Некоторые мысли по поводу перспектив captcha-решений, вроде вот этого.
Чисто с философской точки зрения перспективы капчей и других средств, основанных на распознавании субъекта, который выполняет защищаемое действие, и отделении таким образом «правильных» субъектов от «неправильных» — весьма туманны. Эта гонка рано или поздно приведет к тому, что будет пропускать «умных» людей и «умные» программы, но отсеивать вместе с не очень «умными» программами и часть людей, подобно рапидовским кошкам. Да и уже сегодня «тест на человечность» не решает проблему наемных распознавателей. Поэтому нужны другие решения.
Чтобы разработать средство, позволяющее минимизировать отрицательную информационную активность (спам, флуд и т. д.), нужно прежде всего выделить характерные свойства такой активности (а не ее непосредственных исполнителей). Все капчи и подобные им «тесты на человечность» пытаются определить, «кто стучится в дверь ко мне» — и если этот кто-то «расово чист», он авторизуется, если нет — отправляется в газенваген. В результате получается система, которая:
1) способствует дискриминации людей с ограниченными возможностями (например слепых) — ибо не все внедряющие визуальную капчу владельцы желают заморачиваться со звуковой;
2) лишает добросовестных пользователей потенциальных дополнительных удобств (возможности автоматизированного доступа, в рамках fair use);
3) не выполняет свою основную функцию — не защищает от отрицательной информационной активности.
Ибо деление мира на «хороших» субъектов, которые всегда выполняют хорошие действия, и «плохих», которые всегда выполняют плохие, мягко говоря, не слишком соответствует реальности. Соответственно, и решения в стиле «убить всех плохих» попросту не работают. Тем более что злоумышленник, в конечном итоге, всегда является человеком, а не ботом.
Реально действующим подходом в защите от спама и флуда может быть только фильтрация самих действий по тем признакам, которые отличают злоумышленные действия от добросовестных, вне зависимости от того, какой субъект является их непосредственным исполнителем — программный агент добросовестного пользователя или наемник, работающий на спамера. Отслеживать можно как чисто технические особенности (чрезмерная частота или объем сообщений, попытка отправки множества одинаковых или статистически похожих сообщений и т. д.), так и реакцию, которую такие сообщения вызывают у участников (карму). Одновременно с субъективными идентификаторами (никами) следует оценивать объективные (IP) и блокировать их при необходимости, опять же строго или по маске (onotoley*). Эффективными будут средства, позволяющие быстро выявлять отличительные характеристики злоумышленной информационной активности и быстро же устранять ее последствия путем бана или удаления, например, с помощью SQL-подобного языка и регулярных выражений.
Политика ресурса в отношении таких действий (что можно, а чего нельзя) должна быть открытой, в том числе и для программных агентов. Если агент пытается выполнить действие, несовместимое с политикой ресурса, ресурс должен вернуть ему стандартный отрицательный ответ, спрятанный в микроформате где-нибудь внутри HTML. Если модератор выявит, что заявленной политики недостаточно и злоумышленник ее обошел — политика будет уточнена и обновлена. По мере обкатки эффективность сервиса будет повышаться, а политика — эволюционировать в сторону максимального удобства для владельца сервиса и для его пользователей.
А заставлять пользователей выполнять вместе с целевым действием еще и нецелевое — это и растрата ресурсов (времени, внимания), и тоталитаризм, а когда некоторые пользователи чисто физически не могут выполнять навязанное действие — еще и вопиющая дискриминация. Поэтому я был, есть и буду противником «решения» проблемы спама с помощью капчей. Единственный плюс капчей в том, что они стимулируют разработки в области ИИ, побочным эффектом которых могут стать весьма ценные инструменты (как побочным эффектом космической гонки вооружений стали спутники связи). Поэтому в ближайшем будущем эта гонка будет продолжаться, но в конечном итоге уступит место открытой политике.
Чисто с философской точки зрения перспективы капчей и других средств, основанных на распознавании субъекта, который выполняет защищаемое действие, и отделении таким образом «правильных» субъектов от «неправильных» — весьма туманны. Эта гонка рано или поздно приведет к тому, что будет пропускать «умных» людей и «умные» программы, но отсеивать вместе с не очень «умными» программами и часть людей, подобно рапидовским кошкам. Да и уже сегодня «тест на человечность» не решает проблему наемных распознавателей. Поэтому нужны другие решения.
Чтобы разработать средство, позволяющее минимизировать отрицательную информационную активность (спам, флуд и т. д.), нужно прежде всего выделить характерные свойства такой активности (а не ее непосредственных исполнителей). Все капчи и подобные им «тесты на человечность» пытаются определить, «кто стучится в дверь ко мне» — и если этот кто-то «расово чист», он авторизуется, если нет — отправляется в газенваген. В результате получается система, которая:
1) способствует дискриминации людей с ограниченными возможностями (например слепых) — ибо не все внедряющие визуальную капчу владельцы желают заморачиваться со звуковой;
2) лишает добросовестных пользователей потенциальных дополнительных удобств (возможности автоматизированного доступа, в рамках fair use);
3) не выполняет свою основную функцию — не защищает от отрицательной информационной активности.
Ибо деление мира на «хороших» субъектов, которые всегда выполняют хорошие действия, и «плохих», которые всегда выполняют плохие, мягко говоря, не слишком соответствует реальности. Соответственно, и решения в стиле «убить всех плохих» попросту не работают. Тем более что злоумышленник, в конечном итоге, всегда является человеком, а не ботом.
Реально действующим подходом в защите от спама и флуда может быть только фильтрация самих действий по тем признакам, которые отличают злоумышленные действия от добросовестных, вне зависимости от того, какой субъект является их непосредственным исполнителем — программный агент добросовестного пользователя или наемник, работающий на спамера. Отслеживать можно как чисто технические особенности (чрезмерная частота или объем сообщений, попытка отправки множества одинаковых или статистически похожих сообщений и т. д.), так и реакцию, которую такие сообщения вызывают у участников (карму). Одновременно с субъективными идентификаторами (никами) следует оценивать объективные (IP) и блокировать их при необходимости, опять же строго или по маске (onotoley*). Эффективными будут средства, позволяющие быстро выявлять отличительные характеристики злоумышленной информационной активности и быстро же устранять ее последствия путем бана или удаления, например, с помощью SQL-подобного языка и регулярных выражений.
Политика ресурса в отношении таких действий (что можно, а чего нельзя) должна быть открытой, в том числе и для программных агентов. Если агент пытается выполнить действие, несовместимое с политикой ресурса, ресурс должен вернуть ему стандартный отрицательный ответ, спрятанный в микроформате где-нибудь внутри HTML. Если модератор выявит, что заявленной политики недостаточно и злоумышленник ее обошел — политика будет уточнена и обновлена. По мере обкатки эффективность сервиса будет повышаться, а политика — эволюционировать в сторону максимального удобства для владельца сервиса и для его пользователей.
А заставлять пользователей выполнять вместе с целевым действием еще и нецелевое — это и растрата ресурсов (времени, внимания), и тоталитаризм, а когда некоторые пользователи чисто физически не могут выполнять навязанное действие — еще и вопиющая дискриминация. Поэтому я был, есть и буду противником «решения» проблемы спама с помощью капчей. Единственный плюс капчей в том, что они стимулируют разработки в области ИИ, побочным эффектом которых могут стать весьма ценные инструменты (как побочным эффектом космической гонки вооружений стали спутники связи). Поэтому в ближайшем будущем эта гонка будет продолжаться, но в конечном итоге уступит место открытой политике.