Проблема CAPTCHA с философской точки зрения

    Некоторые мысли по поводу перспектив captcha-решений, вроде вот этого.

    Чисто с философской точки зрения перспективы капчей и других средств, основанных на распознавании субъекта, который выполняет защищаемое действие, и отделении таким образом «правильных» субъектов от «неправильных» — весьма туманны. Эта гонка рано или поздно приведет к тому, что будет пропускать «умных» людей и «умные» программы, но отсеивать вместе с не очень «умными» программами и часть людей, подобно рапидовским кошкам. Да и уже сегодня «тест на человечность» не решает проблему наемных распознавателей. Поэтому нужны другие решения.

    Чтобы разработать средство, позволяющее минимизировать отрицательную информационную активность (спам, флуд и т. д.), нужно прежде всего выделить характерные свойства такой активности (а не ее непосредственных исполнителей). Все капчи и подобные им «тесты на человечность» пытаются определить, «кто стучится в дверь ко мне» — и если этот кто-то «расово чист», он авторизуется, если нет — отправляется в газенваген. В результате получается система, которая:

    1) способствует дискриминации людей с ограниченными возможностями (например слепых) — ибо не все внедряющие визуальную капчу владельцы желают заморачиваться со звуковой;
    2) лишает добросовестных пользователей потенциальных дополнительных удобств (возможности автоматизированного доступа, в рамках fair use);
    3) не выполняет свою основную функцию — не защищает от отрицательной информационной активности.

    Ибо деление мира на «хороших» субъектов, которые всегда выполняют хорошие действия, и «плохих», которые всегда выполняют плохие, мягко говоря, не слишком соответствует реальности. Соответственно, и решения в стиле «убить всех плохих» попросту не работают. Тем более что злоумышленник, в конечном итоге, всегда является человеком, а не ботом.

    Реально действующим подходом в защите от спама и флуда может быть только фильтрация самих действий по тем признакам, которые отличают злоумышленные действия от добросовестных, вне зависимости от того, какой субъект является их непосредственным исполнителем — программный агент добросовестного пользователя или наемник, работающий на спамера. Отслеживать можно как чисто технические особенности (чрезмерная частота или объем сообщений, попытка отправки множества одинаковых или статистически похожих сообщений и т. д.), так и реакцию, которую такие сообщения вызывают у участников (карму). Одновременно с субъективными идентификаторами (никами) следует оценивать объективные (IP) и блокировать их при необходимости, опять же строго или по маске (onotoley*). Эффективными будут средства, позволяющие быстро выявлять отличительные характеристики злоумышленной информационной активности и быстро же устранять ее последствия путем бана или удаления, например, с помощью SQL-подобного языка и регулярных выражений.

    Политика ресурса в отношении таких действий (что можно, а чего нельзя) должна быть открытой, в том числе и для программных агентов. Если агент пытается выполнить действие, несовместимое с политикой ресурса, ресурс должен вернуть ему стандартный отрицательный ответ, спрятанный в микроформате где-нибудь внутри HTML. Если модератор выявит, что заявленной политики недостаточно и злоумышленник ее обошел — политика будет уточнена и обновлена. По мере обкатки эффективность сервиса будет повышаться, а политика — эволюционировать в сторону максимального удобства для владельца сервиса и для его пользователей.

    А заставлять пользователей выполнять вместе с целевым действием еще и нецелевое — это и растрата ресурсов (времени, внимания), и тоталитаризм, а когда некоторые пользователи чисто физически не могут выполнять навязанное действие — еще и вопиющая дискриминация. Поэтому я был, есть и буду противником «решения» проблемы спама с помощью капчей. Единственный плюс капчей в том, что они стимулируют разработки в области ИИ, побочным эффектом которых могут стать весьма ценные инструменты (как побочным эффектом космической гонки вооружений стали спутники связи). Поэтому в ближайшем будущем эта гонка будет продолжаться, но в конечном итоге уступит место открытой политике.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 89

      0
      1 пункт, ОЧЕНЬ спорный.
        0
        так поспорьте? :)
        +2
        как насчет habracut ?
          0
          Учтено.
          +5
          Открытая политика - это замечательный подход! Повесьте её на сайте и все спамеры очень оперативно по ней откалибруют свои боты! Тем более, что заставить робота соблюдать правила игры (постить не чаще, чем раз в XXX, писать сообщения в которых не встречается YYY, etc, etc) на порядок проще, чем человека. Робот не забывает и не путает.

          Все выши ограничения будут отсекать и людей тоже (что проще для человека: посчитать пресловутых кошек или набрать карму 10 на Хабрахабре?), либо они не будут действовать.
            0
            По-моему, кошки это вообще издевательство. Лично у меня очень нехорошее мнение о людях, выкладывающих файлы для обмена на Рапиде. Я конечно понимаю, для чего это делается - но это всё ****ь за счёт моих нервов
              0
              Если вам приходится считать кошек 2-3 раза в неделю, то не такая это и большая проблема, а если больше - заплатите свои 6 рублей в день и спите спокойно.

              Я думаю если проблему микроплатежей удастся когда-нибудь решить это позволит выдавить спам из большинства мест. Заплатить 2-3 копейки за пост на форуме, но подобные цены сделают спам нерентабельным. Однако все существующие сейчас схемы оплаты не позволяют оперировать подобными суммами :-( Минимальная цена за пересылку - несколько рублей... Я так понимаю там проблемы не столько технические, сколько юридические...
                0
                Заплатить 2-3 копейки за пост на форуме, но подобные цены сделают спам нерентабельным

                Идея хорошая, но нереализуемая практически.
                Бензин подорожал - меньше ездить не стали, а только подняли цены на товары и услуги. Также и со спамом - эти 2-3 копейки лягут на плечи заказчиков, которые в свою очередь потребуют от спаммеров более эффективного отклика, а значит, скорее всего, спам перейдет из разряда "увеличь пенис, мил человек, женщина или ребенок" на "увеличь пенис, дорогой 25-летний дурилка, ошивающийся на форуме "Как завоевать женщину".

                Спам неискореним по своей природе.
                  0
                  Вопрос не в наличии спама, а в его количестве. Если спама будет столько же, сколько реальных комментариев, то его можно будет удалить даже просто руками. Посмотрите на реальный мир: да, в ящики кидают рекламу и будут кидать. Но не в таких количествах, чтобы количество рекламной макулатуры составляло 90% ёмкости ящика! Почему? Дорого и низкая отдача.
              0
              Открытая политика особо уместна тому сервису к которому предполагается написание пользовательских агентов (e.g. жж). Если сервисом по замыслу должны пользоваться всего лишь хуманы, то открытие политик не так нужно — вряд ли юзер сможет достигнуть высот роботиной активности, а коли достигнет, то можно всего лишь упомянуть об этом в response.

              Вообщем политики можно разделить на два класса:
              1) для людей: комментарий не чаще раза в пять минут
              2) для роботов: запрос страницы с одного айпи не чаще 50/сек.

              Первая — подмножество второй. Первую можно донести до мозга большинства людей, со второй это будет сделать труднее (и не нужно!)

              Соответственно первую публикуем, вторую скрываем (если клиенты-роботы нам не нужны).
                0
                Честно скажу - когда мне позволялось делать комментарий раз в пять минут на Хабре я думал это дело бросить. Неудобно. Я заведомо не пишу больше 200 комментариев в день, но 5 штук в 5 минут (и иногда и 10) - запросто.
                  0
                  Кстати, да, смена политики с "1 раз в пять минут" на "12 раз в час" серьёзно ослабила бы эту проблему. Правда, немного усложнила бы систему блокировки (пришлось бы помнить 12 таймстампов последних комментариев, а не один).
                    0
                    эм... таймстампы и так запоминаются, причём для всех комментариев ;)
                    0
                    это был лишь живой пример с Хабра
                    главное не в нём
                    (хотя, конечно, деталь небезынтересная: «1 раз в пять минут» или «12 раз в час»)
                0
                Как раз самые умные не будут пользоваться сервисами с капчами "для самых умных" - я имею в виду, например, Рапиду. Почти всегда можно быстро найти альтернативный источник, а если какой-то ресурс выкладывает файлы исключительно на Рапиде - ну его нафиг.
                  +1
                  На самом деле, Рапида придумала капчу с кошками не для того, чтобы отсеивать хакеров/спамеров и прочих. Они рассчитывают именно на то, что человек как раз замучается её вводить (а насколько я помню, там еще есть задержки и т.п.) и купит всё-таки себе Премиум.
                    0
                    Ну лично я «замучался» не капчу вводить, а два часа ждать, и купил свой первый премиум еще при простой капче и работающем USD, просто чтобы скачивать больше. Но если какому-то юзеру просто надо что-то одно скачать, то есть он не собирается покупать никакой премиум, то кошки могут вогнать его в ступор и он скажет «да ну ее эту рапиду! давай ЛетИтШит», и пофиг, что летитшит этот впаривает ему троянский ActiveX.
                  0
                  А мне понравилась идея. Я первый, да? :-)) Ведь в конце концов не важно *кто* делает, важно *что*. И фильтрация по «кто» — лишь костыль, который многим проще приставить к серверу, чем писать Анализатор Активности (это действительно проще для devel'ов), и об этом надо помнить и знать (что костыль).

                  Отлично!

                  У меня такой ясновсти в голове по поводу капчи до этого не было (хотя смутно что-то виднелось).
                    0
                    Проблема в том, что когда ты выяснишь что пользователь - спамерский бот, то "поздно пить боржоми": куча народу уже увидит спам. Или (если банить по одному подозрительному письму) будешь банить кучу подозрительного народу по ошибке и с ресурса все сбегут. С учётом наличия масштабных ботнетов и домовых сетей банить по IP тоже вряд ли получится: будет забанена куча легальных пользователей.

                    Если вы думаете что по активности спамеров никто не отлавливает - то вы ошибаетесь. Просто этот метод не отменяет, а дополняет CAPTCHA...
                      0
                      А что плохого в бане ботнетов?
                        0
                        вот и я не понимаю что плохого.
                        А забаненным можно выдавать страницу со ссылкой на какой-нибуть антивирус. Ещё и с этим антивирусом договориться о плате за рекламу :)
                          0
                          Договориться можно с кем угодно, но как показывает опыт ISP (которым регулярно названивают пользователи компы которых рассылают терабайты спама и в ультимативной форме требуют подключить их компьютер к сети) - это в первую голову приведёт к оттоку людей с ресурса, а уже потом - к чему-либо ещё.
                            0
                            ИМХО бот-компы вообще надо отключать от интернета. Основание - нарушение закона(рассылка спама, атаки, и т.п.)
                            Пусть сначала вирусы повыловят, а потом уже интернет лезут.
                          0
                          Как вы их банить собираетесь если на том же IP (а часто и на том же компе) висит куча "легальных" пользователей?
                      0
                      Мне кажется что вариант с открытой политикой хороший, и даже очень замечательный, но без капч - почти никак. Ведь действительно бота можно научить многому. И тут можно было бы даже комбинировать одно с другим. Например, слишком часто стал постить - пройди проверку (самая как мне кажется непроходимая для ботов - та что стоит у киевстара при отправке смс, самая не проходимая для человеков - рапида), стал постить однотипные сообщения - будь добр, пройди проверку и т.д.
                        0
                        Поздрвляю! Вы изобрели технологию, которую уже сто лет используют все "большие" сервисы (Google, Yandex, etc). Если вы ничего подобного не видели - значит вы не изображали бот-подобной активности. Пошлите за 5 минут 1000 запросов в поисковик - увидите...
                          0
                          Угу, нам как-то надо было скачать пару сотен патентов с сервиса google.
                          Сменил IP, почистил куки и дальше продолжил )
                        +1
                        Предпосылки и выводы мне понравились, но алгоритм возможной реализации был бы кстати (а то «красивых» теорий на эту много, а решений почти нет).
                          0
                          Я понимаю, что реализовать такой же спам-филтр, какой есть к примеру у гугла довольно сложно, но в общем и целом это может решить проблему флуда, спама без капчей. У них же это работает с почтой.. Если несколько крупных контор объединят усилия, то вполне себе могут написать фильтр для контента, который будет обучаться админам какраз под ресурс.
                          Ну и плюс еще все то что написано в самом топике.
                          http://ru.wikipedia.org/wiki/Теорема_Байеса
                          Вот как то так.
                            0
                            У них же это работает с почтой...
                            Почта - особая статья. Спамер посылая почту посылает её "в никуда": он не знает судьбу спам-писем. Дошёл спам до адресата, не дошёл... Можно делать пробные аккаунты на GMail'е и проверять, но это тоже не даёт 100% гарантии...

                            А на любом сайте - вся статистика на виду: когда заметили бота, когда забанили, etc. Всё можно отслеживать и оперативно подкручивать бота...
                              0
                              Ну дело ведь не в том, получилось ли у бота отправить текст, дело в том, что бы не показать его пользоватеям.
                              Суть в том, что бы фильтровать контент. И отсеивать это дело автоматически, обучая систему.
                                0
                                Посмотрите на поисковики :-) А ведь у них есть большая фора по сравнению с обычными сайтами: они могут опираться на рейтинги сайтов, на реакцию пользователей на выдачу и т.д. и т.п. И, тем не менее, спама в их выдаче хватает... Я бы сказал что его больше чем на большинстве сайтов с приличной (трудно ломаемой) CAPTCHA...
                                  0
                                  Фактически вы предлагаете всем создателям сайтов ввязаться в "гонку вооружений", в которую сейчас играют только компании с миллионными и миллиардными оборотами - причём не очень хорошо играют. Как вы это себе представляете?

                                  Фактически все ваши решения сводятся к предложению: уберите CAPTCHA и нучите ваших ботов определять смысл сообщений!!! Научитесь это делать - приходите, думаю большие деньги сможете срубить с кучи фирм, не умеете - помолчите.
                                    0
                                    Ну дело в том, что поисковики считают количества слов на сайте и в зависимости от этих количеств показывают вам результаты поиска(ну в основе именно это, конечно там еще всякие посещаемости, количество ссылок на ресурс и тд) вот собственно по этому в результатах поиска и есть спам. Но по какой то ведь причине у того же гугла "по делу" вылезает намного больше нужного чем у того же яндекса. Или может вы считате, что пол офиса гугла сидит и ручками удаляет из баз плохие сайты?)
                                    И как вы вообще себе представляете прогресс?
                                    Да, и если бы все думали как вы, и не ввязывались бы в "гонку вооружений", то скорее всего мы бы не сидели сейчас на хабре, а сидели бы в пещерах.
                                    ПС и вот не надо мне пожалуйста говорить, что мне надо делать, а что не надо.
                              0
                              Мне другое интересно: среди новых стартапов что ни студия, то социальные инженеры и создатели мега-крутых социальных сетей, поведение анализируют, рекламные кампании строят.

                              Господа социальные инженеры, где же ваши мозги, где ваши решения, основанные на анализе поведения пользователя? Как идеи из Америки тырить, мастеров тут выше крыши, а как решить насущную проблему, так все по углам.

                              Как я понял, картинки роботы уже победили, очередь за звуком, а потом и видео.
                                0
                                многие люди поведением не очень отличаются от ботов, поэтому такой подход не сработает
                                  0
                                  полностью согласен, скорее выход в замене различных каптч кроется не в принципе их создания, а в изменении веба как такового. Я полагаю, что в случае полной персонализации данных пользователя простор деятельности ботов резко уменьшится
                                    0
                                    1) пользователь не очень горит желанием сообщать всем сервисам подряд полные персональные данные ; )
                                    2) бот тоже может иметь такие данные
                                      0
                                      ну, я говорю уже не столько о том понятии персонализации как социальных сетей, сколько уже персонализации людей, как пользователей сети. Когда у каждого будет свой акк и т.п. и только один - вроде веб-песпорта. Утопия конечно, но имеет право на существование
                                        0
                                        перефразирую те же два пункта — многим пользователям не понравится иметь только один веб-паспорт (это скорее антиутопия, кстати), и ничто не мешает ботам тоже иметь паспорта
                                          0
                                          ну, это будет думаю сложнее, если поставить на гос. основу, а на счет 1 веб-паспорт - реальный же один :) лично я ничего плохого не вижу в одном уникальном паспорте - за все свои действия в сети ты должен отвечать сам, а остальное - для нечестных граждан
                                            0
                                            ага, антиутопия и есть ; )

                                            веб-паспорта выдают и маленькие островные государства — там это недорого устроить ; )
                                  0
                                  Целенаправленный спам вообще очень сложно остановить без осложнений для пользователя. А такой сервис как http://anti-captcha.com/ все знают? А работает очень просто. Есть куча сайтов (дорвеи например) с плохим трафиком (угу порнография) и у тысяч людей которые туда заходят просят сущую мелочь - ввести код с картинки. Объемы трафика позволяют очень эффективно обходить любую защиту.
                                    0
                                    так теперь уже и с философской точки зрения. Написать что ли статью - капча с точки зрения Марксизма и Ницшеанства?:)
                                      0
                                      не поймут
                                      0
                                      Отлично сформулированная статья... очень по душе.. не давно тоже об этом дулмал и для меня был следующий решающий аргумент против капчи...
                                      По сути Капча не только костыль, как сказал zencd, а ещё и вопиющая лень разработчиков... которые переносят свои проблемы на плечи своих посетителей для которых всё собственно и делается... если гипотетически на 100 обычных пользователей приходится один бот, то получается чтобы отсеить одного бота нужно разгодать 100 разных задачек... и эту работу выполяют все посетители сайта... что за бред...

                                      Абсолюто согласен важно *что* а не *кто* и это то к чему мы в конце концов прийдём, так как, "за ботом всегда стоит человек"!...




                                      Как у Вас сказано в статье
                                      А заставлять пользователей выполнять вместе с целевым действием еще и нецелевое — это и растрата ресурсов (времени, внимания)
                                        0
                                        прошу прощения за отступы... планировал, что всё закончится на 'человек"!... '. возмно это подтверждает что я не бот=)
                                          0
                                          По сути Капча не только костыль, как сказал zencd, а ещё и вопиющая лень разработчиков... которые переносят свои проблемы на плечи своих посетителей для которых всё собственно и делается... если гипотетически на 100 обычных пользователей приходится один бот, то получается чтобы отсеить одного бота нужно разгодать 100 разных задачек... и эту работу выполяют все посетители сайта... что за бред...
                                          Бредом является не CAPTCHA, а ваши рессуждения. Вы сравниваете затраты с точки зрения пользователей и выигрыш с точки зрения администрации. Чего делать ни в коем случае нельзя. Ни у администрации ресурса, ни у его посетителей нет (и никогда не было) задачи "отловить ботов". Это средство, а не цель.

                                          Пусть 100 обычных пользователей приходится один бот. Но тогда он порождает в 1000 раз больше сообщений (в почте, где капчи нет в среднем 90% писем - спам). И мы получаем следующие соотношения:
                                          1. CAPTCHA с точки зрения администрации. Выигрыш: 10-кратное снижение нагрузки за счёт уменьшения постов от ботов. Проигрыш: повышенная нагрузка на сервер за счёт обработки CAPTCHA.
                                          2. CAPTCHA с точки зрения посетителей сайта. Выигрыш: вместо того, чтобы читать на каждый разумный пост парочку неразумных (это при том, что автомат отловит 80% писем от ботов и не зарежет ничего от людей - малореалистичная ситуация, особенно если фильтр "с открытыми правилами"), все посты - по крайней мере от людей (пусть и не всегда вменяемых и иногда частично купленных спамерами). Проигрыш: нужно один или несколько раз разгадать CAPTCHA.

                                          Самая мощная CAPTCHA из известных мне сайтов - на Хабрахабре. Только она тут носит название "Карма" и отсекает не только ботов...
                                            0
                                            Да, Вы правы, со сравнениями я погорячился...
                                            Но суть от этого не меняется... 10 кратная нагрузка это проблема не пользователя... Пользователю нужен быстрый и удобный сервис
                                            И отрицая капчу.. не имею ввиду что нужно перестать беспокоится за появление рекламы или каких-то некорректных сообщений... с этим нужно бороться... просто не за счёт пользователей...
                                              0
                                              просто не за счёт пользователей...
                                              А счёт чего? Как вы себе представляете борьбу с рекламой и некорректными сообщениями без отсечения ботов?
                                                0
                                                следуя идеологии не "кто", а "что"
                                                нужно следить за действиями пользователя... и тут было много вариантов, как это делать...
                                                - называть поля форм каждый раз по разному, на человека это никак не повлияет.
                                                - сортировать их в DOM в разном порядке, абсолютное позиционирование
                                                - задержка времени на заполнение формы
                                                - посещение сначало формы а только потом обработчика формы
                                                - можно следить за движениями мышки... за нажатием клавишь делать какие-нибудь ассинхронные запросы к серверу на страницы форма... получать ключи.. да бог его знает что там можно придумать///
                                                - пользователь зарегистрировался... как часто он будет писать сообщения... анализировать текст сообщений
                                                - карма, в конце концов - добровольная оценка другими пользователями
                                                - модераторы сайта
                                                при накоплении определённого количества сигналов, что это возможно бот, или нехороший человек, не отвечающий требованиям сервиса... принимать решение бан... или предложение пройти тест Тьюринга.
                                                При таком раскладе от обычного, невиновного пользователя, не будет требоваться сосредотачивать своё внимание и доказывать что он человек.. и я убеждаю, что это должен делать сервис сам...
                                                В юриспруденции есть понятие "презумпция невиновности" - Человек не обязан доказывать, что он невиновен(не бот) - доказать это - дело следователей(сайта)
                                                А так получается что сайт диктует свои правила... и на том же примере с кошечками и собаками рапиды, видно, как многим это не нравится... и сайт конечно может это делать, испытывая лояльность своих пользователей...
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            0
                                            "Лень" имеется ввиду то как расставляются приоритеты.. также экономия денег, времени...
                                            вот кстати на хабре и пример как можно фильтровать без капчи
                                            "Защищаем Web-формы без CAPTCHA!" http://habrahabr.ru/blog/webdev/44970.html
                                            По мимо этого нужно.. следить за поведением зарегистрированных пользователей, анализировать сообщения, модерировать, и ещё много чего наверно... карма у хабра по своему фильтрует.. уверен для того чтобы придумать как это делать в конкретном случае не нужно быть гениальным... надо просто хотеть это сделать...

                                            то что CAPTCHA самая лучшая... это зависит с какой стороны смотреть... мне кажется стоит делать акцент на удобстве пользователя, а дальше уже учитывать другие показатели... и свои возможности... возможно для рапиды например капча это лучший вариант... просто не выгодно держать такую армию модераторов... что, весьма условно, я и назвал ленью
                                              0
                                              Защищаем Web-формы без CAPTCHA! - это просто классический пример незнания английского языка. То, что там описано - есть всего-навсего очередная (довольна слабенькая, кстати) CAPTCHA. Ибо CAPTCHA - это всего навсего "Completely Automated Public Turing test to tell Computers and Humans Apart". Никто не говорит о том, что единственный возможный вариант CAPTCHA - это картинка с буковками и цифирками. И даже слабая но малораспространённая CAPTCHA может на первых порах работать лучше чем сильная, но установленная на популярных сайтах типа GMail. Но это всё - до поры до времени.
                                                0
                                                Точно, спасибо,=) любая попытка отделить людей от мошин будет CAPTCHA, даже если попытка незаметная...
                                                Интересно какой процент хабрапользователей об этом помнит, у меня непробиваемая ассоциация с картинокой...
                                              0
                                              ну... есть способы лучше)
                                              на нашем относительно популярном портале (70-90 хостов в день) после сабмита формы нужно подождать (читай - "не закрывать окно") 20 секунд.
                                              Спамботу пофиг. Он запостил, и дальше побежал, не отправив через 15 секунд респонс. А хуман окошко оставил и дальше пошел читать комменты. И глаза лишний раз напрягать не надо)
                                              О массовом внедрении такого решения говорить, естественно, нельзя. Как только система начнет прикручиваться ко многим сайтам, боты её сразу освоят. Пускай, для них это будет "дороже", но при расширяющихся каналах и возрастающих вычислительных мощностях особой проблемы не будет.
                                              Я говорю о том, что такая вот бытовая "изобретательность" (скрипт-то, на самом деле, на 15 строк...))) может облегчить жизнь многим) Во всяком случае, это лучше типичных решений)
                                                0
                                                ага... вот и я говорю стоит только захотеть и решение будет найдено=) а особенно для небольшого ресурса... на который не будут натравливаться, персонально для него сделанные, боты. Без капчи - лучше решение и конкурентное преимущество перед крупными ресурсами...
                                                  0
                                                  Это намного более неудобно, чем ввести текст с CAPTCHA.
                                                    0
                                                    а потом сидишь и думаешь, почему в опере 200 табов вместо обычных 150...
                                                  0
                                                  По-моему те же светофоры на дорогах представляют гораздо большую проблему для слепых. Мне вообще непонятно, как слепые люди работают на компе.
                                                  А CAPTCHA - право владельца сайта. В конце концов, я не уверен что отсев "не очень умных" людей - это так уж плохо. =)
                                                    0
                                                    Некоторые сайты за такое «право» (визуальная капча без звуковой) уже поплатились, конечно же индивидуальных блоггеров всех не переловишь, но это скорее вопрос совести каждого. А слепые, кстати, весьма активно юзают Linux из-за того, что в нем все можно сделать в командной строке. Также есть различные экранные читалки, но вот против капчи они бессильны:(.
                                                    0
                                                    Мысли:
                                                    1. Сделать кнопочки со значениями, менять их местами по мере набора нужного текста, от ботов по крайней мере спасти может.
                                                    2. Если сделать, необходимую комбинацию клавиш? Комбинацию выводить рандомно...
                                                    А от человека защиты нет =[ Можно ввести строгие законы, разрешить каким-нибудь конторам отслеживать, потом за спам садить в тюрьму %) (ну, почему бы не пофантазировать :))
                                                    Ps/ извините меня, пользователя. Искренне желаю вам разобраться с этой проблемой.
                                                      0
                                                      За что извиняешься? Просто это все по сути псевдокапчи, опять же защита не от спама, а от ботов, вместо которых делом могут заниматься наемники.
                                                        0
                                                        Наёмники заметно удорожают весь процесс. Хотя, конечно, для многих применений спама этого достаточно.
                                                      0
                                                      Щас такие сисетмы надостаточноразвиты.
                                                      Самому приходиться часто по нескольку раз вводить буквы чтоб подтвердить что я не бот.
                                                      Где-то читал про системы CAPTCHA, при которых надо выбрать, допустим, из нескольких картинок пейзаж.
                                                      Если помозковать, то можно придумать еще кучу таких систем основаных на кртинках, а не на тексте.
                                                      Так что мозгуйте, веб-девелоперы:)
                                                        0
                                                        Самая правильная, хотя и ресурсоемкая CAPTCHA — это модератор и премодерирование комментариев/контента.
                                                        Обойти не реально, но система легко подвержена DDoS'у, когда спама больше, чем у модератора — терпения.

                                                        Проще говоря, стандартная "ширпотребная" часть спама отсеивается автоматически, целевой спам (бот, разработанный для обхода защиты на конкретном сайте) — попадает к модератору. И всё. Приплыли. Далее для нестандарного спама можно добавить фильтр, если не лень.

                                                        Кроме того, лучше всё таки использовать текстовую проверку на человечность. "Какого цвета небо?", "Сколько у человека глаз?", "Сколько будет пицот и ещё два?", и другой бред в том же духе. Чем больше разнообразия в вопросах, тем труднее составить словать вопросов и ответов для ботописателя.

                                                        Ещё вариант — проверка по почте. При первом комментировании на указанный в комментарии почтовый ящик отсылается письмо с запросом подтверждения, что вы не бот. На этом этапе тоже отсеивается не малая часть ботов.

                                                        Такие вот мысли.
                                                          0
                                                          Кроме того, лучше всё таки использовать текстовую проверку на человечность. "Какого цвета небо?", "Сколько у человека глаз?", "Сколько будет пицот и ещё два?", и другой бред в том же духе. Чем больше разнообразия в вопросах, тем труднее составить словать вопросов и ответов для ботописателя.
                                                          Эта CAPTCHA легко пробивается: придумывать подобные вопросы не так и просто, а ответить на них может любой посетитель порносайта. Дальше ответ заносится в базу и уже используется без ручного вмешательства.
                                                            0
                                                            Да, живой планктон — главная проблема защиты от спама. Ибо если все эти методы направлены на то, чтобы человек прошел а бот отсеялся, то человек (в данном случае посетитель порносайта) какраз все таки пройдет. Для таких случаев и используется последний уровень обороны, Модератор.
                                                              0
                                                              Для регистрации на форуме мехмата МГУ использовалась (сейчас — не знаю) капча: картинка, на ней уравнение или предел. В уме не решалось )
                                                          0
                                                          сложные капчи делают люди которые гонятся за чем-то, а не те которые хотят решить проблему.

                                                          например вот тут "текстовая капча"
                                                          my.opera.com/community/signup/

                                                          я конечно не могу утверждать что она лучше защитит чем рапидшаровские кошечки и собачки :)
                                                          но она удобней,

                                                          ----

                                                          да и к томуже - капча это всего лишь способ и далеко не единственное решение, и надеюсь в скором времени их (решений) станет гораздо больше)

                                                          но в любом случае, я считаю, что машина не в состоянии отсеять другие машины, с теми технологиями что используются сейчас :)
                                                            0
                                                            например вот тут "текстовая капча"
                                                            my.opera.com/community/signup/

                                                            Ну это вообще "шуб було":
                                                            $ lynx -dump http://my.opera.com/community/signup/ | grep 'security code'
                                                            Бот пишется минут за 15, если это кому-то надо.

                                                            CAPTCHA и не призвана полностью в одиночку решить проблему, но чтобы прделагать что-то взамен нужно чтоб это что-то работало, как минимум, не хуже...
                                                            0
                                                            В статье рассуждения уходят в сторону вероятностных методов, как я понял. Применять нечто подобное могут (и применяют) только крупные ресурсы, как уже упомянуто в комментариях выше.

                                                            На вопрос о том, что же я могу поставить на своём небольшом форуме вместо капчи, на сегодняшний день универсального ответа никто не дал. Разве что совет применять различные нестандартные модификации капчи и их комбинации. Один из вариантов — просьба вводить только определённые символы с картинки. В этом случае будет недостаточно распознать картинку.

                                                            Небольшая идея варианта без капчи.
                                                            Выше была предложена идея веб-паспорта. Но ведь есть же уже OpenID. Самому пользоваться пока не приходилось, так что не уверен — может там уже применяются какие-либо методы...
                                                            Суть моего предложения: дополнить идею OpenID обратной связью от ресурсов, использующих эту систему. Аккаунт с абузами на спам (проверенными и подтверждёнными) - отмечается как спамерский. Аккаунту, который давно используется и без абуз, можно доверять. Новый аккаунт, не успевший себя проявить - нуждается в проверке.
                                                            Достоинства: Это не паспорт, можно использовать по своему усмотрению. От кармы на Хабре отличается тем, что вместо ограничений для новых пользователей выполняется дополнительная проверка.
                                                            Недостатки: Необходимо доверять сервису, реализующему идею. Необходимость ручной проверки абуз (как минимум, если пользователь не согласен с ними), чтобы избежать несправедливого присвоения статуса спамера. В итоге, скорее всего такой сервис будет платным.
                                                              +1
                                                              с философской точки зрения - все верно. с практической - к сожалению не получается. пример - гугл. если бы все было так радужно, как Вы описали - им количества пользователей и статистической информации давно бы хватило чтоб построить идеальную систему. но нет же, система не идеальна. как же тогда построить такую систему сайту с 5000 пользователей?
                                                                0
                                                                Ещё интересная идея... чтобы не напрягать пользователей кривыми цифрами.. можно делать это добравольно... необязательно.

                                                                "Введите указанные цифры на картинке, так Вы не оставите нам сомнений, что Вы человек а не машина, спасибо"

                                                                Это уменьшит нагрузку на дальнейшую систему фильтрации которая теперь будет учитывать, что пользователь прошёл тест и относится к его сообщениям лояльно нежели к сообщениям пользователей не прошедших тест... ну и в профиле этот тест можно пройти и позже...
                                                                  0
                                                                  Микроплатежи — хорошее решение.
                                                                  Представьте себе, что уже наступил идеальный мир, и каждый человек без проблем может послать, скажем, 5 долларов куда угодно.
                                                                  Так вот, я регистрируюсь на сайте. С меня просят 5 долларов за право писать сообщение. Каждое сообщение стоит, допустим, 50 центов. Если модератор пометил сообщение как спам, деньги "сгорают". Если не пометил — возвращаются на мой счёт. Хочу разрегистрироваться — забираю назад деньги.
                                                                  По-моему, это убьёт спам на корню на сайте.
                                                                    +1
                                                                    Вот Вы лично заплатите 5 баксов за право писать на каком-то там ресурсе, подобные которому каждый день появляются? Владелец такого ресурса попросту будет наблюдать девственную чистоту в комментариях. Проще тогда уже отключить комментирование вообще, но как видим, владельцу не это нужно.
                                                                      0
                                                                      Ну это дело можно консолидировать - скажем платить пять долларов на напрямую сайту, куда постишь а какому-то аггрегатору. Одно время подобное пытались делать с доступами на порносайты, но в конечном итоге свободно доступных порносайтов оказалось достаточно для того, чтобы никто никому ничего не платил в большинстве случаев...
                                                                        0
                                                                        Вообще говоря, я НЕ БУДУ писать на "каком-то ресурсе, подобные которому каждый день появляются". Зачем вообще на них писать? А если ресурс того стоит, то заплачу. Почему бы и нет? Вот Вы думаете, что хозяева Хабра у Вас отберут 5 долларов?
                                                                      0
                                                                      Иной вариант решения проблемы CAPTCHA без самой CAPTCHA:

                                                                      один из вопросов анкеты должен быть: Пожалуйста оставьте это поле пустым. field name and/or field id напишем captcha_email. при validation это проверим это поле на отсутствие знаков, и если там что-то есть просто вернем форму с сообщением: Пожалуйста оставьте это поле пустым

                                                                      Быстро, просто, приятно.
                                                                        0
                                                                        а еще ид полей брать рандомно. И поле не для заполнения делать как нить хитро невидимым.
                                                                          0
                                                                          Подобные "простые" методы могут работать на сайте с 500-1000 уников в день. Как только для вас начинают писать фирменного бота - всё кончается. А это случаестся и с довольно небольшими сайтами - только обычно тут выжидают месяц-другой, чтобы убедиться что владелец все эксперименты закончил и работа по написанию бота не пропадёт впустую...
                                                                          0
                                                                          Еще добавлю. Сегодня во многих случаях проще внедрить капчу, чем заниматься разработкой каких-то навороченных защит. Но с развитием систем распознавания образов отсеять человека от «умного» бота будет все сложнее, и так как боту все равно, все неудобства от расового фильтра лягут на человека. Сабж — это попытка показать, куда это все движется.

                                                                          Кстати, рапидовские трехмерные капчи — это разработка нашей украинской команды, которую наконец-то заметили:) Думаю, ботам на распознавание трехмерных образов понадобится лет 5:)
                                                                            0
                                                                            Думаю, ботам на распознавание трехмерных образов понадобится лет 5:)
                                                                            Хмм... Есть же разработки, которые обнаруживают два одинаковых лица на фотографиях - думаю их задействуют, так что скорее год-два. Но да - это что-то достаточно необычное, сколько-то времени продержится....
                                                                              0
                                                                              Сказал и тут же подумал, что за пессимизм:) Там достаточно преобразовать исходное изображение таким образом, чтобы густая сетка стала темного цвета, а редкая светлого, потом выделить внутренние светлые области в темных контурах на светлом фоне и после этого хоть в FineReader загружай:).
                                                                            0
                                                                            Какой бы не был сайт, сервис, ресурс… он делается для пользователя и большая посещаемость целевой аудитории это главная цель. Если взять два одинаковых сервиса тот, у которого тест тьюринга будет незаметен, будет иметь преимущество перед тем, у которого тест заметен и требуется его прохождение. Возможное исключение, если этот тест такой интересный, что пользователям нравится его проходить. CAPTHA, в виде картинки, действительно очень действенный способ отличить человека от бота, и его очень просто сделать, используя многочисленные готовые решения. Сделать тест Тьюринга незаметным для пользователя (тоже есть готовые решения), и чтобы он был близок по эффективности к картинке, или другому заметному тесту, нужно хорошо постараться, но в любом случае будут ложные результаты, которые нужно дальше вычислять. Не каждый ресурс может позволить себе отказаться от заметного CAPTHA, в первую очередь крупные, хотя у крупного ресурса, в конечно счёте, должно быть больше финансовых возможностей.

                                                                            Расскажите кто-нибудь об успешном использовании незаметного теста CAPTHA. Хотелось бы знать какая у него, на самом деле, эффективность…
                                                                              0
                                                                              Вообще-то я имею в виду, что сам тест Тьюринга, капча это или какая-либо другая проверка на «человечность», в принципе для борьбы со спамом подходит чем дальше, тем хуже, ибо боты «умнеют» и это их не напрягает, а у людей все наоборот.
                                                                                0
                                                                                ага =)... в конце пути, когда по улицам будут ходить гуманойды, будет всё равно, бот ты или человек. Человек также как и бот может оставить спам офтоп хамство.. главное, что ты делаешь и что пишешь, тоесть удовлетворяешь ли требования сервиса...
                                                                                Ведь даже если Ваше сообщение оставлено ботом=) оно разумно и интересно для пользователя, что даёт ему право на жизнь...
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                0
                                                                                А почему бы просто не задавать простые! вопросы пользователю?

                                                                                Пример:
                                                                                1) Сколько у вас глаз? - Две, два, двое
                                                                                2) В каком году победил СССР в II мировой войне? - 1945, 45, 1945 год
                                                                                3) Какая часть компьютера боится кошки? - мышка, мышь
                                                                                и т.п.

                                                                                Конечно данный способ не подойдет для большинства ресурсов :) но для хабрахабра к примеру...

                                                                                Это кстати единственный (насколько я знаю) способ "отсеивания" ИИ (Исскуственного Интеллекта) от человека, по нему, помоему, даже конкурс проводится.

                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                Самое читаемое