reCaptchaはクラック/ハッキング/ OCR化/敗北/破損しましたか? [閉まっている]
質問
reCAPTCHAを無効にするためにプログラミング方法が使用されましたか?
私は、特にreCAPTCHAが完全に自動化された、人を使わない方法によって廃止されたという証拠と潜在的なデモンストレーションを見ることに興味があります。
明確にするために、チームがCAPCHA、ポルノシーカー、またはメカニカルタークの記入を任務とするかどうかにかかわらず、何らかの方法で人間を巻き込むreCAPTCHA不正行為の解決策を探していない 。
動物の種類の選択、背景フィールド、javascriptのトリックなど、reCAPTCHAに代わるものを も探していません。
解決
ここでの回答のほとんどすべてが、CAPTCHAの概念の無効性に関係していることに気づきました-そして、私はそれらに非常に同意しますが、実際には OWASPで話す数か月前それを説明する-質問は非常に具体的であるため、デモを提供します。
しかし、CAPTCHAは無意味で役に立たない、実装とは無関係であるというのが真実であるため、まず、デモンストレーションを繰り返して、他のコメントを読み直します。...
しかし、実際には CAPTCHA Killer をご覧ください。 CAPTCHA画像をアップロードすると、すぐにではない場合は自動的にOCRされた回答が提供されます。また、API(REST、私は思うが、SOAPも)を提供します。私は個人的に多数のreCAPTCHAイメージを試しましたが、実際には最も簡単な(または少なくとも最も速い)壊れたイメージのいくつかでした。
更新:CAPTCHA KillerのWebサイトは、法的な圧力を受けているようです。トピックの完全な概要については、 http://captcha.org/ をご覧ください。
そして、はい、OCRはCAPTCHAで保護されたサイトを破る最良の方法ではありません-他にも多くのより良い方法があります。
他のヒント
4chanの詳細レポートreCAPTCHAを破り、それを使用してTime.comの年間TIME 100投票結果を操作しました。
Recaptchaのハッキング(別名<!>#8216; The Penis Flood <!>#8217;)
次に使用された戦術は、reCAPTCHA実装で欠陥を見つけることができるかどうかを確認することでした。彼らがreCAPTCHAについて発見したことの1つは、デコードのために常に2つの単語をユーザーに提示することでした-1つの単語はreCAPTCHAシステムによって知られている制御単語であり、もう1つは未知の単語です(reCAPTCHAはOCRエラーを修正するために人間を使用します)。ウィキペディアはこのプロセスについて説明しています。<!>#8220;スキャンされたテキストは、2つの異なる光学文字認識プログラムによって分析されます。プログラムが一致しない場合、疑わしい単語はCAPTCHAに変換されます。単語は既知の制御単語とともに表示され、人間によってラベル付けされます。人間の裁判官によって一貫して単一のラベルが与えられているこれらの単語は、制御単語として再利用されます<!>#8221;。 2iasdo4 Anonymousが認識したのは、未知のスキャンテキストに常に同じ単語のラベルを付けた場合、そしてこれを何千回も繰り返すと、未知の単語の大部分が単語で誤ってラベル付けされることでした。彼らがしなければならないのは、キャプチャ内の2つの単語を見て、<!>#8216; easy <!>#8217;の適切なラベルを入力することだけでした。 1つ(おそらく2つの光学スキャナーが同意するものになるでしょう)を入力し、単語<!>#8220; penis <!>#8221;を入力します。難しいもののために。彼らがこれを十分に頻繁に行った場合、画像のかなりの割合がすぐに<!>#8216; penis <!>#8217;そして、自動投票の機能が回復します(匿名では失われなかった1つの副作用は、今後何年も<!>#8216; penis <!>#更新:reCAPTCHAのチーフエンジニアであるBen Maurerに、この<!>#8216; penis flood <!>#8216;攻撃について質問しました。攻撃のタイプであり、ペニスがreCAPTCHAバリアを貫通しないようにする多くの保護があります。
reCAPTCHAの最適化
単語を振りかけるという概念として魅力的<!>#8216; penis <!>#8217;匿名チームは、時計が刻々と過ぎていることを知っていたので、メッセージを復元しようとしていた場合、彼らはそうしなかった<!>#8217;投票者がオンラインに戻るのを待つ時間がない-彼らは投票しなければならなかった手動で、何度も。そして、彼らはできるだけ早くcaptcha <!>#8217; sに入ることができる必要がありました。彼らは、どのreCAPTCHA単語をスキップできるかを迅速に決定できる一連のガイドラインを開発しました。例:
本物と偽物の2つの単語が与えられます。
[REAL FAKE]
または[FAKE REAL]
の場合、REAL
と入力するだけで受け入れられます。it <!>#8217; s
[LOOKSREAL LOOKSREAL]
または[LOOKSFAKE LOOKSFAKE]
の場合、it <!>#8217; sは通常、両方の単語を入力する方が簡単です。 Don <!>#8217; tどれが本物かを決める貴重な時間を無駄にしないでください。外観と単語の種類の両方を使用して、偽物を識別する ワード。 Don <!>#8217; tの1つだけに依存しないでください。
ルールセット全体はこちらです:偽のcaptcha 。
>
CAPTCHAシステムの弱点は、CAPTCHAの画像を見て結果を入力するだけで、実際にスパミングを実行している自動化システムにプラグインすることが中国の人々でいっぱいの部屋を設定することです。
あなたはそれについて本当にできることはあまりありません。
実際の画像で画像認識やOCRなどを行うよりもはるかに安価です(他の方法では0.01ドル未満で応答が得られる場合があります)。
captchaを使用するというプレッシャーに屈する前に、<!> quot; Your Comments <!> quot;というラベルの付いたフィールドを持つなど、創造的な回避策を検討してください。それはCSSによって隠されています。フィールドに入力すると、サーバーによって要求がドロップされます。給料不足の労働者でいっぱいの部屋を打ち負かす良い方法がまだない場合でも、ほとんどのボットはそれに失敗します。これはとにかく助けにはなりません。
更新:ケーススタディでは、CAPTCHAを削除するとコンバージョン率がほぼ10%増加しました。それは、ボットを除外するためだけにリードの10%を失っている場合、かなり壊れていることを私に示すでしょう。ほとんどの企業にとって10%の意味を想像してください。
Microsoftのお気に入りのキャプチャ: http:// research。 microsoft.com/en-us/um/redmond/projects/asirra/
Asirra(動物種の画像 アクセスを制限するための認識) ユーザーに猫の写真を識別するように依頼することで機能するHIP と犬。このタスクはコンピューターにとって困難ですが、ユーザーの調査 人々がそれを迅速かつ正確に達成できることを示しています。 多くの人が楽しいとさえ考えています!
これは無料のサービスであり、サンプルコードが用意されています。
ひびが入るまでにどれくらいかかるのだろうか。
reCAPTACHAは壊れておらず、非常に長い間使用されません。問題は、壊れた場合に独自のキャプチャを実装すると、修正に時間がかかる可能性があることです。
これは、 reCAPTCHAセキュリティに関するページから取得されています。
reCAPTCHAはWebサービスです。つまり すべての画像が生成され、 サーバーによって評価されます。 (<!>#8230;)これも 追加の保護レベルを提供します。 CAPTCHAは自動的に セキュリティが更新されるたびに 脆弱性が見つかりました。
たとえば、誰かが私たちの歪んだものを読むことができるプログラムを書いた場合 画像では、より多くの歪みを追加できます ほんの少しの時間、そしてウェブなし マスターは何かを変更する必要があります 彼らの側。
これらはキャプチャに特化しているため、改善されたバージョンが保存されており、必要に応じてすぐに展開できるようになっています。 (弱者がまだ壊れていないのに、なぜ彼らはより強力なセキュリティを作成する必要があるのですか?)
無効になっただけでなく、その上に便利なアプリケーションが正常に構築されました。巨大な直接ダウンロードサイト(megauploadやrapidshareだけでなく)のあらゆる種類の無料アカウント保護を無効にする最も素晴らしいツールになります。
Jdownloader はオープンソースであり、Javaで記述されているため、ソースコードは、破損している場合だけでなく、方法も回答できます。
編集:ほとんどの直接ダウンロードサイトはreCaptchaではなく、よりシンプルなCaptchaメソッド(大文字の3色が異なる色)を使用します。それにもかかわらず、Jdownloaderと Cryptload (Jdownloaderに類似したプログラム)は、Captchaメソッドを効果的に壊したことがわかっている唯一の実装です。 。 reCaptchaをクラックする実装について聞いたことがありません。
更新:reCaptchaの少なくとも1つの実装(reCaptcha自体全体ではない)もクラックされました。
2010年12月更新:Jdownloader ようやくreCaptchaを倒す。プラグインはまだ実験的であり、JdownloaderのWindowsバージョンでのみ動作しますが、試してみた仲間から言われたように、動作します。
CAPTCHA全般の問題に関連する昨年のDefconでの講演がありました。彼らがしたことの1つは、複数の無料のOCRエンジンを使用し、最良の言葉に投票してもらうことでした。これを行うことで、彼らは成功するある程度のチャンスを得ることができました。ある種の場合、40%程度でしたが、reCaptchaとは思いません。
- <!> quot;実際、スパマーが明らかに集団を獲得した 1月[2011] に、[reCAPTCHA]はかなり役に立たなくなった reCAPTCHAを回避し、完全に自動化された登録プロセスを可能にするソフトウェアを手に入れます。以来、ボットは忙しく、非常に忙しく、<!> quot; [1]
2-3年前、テキストタイピングベースのキャプチャアプローチは、戦闘に負けたときにラインを侵害しました。つまり、さらに複雑になると、マシンが比較的簡単になります(コンピューターのパワーは増加しますが、人間はそうではないため)。 、完全に不可能ではないにしても、人間に。これは、 CAPTCHAの元のパラダイムに反し、応答がコンピューターによって生成されないことを確認するためのテスト
更新:
reCAPTCHA は Google Inc. が Google Inc. 独自のサービスでは使用しません。
以下は、Google自体が内部で使用するcaptchaを含むWebページを含むリンクです。たとえば、Gmail登録の場合:
Googleの reCAPTCHA には常に2つの単語があります。
GoogleのreCAPTCHAを使用した画像のリンク 。
そしてreCAPTCHAのスクリーンショット:
読者に明らかな結論を下すことにします。
引用:
[1]
reCAPTCHAがヒットしたvBulletinフォーラムがスパムボットをクラッキングする| PC Proブログ
2011年1月12日にDavey Winderが投稿
ページが読み込まれ、1秒後に投稿が正常に行われたreCAPTCHAで保護されたシステムに関するブログコメントが表示されます。 User-Agentはナンセンスで(この特定のケースではUbuntu 9.25 / Firefox 3.8を実行していると主張)、リファラーは私たちへのリンクのない完全に無関係なサイトからでした。
これは明らかに自動化されています。
reCAPTCHAは敗北していません。もしそうなら、Googleはなぜそれを購入し、Google製品の詐欺とスパム保護を強化するためにGoogle内の技術を適用すると発表したのですか?
からGoogleがGoogleブログに投稿されたreCAPTCHAを取得 9/16/09:
このように、reCAPTCHA <!>#8217;のユニークな技術は、スキャンされた画像を光学文字認識(OCR)と呼ばれるプレーンテキストに変換するプロセスを改善します。このテクノロジーは、GoogleブックスやGoogleニュースアーカイブ検索などの大規模なテキストスキャンプロジェクトにも役立ちます。プレーンテキストを検索し、モバイルデバイスで簡単にレンダリングし、視覚障害のあるユーザーに表示できるため、テキストバージョンのドキュメントを持っていることが重要です。そのため、Google製品の詐欺やスパム対策を強化するだけでなく、書籍や新聞のスキャンプロセスを改善するために、Google内でこのテクノロジーを適用します。
Captchasを倒す最も簡単な方法は、Amazon Mechanical Turkです。 Hotmail、AOL、Gmailアカウントを登録するために、それぞれにニッケルを支払うKermit Weldaという名前の男がいます。これは、1日5セント= 300ドルの6,000の偽メールアカウントです。他の人に汚い仕事をしてもらうと、ビジネスのコストはかなり安くなります。サーバーのスパムフィルターがHotmailからの何かを拒否したいのも不思議ではありません。
AFAIK実際にはRE-captchaの実装をクラックするツールはありませんが、最終的には誰かがそれを手に入れると思います。
もし誰かがそれを手に入れることができれば、RE-captchaプロジェクト全体は無意味です。re-captchaは自動化された方法ではできないデジタル化された本を設計したからです。
ところで:
CAPTCHAシステムの弱点は 人々がいっぱい部屋を設定すること 唯一の仕事をしている中国の人々 CAPTCHAの画像を見て入力することです 結果では、にプラグイン 実際に行っている自動化されたシステム スパム。
そのように考えてシステムをセキュリティで保護することはできません。これは、ホストが古い軍事バンカーにいない場合、あなたのマシンを盗むことができるため、Webアプリケーションのセキュリティが十分ではないということです。 > quot;。
recaptchaをクラップするために使用される多くのメソッドがあります。ニューラルネットワークを使用するのは難しいので、プログラムで自動的に解決できますが、イメージを取得して、Amazonのメカニカルタークまたは同等のプログラムで解決することができます。
http://codemagician.wordpress.com/2010/01/ 22 / solving-recaptcha /