมื่อไม่กี่เดือนที่ผ่านมาอธิบายว่าคำถามนี้เฉพาะเจาะจงมาก ดังนั้นฉันจะเตรียมการสาธิต
แต่ก่อนอื่นฉันจะย้ำว่าการสาธิตนั้นอ่านความคิดเห็นอื่น ๆ อีกครั้งเนื่องจากเป็นความจริงที่ว่า CAPTCHA ไม่มีจุดหมายและไม่มีประโยชน์ไม่เกี่ยวข้องกับการนำไปใช้ ....

แต่จริงๆตรวจสอบCAPTCHA นักฆ่า คุณสามารถอัปโหลดภาพ CAPTCHA และจะให้คำตอบ OCR ทันทีโดยอัตโนมัติ มันยังให้สำหรับ API (ส่วนที่เหลือฉันคิดว่า แต่อาจจะเป็นสบู่) ฉันลองใช้ภาพ reCAPTCHA หลายภาพและจริง ๆ แล้วมันเป็นภาพที่ง่ายที่สุด (หรืออย่างน้อยก็เร็ว)

UPDATE : เว็บไซต์ของ CAPTCHA Killer ถูกถอดออกในเวลานี้ดูเหมือนว่าภายใต้แรงกดดันทางกฎหมาย ดูhttp://captcha.org/สำหรับภาพรวมทั้งหมดของหัวข้อ

และใช่ OCR ไม่ใช่วิธีที่ดีที่สุดในการทำลายไซต์ที่ได้รับการป้องกันของ CAPTCHA - มีวิธีที่ดีกว่าอีกมากมาย


3
ฉันสงสัยว่านักฆ่า captcha ทำงานอย่างไร อย่างใดฉันก็ดูเหมือนว่ามันใช้แรงงานราคาถูกและสร้างรายได้ด้วยการโฆษณาบนเว็บไซต์ (และการขายสินค้า)
Georg Schölly

3
คำตอบที่เป็นประโยชน์เกี่ยวกับ captchas โดยทั่วไป แต่คำถามเกี่ยวกับ reCAPTCHA โดยเฉพาะ
ไมค์

2
เพิ่งลอง Captcha Killer กับ reCAPTCHAs สามอัน ทั้งสามหมดอายุโดยไม่ตอบกลับ
lfaraone

21
ดูเหมือนว่าฆาตกร CAPTCHA จะถูกฆ่าตาย: มันถูกทำลายอย่างรุนแรงโดย บริษัท ข้ามชาติที่กำลังมองหาวิธีที่จะควบคุมอำนาจเหนือกว่าและกำจัดเสรีภาพในการแสดงออกทางความคิดสร้างสรรค์! ช่างเป็นนักฆ่าที่สวยงามช่างเป็นคนตายเร็วขนาดนี้!
คิริล

4
ฉันคิดว่ามันเป็นเพียงแค่การเปลี่ยนโดเมนและเวอร์ชันจ่ายทันทีตรวจสอบbypasscaptcha.com/captchakiller.php
MarmiK

54

คุณอาจจะสนใจในการรายงานรายละเอียดเกี่ยวกับวิธี 4chan แพ้ reCAPTCHA และใช้มันเพื่อจัดการ Time.com เวลาประจำปี 100 ผลการสำรวจความคิดเห็น

แฮ็ครีแคปชชา (aka 'The Penis Flood')

กลยุทธ์ต่อไปที่ใช้คือการดูว่าพวกเขาสามารถหาข้อบกพร่องในการนำ reCAPTCHA ไปใช้หรือไม่ สิ่งหนึ่งที่พวกเขาค้นพบเกี่ยวกับ reCAPTCHA คือมันมักจะนำเสนอสองคำให้กับผู้ใช้ในการถอดรหัส - หนึ่งคำคือคำควบคุมที่ระบบ reCAPTCHA รู้จักในขณะที่อีกคำหนึ่งเป็นคำที่ไม่รู้จัก (reCAPTCHA ใช้มนุษย์เพื่อช่วยแก้ไขข้อผิดพลาด OCR) วิกิพีเดียอธิบายกระบวนการ:“ ข้อความที่สแกนอยู่ภายใต้การวิเคราะห์โดยโปรแกรมการรู้จำอักขระด้วยแสงสองแบบ ในกรณีที่โปรแกรมไม่เห็นด้วยคำที่น่าสงสัยจะถูกแปลงเป็น CAPTCHA คำนี้จะปรากฏขึ้นพร้อมกับคำควบคุมที่รู้จักกันดีอยู่แล้วและมีข้อความกำกับโดยมนุษย์ คำเหล่านั้นที่ได้รับจากฉลากผู้พิพากษาของมนุษย์จะถูกนำกลับมาใช้ใหม่เป็นคำควบคุม” 2iasdo4 สิ่งที่ไม่ระบุตัวตนรู้คือถ้าพวกเขาติดป้ายข้อความที่ไม่รู้จักที่สแกนด้วยคำเดียวกันเสมอ - และถ้าพวกเขาทำสิ่งนี้เป็นพัน ๆ ครั้งในที่สุดเปอร์เซ็นต์ของคำที่ไม่รู้จักจำนวนมากจะติดฉลากด้วยคำของพวกเขา สิ่งที่พวกเขาต้องทำคือดูที่คำสองคำในแคปช่าป้อนฉลากที่เหมาะสมสำหรับคำว่า 'ง่าย' (สันนิษฐานว่าน่าจะเป็นคำที่สแกนเนอร์ออพติคอลทั้งสองตกลงกัน) และป้อนคำว่า "องคชาต" ยาก หากพวกเขาทำสิ่งนี้บ่อยครั้งพอสมควรในไม่ช้าก็จะมีการระบุว่ารูปภาพเป็น 'องคชาต' และความสามารถในการ autovote จะได้รับการคืนค่าอย่างมีนัยสำคัญ (ผลข้างเคียงอันหนึ่งที่ไม่ได้หายไปจากบุคคลนิรนาม) จะมีหนังสือดิจิทัลจำนวนหนึ่งที่ใส่คำว่า 'องคชาต' ลงในข้อความแบบสุ่ม Update: ฉันถาม Ben Maurer

การเพิ่มประสิทธิภาพ reCAPTCHA

เมื่อนึกถึงความคิดในการโปรยคำว่า 'องคชาต' ลงในตำราทีมนิรนามทราบว่านาฬิกากำลังฟ้องและถ้าพวกเขาจะกู้คืนข้อความพวกเขาไม่มีเวลารอให้ผู้ autovoters กลับมาออนไลน์ - พวกเขาจะต้องลงคะแนนด้วยตนเองหลาย ๆ ครั้ง ดังนั้นพวกเขาจึงจำเป็นต้องป้อน captcha ให้เร็วที่สุดเท่าที่จะทำได้ พวกเขาพัฒนาชุดแนวทางที่อนุญาตให้พวกเขาตัดสินใจได้อย่างรวดเร็วว่าคำศัพท์ reCAPTCHA ใดที่พวกเขาสามารถข้ามได้ ตัวอย่างเช่น:

คุณจะได้รับ 2 คำ: 1 จริง 1 ปลอม

สำหรับ[REAL FAKE]หรือ[FAKE REAL]คุณสามารถพิมพ์REALและควรได้รับการยอมรับ

หากเป็น[LOOKSREAL LOOKSREAL]หรือ[LOOKSFAKE LOOKSFAKE]ปกติจะเร็วกว่าที่จะพิมพ์ทั้งสองคำ อย่าเสียเวลาอันมีค่าในการตัดสินใจว่าหนึ่งในนั้นเป็นของจริง

ใช้ทั้งลักษณะที่ปรากฏและประเภทของคำเพื่อระบุคำปลอม อย่าพึ่งพาเพียงหนึ่งในนั้น

ruleset ทั้งหมดอยู่ที่นี่: แจ้งลบความคิดเห็นปลอม


4
แต่ไม่ใช่ประเด็นของเรื่องที่พวกเขาไม่ทำลาย reCAPTCHA? พวกเขาประสบความสำเร็จโดยการลดขั้นตอนการลงคะแนนด้วยตนเองเพื่อให้อาสาสมัครที่ตั้งใจลงคะแนนเสียงแต่ละครั้งนับพันครั้ง
pdc

4
@pdc เพียงเพราะพวกเขาไม่ได้ OCR ภาพ (แม้ว่าอาจจะทำเช่นนี้) ไม่ได้หมายความว่าพวกเขาไม่ได้ทำลาย reCAPTCHA คิดเกี่ยวกับสิ่งนี้: วัตถุประสงค์ของ reCAPTCHA เพื่อแสดงภาพที่ไม่สามารถถอดรหัสได้หรือไม่? หรือเพื่อป้องกันน้ำท่วมโดยอัตโนมัติ? หากเป็นครั้งแรกคุณอาจจะสามารถยืนยันได้ว่ามันไม่แตกหัก (พิสูจน์ได้ แต่ฉันจะไม่เห็นด้วยกับคุณ) แต่ถ้าเป็นครั้งที่สอง - คุณมีหลักฐานเชิงประจักษ์ที่ reCAPTCHA ใช้งานไม่ได้ ฉันคิดว่ามันควรจะค่อนข้างชัดเจนว่านอกเหนือจากค่าความบันเทิงวัตถุประสงค์ที่สองคือความจริงและมีเพียงสิ่งเดียวที่นับ
AviD

@AviD Huh? จากบทความพบว่าน้ำท่วมอัตโนมัติไม่สามารถทำได้อีกต่อไป แต่คนที่ทุ่มเทสามารถลงคะแนนได้เร็วกว่าที่พวกเขาสามารถทำได้หลายเท่า (และเทคนิคต่าง ๆ ที่ไม่เกี่ยวกับ captcha ถูกนำมาใช้เพื่อขัดขวางมาตรการที่ไม่มีประสิทธิภาพในการต่อต้านการลงคะแนนอย่างหนักของมนุษย์) โดยทั่วไปเทียบเท่ากับการใช้แรงงานมนุษย์ราคาถูกซึ่งแน่นอนว่า reCAPTCHA ไม่ได้เรียกร้องให้หยุด
ToolmakerSteve

@ToolmakerSteve ที่เป็นปัญหา reCAPTCHA ไม่ได้พยายามหยุดปัญหาจริง CAPTCHA พยายามที่จะแก้ปัญหาที่ไม่ถูกต้องไม่ดี
AviD

32

จุดอ่อนของระบบ CAPTCHA คือผู้คนตั้งค่าห้องที่เต็มไปด้วยผู้คนในประเทศจีนซึ่งมีงานเพียงอย่างเดียวคือดูที่ภาพ CAPTCHA และพิมพ์ผลลัพธ์ที่ได้ซึ่งเสียบเข้ากับระบบอัตโนมัติที่ทำสแปมจริงๆ

ไม่มากที่คุณสามารถทำสิ่งนั้นได้

นอกจากนี้ยังมีราคาถูกกว่าการพยายามจดจำรูปภาพ OCR และอื่น ๆ ในภาพจริง (คุณอาจได้รับการตอบกลับด้วยราคาต่ำกว่า 0.01 ดอลลาร์)


62
หรือดียิ่งกว่านั้นพวกเขาคว้าแคปต์ชาออกจากไซต์ของคุณและแสดงให้คนจรจัด (ตามตัวอักษร) เป็นข้อกำหนดในการแสดงอนาจารพวกเขา
Paul Tomblin

2
ผู้ชาย ... นั่นฉลาด (เครดิตที่เครดิตครบ)
cletus

7
โปรดทราบว่านี่ไม่ได้ทำให้เป็นเครื่องมือที่ไม่มีประสิทธิภาพ เพียงหมายความว่าหากเว็บไซต์ของคุณได้รับความนิยมเพียงพอสิ่งนี้อาจเกิดขึ้นได้ สำหรับอีก 99.99% ของเว็บไซต์ทั่วโลก captcha ง่ายๆจะทำ
Robert P

1
Hell, CodingHorror's captcha ไม่แม้แต่จะเปลี่ยนหรือทำให้งงงวยและมันก็สามารถทำงานได้อย่างถูกต้อง!
Robert P

5
จริงๆแล้วมันไม่จริงทั้งหมด แม้ว่าจะมีเป็นตัวอย่างของนี้มันเป็นFARที่ถูกกว่าการ OCR-แตก CAPTCHA ผู้ใช้ การใช้ร้านขายเหงื่อมักเป็นไปไม่ได้ในทางเศรษฐศาสตร์สำหรับนักส่งสแปม
Jens Roland

21

ก่อนที่จะให้แรงกดดันในการใช้ captcha ให้ลองพิจารณาวิธีแก้ไขปัญหาอย่างสร้างสรรค์เช่นมีฟิลด์ชื่อ "ความคิดเห็นของคุณ" ที่ถูกซ่อนไว้โดย CSS หากมีการป้อนฟิลด์คำขอจะถูกส่งโดยเซิร์ฟเวอร์ บอทส่วนใหญ่จะล้มลงแม้ว่ามันจะยังไม่มีวิธีที่ดีที่จะเอาชนะห้องที่เต็มไปด้วยแรงงานที่ได้รับค่าจ้างต่ำซึ่งแคปต์ชาไม่ได้ช่วยอะไรเลย

อัปเดต : เพียงอ่านกรณีศึกษาที่การลบ CAPTCHA เพิ่มอัตราการแปลงได้เกือบ 10% นั่นจะบ่งบอกว่ามันค่อนข้างจะหักหากคุณสูญเสียโอกาสในการขาย 10% เพียงเพื่อกรองบอท ลองนึกภาพความหมาย 10% ของธุรกิจส่วนใหญ่


2
สิ่งนี้ฉลาดมาก แต่ไม่ได้ผลถ้าคุณได้รับความนิยมอย่างเพียงพอ ตัวอย่างเช่น Yahoo หรือ Google ไม่สามารถใช้สิ่งนี้ได้
3 dreeves

2
คำถามที่นี่คือเว็บไซต์ของคุณมีค่าพอที่จะโจมตีโดยเฉพาะหรือไม่ ส่วนใหญ่ไม่ได้และมีนิสัยแปลก ๆ เล็กน้อยจะทำดี
David Thornley

3
ฉันจะ +1 สำหรับการสูญเสียการอัปเดตอีก 10% - เป็นจุดสำคัญมาก ( แต่ฉันไม่สามารถ +1 cuz ของข้อเสนอแนะข้อมูลที่ซ่อนอยู่ - นี้เป็นน้อยกว่าที่ไร้ประโยชน์.)
Avid

2
มี 2 ​​ปัญหา "การโจมตีเป้าหมาย" และ "สแปมสุ่ม" โซลูชันของคุณอาจช่วยให้คุณมั่นใจว่าจะได้รับสแปมสุ่มการโจมตีเป้าหมายจะทำให้ระบบของคุณเสียหายภายในหนึ่งวัน
ดร. ชั่วร้าย

1
@dreeves: Google ไม่ได้รับ reCAPTCHA ใช่หรือไม่
Prabu

18

captcha ที่ฉันชอบคือจาก Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (การจดจำภาพสัตว์สายพันธุ์เพื่อ จำกัด การเข้าถึง) เป็น HIP ที่ทำงานโดยขอให้ผู้ใช้ระบุรูปถ่ายของแมวและสุนัข งานนี้เป็นเรื่องยากสำหรับคอมพิวเตอร์ แต่การศึกษาผู้ใช้ของเราได้แสดงให้เห็นว่าผู้คนสามารถทำให้สำเร็จได้อย่างรวดเร็วและแม่นยำ หลายคนคิดว่ามันสนุก!

เป็นบริการฟรีและมีรหัสตัวอย่างเพื่อให้คุณเริ่มต้น

ฉันสงสัยว่ามันจะนานแค่ไหนก่อนที่มันจะร้าว


1
น่าเสียดายที่คำตอบของ cletus ด้านบนแสดงให้เห็นว่าบริการดังกล่าวจะไม่ได้ผลในการต่อสู้กับสแปมได้มากขึ้น
Erik Forbes

1
ฉันไม่ได้ที่หนึ่ง 2 จาก 4 ครั้ง, ภาพที่สว่างไม่ดีของใบหูจะมีลักษณะเหมือนแมว :(
Tom Anderson

3
ฉันทำการทดสอบและรู้สึกดีที่รู้ว่าฉันเป็นมนุษย์ :)
BoltBait

5
จริงๆแล้ว captcha ที่ดีที่สุดเคยเป็น HotCaptcha - แต่มันออฟไลน์ครั้งสุดท้ายที่ฉันตรวจสอบ ขึ้นอยู่กับ HotOrNot.com มันไม่ได้มีประสิทธิภาพอย่างน่ากลัว แต่ได้รับความนิยมอย่างมากกับผู้ใช้ :-)
AviD

2
ปัญหาที่นี่คือมันจะง่ายต่อการบังคับเดรัจฉานเนื่องจากพื้นที่สำคัญขนาดเล็ก ถ้า yuo เริ่มเพิ่มวัตถุอื่น ๆ ลงในชื่อคุณจะมีความกำกวมในการตั้งชื่อ (ตัวอย่างเช่น Kangaroo, Joey หรือ Baby Kangaroo?) คุณจะต้องแน่ใจว่าคุณมีความสัมพันธ์แบบหนึ่งต่อหลายอย่างระหว่างวัตถุที่จะตั้งชื่อและชื่อที่เป็นไปได้
Oorang

11

reCAPTACHA จะไม่เสียและจะไม่นานมาก สิ่งนี้คือถ้าคุณใช้แคปช่าของคุณเองถ้ามันหักมันอาจใช้เวลานานในการแก้ไข

สิ่งนี้นำมาจาก หน้าเกี่ยวกับความปลอดภัยของ reCAPTCHA :

reCAPTCHA เป็นบริการบนเว็บ นั่นหมายความว่าภาพทั้งหมดถูกสร้างและให้คะแนนโดยเซิร์ฟเวอร์ของเรา (…) สิ่งนี้ยังให้การป้องกันในระดับพิเศษ: CAPTCHAs ของเราสามารถอัปเดตโดยอัตโนมัติเมื่อใดก็ตามที่พบจุดอ่อนด้านความปลอดภัย

ตัวอย่างเช่นหากมีคนเขียนโปรแกรมที่สามารถอ่านภาพที่บิดเบี้ยวได้เราสามารถเพิ่มการบิดเบือนมากขึ้นในเวลาเพียงเล็กน้อยและไม่มีผู้ดูแลเว็บที่ต้องการเปลี่ยนแปลงอะไรเลย

ฉันเชื่อว่าพวกเขามีความเชี่ยวชาญใน captchas พวกเขามีการปรับปรุงรุ่นที่เก็บไว้พร้อมที่จะใช้งานในเวลาน้อยถ้าจำเป็น (ทำไมพวกเขาควรสร้างความปลอดภัยที่แข็งแกร่งเมื่อผู้ที่อ่อนแอยังไม่แตก?)


9

ไม่เพียง แต่จะเอาชนะได้ แต่ยังเป็นแอปพลิเคชั่นที่มีประโยชน์อีกด้วยได้รับการสร้างขึ้นมาอย่างยอดเยี่ยมเพื่อเป็นเครื่องมือที่ยอดเยี่ยมที่สุดในการเอาชนะการปกป้องบัญชีฟรีทุกประเภทของเว็บไซต์ดาวน์โหลดโดยตรงขนาดใหญ่ )

Jdownloaderเป็นโอเพ่นซอร์สและเขียนเป็นภาษาจาวาเพื่อที่จะมองรหัสที่มาสามารถตอบได้ไม่เพียงว่ามันจะเสียแต่ยังไงว่า

แก้ไข : ไซต์ดาวน์โหลดโดยตรงส่วนใหญ่ไม่ได้ใช้ reCaptcha แต่เป็นวิธีที่ง่ายกว่า Captcha (ตัวพิมพ์ใหญ่ 3 ตัวที่มีสีต่างกัน) อย่างไรก็ตาม Jdownloader และCryptload (โปรแกรมที่คล้ายกับ Jdownloader) เป็นการนำไปใช้งานที่ฉันรู้ว่ามีประสิทธิภาพแตกวิธีการ Captcha ฉันไม่เคยได้ยินเกี่ยวกับการปรับใช้ reCaptcha ใด ๆ

อัปเดต : ดูเหมือนว่าการนำ reCaptcha ไปใช้อย่างน้อยหนึ่งตัว (ไม่ใช่ reCaptcha ทั้งหมด) ได้รับการถอดรหัสเช่นกัน

ปรับปรุงธันวาคม 2010 : JDownloader ดูเหมือนว่าที่สุดท้ายที่จะเอาชนะ reCaptcha ปลั๊กอินยังคงอยู่ในช่วงทดลองและใช้งานได้กับ Jdownloader รุ่น Windows เท่านั้น แต่อย่างที่ฉันได้รับแจ้งจากเพื่อนที่ได้ลองใช้มันจะทำงานได้


2
คุณรู้หรือไม่ว่าหนึ่งใน filehosters เหล่านี้ใช้ RE-captcha เพราะการแชร์อย่างรวดเร็วและ megaupload ไม่
ดร. ชั่วร้าย

@ dr.evil ครอบคลุมรายการของ hosters เกือบทุกอย่างที่เราสามารถพูดได้เนื่องจากรายการดังกล่าวมีหลายสิ่งที่เราไม่เคยได้ยินมาตลอดเวลาโปรแกรมนั้นฉลาดพอที่จะทำลาย captcha ส่วนใหญ่และหากไม่ใช่เป็นการกระตุ้นผู้ใช้ให้ เหมือนกันมันไม่มีประโยชน์ ฉันเคยใช้มันในอดีตเป็นการส่วนตัว มันเป็นหนึ่งในตัวดาวน์โหลดที่ดีที่สุดในบางกรณีแล้วดีกว่า IDM โปรดทราบ: ฉันไม่ใช่โปรโมเตอร์ของ jDownloader ขอบคุณ
MarmiK

8

มีการกล่าวสุนทรพจน์ที่ Defcon เมื่อปีที่แล้วซึ่งมีปัญหากับ CAPTCHAs โดยทั่วไป สิ่งหนึ่งที่พวกเขาทำคือใช้เครื่องมือ OCR ฟรีหลายตัวและให้พวกเขาลงคะแนนในคำที่ดีที่สุด การทำเช่นนี้พวกเขาสามารถบรรลุโอกาสที่ค่อนข้างดีในการประสบความสำเร็จ สำหรับประเภทหนึ่งมันเป็น 40% หรือมากกว่านั้นฉันไม่คิดว่า reCaptcha แม้ว่า


3
นั่นคือประเด็นสำคัญบอทสแปมไม่จำเป็นต้องทำลาย capthas ทั้งหมด - 1% จะทำได้ถ้าพยายามต่อไป
Martin Beckett

8
  • "ในความเป็นจริงมัน [reCAPTCHA] นั้นไร้ประโยชน์เมื่อวันที่4 มกราคม [2011]เมื่อผู้ส่งอีเมลขยะมีมือรวมกับซอฟต์แวร์บางชิ้นที่หลีกเลี่ยง reCAPTCHA และอนุญาตให้กระบวนการลงทะเบียนอัตโนมัติเต็มรูปแบบบอทยุ่งมาก ๆ นับตั้งแต่ " [1]

2-3 ปีที่ผ่านมาวิธีการ captchas ตามการพิมพ์ข้อความบุกรุกบรรทัดเมื่อพวกเขาสูญเสียการต่อสู้คือภาวะแทรกซ้อนต่อไปเพียงแค่ทำให้พวกเขาค่อนข้าง (เนื่องจากกำลังคอมพิวเตอร์เพิ่มขึ้นในขณะที่มนุษย์ไม่ได้) สำหรับเครื่องจักรและง่ายต่อการต่อต้านและต่อต้านมากขึ้น เป็นไปไม่ได้อย่างสมบูรณ์สำหรับมนุษย์ สิ่งนี้ขัดแย้งกับกระบวนทัศน์ดั้งเดิมของCAPTCHA เพื่อทดสอบว่าคอมพิวเตอร์ไม่ได้สร้างการตอบสนอง

อัปเดต:
โปรดทราบว่าreCAPTCHAเป็นเจ้าของโดยGoogle Inc.แต่Google Inc.ไม่ได้ใช้บริการของตนเอง
นี่คือลิงค์ที่เชื่อมโยงหน้าเว็บที่มี captcha ที่ Google ใช้เอง / ภายใน เช่นสำหรับการลงทะเบียน Gmail:

ข้อความแสดงแทน



โปรดทราบว่าreCAPTCHAของ Google มี 2 ​​คำเสมอ
นี่คือลิงค์สำหรับรูปภาพที่ reCAPTCHA ของ Google เสนอให้ผู้อื่นใช้

และภาพหน้าจอของ reCAPTCHA:

ข้อความแสดงแทน

ฉันออกไปเพื่อให้ข้อสรุปที่ชัดเจนกับผู้อ่าน

อ้างถึง: [1]
ฟอรัม vBulletin ถูกโจมตีโดย reCAPTCHA ถอดรหัสบอทสแปม | บล็อก PC Pro
โพสต์เมื่อ12 มกราคม 2011โดย Davey Winder


5

ฉันเห็นความคิดเห็นบล็อกในระบบที่ได้รับการปกป้องโดย reCAPTCHA ที่หน้าโหลดและ 1 วินาทีหลังจากนั้นการโพสต์ก็ประสบความสำเร็จ User-Agent นั้นไร้สาระ (ในกรณีนี้มันอ้างว่าใช้ Ubuntu 9.25 / Firefox 3.8) ผู้อ้างอิงนั้นมาจากไซต์ที่ไม่เกี่ยวข้องอย่างสมบูรณ์โดยไม่มีลิงก์ให้เรา

นี่เป็นระบบอัตโนมัติอย่างชัดเจน


3

reCAPTCHA ยังไม่พ่ายแพ้ ถ้าเป็นเช่นนั้นแล้วทำไม Google ถึงซื้อและประกาศว่าพวกเขาจะใช้เทคโนโลยีภายใน Google เพื่อเพิ่มการป้องกันการฉ้อโกงและสแปมสำหรับผลิตภัณฑ์ของ Google

จากGoogle ซื้อ reCAPTCHA ที่โพสต์ไปยังบล็อกของ Google ในวันที่ 9/16/09:

ด้วยวิธีนี้เทคโนโลยีเฉพาะของ reCAPTCHA ปรับปรุงกระบวนการที่แปลงรูปภาพที่สแกนเป็นข้อความธรรมดาหรือที่รู้จักในชื่อ Optical Character Recognition (OCR) เทคโนโลยีนี้ยังสนับสนุนโครงการสแกนข้อความขนาดใหญ่เช่น Google Books และ Google News Archive Search การมีเอกสารเวอร์ชันข้อความมีความสำคัญเนื่องจากสามารถค้นหาข้อความธรรมดาแสดงผลได้ง่ายบนอุปกรณ์พกพาและแสดงต่อผู้ใช้ที่มีความบกพร่องทางสายตา ดังนั้นเราจะใช้เทคโนโลยีภายใน Google ไม่เพียงเพื่อเพิ่มการป้องกันการฉ้อโกงและสแปมสำหรับผลิตภัณฑ์ของ Google แต่ยังเพื่อปรับปรุงกระบวนการสแกนหนังสือและหนังสือพิมพ์ของเรา


3

วิธีที่ง่ายที่สุดในการเอาชนะ Captchas คือ Amazon Mechanical Turk มีผู้ชายคนหนึ่งชื่อ Kermit Welda ที่จ่ายเงินให้กับคนอื่นเพื่อลงทะเบียนบัญชี Hotmail, AOL และ Gmail นั่นคือ 6,000 บัญชีอีเมลปลอมที่ 5 เซ็นต์ = $ 300 ต่อวัน ค่าใช้จ่ายในการทำธุรกิจค่อนข้างถูกเมื่อคุณมีคนอื่นทำผลงานสกปรกให้คุณ ไม่น่าแปลกใจที่ตัวกรองสแปมของเซิร์ฟเวอร์ของเราต้องการปฏิเสธอะไรจาก Hotmail


นี่เป็นคำตอบจริงๆหรือ?
Austin Henley

ทำให้รู้สึกบางแนวคิดคล้ายกับความตายโดยแบ่งปัน
kenorb

โอพีชัดเจนว่านี่ไม่ใช่สิ่งที่เขามองหา
Scott Solmer

2

AFAIK ในทางปฏิบัติไม่มีเครื่องมือในการถอดรหัสการติดตั้ง RE-CAPTCHA อย่างไรก็ตามในที่สุดฉันก็คิดว่ามีใครบางคนจะได้รับ

ตลกพอหากมีคนจัดการเพื่อรับมันโครงการ RE-captcha ทั้งหมดไม่มีจุดหมายเพราะ re-captcha ออกแบบหนังสือดิจิทัลที่ไม่สามารถทำได้ด้วยวิธีอัตโนมัติ

BTW:

จุดอ่อนของระบบ CAPTCHA คือผู้คนตั้งค่าห้องพักที่เต็มไปด้วยผู้คนในประเทศจีนซึ่งมีงานเพียงอย่างเดียวคือดูที่ภาพ CAPTCHA และพิมพ์ผลลัพธ์ซึ่งเสียบเข้ากับระบบอัตโนมัติที่ทำสแปมจริงๆ

คุณไม่สามารถรักษาความปลอดภัยของระบบที่คิดอย่างนั้นนี่ก็เหมือนกับการพูดว่า "เว็บแอปพลิเคชันของคุณไม่ปลอดภัยเพียงพอหากโฮสต์ของคุณไม่ได้อยู่ในบังเกอร์ทหารเก่าเพราะตอนนี้ผู้คนสามารถขโมยเครื่องของคุณได้"


3
ความรู้สึกของคุณเป็นจุด แต่การประยุกต์ใช้มันถูกวางผิด: การคิด (ความคิดเห็นที่คุณอ้างถึง) คือ CAPTCHA ไม่ได้แก้ปัญหาที่เกิดขึ้นก็ตั้งใจที่จะ หรืออย่างที่ฉันมักพูดว่า "CAPTCHA (โดยทั่วไป) เป็นวิธีแก้ปัญหาที่ไม่ถูกต้องสำหรับปัญหาที่ผิด" ปัญหา CAPTCHA พยายามแก้ไข (ตามคำจำกัดความ) คือ: ฉันจะรู้ได้อย่างไรว่าผู้ใช้เป็นบุคคลไม่ใช่คอมพิวเตอร์ ไม่ว่า CAPTCHA จะแก้ปัญหานี้ (ไม่ได้) ปัญหาที่แท้จริงคือ: ฉันจะป้องกันน้ำท่วมบริการของฉันได้อย่างไร CAPTCHA ฟาร์มและผู้รับมอบฉันทะแสดงความแตกต่างที่แน่นอน นี่เป็นสาเหตุที่โซลูชันความปลอดภัยใด ๆ ควรเริ่มด้วยการคุกคาม
AviD

1
คุณพูดถูกมันคือ "ทำไมคุณถึงใช้ CAPTCHA" สำหรับบางระบบมันมีความปลอดภัยเพียงพอสำหรับบางระบบมันยังไม่ปิด แต่เช่นเดียวกับ keysize ใน crypto ช่วยให้คุณปกป้องบางสิ่งบางอย่างด้วยการบังคับให้เดรัจฉานใช้เวลาเป็นปี ๆ (แม้ว่าในที่สุดพวกเขาจะแตกมัน! แต่ไม่ใช่ในช่วงชีวิตนี้หรือไม่ในอีก 10 ปีข้างหน้า) CAPTCHA วิธีเดียวกันมาก อย่างที่คุณบอกว่ามันคือสิ่งที่คุณกำลังใช้ CAPTCHA ใช่ไหม?
ดร. ชั่วร้าย

2

มีวิธีการมากมายที่ใช้ในการ crap recaptcha ในขณะที่มันยากที่จะใช้ระบบประสาท netwpork เปิดใช้งานโปรแกรมที่จะแก้ไขพวกเขาโดยอัตโนมัติเป็นไปได้ที่จะคว้าภาพและมีเติร์กเครื่องกลของอเมซอนหรือโปรแกรมที่เทียบเท่าบางอย่างเพื่อแก้ปัญหาพวกเขา

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.