我在互联网上读到reCaptcha已被破坏,垃圾邮件机器人可以轻松克服它。 Google完全解决了这个问题。他们有修复它的计划吗?我无法在网络上找到此类信息,我希望有人能对此有所了解。
是否存在用于此类事情的类似,可靠,更安全的Web服务?我不想创建自己的验证码类型类,因为即时图像处理会占用大量资源,并且我也不想创建Q&A类型的验证码(我不希望此类需要数据库访问权限)。
欢迎提供任何有关reCaptcha问题的建议或信息。
#1 楼
验证码一直很容易受到简单的中间人攻击,垃圾邮件发送者将这些图像转发到网站上的自己的验证码,该网站免费提供mp3下载或色情。不管使用哪种类型的验证码都没关系。检测行为模式是解决方法。
评论
有趣的是,不知道这种方法。
– Thomas股票
2011-12-7 12:48
#2 楼
我从来不喜欢验证码的。我什至在前十次尝试中都看到某人“无法解决”验证码的情况(不要问)。到目前为止,我一直成功地保持了我建立的这个网站上的垃圾邮件,只是检查所有实际执行的“主题请求”(样式表,脚本,图像),确认它是调用该网站的真正的“骨肉”网络浏览器会话,并拒绝任何带有'em中有4个或更多URL。
通过IP地址黑名单的几个垃圾邮件发送者使我沉默了。 (暂时)
但是我必须说这仍然不是防水的,但是仍然没有任何效果。 (再说一次,我认为使用PageRank 2来向网站发送垃圾邮件没有什么好处。)
评论
我有一个几乎是盲目的同事。我用相当好的视力来解密一些验证码已经很麻烦了,无法想象对于一个几乎盲人来说会是什么样。
– jwenting
2011-12-7 11:20
@jwenting:这就是为什么reCAPTCHA和其他CAPTCHA服务/解决方案还为视障人士提供音频选项的原因。
–Lèsemajesté
2011-12-09 14:45
#3 楼
在我的一个小站点上,我这样阻止了垃圾邮件:请输入星期几的名称。
还有更多的解释,但是您明白了。
我有一年左右没有去过该站点,并且已经收到了16000个垃圾邮件条目(相比之下,有20个火腿条目)。我2年前就在这里进行了健全性检查,从那以后再也没有垃圾邮件条目了。
阻止垃圾邮件是您所保护内容的重要性。只要您不知道您的网站每天至少有1000次访问,就不会有人真正在意为什么他们的垃圾邮件对您不起作用。您只是信息泛滥中的一些非垃圾站点,没有人有机会进行分析。
请明确:除非保护更大的目标,否则请使用简单且不引人注目的内容。
也可以根据内容来识别垃圾邮件。
不要忘记:当试图防御攻击者时,让他们相信自己成功了要容易得多。一种技术是接受垃圾邮件内容并在一分钟左右的时间内将其删除(我怀疑垃圾邮件机器人对此进行了检查)。
最后,您始终可以要求用户进行身份验证,这使跟踪变得更加容易。允许通过所有主要服务(openID,facebook)登录,这应该没问题。
#4 楼
请参阅MikeBeach.com上的本文,使用验证码的替代方法,并详细说明一些著名的验证码库或服务(例如reCAPTCHA)的优缺点。引用:
就我个人而言,我在我的网站上同时使用了不良行为和Defensio,并且看到垃圾邮件的数量大大减少了。
#5 楼
图像识别。有时简单的解决方案是最简单的。您只需要一些对象的随机图像(例如马,猫,狗和鸭)。然后,当某人需要验证自己不是人类时,将显示图像,用户必须简单地识别出它是什么。
您可能会遇到一个单一问题。并非每个地方都具有相同的名称。你叫一匹马,我的祖父母把它称为Pferd。如果您只针对讲英语的人(或与此有关的德语或任何一种语言),那么您可以找到解决简单问题的简单方法。
评论
您可以采用另一种方式进行操作-显示多个图像作为答案,并告诉用户“单击马匹”。问题显然是使用页面其余部分将显示的语言。
– gbjbaanb
2011-12-7 12:29
@gbjbaanb该解决方案的唯一问题是,如果您有3张图像,则垃圾邮件发送者可以通过编程方式以1/3的成功率单击其中一张图像。当然,您也可以使用Akismet之类的服务,但是仍然有可能漏掉它。这完全取决于您愿意承受的风险。
– Glenn Nelson
2011-12-7 12:54
#6 楼
我认为验证码模型已损坏是由于以下原因。向您的网站添加一个是告诉用户垃圾邮件是他们的问题,而不是您的问题。
视障人士无法使用它们。
它们是中级攻击者的绝佳攻击媒介。
(通常)它们依赖在线的第三方服务来使您的表单起作用。
有时可以通过更高级的OCR技术来解决。
因此,回答您的问题,我认为它没有用,它在大多数情况下都能很好地完成任务,但是它已被破坏,所以我个人会禁止使用。
评论
随机的想法:通过提供简单的数学难题,您可以在没有数据库的情况下进行问答类型系统:“请输入将7乘以3时得到的数字”。有人能找到一种方法来解决这个问题吗?可以,但是至少需要一点点工作,所以它值得。或两者的混合
可能相关:stackoverflow.com/q/448963/590790
reCaptcha的目的不是文本实际上是来自书籍和文档的扫描文本吗?具体来说,现有的OCR无法读取哪些文本?我不知道如何“破译”验证码,因为它们总是包含来自更多来源的更多文本。真正“破解”它的唯一方法是开发一个“完美的” OCR,以检测其他所有失败的原因。除了直接使用OCR之外,我想其他任何安全问题都可以解决...
前段时间有一个有趣的场景,显示(例如)一堆狗的图片,还有几张随机撒盐的猫的图片,您只需单击猫。我看不到您将如何自动执行此操作。唯一的缺点是盲人无法使用。