reCAPTCHA を無効にするために使用されたプログラミング方法はありますか?
特に reCAPTCHA が完全に自動化された人間のいない方法によって時代遅れになったという証拠と潜在的な実証に興味があります。
明確にするために、チームが CAPCHA の入力を担当したか、ポルノを探す人か、または Mechanical Turk かを問わず、何らかの方法で人間が関与する reCAPTCHA チート ソリューションを探しているわけではありません。
また、動物の種類、背景フィールド、または JavaScript のトリックを選択するなど、reCAPTCHA の代替手段も探していません。
ここでのほとんどすべての回答は、原則としてCAPTCHAの概念の無効性に関連していることに気付きました。私はそれらに非常に同意しますが、実際には数か月前にOWASPで講演を行い、質問は非常に具体的です。 、それで私はデモンストレーションを提供します。
しかし、最初に、そのデモンストレーションはさておき、他のコメントを読み直します。CAPTCHAは無意味で役に立たず、実装とは無関係であるためです。
しかし、実際には、 CAPTCHAKillerをチェックしてください。CAPTCHA画像をアップロードすると、すぐにではないにしても、自動的にOCRの回答が提供されます。また、API(RESTだと思いますが、SOAPも提供する可能性があります)も提供します。私は個人的に多数のreCAPTCHA画像を試しましたが、実際には最も簡単な(または少なくとも最も速い)画像のいくつかが壊れていました。
更新:CAPTCHA KillerのWebサイトは、明らかに法的な圧力を受けて、削除されました。トピックの完全な概要については、http://captcha.org/を参照してください。
そして、ええ、OCRはCAPTCHAで保護されたサイトを破壊する最良の方法ではありません-他にも多くのより良い方法があります。
4chan が reCAPTCHA を打ち負かし、それを使用して Time.com の年次 TIME 100 投票結果を操作した方法に関するこの詳細なレポートに興味があるかもしれません。
Recaptcha のハッキング (別名「The Penis Flood」)
次に使用した戦術は、reCAPTCHA の実装に欠陥を見つけられるかどうかを確認することでした。彼らが reCAPTCHA について発見したことの 1 つは、デコードのために常に 2 つの単語をユーザーに提示することでした。1 つの単語は reCAPTCHA システムによって認識される制御単語であり、もう 1 つの単語は未知の単語です (reCAPTCHA は人間を使用して OCR エラーを修正します)。ウィキペディアはそのプロセスを次のように説明しています。プログラムが一致しない場合、疑わしい単語は CAPTCHA に変換されます。単語は、既知の制御語とともに表示され、人間によってラベル付けされます。人間の審査員によって一貫して単一のラベルが付けられている単語は、コントロール ワードとして再利用されます。」2iasdo4 Anonymous が気付いたのは、スキャンした未知のテキストに常に同じ単語のラベルを付けると、何千回もこれを繰り返すと、最終的に未知の単語の大部分が自分の単語で誤ってラベル付けされてしまうということです。彼らがしなければならなかったのは、キャプチャの 2 つの単語を見て、「簡単な」ものに適切なラベルを入力し (おそらく、2 つの光学スキャナーが同意するラベルです)、「陰茎」という単語を入力するだけでした。難しいもの。彼らがこれを十分に頻繁に行えば、すぐにかなりの割合の画像が「陰茎」としてラベル付けされ、自動投票機能が回復するでしょう(匿名で失われなかった1つの副作用は、今後何年もの間テキスト全体に「ペニス」という単語がランダムに挿入された電子書籍が多数ある. 更新: Ben Maurerに尋ねた.
reCAPTCHA の最適化
テキストに「ペニス」という言葉を散りばめたという概念と同じくらい魅力的でしたが、匿名チームは時計が刻々と過ぎていることを知っていました。メッセージを復元しようとしても、自動投票者がオンラインに戻るのを待つ時間はありませんでした。彼らは、何度も何度も手動で投票する必要がありました。そのため、できるだけ早くキャプチャを入力できる必要がありました。彼らは、スキップできる reCAPTCHA 単語をすばやく決定できるようにする一連のガイドラインを開発しました。例えば:
2 つの単語が与えられます。1 つは本物、1 つは偽物です。
[REAL FAKE]またはの場合[FAKE REAL]は、入力するだけREALで受け入れられるはずです。
[LOOKSREAL LOOKSREAL]またはの場合[LOOKSFAKE LOOKSFAKE]は、通常、両方の単語を入力する方が簡単です。どちらが本物かを判断するために貴重な時間を無駄にしないでください。単語の外観と種類の両方を使用して、偽の単語を識別します。それらの 1 つだけに依存しないでください。
ルールセット全体はこちら: fake captcha .
CAPTCHA システムの弱点は、中国では人々でいっぱいの部屋が作られ、その唯一の仕事は CAPTCHA 画像を見て結果を入力することであり、それが実際にスパムを実行している自動システムに接続されます。
それについて実際にできることはあまりありません。
また、実際の画像に対して画像認識や OCR などを行うよりもはるかに安価です (0.01 ドル未満で応答が得られる場合もあります)。
キャプチャを使用するというプレッシャーに屈する前に、CSS によって非表示になっている「コメント」というラベルの付いたフィールドを作成するなど、クリエイティブな回避策を検討してください。フィールドに入力すると、リクエストはサーバーによってドロップされます。低賃金の労働者でいっぱいの部屋を打ち負かす良い方法がまだなくても、ほとんどのボットはそれに陥ります.キャプチャはとにかく役に立ちません.
更新: CAPTCHA を削除すると、コンバージョン率がほぼ 10% 増加したケース スタディを読んでください。これは、ボットを除外するためだけにリードの 10% を失っている場合、それはかなり壊れていることを示しています。ほとんどの企業にとって 10% が何を意味するか想像してみてください。
私のお気に入りのキャプチャは Microsoft のものです: http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Asirra (Animal Species Image Recognition for Restricting Access) は、ユーザーに猫と犬の写真を識別するように求める HIP です。このタスクはコンピューターにとっては困難ですが、私たちのユーザー調査では、人々はそれを迅速かつ正確に達成できることが示されています。楽しい!と思う方も多いですよね!
これは無料のサービスであり、開始するためのサンプル コードが用意されています。
ひびが入るまでどのくらいかかるのかしら。
reCAPTACHA は破損しておらず、長期間破損することはありません。問題は、壊れている場合に独自のキャプチャを実装すると、おそらく修正に長い時間がかかることです。
これは、reCAPTCHA セキュリティに関するページから取得したものです。
reCAPTCHA は Web サービスです。つまり、すべての画像が当社のサーバーによって生成および評価されます。(…) これにより、追加の保護レベルも提供されます。セキュリティの脆弱性が見つかるたびに、CAPTCHA を自動的に更新できます。
たとえば、歪んだ画像を読み取れるプログラムを誰かが作成した場合、Web マスターが側で何も変更する必要なく、非常に短い時間でより多くの歪みを追加できます。
彼らはキャプチャに特化しているため、改善されたバージョンが保存されており、必要に応じてすぐに展開できると思います. (弱いセキュリティがまだ破られていないのに、なぜ彼らはより強力なセキュリティを作成しなければならないのでしょうか?)
打ち負かされただけでなく、便利なアプリケーションがその上に構築されることに成功し、直接ダウンロード サイトの膨大なリスト (メガアップロードやラピッドシェアだけでなく) のあらゆる種類の無料アカウント保護を打ち破る最も驚くべきツールになりました。 )。
Jdownloaderはオープン ソースであり、Java で記述されているため、ソース コードを覗いてみると、壊れているかどうかだけでなく、どのように壊れているかもわかります。
編集: 直接ダウンロード サイトのほとんどは reCaptcha を使用していませんが、より単純な Captcha メソッド (異なる色で色付けされた 3 つの大文字) を使用しています。それにもかかわらず、Jdownloader とCryptload (Jdownloader に似たプログラム) は、Captcha メソッドを事実上破ったことがわかっている唯一の機能する実装です。reCaptcha をクラックする実装については聞いたことがありません。
更新: reCaptcha の少なくとも 1 つの実装 (reCaptcha 自体全体ではありません)もクラックされているようです。
2010 年 12 月の更新: Jdownloaderはついに reCaptcha を打ち負かしたようです。このプラグインはまだ実験段階であり、Jdownloader の Windows バージョンでのみ動作しますが、試してみた友人から聞いたところによると、動作します。
2 ~ 3 年前、テキスト入力ベースのキャプチャ アプローチは、戦いに敗れたときに境界線を越えました。つまり、さらなる複雑化により、(コンピュータの処理能力は向上しているが、人間の処理能力は向上していないため) 機械にとって比較的容易になり、そうでない場合でも、より嫌悪感と嫌悪感を覚えます。人間には到底無理。これは、応答がコンピューターによって生成されていないことを確認するためのテストとしての CAPTCHA の元のパラダイムに反します。
更新: reCAPTCHAはGoogle Inc.が所有していますが、 Google Inc.は自社のサービスでは使用していないことに
注意してください。これは、 Gmail の登録のために、
Google 自体/内部で使用されるキャプチャ付きの Web ページを含むリンクです 。
Google のreCAPTCHAには常に 2 つの単語があることに注意してください。これは、他の人が使用するために提供されている Google の reCAPTCHA を使用した画像
へのリンクです。
そして reCAPTCHA のスクリーンショット:
読者に明らかな結論を出すために残します。
引用: [ 1 ]
vBulletin フォーラムが reCAPTCHA クラッキング スパム ボットに襲われる | PC Pro ブログDavey Winder が 2011 年 1 月 12 日に
投稿
昨年の Defconでは、一般的な CAPTCHA の問題についてのスピーチがありました。彼らが行ったことの 1 つは、複数の無料の OCR エンジンを使用して、最高の単語に投票してもらうことでした。これを行うことで、彼らはある程度成功する可能性を達成することができました. 1種類は40%くらいで、reCaptchaじゃなかったと思うんですけどね。
reCAPTCHA で保護されたシステムにブログのコメントが表示され、ページが読み込まれ、1 秒後に投稿が正常に行われました。User-Agent はナンセンスでした (この特定のケースでは、Ubuntu 9.25/Firefox 3.8 を実行していると主張していました)。リファラーは、私たちへのリンクのないまったく無関係のサイトからのものでした。
これは明らかに自動化されています。
reCAPTCHAは無効にされていません。もしそうなら、なぜグーグルはそれを購入し、グーグル製品の詐欺とスパム保護を強化するためにグーグル内でテクノロジーを適用すると発表したのですか?
2009年9月16日にGoogleブログに投稿されたreCAPTCHAをGoogleが取得します。
このように、reCAPTCHAの独自のテクノロジーは、スキャンした画像を光学式文字認識(OCR)と呼ばれるプレーンテキストに変換するプロセスを改善します。このテクノロジーは、GoogleブックスやGoogleニュースアーカイブ検索などの大規模なテキストスキャンプロジェクトにも使用できます。プレーンテキストを検索し、モバイルデバイスで簡単にレンダリングして、視覚障害のあるユーザーに表示できるため、ドキュメントのテキストバージョンを用意することが重要です。そのため、Google内でこのテクノロジーを適用して、Google製品の不正やスパムからの保護を強化するだけでなく、書籍や新聞のスキャンプロセスを改善します。
Captcha を倒す最も簡単な方法は、Amazon Mechanical Turk です。Hotmail、AOL、Gmail のアカウントを登録するために、1 人あたり 5 セントずつ払っている Kermit Welda という男がいます。これは、1 日 5 セント = 300 ドルで 6,000 の偽のメール アカウントに相当します。他の人に汚い仕事をしてもらうと、ビジネスを行うコストはかなり安くなります。サーバーのスパム フィルターが Hotmail からのメッセージを拒否したいのも不思議ではありません。
reCAPTCHAを破棄するために使用される方法はたくさんあります。ニューラルネットワーク対応プログラムを使用してそれらを自動的に解決するのは困難ですが、画像を取得して、AmazonのMechanicalTurkまたは同等のプログラムを使用してそれらを解決することは可能です。
http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/
AFAIK 実際には、RE-captcha の実装をクラックするツールはありませんが、最終的には誰かがそれを取得すると思います。
面白いことに、誰かがそれを手に入れることができたとしても、RE-CAPTCHA プロジェクト全体は無意味です。
ところで:
CAPTCHA システムの弱点は、中国では人々でいっぱいの部屋が作られ、その唯一の仕事は CAPTCHA 画像を見て結果を入力することであり、それが実際にスパムを実行している自動化されたシステムに接続されます。
そのように考えてシステムを保護することはできません。これは、「ホストが古い軍事バンカーにない場合、Web アプリケーションは十分に安全ではありません。今では人々があなたのマシンを盗むことができるからです」と言っているようなものです。
