Согласен, но можно сделать максимально дорогим саму атаку. Совокупность средств вполне позволяет это делать.
В результате, в 99% желание/возможность отпадет.
Опять же, если говорить только про вырванный из совокупности технологий сайта кусок, отвечающий за проверку CAPTCHA. Защиту от ботнетов на самом сайте, никто не отменял, с которого и нужно будет выцепить файлы капчи. Cloudflare вполне справляется со взятыми на себя обязанностями.
Ну а поскольку капчу вы уже сделали более легко читаемой — то она и отOCR-ится легче.
OCR-ится так или иначе любая капча с текстом.
Распознавание образов конечно пока неплохой вариант, но ставит людей в ступор. Очень тяжело приучиваться к чему-то новому, все уже знают капчу такой, какая она есть, и при виде кривых символов вводят их в поле рядом. Во всех остальных случаях начинаются лишние мыслительные процессы, которые простые пользователи не любят. Этим подтверждается тропинка очередности хождения по сайтам, по тому что пользователь так привык. Такова натура человека, по двум точкам сразу рисовать линию.
Все очень просто, для отпугивания большинства кулхацкеров, для тех кто по-серьезнее, другие методы, их мы с вами уже обсудили.
Если просто печатать текст на картинке, там вообще толком знаний не надо, отдай ее ocr и все.
Почему именно так, потому, чтобы в этой борьбе не страдали сами пользователи, которые порой уже не могут вводить этот бред из загогулин и психоделических цветов. На СтройDB строители, они вообще слабо могут пользоваться интернетом и показав им reCAPTCH'у, я навсегда отверну их от своего ресурса.
Изначально поле ipaddr планировалось для передачи ip-адреса, но по большому счету туда можно положить все что угодно.
Но вы меня натолкнули на идею добавления дополнительного параметра scope, ограничивающего зону видимости для проверки. Например локально или глобально.
Пользователь идентифицируется в случае передачи параметра ipaddr. Этот параметр передает сервер вебмастера по желанию. Предполагается, что там будет ip пользователя, но может быть любой идентификатор. Понятно, что при вводе не ip-адреса он будет работать только для конкретного сайта.
Сейчас для многих крупных сайтов можно сделать такой же отказ в обслуживании, только при этом будет недоступен весь контент сайта, а в нашем случае, только капча. Но этого почему-то не происходит.
Это не совсем так. Во первых, в статье четко показана проблема, при которой любая капча уже не капча, это распознавание с применением дешевых человеческих ресурсов.
Во вторых, решение масштабируемое, на самом деле вместь ip-адреса можно передать любую строку, проверка осуществляется по ее уникальности. Это позволяет осуществлять необходимую гибкость.
Не нигде, а только там, под чьи правила блокировки он в данный момент попадает. Может я в статье это обозначил плохо, попробую здесь.
Пример:
У нас в нашем микроинтернете есть три ресурса: А, B, C. На всех трех используется капча ppaas с активированной защитой.
Параметры защиты:
A (frequency=10, interval=3600)
B (frequency=1, interval=10)
C (frequency=2, interval=30)
Атакующий успешно распознал капчу ресурса «B». Это значит, что в течении 10 минут, распознать капчу с ресурса «B» он не сможет.
Но сможет распознать 1 капчу с ресурса «C» и 9 с ресурса «A».
Мы с вами оба приводим крайние случаи. Вы так же прекрасно знаете, что нет ничего абсолютного, есть только компромисс. Здесь у этого компромисса есть варианты, пусть вебмастера сами выбирают правильное по их мнению решение.
Пример из жизни:
Несколько лет назад я решил сделать скрипт по сбору номеров с drom.ru, обойдя порядка 100 объявлений ради эксперимента с домашнего ip, я был заблокирован. Блокировка стоит и по сей день. Я их не виню, пусть каждый сам решает, в ppaas.org лишь есть инструмент блокировки. Собственно другие капчи так же легко взламываются, но у них нет других централизованных инструментов для защиты.
В результате, в 99% желание/возможность отпадет.
Опять же, если говорить только про вырванный из совокупности технологий сайта кусок, отвечающий за проверку CAPTCHA. Защиту от ботнетов на самом сайте, никто не отменял, с которого и нужно будет выцепить файлы капчи. Cloudflare вполне справляется со взятыми на себя обязанностями.
OCR-ится так или иначе любая капча с текстом.
Распознавание образов конечно пока неплохой вариант, но ставит людей в ступор. Очень тяжело приучиваться к чему-то новому, все уже знают капчу такой, какая она есть, и при виде кривых символов вводят их в поле рядом. Во всех остальных случаях начинаются лишние мыслительные процессы, которые простые пользователи не любят. Этим подтверждается тропинка очередности хождения по сайтам, по тому что пользователь так привык. Такова натура человека, по двум точкам сразу рисовать линию.
Если просто печатать текст на картинке, там вообще толком знаний не надо, отдай ее ocr и все.
Почему именно так, потому, чтобы в этой борьбе не страдали сами пользователи, которые порой уже не могут вводить этот бред из загогулин и психоделических цветов. На СтройDB строители, они вообще слабо могут пользоваться интернетом и показав им reCAPTCH'у, я навсегда отверну их от своего ресурса.
Но вы меня натолкнули на идею добавления дополнительного параметра scope, ограничивающего зону видимости для проверки. Например локально или глобально.
Строка храниться в БД соответственно.
Во вторых, решение масштабируемое, на самом деле вместь ip-адреса можно передать любую строку, проверка осуществляется по ее уникальности. Это позволяет осуществлять необходимую гибкость.
Пример:
У нас в нашем микроинтернете есть три ресурса: А, B, C. На всех трех используется капча ppaas с активированной защитой.
Параметры защиты:
A (frequency=10, interval=3600)
B (frequency=1, interval=10)
C (frequency=2, interval=30)
Атакующий успешно распознал капчу ресурса «B». Это значит, что в течении 10 минут, распознать капчу с ресурса «B» он не сможет.
Но сможет распознать 1 капчу с ресурса «C» и 9 с ресурса «A».
Пример из жизни:
Несколько лет назад я решил сделать скрипт по сбору номеров с drom.ru, обойдя порядка 100 объявлений ради эксперимента с домашнего ip, я был заблокирован. Блокировка стоит и по сей день. Я их не виню, пусть каждый сам решает, в ppaas.org лишь есть инструмент блокировки. Собственно другие капчи так же легко взламываются, но у них нет других централизованных инструментов для защиты.