[PHP] Captcha - własne modyfikacje Opcje

[gladiror]

Witam wszystkich!
Zastanawiam się nad Captcha. Troche przewertowałem googla i nasunęła mi sie pewna koncepcja. Chodzi mi dokładnie nad zabezpieczeniem się przed botami w taki sposób, żeby potejncjalnym użytkownikom nie narobić dużo problemów z przepisywaniem... Wpadłem na pomysł zrobienia dwojakiego tła. Wyglądałoby to w taki sposób, że tworzony byłby plik gif jakimś na mase trudnym napisem (w 1 klatce), natomiast w drugiej klatce dalibyśmy krótki i prosty napis, który każda osoba byłaby w stanie przeczytać i wpisać. Jak myślicie czy takie rozwiązanie byłoby dobre?Ewentualnie w 1 klatce dać czarne tło, a w drugiej jakiś napis? ALe chyba ta druga koncepcja raczej by odpadła..., bo wtedy łatwiej można byłoby napisać antyskrypt do tego. W praktyce można byłoby to zastosować w taki sposób, że:

Jeżeli (wyciagamy to z user agenta, z hosta itd.) użytkownik wydaje się botem to dajemy na niego podwójne zabezpiecznie - 2 kody. Jeżeli wydaje się uzytkownikiem to dajemy proste dla człowieka (ten gif).

Prosiłbym o komentarze.

[szopen]

Wpadłem na pomysł zrobienia dwojakiego tła. Wyglądałoby to w taki sposób, że tworzony byłby plik gif jakimś na mase trudnym napisem (w 1 klatce), natomiast w drugiej klatce dalibyśmy krótki i prosty napis, który każda osoba byłaby w stanie przeczytać i wpisać.

Cześć (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

IMHO nie ma co kombinować w tą stronę. Bo jaki problem dla bota pobrać GIFa, rozłożyć na klatki, tą 'na masę trudną' pominąć, a tą 'prostą i łatwą' przeanalizować? Można by dość prosto określić, która klatka jest która.

I skąd user miałby wiedzieć, który kod przepisać (możemy założyć że wybrałby łatwiejszy).

Ale jako zabezpieczenie lokalne (stosowane tylko na jednej stronie) może zdać egzamian, bo boty nie wiedzą jak sobie z nim radzić. Musiałby ktoś je nauczyć, a to się nie opłaca dla jednej strony. Albo łamały by heurystycznie...

Ewentualnie w 1 klatce dać czarne tło, a w drugiej jakiś napis? ALe chyba ta druga koncepcja raczej by odpadła..

Racja -- odpada.

[gladiror]

A jak wygląda to od strony prostych obliczeń matematycznych? Typu: Jeden plus osiem? Tak wykorzystywane jest na Dzienniku Internautów... Miał może ktoś z tym praktyke? Albo może macie jakiś inny pomysł jak oszukiwać boty?

[oomaster]

Pomysł DI jest świetny z tym dodawaniem, mnożeniem, dzieleniem. Ale według mnie wystarczyło by tylko dodawanie i mnożenie np. osiem + 12 =

Ale to musi być dobrze skonstruowany skrypt aby nie było sytuacji ,że zdarzy się np. 8 x 23580 =.

Rozwiązanie jest jedno stworzyć 2 tablice w których będą liczby od 1 do 9 i losować je po prostu. I do tego wprowadzić skrypt który będzie modyfikował pierwszą liczbę na słowa. Jak się wyrobie to później podeśle jakieś rozwiązanie.

[szopen]

captcha w stylu googlowego

nie od złamania przez komputer jest captcha bazujące na zrozumieniu treści, np. które zdjęcie przedstawia ładną dziewczynę (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Wada taka, że tych zdjęć będzie stosunkowo niedużo i bot może się ich nauczyć. Ale -- każde zdjęcie można w pewnien sposób zniekształcić (tak jak google robi z tekstem) co powinno zadanie utrudnić.

Albo "wpisz niepasujące słowo" tak jak jest na testach IQ. Jednocześnie zabezpieczamy stronę przed niezbyt rozgarniętymi userami (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Jeśli chodzi o captcha tekstowe -- zamazywanie tła kontrastującym z tekstem kolorem, używanie kolorów nie pomoże, a może zaszkodzić. Najlepsze captcha jest dwukolorowe (tło, tekst). Można też dodać więcej kolorów, ale powiedzieć userowi, aby przepisał tylko czerwone znaki. Albo jeszcze lepiej: znaki tego samego koloru co krew (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ale -- wysiłki takie na nic się nie zdadzą, jeśli spambot captcha, z którym sobie nie może poradzić prześle do jakiegoś "przepisywacza". Albo umieści obrazek na jakiejś stronce porno/warez (przepisz kod, aby pobrać). Tak to niestety działa -- jak algorytm sobie nie radzi, podsyła człowiekowi...

[gladiror]

A co sądzicie o rozwiązaniu Microsoftu - Asirra? Działą to na zasadzie, że z listy zwierząt wybieramy same koty lub psy (wiadomo tutaj można pokombinowac (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) ) Wydaje mi się to lepszym rozwiązaniem niż przepisywanie tekstu. Skoro boty radzą sobie już z odczytem tekstów z obrazów (tych prostych), to za jakiś czas zaczną radzić sobie z trudniejszymi. A ze zdjęciami to można wiele rzeczy robić jeżeli mamy jakąś większą galerię. Można pytać czy jest pies czy kot, gdzie widać dom itd. Daje to dosyć spore możliwości. A nie wydaje mi się, żeby pisane boty potrafiły w dobry sposób odróżnić niektóre rzeczy (przynajmniej przez jakis czas).

Ale -- wysiłki takie na nic się nie zdadzą, jeśli spambot captcha, z którym sobie nie może poradzić prześle do jakiegoś "przepisywacza". Albo umieści obrazek na jakiejś stronce porno/warez (przepisz kod, aby pobrać). Tak to niestety działa -- jak algorytm sobie nie radzi, podsyła człowiekowi...

W Asirra raczej nie będzie mógł człowiek pomóc botowi z tego względu, że pytań może być bardzo dużo, nie mówiąc już o zdjęciach.

[szopen]

Nie przyglądałem się Asirra zbyt długo, ale sprawdź czy za pomocą tego systemu M$ nie zbiera informacji statystycznych o userach.

Co do bezpieczeństwa - skoro MS mogło zrobić sobie bazę danych piesków i kotków, równie dobrze może zrobić to sieć spambotów. Trzy miliony to nie jest dużo. Mając 10 ludzi rozpoznających jeden obrazek co 2 sekundy, pracujących po 10 godzin dziennie można przerobić całą ich bazę w 2 tygodnie (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) A jeśli do tego owe obrazki dostępne są na stronie petfinder.com razem z klasyfikacją pies/kot sieć spambotów dość sprawnie może stronę odpytać i pozyskać obrazki łącznie z klasyfikacją.

Co by mogło być pomocne: zniekształcanie obrazków (za każdym wyświetleniem inaczej), tak aby człowiek rozpoznał zwierzaka a prosty algorytm nie potrafił odnaleźć zdjęcia w bazie. Ale i to da się obejść...

Ale -- skoro google zabezpiecza się za pomocą captcha tekstowych, można uznać, że jest to zabezpieczenie wystarczające na dziś dzień.

I jeszcze jedno -- wszytkie moje powyższe rozważania są oparte na domysłach, a nie na dokładnej analizie problemu, więc mogą być błędne (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)