Microsoft недавно обнаружила атаки, в ходе которых распространялся вредоносный документ Excel. Это происходило на сайте, требующем от пользователей заполнить CAPTCHA. Скорее всего, хакеры пришли к этому, чтобы помешать автоматическому обнаружению сканерами.

Испанский разработчик Микель Кэмпс Ортеза (Miquel Camps Orteza) представил каптчу в виде элемента игры в Doom. 23 мая этот проект стал самой популярной продуктовой идеей на площадке Product Hunt. Автор дум-каптчи распостраняет ее бесплатно. Исходный код проекта доступен в репозитории разработчика на github.io.

Вместо того, чтобы заставлять человека доказывать, что он не робот, можно попробовать заставить машину раскрыть себя.

Damien Katz предложил сделать это с помощью CSS.
Для этого, говорит он, нужно использовать поле ввода email, скрытое от пользотателя средствами CSS.

Когда человек заполнит форму, скрытое поле он заполнить не сможет, оно будет пустое. Но, если форму заполнит бот, он вставит в это поле какой-нибудь текст(он ведь не узнает, что это поле скрыто) и засабмитит её.

Таким образом, если среди данных, отправленных формой находится этот email, то форма была отправлена ботом.

Сотрудники Carnegie Mellon University подсчитали, что ежедневно по всему миру люди заполняют 60 миллионов каптч. Приняв время заполнения каптчи за 10 секунд, получаем более 160 000 человекочасов (или около 19-ти ЛЕТ!) за день.
И они решили попытаться хотя бы малую часть пропадающих зазря усилий направить на полезное дело, а именно — на распознавание книг.
Суть их идеи такова: на реКАПТЧЕ даются ДВА идущих подряд слова из книги, одно из которых система распознания текста не осилила. реКАПТЧА проверяет известное слово, а вариант распознания неизвестного добавляет в свою базу. Оба этих слова задисторчены обыкновенными и специальными каптча-фильтрами, чтобы пользователь не схалявил, предложив вариант «упячка», к примеру.
Демо и подробности тут:


Университет предлагает готовые решения для форумов/блогов/почты. ИМХО если технология найдет свое применение, вебдваноль наконец сотворит что-то действительно полезное.

Эксперты по безопасности считают, что графический спам — это первые случаи использования спамерами технологий Искусственного Интеллекта, но это лишь вершина айсберга.

Аналитики из Forrester Research опубликовали подробный отчёт, посвящённый данной проблеме. Они считают, что с появлением новых моделей, которые используют ИИ, бороться с графическим спамом современными методами станет невозможно, потому что спамерские нейросети обучаются на ходу. Они генерируют миллионы писем, отличных друг от друга, некоторые из которых — а, значит, и миллионы из копий — в любом случае пробьют фильтр.

Здесь та же ситуация, что и в тестах CAPTCHA. Компьютер (в нашем случае — антиспамерский фильтр) не может прочитать текст в графическом виде, а человек (получатель спама) — может. И графический спам — не единственный вызов, с которым нам предстоит столкнуться.

Если кто уже сталкивался с проблемами кукисов для хоста с www и без него, можете сэкономить хабровремя и по ссылке не

Эффективность CAPTCHA начинает снижаться по мере развития систем OCR. Тесты стали настолько сложными, что люди с трудом справляются с ними. Нужно внимательно приглядываться, чтобы различить буквы и цифры на этих замазанных, почерканных, зашумлённых картинках.

Крупные IT-корпорации активно ведут изыскания в этой области. И eBay, и Microsoft работают над изобретением более эффективных версий CAPTCHA. Один из вариантов — распознавать животных, а не буквы.

Некоторые независимые исследователи трудятся над противоположной задачей — и они порой добиваются немалых успехов. Например, 25-летний украинский хакер Алексей Колупаев создал программу, которая способна пройти почти любой тест. Об этом пишет газета New York Times.

Спамерам удалось обмануть капчу на почтовых сервисах Yahoo и Hotmail. Компания BitDefender сообщила об обнаружении троянской программы Trojan.Spammer.HotLan.A, который действительно не смущается, обнаружив нарисованную на экране картинку с искажёнными цифрами и буквами.



Появление этого троянца компрометирует CAPTCHA как систему, и почтовые системы Yahoo и Hotmail — это лишь «первые ласточки», за которыми могут последовать другие инциденты. Скорость работы Trojan.Spammer.HotLan.A довольно высока — в час он регистрирует порядка 500 почтовых аккаунтов, с которых рассылается спам.

via TECH.BLORGE.com

Случайно появилась идея каким образом реализовать вывод изображения каптчи.
Возможно такой метод уже кто-то реализовал, не знаю.

Суть заключается в том чтобы выводить изображение не с помощью тега «img», а допустим с помошью «div» используя стили, а именно свойство background, но это не все. Background дает нам возможность повторять изображение, следовательно можно создать такое изображение, которое при единичном выводе не несло бы смысла, а при повторении получалось изображение, которое человек мог бы распознать.
Вообщем, лучше приведу пример.

Даже и не знаю в какой блог поместить…

Я тут подумал, что от спам-ботов и прочей нечести может помочь Flash. Не знаю, правда, можно ли написать бота который увидит поля во флеше, но во всяком случае, писать его будет намного дольше чем сварганить регистрацию на флеше.

Собссно вот и вся идейка, как всегда окажется, что не новая.

P.S. Если вы скажете, что идея не прокатит из-за того, что не у всех установлен флеш, я скажу, что таких калек можно отправлять на обычную регистрацию с капчами и пр.

P.P.S. Кстати мысль пошла дальше, можно сделать капчу на флеше. Например пустить волной (анимация) нормально написанные цифры…

по адресу my.opera.com/community/signup выглядит это так:


как так? а где же картинка?

Anatoly_Piskunov:
А почему бы не использовать не животных а покемонов? Их уже около 500 штук, поэтому подобрать сложно будет =)))

Biollante:
И не пускать пользователя, пока ВСЕХ не отгадает? :)

pashka_r:
компьютер пройдёт быстрее :)

mishinoleg:
это и сделать определяющим фактором — компьютер ты или человек

источник

Краткий обзор наиболее известных реализаций
<A
href=«gs264.sp.cs.cmu.edu/cgi-bin/esp-pix»>PIX CAPTCHA от университета Carnegie Mellon — так называемая капча с использованием именованных изображений (naming images CAPTCHA) — пользователь видит несколько картинок и должен выбрать слово, которое подходит по смыслу всем показанным изображениям. Главная проблема этого типа капч в ошибках при написании слова-ответа и в словах-синонимах (например: собака, пес и т.п.) В данном примере это решается выбором варианта ответа из наперед подготовленного списка.
KittenAuth от Оли Варнера (Oli Warner) —
для того, чтобы доказать свою «человечность» посетитель должен выбрать изображения всех животных
определенной породы среди предложенных. К сожалению, ограниченное количество изображений позволяет
воссоздать набор картинок вручную.

Asirra от Microsoft — в общих чертах
похоже на KittenAuth — пользователь должен различить кошек от собак, но, поскольку оперирует
большим количеством упорядоченных изображений (фотографии бездомных животных со специализированного
сайта), то воссоздание базы изображений с целью взлома невозможно. <A
href=«infolab.stanford.edu/~wangz/project/imsearch/IMAGINATION/ACM05/datta.pdf»>IMAGINATION
— капча, которая проходится в два шага. На первом этапе пользователь кликает по картинке, которая
собрана из нескольких изображений и выбирает одно из них. На втором этапе загружается выбранное
изображение, увеличенное, но очень искаженное. Также загружаются варианты названия того, что изображено на картинке,
и пользователь должен выбрать правильный ответ из списка.

«Меня зовут mart (он же shizo) и иногда я рисую разные картинки. Оказывается, не всегда у моих друзей получается отгадать то, что на них отображено.

Предлагаю тебе попробовать понять то, что я нарисовал. Отгадаешь первым — твоё имя повисит справа на сайте.»

via the-singlers.us

Судя по огромному разнообразию каптч проблемы с выбором и установкой уже давно не должно быть, но почему-то даже на серьезных, взрослых проектах их все еще леняться устанавливать или делают такие чудные вещи как «Сколько будет 2+3?».

Даже если каптча обычного вида, часто ее просто не распознать. Чуствуешь себя андроидом, сдающим экзамен на тест Тьюринга. Казалось бы, что проще — сделайте клик по каптче и она измениться! Но, оказывается, для большинства разработчиков это тоже непосильная задача.

Помимо мудреных каптч сильно напрягает нежелание разработчиков обрабатывать валидность введенных в форму данных еще до отправки формы. А если учесть, что отправка происходит обычно при запущеной сессии (для каптчи), нажатие кнопки «Назад» в случае ошибки заполнения в IE приводит к очистке полей формы и все приходиться вводить с нуля.

Вот этих трех зайчиков может убить всего один маленький файлик — captcha.php (завернуто в rar). Подключается он в любую форму вот так:

... <? include("captcha.php")?> ....

И все! С этого момента все поля формы, у которых в id присутствует * (например: ) проверяются на заполненность при субмите формы. Если какое-то из обязательных полей не заполнено (value='' или value=0 для select'а) - форма не будет отправлена, а незаполненные поля будут подсвечены. Проверка кода в каптче тоже проходит до отправки. Клик по каптче приводит к смене комбинации. Тестировалась на IE, Opera, FF, Safari.

Примеры можно посмотреть здесь: http://sepulka.ru/post, http://gettranslite.com/rus/contacts.html, http://durashka.ru/register.php