Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Negatív CAPTCHA

2008.04.04. 13:04 | buherator | 7 komment

Heiko Webers blogján akadtam rá Damien Katz posztjára a negatív CAPTCHA-król. Ugyebár senki sem szeret viagrareklámmal teletömött blogokat, fórumokat olvasgatni, hát még üzemeltetni, de elmondhatjuk, hogy a végtelenül összekuszált, esetleg izgő-mozgó-vibráló képek megfejtése sem tartozik kedvenc elfoglaltságaink közé. És akkor még nem is beszéltem pl. a gyengénlátókról, vagy más fogyatékkal élőkről (itt ha nem fogalmaztam korrekten javítsatok ki légyszi!), akiknek minden bizonnyal komoly problémát jelenthet akár egy rendesen kivitelezett Turing teszt megoldása is.
A negatív CAPTCHA lényege az, hogy nem arra kényszeríti rá pl egy blog látogatóit, hogy bebizonyítsák azt hogy hús-vér emberek, hanem a robotokat veszi rá, hogy bebizonyítsák: nem azok! Tulajdonképpen egyfajta "mézesbödönről", honeypotról van szó: a védendő odlal tulajdonosa felvesz egy szövegmezőt minden űrlapjához, amit pl. CSS vagy JavaScript segítségével eltűntet a látogatók szeme elől. Csakhogy a crawlerek nem az oldal összképét, hanem annak forráskódját látják, ráadásul általában elég butuskák is szegények: mohón kitöltenek minden lehetséges mezőt a szemetükkel. Az embernek tehát nincs más dolga, mint kiszűrni azokat a kéréseket, amelyekben a felvett plusz mező ki van töltve, hiszen a valódi emberek általában nem foglalkoznak a nem látható mezők kitöltésével (tisztelet a kivételnek ;)).
Természetesen a módszer egyszerűen legyőzhető mondjuk úgy, hogy megtanítjuk a robotoknak, hogy milyen mezőket ne töltsenek ki, de ez csak oldal-specifikus spambotok esetén működik hatékonyan, általános célú programoknál igen bonyolult algoritmusokat kell alkalmazni a csapdák felismerésére. A negatív CAPTCHA-k tehát nem jelentenek univerzális megoldást a spamproblémára, de kellő megfontolás után az alkalmazása jelentősen megnövelheti egy oldal látogatóinak komforterzetét.

Címkék: spam captcha

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Athos · http://stfw.hu 2008.04.04. 14:23:07

Hónapok óta semmi gondom nem volt, ezt a módszert használom. A CAPTCHA mező neve egyébként "name", esetleg fűszerezhető azzal, hogy "name", "email", "web", "text", "comment" és hasonló neveket váltogat a blogmotor. (Úgy vettem észre, hogy okosabb spambotok a mezőnevet is figyelembe veszik.)

andreiground (törölt) · http://www.andreiground.com/ 2008.04.04. 23:17:00

Olyan szempontból ötletes, hogya js részeket nem nagyon nézik a robotok (sőt, futtatni nem fogják).

A dolog bökkenője, hogy ha ez a megoldás elterjed, akkor a másik oldal is hamar váltani fog. Mivel a procinak szüksége van összekapcsolásra, ezért a robotok könnyen megtalálják majd azokat.

Athos: Mivel a robotokat emberek írják, az előző bekezdés hamar életbe léphet.

htmlinfo: ha tudsz kacsát analizálni (nem, mint szkript kiddie, hanem mint progman), akkor tudsz olyat kacsagyárat írni, ami elég nehéz a botoknak és elég könnyű az embereknek.

Én szöveges kacsákkal egész jól elvagyok. Ha kell upgradelek audiora. De van még ötletem és a negatív kacsa is adott egy jó tippet.

buherator · http://buhera.blog.hu 2008.04.05. 07:08:33

"Mivel a procinak szüksége van összekapcsolásra, ezért a robotok könnyen megtalálják majd azokat."

Ööö...ez nem teljesen világos, kifejtenéd?

andreiground (törölt) · http://www.andreiground.com/ 2008.04.25. 11:07:08

Szorri. El voltam tűnve.

Ezalatt azt értettem, hogy a botok képesek osztályozni és lekövetni egy-egy változó útját. Ha te nem kapcsolod össze valamilyen módon, hogy ez a változó ez lesz, az a változó az lesz (pl változó értéke "

andreiground (törölt) · http://www.andreiground.com/ 2008.04.25. 11:08:05

Hiba történt a kérés kiszolgálása közben. Kérjük, próbáld újra! Ha nem megy, próbáld később!

Nem írom le mégegyszer .(

buran 2008.05.08. 21:57:49

Jé, ez nagyon vicces, én vagy egy éve alkalmazom ezt a módszert anélkül, hogy tudtam volna a nevéről. Sajnos nem én találtam ki, én is csak hallottam ötletként anno. A hup-ról küldték a linket ide.