Есть разные сайты. Ну то есть не сами по себе разные, а по причинам взлома. Некоторые сайты ломают целенаправленно, потому что там интересно напакостить. Именно там. А есть сайты, устроенные одинаково, и привлекательные, соответственно, только в массе своей. Например, форумы на стандартном движке. Всякие ухищрения типа арифметических задач помогают вовсе не потому, что они какие-то очень удачные или эффективные. А потому, что они выдергивают сайт из ряде себе подобных. Поэтому, если ваш сайт не ломают - возможно он просто никому не нужен.
И тем не менее, защита интерфейса капчей - это вопрос установления цены его взлома. Предельная цена - это, скажем, цент за картинку. Если написать OCR будет дороже - никто ее не будет трогать. (конечно сложно сравнивать программу, теоретически могущую работать бесконечно долго и тружеников, оплачиваемых сдельно, но тем не менее).
То ли дело дворником вкалывать. Или, скажем, шахтером. Или, например, в макдональдсе. Понятно, что тяги никакой, но скольким людям приходится так работать? "Так тут они хотя бы в тепле!" (с) М.М.Ж.
Видели фотографии - как живет обычные люди в Китае, Индии? На какое количество денег они питаются в неделю?
Тут уж - смотря на то как посмотреть.
К сожалению (хотя, скорее к счастью) у защищенности капчи есть вторая сторона - доступность. То есть - насколько легко ее пройти человеку. И этот показатель, на мой скромный взгляд, ничуть не менее важен. Потому чайт вы все-таки делаете для людей. Так вот: капча, с которой нужно сделать что-то другое (не просто ввести буквы с нее) - это уже очень серьезный удар. Потому что пользователь уже привык к этим забавным цветным картинкам повсюду. Он уже умеет пользоваться этим интерфейсом. Поменяйте концепцию - и масса пользователей прийдет в недоумение. Это так же как с инструкциями: их никто не читает. Поэтому ХОРОШИЙ продукт сделан так, что и без инструкции понятно, как им пользоваться. Так что до очень хорошей и значительно более защищенной идеи - ничего менять не стоит.
Кстати я читал о неких, скажем так, организациях, нанимающих людей в странах с дешевым рабочим временем, и эти люди сидят, и в три смены занимаются тем, что распознают капча-картинки. Цена распознания одной картинки в такой схеме - порядка одного-двух центов.
Абсолютно верно - бота, атакующего с помощью не слишком хорошей OCR можно эффективно вычислять с помощью статистических эвристик. Даже банальное слишком большое количество сабмитов формы с одного IP - очень характерный признак.
Верно. Анимация может привнести дополнительные сложности, но не привносит концептуально новых преград. Можно отрисовывать на флеше. Есть вот варианты с псевдографикой. Это существенно не меняет суть проблемы.
В посление годы из секьюрити-репортов исчезли новости о взломах core-систем юниксов. Как-то так получилось, что, видимо, все дырочки уже нашли и закрыли. Думается, роль хакеров в данном случае более важна, чем роль программистов, эти дырочки закрывших.
Нет, NYT специально своего фотокорра присылал. Сейчас прямо с этого самого места и пишу.
Предлагают по разному. Самое поразительное предложение было $75k за ticketmaster.com. Правда там были своеобразные условия, и мы отказались.
Настолько ли это разные вещи?
Что за капчу может написать программист, ничего не знающий о том, как их взламывают, и, соответственно, как этому противодействовать?
Видели фотографии - как живет обычные люди в Китае, Индии? На какое количество денег они питаются в неделю?
Тут уж - смотря на то как посмотреть.
Предлагают по разному. Самое поразительное предложение было $75k за ticketmaster.com. Правда там были своеобразные условия, и мы отказались.
Что за капчу может написать программист, ничего не знающий о том, как их взламывают, и, соответственно, как этому противодействовать?