Heiko Webers blogján akadtam rá Damien Katz posztjára a negatív CAPTCHA-król. Ugyebár senki sem szeret viagrareklámmal teletömött blogokat, fórumokat olvasgatni, hát még üzemeltetni, de elmondhatjuk, hogy a végtelenül összekuszált, esetleg izgő-mozgó-vibráló képek megfejtése sem tartozik kedvenc elfoglaltságaink közé. És akkor még nem is beszéltem pl. a gyengénlátókról, vagy más fogyatékkal élőkről (itt ha nem fogalmaztam korrekten javítsatok ki légyszi!), akiknek minden bizonnyal komoly problémát jelenthet akár egy rendesen kivitelezett Turing teszt megoldása is.
A negatív CAPTCHA lényege az, hogy nem arra kényszeríti rá pl egy blog látogatóit, hogy bebizonyítsák azt hogy hús-vér emberek, hanem a robotokat veszi rá, hogy bebizonyítsák: nem azok! Tulajdonképpen egyfajta "mézesbödönről", honeypotról van szó: a védendő odlal tulajdonosa felvesz egy szövegmezőt minden űrlapjához, amit pl. CSS vagy JavaScript segítségével eltűntet a látogatók szeme elől. Csakhogy a crawlerek nem az oldal összképét, hanem annak forráskódját látják, ráadásul általában elég butuskák is szegények: mohón kitöltenek minden lehetséges mezőt a szemetükkel. Az embernek tehát nincs más dolga, mint kiszűrni azokat a kéréseket, amelyekben a felvett plusz mező ki van töltve, hiszen a valódi emberek általában nem foglalkoznak a nem látható mezők kitöltésével (tisztelet a kivételnek ;)).
Természetesen a módszer egyszerűen legyőzhető mondjuk úgy, hogy megtanítjuk a robotoknak, hogy milyen mezőket ne töltsenek ki, de ez csak oldal-specifikus spambotok esetén működik hatékonyan, általános célú programoknál igen bonyolult algoritmusokat kell alkalmazni a csapdák felismerésére. A negatív CAPTCHA-k tehát nem jelentenek univerzális megoldást a spamproblémára, de kellő megfontolás után az alkalmazása jelentősen megnövelheti egy oldal látogatóinak komforterzetét.
A negatív CAPTCHA lényege az, hogy nem arra kényszeríti rá pl egy blog látogatóit, hogy bebizonyítsák azt hogy hús-vér emberek, hanem a robotokat veszi rá, hogy bebizonyítsák: nem azok! Tulajdonképpen egyfajta "mézesbödönről", honeypotról van szó: a védendő odlal tulajdonosa felvesz egy szövegmezőt minden űrlapjához, amit pl. CSS vagy JavaScript segítségével eltűntet a látogatók szeme elől. Csakhogy a crawlerek nem az oldal összképét, hanem annak forráskódját látják, ráadásul általában elég butuskák is szegények: mohón kitöltenek minden lehetséges mezőt a szemetükkel. Az embernek tehát nincs más dolga, mint kiszűrni azokat a kéréseket, amelyekben a felvett plusz mező ki van töltve, hiszen a valódi emberek általában nem foglalkoznak a nem látható mezők kitöltésével (tisztelet a kivételnek ;)).
Természetesen a módszer egyszerűen legyőzhető mondjuk úgy, hogy megtanítjuk a robotoknak, hogy milyen mezőket ne töltsenek ki, de ez csak oldal-specifikus spambotok esetén működik hatékonyan, általános célú programoknál igen bonyolult algoritmusokat kell alkalmazni a csapdák felismerésére. A negatív CAPTCHA-k tehát nem jelentenek univerzális megoldást a spamproblémára, de kellő megfontolás után az alkalmazása jelentősen megnövelheti egy oldal látogatóinak komforterzetét.
Athos · http://stfw.hu 2008.04.04. 14:23:07
htmlinfo · http://htmlinfo.hu 2008.04.04. 16:39:52
htmlinfo.hu/2008/01/05/captcha-a-biztonsag-hamis-illuzioja/
andreiground (törölt) · http://www.andreiground.com/ 2008.04.04. 23:17:00
A dolog bökkenője, hogy ha ez a megoldás elterjed, akkor a másik oldal is hamar váltani fog. Mivel a procinak szüksége van összekapcsolásra, ezért a robotok könnyen megtalálják majd azokat.
Athos: Mivel a robotokat emberek írják, az előző bekezdés hamar életbe léphet.
htmlinfo: ha tudsz kacsát analizálni (nem, mint szkript kiddie, hanem mint progman), akkor tudsz olyat kacsagyárat írni, ami elég nehéz a botoknak és elég könnyű az embereknek.
Én szöveges kacsákkal egész jól elvagyok. Ha kell upgradelek audiora. De van még ötletem és a negatív kacsa is adott egy jó tippet.
buherator · http://buhera.blog.hu 2008.04.05. 07:08:33
Ööö...ez nem teljesen világos, kifejtenéd?
andreiground (törölt) · http://www.andreiground.com/ 2008.04.25. 11:07:08
Ezalatt azt értettem, hogy a botok képesek osztályozni és lekövetni egy-egy változó útját. Ha te nem kapcsolod össze valamilyen módon, hogy ez a változó ez lesz, az a változó az lesz (pl változó értéke "
andreiground (törölt) · http://www.andreiground.com/ 2008.04.25. 11:08:05
Nem írom le mégegyszer .(
buran 2008.05.08. 21:57:49