Autant que je lisais depuis ici , Le fait que les captchas ne soient pas 100% sécurisés. Qu'est-ce qui peut être utilisé à la place de CAPTCHA? En tant que programmeur, que pensez-vous? Comment résoudre ce problème?
10 Réponses :
Je pense que cela dépend vraiment de ce que vous essayez de contrôler l'utilisation de CAPTCHA.
@Boris Guéry merci, que voulez-vous dire par une entrée cachée générée au hasard qui nécessite d'être null?
Les scripts ont tendance à remplir chaque champ d'entrée avec certaines données, bien que lorsque cette technique de prévention commence à gagnez de la traction, ces scripts automatisés ignoreront simplement les champs d'entrée cachés, tout en remplissant le reste du formulaire.
Ensuite, génèverez deux entrées cachées, une qui doit être remplie mais pas d'autres.
Comment alliez-vous remplir ce champ d'entrée caché supplémentaire? Demandez à l'homme de faire la main leur poteau http?
@calmh .. Le deuxième champ de saisie peut être lié à l'un des champs d'entrée visibles via JavaScript qui doit être rempli.
@anurag Oui, mais JavaScript n'est pas un problème pour les bots. Il a tendance à être exécuté.
CAPTCHA est utilisé pour déterminer qu'un être humain réel fait la demande, pas une machine. Les systèmes de CAPTCHA'S et de CAPTCHA - SOIGNIFIENT seront mis à niveau et la technologie pour les cassera.
Alors, comment prouvez-vous que vous parlez à un ordinateur humain et non un ordinateur? Vous pouvez par exemple demander aux utilisateurs de participer à une session de discussion et d'avoir une petite conversation. Il n'y a pas d'AI de nos jours qui passent le test Turing.
La réponse est donc, aucun système n'est parfait. N'essayez pas de résoudre ce problème, mais essayez de trouver un moyen de réduire l'impact de cela.
Ceci est un problème non résolu et deviendra plus non résolu au fil du temps. Plus les outils OCR sont meilleurs, plus l'écart entre les humains et les ordinateurs, et plus il sera difficile de les distinguer. Finalement, les ordinateurs seront indiscernables des humains, puis le jeu sera debout.
Si votre serveur veut s'assurer qu'un humain est à l'autre extrémité d'un tuyau TCP, il n'ya pas de test de TUNTURE qui n'existait pas finalement être vaincu (et il n'y en aura probablement jamais un). CAPTCHA est condamné, c'est juste une question de combien de temps.
Bien sûr, cela ne signifie pas que c'est tout ce qui est en ce qui concerne l'authentification humaine. Cela signifie simplement que les tests de Turning automatisés, aussi pratiques que non, ne seront pas un moyen efficace d'y parvenir beaucoup plus longtemps.
+1 Je parie que le prochain obstacle est des analyses faciales ou rétiniennes. La plupart des ordinateurs ont des webcams pour le faire déjà. Le côté logiciel peut-être un peu derrière.
"Finalement, les ordinateurs seront indiscernables des humains", Yeaa .. Je ne pense pas. Ils deviendront plus difficiles à distinguer un ordinateur.
@ Hasen J, je pense que vous manquez le point. Nous ne parlons pas d'un cyborg approchant d'un caissier de banque. Nous parlons d'un agent inconnu à l'autre extrémité d'un tuyau TCP qui doit simplement répondre avec le bon ensemble de morceaux pour convaincre une autre machine qu'il est un envoi humain à ces bits. Je ne dis pas que c'est un problème facile, mais des progrès significatifs ont été réalisés et la technologie CAPTCHA commence déjà à se boucler sous la tension.
Explication ultérieure d'une suggestion faite par Boris:
Entrée cachée générée au hasard qui nécessite d'être null
L'idée est que votre formulaire contient plusieurs entrées invisibles, leur type ne doit probablement pas être réglé sur caché, mais ils doivent être invisibles à un humain (par exemple, une largeur ou une hauteur de 0). Le contenu initial de ces champs doit être vide. Si un humain remplit la forme, le champ sera vide, car l'humain ne peut pas voir le champ pour y entrer, mais si un bot remplit le formulaire, le champ sera (éventuellement) ne pas être vide, car des bots habituellement juste aveuglément entrer quelque chose dans chaque domaine.
Ainsi, vous pouvez distinguer un bot et un humain sur la base de si le contenu de ce champ est vide.
jamais pensé à ça, très intelligent!
À long terme, le gouvernement pourrait exécuter des serveurs OpenID comme passeports numériques pour leurs citoyens. Ce serait un moyen propre d'identifier les êtres humains et d'empêcher la sockpuppeting.
Suis-je la seule personne qui espère que cela n'arrive jamais?
Bien que je suis d'accord, je ne vois pas comment cela résout le problème des bots.
Pour le moment sur mon site Web, j'ai opté pour des questions simples. Quelques questions que j'ai utilisées dans le passé:
Certains autres sympas pourraient être
Pourquoi quelqu'un utilisera-t-il ce test de Turing sur Recapthca?
@Le point le point de cette question est des alternatives aux captchas
Je comprends que, mais ce que vous décrivez est une CAPTHCA. ou un "test de turing complètement automatisé"
@Le R et comment ma suggestion est-elle différente des autres réponses ici?
Bien que les captchas puissent être cassés, CAPTHCA ''s seulement Ajouter à la sécurité Recaptca est La plupart des "solutions" sur ce thread sont " Security Bien que l'obscurité "et vous devrait être méfiant de ces correctifs rapides à un problème très complexe.
@Berkay Merci, c'est un grand complément. Ce n'est pas facile d'être sur le dessus ( Stackoverflow.com/questions/... ).
La meilleure façon dont je peux penser consiste à utiliser quelque chose de non conventionnel, comme un champ masqué spécial qui devrait être nul (ou une autre valeur spécifique) que les robots gâcheront.
Si un fabricant de robot ajuste son robot pour votre site, vous devrez changer rapidement le CAPTCHA en quelque chose de différent. Il va (espérons-le) prendre un bon moment avant qu'un autre robot ajuste son robot pour votre site.
Fondamentalement, c'est une sécurité par l'obscurité qui doit constamment changer pour rester obscure.
Cela ne fonctionnera pas très bien si quelqu'un ciblait spécifiquement votre site.
C'est juste une idée, ID utilisée dans ma demande et fonctionne bien
Vous pouvez créer un cookie sur le mouvement de la souris avec JavaScript ou JQuery et dans la vérification côté serveur si Cookie existe, car seuls les humains ont la souris, les cookies ne peuvent être créés que par eux. Le cookie peut être un horodatage ou un jeton pouvant être validé
Obtient les coordonnées de la souris, déterminez si les coordonnées ont changé, vous pouvez déterminer s'il s'agit d'un robot.
puis chiffrer les données de coordonnées.
Voir ma réponse sur cette question: Stackoverflow.com/Questtions/2387496/...
Son "insécurité", ne se dissure n'est pas un mot.