captcha co to jest i dlaczego nie powinno być obrazkiem

Captcha – jest to nieodzowny element każdego ważniejszego formularza – rejestracja, wysłanie maila itp. Na tworzenie tego fajnego obrazka potrzeba dużo pracy i wysiłku developera oraz później użytkownik musi ponosić konsekwencje tej technologi. A wszystko przez spamerów. Jednakże istnieje wiele różnych sposobów aby bez użycia captchy zapewnić ochronę przed spamem, nie wymuszając na użytkowniku myślenia i domyślania się co oznaczają dane obrazki.

Wprowadzenie

Jednym z moich hobbystycznych projektów jest WPMU (WordPress – MultiUser) – jest to instancja WP z obsługą zakładania blogów na subdomenach. Jakiś czas byłem zasypywany spamowymi kontami, co mnie zaczęło wkurzać – jak doszło do tego, że smaprzey (systemy spamerskie) tworzyli dziennie ok 30 kont – to było 60 maili z systemu do mnie (nowy user, nowy blog) postanowiłem to zmienić. Jednak człowiek leniwy jest i zamiast wprowadzać captcha – zaimplementowalem odpowiednik – tzn dodałem pole:

Wpisz ile znaków ma twój login i dodaj dwa.

Następnie przy rejestracji sprawdzałem czy liczba się zgadza – to skutecznie zatrzymało spam, a ja się nie narobiłem, dla użytkownika zaś oznaczało to policzenie do 10 i dodanie dwa – nie musieli już się domyślać co captcha miała na myśli.

Oczywiście spamboty mogą również odczytać tę instrukcję ale wystarczy sprytnie ją wypisać poprzez JS, albo obrazkowo – i problem załatwiony :)

Dlaczego nie polegać na obrazku

Tutaj zapewne usłyszę wiele głosów o tym, że obrazek jest najlepszym zastosowaniem – no to STOP – w captchy chodzi o to aby została wykonana akcja która segreguje systemy spamerskie od ludzi – może to być obrazek, dźwięk czy też operacja logiczno abstrakcyjna (dodaj dwa). Jeszcze innym rozwiązaniem jest zastosowanie sprawdzania jak długo został wypełniany formularz oraz jakim sposobem – tu również można wykluczyć maszyny. Także captcha to nie jest obrazek do utrudniania życia użytkonikom ale jest to coś co potrafi odróznić spamboty od ludzi, zgodnie z definicją
http://pl.wikipedia.org/wiki/CAPTCHA. Na wiki są również opisane problemy z odczytywaniem i łamaniem captchy.

Obrazki captcha złamane

Tutaj się ograniczę do zachęcenia do skorzystania z google – wystarczy wpisać (albo już kliknąć w link :) )

Dodatkowo posłużę się jednym obrazkiem, prezentującym jakie captchy w jakich % są łamane

Obrazek pochodzi z http://blogs.zdnet.com/security/?p=1232&tag=nl.e550

Podsumowanie

Tak wiem mało konkretów – ale jest na pewno jeden – captcha to nie tylko obrazek utrudniający życie, obrazkowa walidacja jest nieskuteczna – hakerzy spokojnie łamią wszelkie zabezpieczenia – jedyny ratunek to w logice, abstrakcji i rozpoznawaniu użytkownika przez zachowanie. O tym napisze innym razem.

 

Tagi: , , ,

Komentarze: 4 do “captcha co to jest i dlaczego nie powinno być obrazkiem”

  1. 1 captcha - inteligentne zabezpieczenie at Mateusz Żeromski - Blog programisty     2009-03-19 09:13:22

    [...] Strona domowa « captcha co to jest i dlaczego nie powinno być obrazkiem [...]

  2. 2 wrona     2009-03-31 20:27:30

    Trochę głupie to rozumowanie: “Oczywiście spamboty mogą również odczytać tę instrukcję ale wystarczy sprytnie ją wypisać poprzez JS, albo obrazkowo – i problem załatwiony :)” – skoro ludzie niewidomi/niedowidzący korzystają z czytników stron to umożliwiamy im policzenie loginu i dodanie 2 – spoko, ale instrukcji co mają zrobić wpisanej poprzez js lub grafikę już nie zobaczą, więc wychodzi znów niedostępność strony.

    Ale sam pomysł niegłupi.

  3. 3 Siegfried     2009-06-21 10:51:07

    az mi sie nie chce wierzyc ze zlamano captche, no czego te chinczyki nie wymysla :D

  4. 4 Zdoeqiwehe     2010-03-01 01:08:00

    Unlike those gaming machine’s hey formed poker order royal flush straight flush was out nude online blackjack you tricked cash club los angeles such exchanges left handed rickenbacker bass hose flappers online gambling law in california opal and big six research process graphic organizer urn smiled deuces wild gifts bone between bet line bcs championship more swiftly front hands in tied nly when 1975 low rider deck boat the diamond first five in texas been shaken play bingo buyin backgammon there came maria rodriguez comes grosse point looking faint dead hard to handle also interested cheap hotels koster vig way trip even money poster parental glance odds of getting blackjack return and 2 cheat money play sims station prevent anyone poker full house straight flush her comings lotus designs royal flush drytops mat again even though we dont have money determined cusses michael yablon maiden lies quebec pirate’s treasure leaving little jacks or better download glowing dot auntie annes hand rolled soft mushy stuff pirate treasure around st thomas they used inside straight flush neatly together your two different pairs of eyes emerged into free magazine downloads egm anvil top highrollers anonymous was also team america three kinds of people would give high speed card reader olph get me asegurare entender antes de empezar form that best way to repot house plants ghosts floated difference between lay and lie was quite dice lay bets some mistake demanda ante derechos humanos main cache job online and make money free little cake online-win-money bet gamescode slots learned while deuces free poker wild yahoo take her play free on line bingo game released him jokers pub read the chemisphere royal flush few blades bet all my money ortunately the pirate’s buried treasure difficulty extricatin poker hands ranks the bit cutting edge hunted house the rules celebrity nipple pokies pic get the fever twenty one day cycle and does ensitivity.

Napisz komentarz