Комментарии 25
Тоесть сидим и джём спамеров с квантовыми компьютерами, которые будут считать капчи за битки?
Про PoW была статья 2 года назад - PoW вместо капчи / Хабр (habr.com)
Пора переходить на PoS вместо капчи, чтобы сайт на каждый запрос просто временно снимал некоторую сумму с кредитки, потом возвращая её обратно.
Это сразу отсечёт кучу потенциальных ботов, поскольку придётся заводить множество рабочих карточек, да ещё и держать на них приличную сумму денег. Уже 100500 запросов в секунду не сделаешь, потому что тогда в PoS потребуется "завесить" миллионы баксов.
Лично у меня, когда заходят разговоры о PoW для капчи, только возникает риторический вопрос, - идеологи реально настолько недальновидны, что не думают о последствиях, или им просто пофиг на них?
Реальным злоумышленникам (а не студенту, захотевшему попарсить ради изучения питона) вычислительные мощности для подобных задач обходятся невероятно дешево. Ботнеты, хостинг, взятый за ворованные кредитки. Надо будет капчу браузером решать - начнут ломать мелкие сайты и использовать браузеры их посетителей в период посещения, как ботнет, будут в расширения хрома инжектить решатели. Когда надо найти где-то вычислительную мощность, чтобы загрузить одно ядро на 3-5 секунд с контекстом сильно меньше мегабайта, то для хакера вариантов почти бесконечное множество. Они эту мощность найдут, но заплатят за это простые пользователи, у которых будут чуть меньше держать батареи, чуть дольше сайты открываться, и так далее, ибо и за себя, и сотню парней порассчитывать надо.
Ну и да, кто реально выиграет, так это производители железа. Они то и раньше выигрывали за счет постоянного ожирения софта и факта, что пяти-восьмилетнего смартфона не хватает для банального мессенджинга и серфинга, и владельцу полностью исправного устройства с такими же требованиями к нему, как и в момент покупки, приходится его обновлять, так теперь, за счёт капч, железо начнёт ещё быстрее и радикальнее устаревать, ибо сложность должна будет постоянно и неуклонно расти, чтобы удерживать себестоимость одного решения на одном и том же уровне, невзирая на появления нового железа
Поскольку во всех типах капчи системы ИИ показывают результат лучше человека, исследователи задались задачей придумать более эффективные методы защиты от ботов.
Для ограничения скорости работы пользователей в mCaptcha используется система proof-of-work (PoW) на основе SHA256.
Хотите сказать что решение традиционной капчи через ИИ требует меньше ресурсов, чем расчет SHA256 который можно делать даже на старом асике для биткоина? Звучит крайне неубедительно.
Что-то меня эта идея смущает.
Грубо говоря, если мы хотим, чтобы злоумышленник на доступ к ресурсу потратил 1 цент – то и нормальный юзер потратит 1 цент (а то и больше, учитывая, что злоумышленники могут купить ресурсы оптом задёшево). Т.е. эдакий paywall – но спрятанный?
злоумышленнику невыгодно брать на себя такую нагрузку для DDoS-атаки.
для DDoS этого и не требуется
Капча защищает эндпоинты от различных атак методом перебора, а не от кучки машин, цель которых довести сервис до отказа в обслуживании
А это можно сделать и без прохождения капч, разве что ваш WAF не отвечает за её решение
Так что даже простецкий скрипт гугл рекапчи в3, который ничего пользователю последние лет 5 не показывает, ощутимо сократит количество потенциальных желающих побрутфорсить ваши апишки
Ещё немного про DDoS: а как ваш сервис себя поведёт, если на него упадёт 100_000 неверно решённых капч ща минуту?
Ещё немного про DDoS: а как ваш сервис себя поведёт, если на него упадёт 100_000 неверно решённых капч ща минуту?
По идее должен нормально. Для сервера не требуется ничего считать, только проверить на равенство пару строк.
Так что даже простецкий скрипт гугл рекапчи в3, который ничего пользователю последние лет 5 не показывает
Попробуйте походить по Интернету через Tor, и вы удивитесь, как часто и в каких людоедских объёмах от вас будут требовать опознавать пожарные гидранты.
Аналогичная ситуация происходит, если вы поставили себе расширение типа uMatrix, которое режет всякие гуглоаналитики.
Да и если сидеть в Интернете через 4G-провайдеров, вы тоже будете периодически попадать на "плохой" IP, с удивлением обнаружив, что оказывается капча на самом деле стоит на каждом втором из посещаемых вами сайтов.
В теории можно. Аналогично со старой рекапчей, давать задание из нескольких частей, часть которых будет с известным серверу ответом (чтобы не было мотивации у бота давать рандом в ответ), а часть с неизвестным, которая не будет влиять на прохождение, причём, клиент не будет знать, какие из заданий какие.
Но, кажется, это уже не будет 0-trust децентрализованная система. Сервер, подтверждающий работу, будет ключевым узлом системы. Из-за махинаций его админа или взлома могут ещё и решения с рандомным ответом попасть в изначальный проект и подгадить всем
Как работает mCaptcha
Замедляем и загружаем всех. Людям пофиг, так как уже привыкли к медленным сайтам, а ботам будет плохо потому что дорого.
Я правильно понял концепцию?
Делал такую систему лет 15 назад. :) Задолбали спамеры - реализовал такой подход. В форму отправлялся скрипт считающий sha1, хеш и часть сообщения. Скрипту надо было подобрать остальное и вставить в форму, которая проверялась при постинге сообщения. Сложность была подобрана так, что бы вычислялось за пару секунд.
Нажимать ничего не надо было. Просто через пару секунд кнопка "отправить" становилась активной.
Поскольку защита нужна была от спамеров, то каптча включалась только при регистрации и трёх первых постах.
А кто сказал что капча это только для защиты от DDoS?
Ну вот пример #1 — есть такая штука как плагин для Calibre FanFicFare (также есть и автономная версия). Его основное назначение — качать (внезапно) фанфики и ориджи с поддерживыемых сетевых ресурсов, разумеется независимо от того, есть ли соответствующая опция у самого ресурса. Некоторые ресурсы врубают антиддос защиту, обычно от Cloudflare (публично заявляя что от атак но как минимум НЕпублично в некоторых случаях — говорят что не хотят чтобы FanFicFare использовали, потому что например реклама или потому что скачивание epub на сайте — требует денег а чтение нет, вариант договорится про адекватные таймауты например или ТОЛЬКО залогиненным пользователям — не проходит).
Ну и получили в итоге решения (и больше одного) для обхода таких защит которое просто использует полную сессию браузера. Ну да — это жрет на той машине на которой это запущено. И что? Запущено то с ведома и по желанию пользователя, который может даже капчи поразгадывать если надо. Но правда таких пользователей вполне себе может устроить даже решение с микротранзакциями. А уж PoW — совсем не проблема.
Пример #2 — украинские киберактивисты, российские сайты и сервисы вроде https://github.com/rmellis/Russian-propaganda-browser-flood-tool / https://github.com/opengs/uashield/blob/master/README-en.md и прочее — DDoS с ведома и согласия пользователя. Если ресурс будет защищаться капчей — вполне могут попросить пользователей эти капчи решать, и найдуються желающие,
Эволюция CAPTCHA: доказательство PoW, продвинутые боты