Míg a szövegfelismerés viszonylag fejlett tecnológia, addig a szövegfelismerés nagyon gyerekcipõben jár.
Mivan?
nem értetted meg amit írok! két képet kell párosítani az egyik a felismerendõ a másik meg a párosított tehát felismerem hogy az a kép kutyás kép vagy cicás kép ebbõl van 1000 a másik oldalon lévõ képeket is lementem és mivel méretük egyezik mindig nem nehéz azonosítani minden képet hiába más a neve vagy a kiterjesztése!
"valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belõle ki lehet nyerni!" Én voltam az... :-)
"letölteném a képet amit fel kell ismernem" Na itt van a gond, ugyanis egyszer lekéri a teszt, és ha te mégegyszer le akarod kérni, már másik képet fogsz kapni. Próbáld csak ki.
"Adatbázis felépítése: 1000+1000 kép letöltése" Nemnem, tévedésben vagy. Az nem 1000+1000, hanem 1000*1000. Nem mindegy...
"viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés elõtt egy php fügvénnyel szerkesztenéd és véletlen szerûen 10-15 pixelt módosítanál rajta!" Köszönöm, de az a helyzet, hogy nincs mit befoltozni, mivel erre már számítottam. Elárulom egyébként, hogy a képet eleve script állítja elõ (nem akarok feleslegesen erõforrást pazarolni, ezért nem módosítja a képet on-the-fly lekérdezéskor, inkább berakok még 100 variációt).
Turdus: Mint azt te is beláttad, nincs olyan rendszer ami törhetetlen, elolvasva az összes hozzászólást, valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belõle ki lehet nyerni!
Alapvetõen egy adatbázist kell felállítanom, hogy melyik képhez melyiket kell párosítani! Ismerve a háttéradatokat, 1000 képrõl beszéltünk! de legyen 1000 kép amit fel kell ismerni és 1000 kép amivel párosítani kell...
Az adatbázisom úgy nézne ki hogy a párosítandó kép-et címszóval látnám el pl kutyás kép = kutya macskás kép = macska virágos = virág ésatöbbi ésatöbbi! ugyan ezt eljátszanám a párosítandó 1000 képpel!
A feladat végrehajtásakor a következõt tenném: letölteném a képet amit fel kell ismernem majd megkeresném melyik az a kép utánna adatbázisból kikeresném a címszót majd szintén lementeném a párosítani kívánt képet megkeresném melyik vonatkozik a címszóra és megvan a megoldás!
Adatbázis felépítése: 1000+1000 kép letöltése + címszavazása 10 diák alkalmazásával 4 óra munkával megtörténne (80 munkaóra) +2-3 óra scriptírás!
A futásra (törés) ramdisk-et használnék és már pörögne is a dolog!
jelenleg a kiadásom kb 10 diák órabére 400ft egyenként az a 10 diákra 4000ft és mindezt 4 óra munkával 16.000ft + az én baszakodásom kb 20e ft maradék 80e tiszta haszon!
ha meg 10x-eznéd a képeket akkor a kiadásom is meg 10x-ezõdne 160.000 lenne ekkor már nem érné meg 100.000ft-ért
alapvetõen 10.000 kép közül a script válogatna hát kissebb terhelés és tárhelyfoglaltság senki nem alkalmazná....
de ha egy otp-rõl van szó akkor 160e ft-os kiadást megérne több milliárd számla adatáért cserébe!
Nincs sajnos sem szabadidõm sem 16.000ft befektetni való tõkém most ezért bebizonyítani nem tudom hogy mûködik, viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés elõtt egy php fügvénnyel szerkesztenéd és véletlen szerûen 10-15 pixelt módosítanál rajta!
ezzel a módszerrel a kép összehasonlításnál megbukna a rendszer bár még itt is lehet hibaarány, de már nem 100%-os aztán bonyolíthatnád még hogy csíkokat is raksz a képbe pl mindig véletlenül generált hexa színû csíkokat 2 vastagsági érték között ekkor már ismét csökkentenéd az esélyeim!
De mutatok neked mást ilyen módszerrel (beúszással) mozognának a csíkok a képen... felismerési esély ismét felére csökkenne! (a nulla értéket soha nem tudnád elérni!)
nagylzs: én sem szeretem a flameket, de itt annyira beképzeltek vagytok, hogy egyáltalán nem veszitek a fáradságot, hogy végigolvassátok amiket írtam. A több kép egyébként jó ötlet, én is gondoltam már rá, de pont amiatt vetettem el, amit írtál.
vajon kiki: "megszerezni Brute Force technikával" Hahaha :-)
Ha elolvastátok volna, amit írtam, tudnátok, hogy ezen módszerek egyike sem célravezetõ, mivel ezekre direkt számítottam, és beraktam védelmet ellene. A brute force kifejezetten nevetséges, mivel minden teszt egyedi. kb annyi az esély, mint lottónál: valszámosok gyakran esnek abba a hibába, hogy kapcsolatot keresnek a húzott számok között, de ez alapvetõen hibás: az egyik húzás egyáltalán nem befolyásolja a következõt, és itt is ez a helyzet: minden egyszer megjelent teszt garantáltan egyedi a legelsõ próbálkozásig, nem lehet mégegyszer reprodukálni.
Szóval még mindig ott tartunk, hogy ha szerencsések vagytok, akkor elméleti max 10%. (Gyakorlatilag ennél kisebb, mert annak az esélye, hogy az a válasz lesz a jó, amit kinéztetek, még kisebb (teszem azt az elsõt néztétek ki, és 1000 próbálkozásból egyszer sem dobja a program az elsõt jó válasznak)).
Még mindig az sms alapú megoldást látom a legjobbnak. 1 mobilszám 1 júzer. Belépéskor 1x smsben ellenõrizni kell a felhasználót, aztán már csak letiltani hogy 1 másodperc alatt ne küldhessen ezer hozzászólást. Nyilván ez meg költséges.
ja és azt nem értem,hogy ha ilyen jó az arány, hogy a zsándékosan eltorzított karaktereket fel tudják ismerni már... akkor egy hagyományos szövegfelismerõ program egy egyszerû kézírást nem ismer fel? Hatalmas áttörést jelentene szerintem, ha ezt jóra használnák!
hát hogy rohadnának meg, azóta kapom gmailen a sok szennyet.... Oké h egybõl kiszûri a spam kategóriába, de mégis van, és jön... Ez azért veszélyes mert nem gmailes címre is küldik, ahol nem vszínû h suzintén kiszûrik, hisz a gmail mint megbízható szolgáltató van rangsorolva... közben meg simán küldheti a sok szennyt nem gmailes címrõl is a szerverükön keresztül.. :(
De mondjuk tovább lehetne fejleszteni Turdus módszerét a következõ módon:
- egy képhez 20 választási lehetõség, ezt még egy ember átlátja - egyszerre 4 választást kell csinálni
Itt 20 a negyediken lehetõség van ami 160 000. Próbálgatásos módszerrel ez 0.000625% esély.
Na ez már nem rossz, és még emberileg át is lehet látni.
Viszont fölmerül a kérdés, hogy egy regisztráció kedvéért ki fog átnézni ötször húsz képet...
Javascript, Flash, CSS egyéb stb.. alapú CAPTCHA : mind- mind negatív ! egy egyszerû ScreenShottal + Croppal megvan a kép amit az ember is lát (a videomemóriából) .. és innentõl tkp. ugyanúgy rá lehet ereszteni az XRumer vagy hasonló recognizer felismerõ programot, ami akár kézírásokból is felismeri a latinbetûs szövegeket kontrasztozással és egyéb grafikai trükkökkel és mindezt a másodperc tört része alatt. Más kérdés hogy nehéz egy ilyen Makrót megírni de akit érdekel az megcsinálja ha akarja és kész .. ennyi.
>"Ha 10-bõl egy sikerül akkor másodpercenként megvan egy regisztráció. > Ez közel sem "feltörhetetlen"." > > Másodpercenként nem tudsz ellenõrizni, arrõl gondoskodik a késleltetés.
felesleges itt néhány másodpercen szarakodni, aki CAPTCHA-t játszik ki az egy makróprogramot futtat egy server gépen és annyi ideje van egy-egy kód feltörésére mint a tenger.
> Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy > kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol. > Nem ugyanaz...
itt is ugyanaz a magyarázat: aki CAPTCHA feltörésre adja a fejét az belépési jelszót akar megszerezni Brute Force technikával. nem számít, ha néha nem jól ismeri fel a program a CAPTCHA-t mert a következõ próbálkozásra is ugyanazt a kódot fogja kipróbálni. (még én sem ismerem fel mindig a CAPTCHA-t pedig én ember vagyok !) egy makrót meg is lehet úgy is írni, ha nem ismeri fel a CAPTCHA-t akkor kér egy másikat és ha mégis elhibázza akkor is onnan folytatja a kód próbálgatását ahol a legutóbbi sikeres CAPTCHA beírásnál tartott.
Nem szeretem az ilyen flame-eket de Turdus annyi beképzelt hogy ezt nem lehet kihagyni. :-) Szóval:
>"megfelelõ programmal szimulálom a kattintást" >Lássuk azt a programot.
http://www.autoitscript.com/autoit3/
Szeretném hangsúlyozni hogy ez csak 1 példa, vannak más lehetõségek is!
>"Ha 10-bõl egy sikerül akkor másodpercenként megvan egy regisztráció. > Ez közel sem "feltörhetetlen"." > > Másodpercenként nem tudsz ellenõrizni, arrõl gondoskodik a késleltetés.
Mármint úgy érted hogy egy IP-rõl nem tudok. Na és akkor mi van? 10 IP címrõl percenként így is meglesz 6 regisztráció, akkor az egy óra alatt 360 . Ez bõven elég flood-olásra. Persze lehet növelni a késleltetés idejét, írhatod rá hogy akkor nem 1 másodpercet vársz hanem ötöt, meg egyéb trükköket, de akkor én meg azt írom rá hogy nem 10 IP-rõl próbálkozom hanem 20-ról stb. Az alap módszered hatékonysága ettõl még nem fog megváltozni, ezeket a trükköket meg más módszerekkel is el lehet játszani. A lényeg nem változik.
> Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy > kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol. > Nem ugyanaz...
Már bocs, de elõszöris te nem a "feltörést" hanem az "átverést" szabtad feltételül. Ne szépítsünk! "A MINDIG jól válaszol" típusú programok nem léteznek a többi módszerre sem, mégis úgy tekintenek rájuk mint idejétmúlt, gyenge védelemre. Ez pedig a tiédre is igaz.
Egyébként meg a "próbálgatásos módszer" egy létezõ, ismert és bevált módszer. Ez nem "mázli", hanem elismert dolog. A 10%-os arány pedig már átverésnek számít. Lehet hogy van olyan alkalmazás ahol a 10% még nem probléma, de a legtöbb helyen az. Tehát a szoftvered átverhetõ. Pont.
A feltörésben nem vagyok biztos (100% arány elérése), de erre nincs is szükség.
Gondolom ezek nagy része nem szimpla szövegfelismerésreépül, hanem betanítható eljárások. A képösszepárosítósdi is ugyanígy betanítható, az, hogy 10 vagy 1000 kutyás/macskás/virágos képed van a lényegen nem fog változtatni. Ha olyan elterjedt lenne, hogy megérje pénzt fektetni a visszafejtésébe, akkor megoldanák. Akár egy primitív kis játékot is lehet írni rá, hogy namivanaképen, nyomjad, aztán szépen logolja az eredményt és kész.
Sok oldalon van hangos captcha is. (hangszóró ikon)
minden ilyen kód törhetõ. A kulcs az, hogy a törés több erõfeszítást igényeljen, mint amennyi a törésbõl remélhetõ profit, ezáltal éri el a biztonságot.
Teljesen jogos. A részletek: én adom a pénzt, privbe írsz egy üzenetet, és megbeszélünk egy személyes találkozót. Nagy ötlet nincs, mindössze annyi, hogy végignyálaztam a teljes szakirodalmat, és próbáltam az összes korábbi törési módszert kiküszöbölni, a buktatóikat elkerülni. A feltétel pedig az, hogy emberi idõn belül, programmal elfogadható arányban választ adni (tehát mondjuk 1 perc alatt 70-80%-ban törni). Logok nem kellenek, csak egy személyes demonstráció, igazából a törés hogyanja az érdekes, hogy bele tudjam építeni a védelmet a rendszerbe. Ezáltal ugye a feltörõ hozzájárul a rendszer biztonságának növeléséhez, ezért jár a pénz.
A távol keletiek ellen definíció szerint nem véd, mert csak arra alkalmas a teszt, hogy eldöntse, program vagy ember válaszol-e.
Egy ilyen felhívást úgy szokás közzétenni, hogy kiderüljön belõle: - ki adja a pénzt - az adott rendszerben mi a "nagy ötlet", miért is gondolja a készítõ, hogy jobb, mint a többi - pontosan mi a feltétele annak, hogy elfogadd a feltörhetõség tényét. X% arány? X db/perc? Vagy van valahol valami levédve, amihez ha sikerül percenként x-szer hozzáférni, az utána bizonyítékként belengethetõ? Vagy mégis mi a kihívás lényege?
Amúgy meg az, hogy száz, ezer, vagy százezer kép van benne, tökmindegy. Szorgos távol-keleti kezek megfejtik az ismeretleneket, utána meg már adatbázisból mehet az egész. Nem tudsz gyorsabban berakni új képeket, mint ahogy azt fejtik meg.
A legtöbb szöveg alapú captcha ott hibázik, amikor nekiáll minden betût más színnel jelölni, míg a háttér ezektõl teljesen eltérõ. Így aztán hû de nagyon nehéz elkülöníteni a betûket. Flashnél használható akármilyen flashdecompiler, és az már csak az elemeket látja, nem a szép animációt. A megjelenítendõ szöveg/kép ha futásidõben töltõdik le, a forrásba belenézve lenyúlható azok címe - vagy a generáló script címe. Esetleg egy elõbb említett pontos módszer, de animált gifen, ahol egy-egy képkocka nem adja ki a teljes képet, de egymás után lejátszva már igen. De ez is törhetõ, csak a képeket egybe kell olvasztani...
Mo-n, mi a gond ? nyugodtan használjuk a Captcha-ban, az ékezetes betûket. A program valszeg erre nincs felkészítve.
A lényeg az, hogy nem csak 10 kép van (ez egyenlõre pre-pre-alpha változat, ezért csak 1000 kép van benne).
"De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon" Ez aligha program.
"Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja" Az vegye a fáradtságot, és küldjön egy privet. Értelmetlen, farok floodolás volt csak a whois másolása, akárcsak a js másolása.
"Lasd man wget" Ha wget-el töltöd le, akkor esélyed sincs, mivel a következõ kérésnél már más lesz a teszt.
"Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet" Pénz mûködõ programért jár. Eddig csak szócséplés volt.
Én olyan flash-alapú captchat csinálnék, ahol nem egy helyben állnak a betûk, hanem folyamatosan mozognak, de közben kicsit a háttér is mozog. Ezt nem hiszem, hogy bármelyik program fel tudná törni. Mivel Flash alapú, ezért az akadálymentesítést figyelembe véve lenne benne audió captcha is.
"Plato Captcha".
Bocsi, javasolnám, hgoy keress egy komolyabb munkát. A kép párosítással az a baj, hogy a képek azonosíthatóak egyszerûen (van 10 kutyás, 10 cicás képed, stb) és onnantól a párosítás is automatikus.
Lefuttatod, kiveszed az elso id-t es ez 10%-os valoszinuseggel jo lesz. Harom probalkozasbol ez mar 27% (lasd valszam). De a legjobb megoldas letolteni az adatokat es tukorben megjeleniteni egy 'free' oldalon, ahol az internetezo hulyegyerekek megoldjak azert hogy be tudjanak lepni a 'kepgalleriaba'. A legtobb orosz spammer ezt hasznalja, mivel buta emberbol tobb van mint cpu idobol.
""A belinkelt feladatra a megoldas a wget hasznalata" Mutasd be, hogyan."
Lasd man wget, --post-data mezo hasznalata... (nem fogom bemasolni a manpage-et)
""Ha valaki penzt akarna kerni a megoldasaert a sractol" Ismered a whoist, gratulálok. ... Dumálni majdnem mindenki tud"
Csak azert masoltam be, hogy ha valaki veszi a faradsagot es megoldja, akkor tudja hova erdemes menni 'penzt kerni'. :-) (meg erdekelt hogy ki az aki hacker-nek hivja magat)
A lenyeg, hogy lehet bonyolitani, de nem erdemes. Ma mar letezik rengeteg mi alapu es rengeteg human alapu captcha feltoro megoldas. Ha van benne eleg penz meg az is elofordul, hogy a spammer/farmer felvesz par olcso azsiai 'tavmunkast' es megcsinaljak azok. Ha meg nincs benne penz, akkor a legjobb megoldas sem er anyagilag semmit sem. (mint pl. a demo oldal) Kicsi az eselye hogy barki valaha is onkent fizessen ezert. Viszont ilyet irni iskola utan jo szorakozas es a keszito igazi 'hacker'-nek erezheti magat. Aztan tobbnyire rajon hogy megsem. :-)
ps: Azert megneznem a szituaciot amikor valaki tobbedmagaval odaallit es keri a penzet... :-)))))
"A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb" Mutasd be.
"A belinkelt feladatra a megoldas a wget hasznalata" Mutasd be, hogyan.
"Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind" Megint tévedsz. Jelenleg több, mint ezer kép van, és az adatbázis bõvül. Senki nem mondta, hogy ugyanarra az url-re mindig ugyanaz a kép jelenik meg... Ezenkívül, mint már említettem volt, minden letöltés megváltoztatja a tesztet.
"Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet." Csak épp a variációk száma egy hangyabránernyit nagyobb, pont annyival, hogy már komoly kihívást jelentsen. Betûbõl 26 van, kutyát ábrázoló képbõl szerinted mennyi?
"A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember" Amikor elvont fogalmakat, ábrákat kell felismerni, akkor nem. Ahhoz MI kéne. Ha ilyen egyszerû lenne, akkor a googli használná, és nem kéne labeller.
"Ha valaki penzt akarna kerni a megoldasaert a sractol" Ismered a whoist, gratulálok. De a pénzért le is kéne tenni valamit az asztalra, nemcsak jératni a szád... Dumálni majdnem mindenki tud (itt különösen sokan).
"Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni."
A microsoft megoldasa 6 masodperc alatt 17 szazalek. A tied 1 masodpercen belul 10 szazalek. Nem igazan jobb. A harom probalkozas utani letiltas azert nem jarhato, mert sok cegnek es kisebb szolgaltatonak osszesen 1 kulso ip cime van, tehat 1 buta felhasznalo denial of service-t valthat ki az egesz tartomanyon.
A belinkelt feladatra a megoldas a wget hasznalata, ahol az elso keres letolti az oldalt, a masodik kuld egy valasz post kerest, a generalt parameterekkel. Ez meg egy windows-os batch file-bol is megoldhato.
Egyebkent a kiadott kepek szama limitalt, brute force-al letoltheto mind, majd kezi cimkezes utan egy sima image diff megmondja hogy melyik kepet adta a rendszer es az melyik valasz osztalyba tartozik. Az egyetlen feladat a kep adatbazis elkeszitese, de ez ugyanaz, mint amikor valaki a captcha-k betuire tanitja a szovegfelismerojet.
"Flash alapu captcha?"
Jo, viszont sima kepernyokep + eger szimulacioval kikerulheto. A windows erre nyujt tamogatast, meg visual basic 6-ban is. (utoljara ott hasznaltam, kb. 10 eve)
"Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sûrûbb helyeken lévõ pontokból kiolvasható volt h mit kell beütni."
Lasd fent. Nagyon sok mmo farmer bot ezt hasznalja, igy latjak a valojaban sok kis haromszogbol kirakott kepet.
"Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D"
Az elsot lasd fent, a masodik csak addig er valamit, amig a programiro el nem olvassa egyszer az oldalt, hogy mi a feladat.
"CSS alapú? Megfelelõ helyre lerakott bepozicionált divek végül kiadnak egy pár betût."
Ez csak az internet explorer-rel internetezo embereket zarna ki az oldalrol... :-)
"Esetleg egy sima captcha amire írt szöveget visszafele kell beírni?"
Ilyen mar van, de ez a legegyszerubben felismerhetoek kozze tartozik.
A captcha-k alapvetoen kepfelismeresi feladatok es a gepek ma mar sokkal jobbak ebben mint egy atlag ember. Abban a pillanatban van gond, ha mar egy gepnek konnyebb, mint egy embernek. A rapidshare-re es tarsaira is egyszerubb programot irni (browser plugin-t), mint mindig kezzel megadni a valaszt. Igy lehet automatizalni a letolteseket.
ps: Ha valaki penzt akarna kerni a megoldasaert a sractol:
Website Title: turdus.hu Title Relevancy: 100% Meta Description: homepage of hacker named Turdus Description Relevancy: 20% relevant.
person: Baldaszti Zoltán address: Tüttõssy u. 7. address: 8900 Zalaegerszeg address: HU phone: +36 30 514 7769 fax-no: hun-id: 2000686739
role: forpsi.hu Hostmaster address: Hunyadi u. 12 address: 6090 Kunszentmiklós address: HU phone: +36 76 550 153 fax-no: +36 76 550 152 e-mail: hun-id: 3000101064
role: forpsi.hu Hostmaster address: Hunyadi u. 12 address: 6090 Kunszentmiklós address: HU phone: +36 76 550 153 fax-no: +36 76 550 152 e-mail: hun-id: 3000101064
org: org_name_eng: BlazeArts Ltd. org: org_name_hun: BlazeArts Kft. (Registrar) address: Hunyadi u. 12. address: 6090 Kunszentmiklós address: HU phone: +36 20 3242323 fax-no: +36 76 550175 hun-id: 1000271857
A képen látható megoldások a legelsõ, leggagyibbak. Ezeknél már én is ötletesebbeket használok, pedig nem vagyok egy multi :) De valamit meg kell érteni. Ahogy a cikk is írja, a komolyabbakat nem programok törik fel, hanem emberek. Ez a tipusu védelem pedig azt tudja, és nem többet, hogy ellenõrzi, ember avagy egy program próbálkozik. Ebbõl az következik, hogy mivel ember próbálkozik, be tud lépni, és sakk-matt, ha nem tudna akkor ugye a valódi felhasználó sem jutna be.
Megoldás? Teljesen más irányba kell indulni, de nem adok ötleteket, találja ki mindenki magának. Egy ötletem már lenyúlták, nem mindta szabadalomvédett lenne :)
Ne haragudj de így elsõre én nem fogtam fel, hogy akkor most hogyan lehet belépni:D Mit válasszak ki és hol?:D Szerinted egy átlag mezei halandó (joh meg én is) akár 2 másodpercnél többet el fog tölteni azzal, hogy megfejtse, hogy most mi is a feladata?
Esetleg egymásra helyezett 3 kép ami végül kiad egy látható megfejtést? Valahol láttam is olyat, hogy 2 kép volt egymáson de a képeken nem szöveg volt hanem pontok így a végén a sûrûbb helyeken lévõ pontokból kiolvasható volt h mit kell beütni.
Javascript alapú captcha? Esetleg egy capcha ami alá ki van írva h ne töltse ki senki mert akkor nem megy el az üzenet?:D
CSS alapú? Megfelelõ helyre lerakott bepozicionált divek végül kiadnak egy pár betût.
Esetleg egy sima captcha amire írt szöveget visszafele kell beírni?
Az a buzisag a Captcha-ban hogy mar annyira bonyolultak hogy az emberek is alig alig tudjak kitalalni,jo ha 3-4 probalkozasbol sikerul.
Tökéletes megoldás nincs, ez tiszta sor. Én mindössze egy, a jelenlegieknél nagyságrenddel megbízhatóbb védelmet akarok adni.
Az, meg hogy mennyi ideig filózik az ember, hogy mi van a képen, jogos felvetés, de erre azt mondom, hogy tesztek igazolják, hogy a vizuális felismerés kevesebb idõt vesz igénybe, mint egy értelmetlen, eltorzított írás kibogarászása. Én is teszteltem (csak pár emberrel, szóval nem reprezentatív), de mindenki kivétel nélkül gyorsabban válaszolt, mint pl a google captcha kérdésére.
"Mi is a garancia" A szavam. Vagy elég neked, vagy nem.
"még e fölé is lehetne menni valószínûleg" A "valószínûleg" elég gyenge, ezt ugye Te is érzed. Ha valóban sikerül megoldanod, állok elébe, kiváncsi vagyok a hogyanra, és hidd el, ki fogom fizetni szó nélkül a pénzt érte.
"Security through obscurity" Elõször is security by obscurity, másodszor ez semmiképp nem az, mivel pontosan definiálva vannak a paraméterek és az ellenõrzés menete is az oldalon, elolvashatod. Az, hogy a UUID-k milyen algoritmussal vannak kiszámolva, lényegtelen, mivel feltesszük, hogy két egyforma valószínûsége 0. A kulcsok cseréjének gyakorisága szintén le van írva. Ami SbO alá esik, az a kattintás emulálása, beismerem, de még erre sem jött megoldás, és ha van is, az is MAX 10%-os esélyt ad (amíg be nem bizonyítod az ellenkezõjét). Megjegyzem ismét, az elméletileg maximális 10% messze veri a cikkben említett összes eddigi védelmet (és ráadásul elméleti, gyakorlat az egészen más).
Biztos jó a captcha, de nem a felhasználónak hanem az oldal üzemeltetõjének. Van néhány egészen extrém captcha *faj* amit mi emberek nem, viszont a gépek 100% pár másodperc alat törnének. És itt van elásva a kutya! Nem, azért nevetséges, nem fog az ember 2-10+ percet filózni, hogy mi is van a képen, inkább tovább megy. Nehéz kitalálni egy jó megoldást erre.
A Rapidshare "kutya, macska rendszerét" tutira nem játszotta volna ki, más kérdés, hogy sokszor még én se találtam el. pedig jó szemem van:)
"Lássuk azt a programot."
Mi is a garancia arra, hogy megkapja az elsõ sikeres "feltörõ" a százezer forintot? Semmi. Akkor meg minek foglalkozna vele bárki is a saját idejét feláldozva?
Kábé 5 percet szántam rá az elõbb, és hótziher, hogy meg lehet oldani legalább 10%-osra a tippelgetõs módszerrel, de elárulom, ha valaki nagyon ráér, még e fölé is lehetne menni valószínûleg.
Az meg, hogy bannolsz a sikertelen próbálkozásokra, nem megoldás. Ha az lenne, ezt használnák mindenhol, és pillanatok alatt meg lenne oldva a gond.
"Security through obscurity" mond valamit? Nem kéne erõltetni...
Elválasztani a beszédet a háttérzajtól nem nagy kunszt, még a Nokia N810-esemhez adott headset is alapból tudja (meg is lepett, mert ha filmet nézek vele, csak akkor van beszéd, ha nyomom közben a mikrofon gombot :-))
"megfelelõ programmal szimulálom a kattintást" Lássuk azt a programot.
"Ha 10-bõl egy sikerül akkor másodpercenként megvan egy regisztráció. Ez közel sem "feltörhetetlen"."
Másodpercenként nem tudsz ellenõrizni, arrõl gondoskodik a késleltetés. Ha nagyon-nagyon-nagyon szerencsés vagy, és az elsõ 3 próbálkozásból beleválasztasz (mielõtt bannolva lennél), akkor tudsz 1:9 eséllyel kitalálni egy captcha-t (tegyük fel, hogy mindez teljesül), azaz akkor vagy 10%-nál. A fenti táblázat alapján melyik captcha büszkélkedhet ennyire jó eredménnyel?
Az, hogy feltörted, nem azt jelenti, hogy mázliból kitalálod egyszer vagy kétszer, hanem hogy olyan programot mutatsz, ami MINDIG jól válaszol. Nem ugyanaz...
Legyen hangos! Ne képpel azonosítsunk, hanem hanggal. Fölveszünk szavakat, aztán torzítjuk, aláteszünk háttérzajt stb.
Míg a szövegfelismerés viszonylag fejlett tecnológia, addig a szövegfelismerés nagyon gyerekcipõben jár. A viszonylag tiszta érthetõ szöveget sem lehet normálisan fölismerni. Bár angol nyelvre már vannak jó szoftverek, de ezek sem megbízhatók. Random háttérzaj (nem fehér zaj hanem mondjuk zene vagy egy part-ban fölvett zaj) alákeverése + torzítás hatására nincs az a program ami megfejti hogy mirõl is van szó.
Természetesen nem én találtam ki. Sok baj van vele:
- nem nyelv független (fordítani kell), bár ez talán nem olyan nagy baj - több adatforgalom - nagyobb adatbázis kell hozzá - ha nincs hangkártya a gépedben akkor annyi....
mozgó gif alapú??? nemtom, csak 1 5let...
Akkor írhatom a számlaszámot? :-D
> Válassz ki egy opciót programmal. Hajrá. Majd írd meg, ha sikerült.
Sikerült. :-) Például (de ez tényleg csak EGY lehetõség a sok közül): virtual frame buffer szerveren futtatok egy firefox-ot, és megfelelõ programmal szimulálom a kattintást. Ezen fut javascript meg minden ami kell. Ha most nekikezdenék akkor kb. fél óra múlva készen lenne.
> És mégvalami: ha 10 IP-rõl próbálsz 10 regisztrációt, akkor 10 teljesen totálisan különbözõ tesztet fogsz kapni.
Ez igaz, de ettõl még nem mondhatjuk hogy "feltörhetetlen" ugye? :-) Ha 10-bõl egy sikerül akkor másodpercenként megvan egy regisztráció. Ez közel sem "feltörhetetlen".
Nagyon egyszerû átverni! Küldheted a 100 ezer forintot! :-)
Itt a megoldás: 10 képet jelzel ki! Tehát ha random választok egyet akkor 10% valószínûséggel jót választok. Ez már elég, mert ha egy regisztrációt 10 szálon próbálok (10 IP-rõl, de ez nem akadály) akkor problémamentes a dolog!
Persze erre mondhatod azt, hogy 20 kép. Rendben, akkor 20 szál. Erre mondhatod azt hogy jó, 100 kép. Igen ám, de azt már az emberek se tudják használni!
A captcha nem lehet halott, merthogy az egy módszer: fordított Turing-teszt.
Érdekes, hogy a cikk nem említi a hivatalos captcha oldalt... kiváncsi lennék, azt mennyire tudják törni. Pont egy ilyen projekten dolgozom ugyanis, de azt aligha fogják egyhamar bármilyen programmal meghackelni Ha valaki kiváncsi rá, itt megtekinthetõ a pre-pre-alpha release: Plato Captcha Fizetek 100eFt-t, ha valakinek sikerül átvernie. Egyenlõre még nincs regisztráció, ezért csak az online demot lehet tesztelni.
De szerencsére nagyobb veszély csak a nagy és ismert rendszereket érinti. Ha van saját fórumod, blogod, azt nagyon könnyû megvédeni.
Pl. egy ilyen egyszerû captcha, hogy "milyen nap van ma?", távol tart minden spammert, mert nincsenek rá felkészülve, és pont a te oldaladra nem fognak algoritumust írni.
© Epikurosz, 2008. Minden jog fenntartva, a szomszédosak is!
Informatika és tudomány
ilyen módszerrel (beúszással) mozognának a csíkok a képen... felismerési esély ismét felére csökkenne! (a nulla értéket soha nem tudnád elérni!)
