Что такое капча


Пользователи Интернета часто сталкиваются с «капчой».

Например, вы регистрируете свой сайт в Google. Кроме URL и краткого описания вашего сайта, вам нужно – перед завершением регистрации – в специальное текстовое поле ввести цифры, изображенные на рисунке. Или, например, вы пытаетесь скачать нужный вам файл с файлообменного сервера. Для получения ссылки на файл, как правило, нужно ввести код, изображенный на картинке, и нажать кнопку «Далее».

Что такое CAPTCHA?

CAPTCHA (от англ. Completely Automated Public Turing test to tell Computers and Humans Apart – полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) – компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Термин появился в 2000 г., технология была создана  учеными из университета Карнеги-Меллона (Carnegie Mellon University), ныне она применяется в WWW практически повсеместно. Основная идея теста CAPTCHA: предложить пользователю такую задачу, которую легко решает человек, но которую невозможно (или крайне трудно) решить компьютеру. Как правило, это задачи на распознавание зрительных образов.

CAPTCHA чаще всего используется для предотвращения использования интернет-сервисов ботами, например, для предотвращения автоматической отправки сообщений, автоматической регистрации, автоматического скачивания файлов, автоматических массовых рассылок (спама)… Что интересно: хотя CAPTCHA предназначена для «отсеивания» компьютеров, тест проводит компьютер (точнее, программа, которая сравнивает ответ с правильным).

Варианты CAPTCHA

В наиболее распространенном варианте CAPTCHA от пользователя требуется ввести символы, изображенные на предлагаемом рисунке в искаженном виде (с добавлением «шума» или полупрозрачности).  Реже применяются CAPTCHA, основанные на распознавании речи (как альтернатива для людей с нарушениями зрения). Могут также применяться другие плохо алгоритмизуемые задачи, например: узнать, что находится на картинке, отметить все картинки с животными или ответить на вопрос, связанный со знаниями или менталитетом людей (например, «Сколько ног у курицы?» или «Как зовут российского президента?»).

Уязвимости защиты CAPTCHA

При недостаточной квалификации веб-программиста ботнет может пройти тест CAPTCHA, без распознавания изображенных символов и картинок. В этом случае бот либо подменяет идентификатор сессии, либо по какой-либо информации, содержащейся на веб-странице, определяет, что изображено на картинке. Если количество вариантов ответов невелико, ботнет может попытаться угадать ответ. Боты используют несколько параллельно выполняющихся потоков, благодаря чему производительность бота зависит только от полосы пропускания, отданной ему в распоряжение. Если пользователь должен опознать картинку или ответить на вопрос, ботнет может попытаться каким-либо образом собрать базу данных всех имеющихся картинок (вопросов). Существуют программы, распознающие конкретные реализации CAPTCHA, к примеру, PWNtcha. Кроме того, существует возможность подключать модули программ распознавания текста (например, FineReader) в программы для распознавания «картинок» CAPTCHA.

CAPTCHA различают по степени защиты: «сильная» CAPTCHA и «слабая» CAPTCHA. В числе «слабостей» – четкий фиксированный шрифт, фиксированное положение символов, отсутствие искажений, отделение символов от фона с использованием цветового ключа или размытия по Гауссу, легкое отделение символов друг от друга и т.д. Иногда бывает, что «сильная» CAPTCHA оказывается труднораспознаваемой и для человека. Иногда встречается CAPTCHA, легко прочитываемая компьютером и нечитаемая человеком (например, CAPTCHA с сильно размытой или неконтрастной картинкой).

Одним из методов обхода CAPTCHA является сервис Captcha Exchange Server (запущен в марте 2007 г.). Этот сервис направлен на «обход» картинок CAPTCHA, используемых файлообменными серверами. Принцип работы сервиса основан на системе баллов, которые пользователь может заработать, распознавая – в свободное время – картинки для других пользователей. Набранные баллы пользователь может потратить позже, запустив программу автоматического скачивания файлов с файлообменного сервера (при этом текущие «картинки» будут распознаны другими пользователями сервиса). Таким образом, пользователь может оптимизировать затраты своего времени (и денег), тратя набранные баллы в удобное время.

Капчи сами по себе не могут остановить спамеров (1000 капч, распознанных людьми, стоят около $1). С другой стороны, этот метод защиты может создавать большие неудобства людям. К тому же, капчей злоупотребляют, например, файловые хостинги, что несёт в массы сервисы по распознаванию капч и делает их ещё более неэффективными

Несмотря на уязвимости, CAPTCHA-защита очень популярна в Интернете.

Известные CAPTCHA-службы

reCAPTCHA — проект, использующий в роли рабочего элемента для ответов пользователей на CAPTCHA-запрос неразборчивое для OCR слово, являющееся одним из множества искажённых фрагментов сканированных книг в дополнение к слову, сгенерированному компьютером. Этот сервис учитывает приёмы использования и возможности программ оцифровки текста книг. Для надёжности одно и то же слово предлагается нескольким пользователям различных сайтов. Когда разные пользователи одинаково ответили на CAPTCHA-запрос, предполагается, что они ввели правильное слово.

KeyCaptcha — проект, предоставляющий вариант капчи, отличный от классической. В его основе лежит взаимодействие с пользователем, которому предлагается выполнить какое-либо задание. К примеру, пользователю предлагается собрать пазл из разрезанной картинки или соотнести несколько различных картинок по изображенному на них признаку. Это упрощает прохождение капчи пользователем, так как классическая капча на некоторых ресурсах часто сложна для восприятия. Минусами же являются то, что она ненадежна, так как может быть программно «распознана», а также является сторонним сервисом, который напрямую заряжает исполняемые скрипты в браузер посетителей из своих бэксерверов, что вебмастер защищаемого ресурса не может контролировать. Последнее делает из неё удобное средство несанкционированных слежки, сбора информации, распространения рекламы, а также взлома компьютеров, как правоохранительными органами, так и частными структурами.

 

Источник:  wikipedia

Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.