Re captcha złamana?

[Wojciech Łuczak]

Nie pamiętam kombinatoryki, ale dla czterech postaci (z możliwością powtarzania) byłoby to 4^4 czyli 256 możliwości. 4,5 minuty.

Cztery obrazki kobiety lub mężczyzny w tokenie daje 16 mozliwości. Nie cztery do czwartej a dwa do czwartej. a to daje 16 a nie 256

[kubap10]

kazdy token zostanie kiedys zlamany, kwestia oplacalnosci.

[Mion]

@Wojciech Łuczak

Przy czterech to bardzo słabo wiec dodajmy twarz dziecka, a nawet starca/babci i do tego z 8 obrazków i nadal człowiek nie będzie miał problemu z ich rozpoznaniem. Poza tym robot nie może atakować losowo dobranymi kombinacjami, bo przy błędach dostanie blokadę na IP, lub ilość twarzy wzrośnie do n do rozpoznania.

@ giker:

1) nie pobierze źródłowych, bo nie będzie miał do nich dostępu;

2) twarze mogą być z pomieszanymi pixelami i nadal człowiek rozpozna płeć, a program już nie, bo będzie to całkiem inna grafika;

3) twarze można umieszczać pod losowym kontem;

4) user zabezpieczeni może sobie przygotować własne twarze w plikach graficznych;

Tak, że bot nie ma szans nauczyć się rozpoznawania twarzy z wydajnością która nie zdyskwalifikuje go do tego celu.

Do tego stosowna zwłoka czasowa + blokada na IP w wypadku podania n razy błędnego IMHO czynią system "twarzowy" bardzo skuteczny i jednocześnie przyjazny dla usera, bo twarze choć będą mocno zniekształcone i tak jesteśmy wstanie rozpoznać płeć w przeciwieństwie do znaków alfanumerycznych.

[Nikosis]

Już widziałem podobne captche na zagranicznych forach, ale nie z twarzami, tylko było zdjęcie i pytanie w stylu: "wskaż słonia". Zasada działania podobna i wydaje mi się, że to jest nie do złamania, bo tam zachodziła ciągła rotacja pytań i obrazków. Chociaż co ja tam wiem...

[Wojciech Łuczak]

Spoko, spoko. Ta droga wydaje mi się OK. Chodziło mi tylko o rachunki.

Pozdrawiam

[dMien]

Nie pamiętam kombinatoryki, ale dla czterech postaci (z możliwością powtarzania) byłoby to 4^4 czyli 256 możliwości. 4,5 minuty.

Cztery obrazki kobiety lub mężczyzny w tokenie daje 16 mozliwości. Nie cztery do czwartej a dwa do czwartej. a to daje 16 a nie 256

Masz rację. Jeśli ważne byłoby tylko czy to K czy M, wartości na jednym polu były tylko dwie a nie 4, bo dla systemu nie ma znaczenia o którym obrazku kobiety myśleliśmy. Trzeba byłoby rozróżnić jeszcze państwa starszych i młodszych.

Także 2^4= 16 sekund, 2^5 = 32s, 2^6 = 64s, 2^7 = 128s... 2^10 = 1024s = 17 minut.

[Mion]

@dMien - nie sugeruj się czasem, bo przy błędnych n odpowiedziach następuje blokada na IP wiec takie siłowe ataki nic by nie dały. Poza tym sen działania bota jet taki, że odczytuje grafikę i ją łanie za pierwszym podejściem, nie ponawia n razy żądania POST, bo mu się nie udało prawidłowo odczytać. Kolejna blokada to zwloką czasowa sleep(3) np 3 sekundy itd, itp.

[Helid]

To już prościej dać: Czy Polska leży w Europie? I też będzie unikalne, nie ma co kombinować.

[Mion]

No nie będzie Kolego unikalne, bo są dwie możliwe odpowiedzi TAK, NIE wiec prawdopodobieństwo trafienia jest 50 %,a jak za pierwszym razem "odpowie" źle zaraz się boot poprawi ... chyba, że user będzie musiał przejść cały quiz z 10tkami tego typu pytań, bo dodać arta do precla

[stat4seo]

To możemy połączymy skuteczne z pożytecznym ?

"Pszenżyto czy Pszenrzyto ? Wpisz poprawne."

;-)

[Mion]

@mela podejrzewam, że byśmy zaobserwowali nagły spadek rejestrujących się userów w serwisie z takim "tokenem"

[yavaho]

A ja jestem inny - musze wam sie przyznać

Nigdy nie zastosowałem captcha na moich stronach.

Gdy wypełniam formularz i widze captche to krew mnie zalewa. A jeżeli jestem zmuszony często wypełniać to jedno bezsensowne okienko, to zawczasu mysle o tym że moze da się to jakoś ominąć, może da sie zrobić robota do tego? I nie po to aby komus zaspamować stronę, tylko dlatego że ktoś mi utrudnił normalne wypełnianie formularza i szukam sobie jakiegoś ułatwienia.

Przyklad Miona

Zadaniem usera jest wpisanie w jakiej kolejności występują np KMMK i IMHO

Musze czytac jakies instrukcje co zrobić, co i jak tam wpisać. Czytam 3 razy i dalej nie wiem o co chodzi !

Przecież to jest proszenie się aby zrobić na to jakiegoś robota ktory za mnie to wypełni!

[Mion]

yavaho @Przecież to jest proszenie się aby zrobić na to jakiegoś robota ktory za mnie to wypełni!

yavaho nie wiem jakie jest twoje doświadczenie w wykorzystaniu wszelkiego rodzaju formularzy, ale zapewniam Cię, że nawet jak będzie to formularz w pełni autorski np do zostawienia opinii o usługach danej firmy już po kilku dniach od jego uruchomienia znajdzie się na liscie i zostanie zaspamowany jeśli nie będzie w nim żadnego zabezpieczenia.

Tak samo jak masz standardowe captych z forum phpBB3 to boty wchodzą w to jak w masło.

----

Zostawiłem pewne forum oparte na Powered by SMF 1.1.3 z standardowa captchoą to przez ok rok boty wykazały następujacą aktywność:

3883 wiadomości w 3826 wątkach, wysłane przez 6905 użytkowników. Najnowszy użytkownik

I to wszystko spam boty

[yavaho]

... zapewniam Cię, że nawet jak będzie to formularz w pełni autorski np do zostawienia opinii o usługach danej firmy już po kilku dniach od jego uruchomienia znajdzie się na liscie i zostanie zaspamowany jeśli nie będzie w nim żadnego zabezpieczenia.

Ja dobrze o tym wiem. Nigdy nie wdrażam formularza bez żadnego zabezpieczenia. Ale nigdy też nie stosuje żadnych rodzajów captcha, moje autorskie rozwiazania w pełni wystarczają aby bota nie przepuścić.

Wystarczy opracować jakieś zabezpieczenie, ktore bedzie się zmieniać co pewien okres czasu np: co 3 godz. Wszystko mozna rozkminić lub rozszyfrować ale u mnie działa to tak... Jezeli ktos złamie to zabezpieczenie w przeciagu mniej niż 3 godziny w co wątpie (tyle czasu daje programiście aby miał przez ten czas satysfakcje że robi jakies postepy) to i tak bedzie mile zaskoczony jak po tym czasie jego projekt stanie się bezuzyteczny.

[Mion]

Jeśli mowa o indywidualny serwisach to sprawa wygląda zupełnie inaczej niż w wypadku oprogramowania dostępnego dla szerokiej grupy userów jak fora, skrypty blogów itd... Im więcej serwisów korzysta z danego oprogramowania tym większy kąsek dla spam bot programistów jak i ich spam użytkowników bryyy. I jak widać ci ostatni są niestety górą ...

Ponadto uważam, że czas klasycznych captha opartych o alfanumeryczne znaki już minął , a wprowadzanie coraz bardziej powykrzywianych liter, zszumowanych, nachodzących na siebie etc, etc jest tylko utrudnianiem dla człowieka, a nie profesjonalnego spam oprogramowania OCR czego dowodem jest tytuł tego topicka.