Chi usa Asirra in produzione? Ci sono alternative simili?

2

Il progetto Asirra è un'alternativa Captcha che mostra immagini di gattini e cuccioli per respingere i robot e dimostrare che l'utente finale è umano.

C'è qualcuno che usa Asirra (o qualcosa di simile) in produzione? Di quali alternative sei a conoscenza?

link

Anche se mi piacerebbe usare immagini diverse dai gattini, ho notato che dal punto di vista dell'implementazione è completamente gestibile tramite javascript lato client. Penserei che questo tipo di soluzione sarebbe facilmente decifrabile con un metodo form.submit invocato manualmente.

Questa tecnica è comune nel mondo Captcha? C'è un modo per controllare la logica sul lato server?

Quali sono i tuoi pensieri sulla sua implementazione, sulle alternative e su come potrebbe essere realizzata una versione più sicura?

    
posta random65537 24.11.2010 - 02:45
fonte

5 risposte

8

Non relativo specificamente ad Asirra, ma in generale CAPTCHA, mi occuperò del punto @ Graham e ti indirizzerò ai seguenti link:

Nel caso in cui sei pigro ecco i punti salienti ...
I 3 modi generali per rompere i CAPTCHA sono:

  • Implementazione interrotta (ad esempio configurazione errata, impostazioni errate, immagini statiche, esposizione della risposta, ecc.) - ma probabilmente non si applica ad Asirra, a meno che non sia dipendente dalla configurazione
  • Inversione inversa-computabilità - Se riesci a creare un programma per sfocare qualcosa che è ancora leggibile , posso costruirne uno per unblurarlo. L'OCR è dannatamente buono, almeno se l'immagine è leggibile da un essere umano.
  • Mettere un essere umano nel mix, o tramite:
    • Fattorie CAPTCHA: pagando una piccola somma di denaro, c'è un MERCATO per questo: ho visto pubblicizzato su pacchetti Ebay di 1000 CAPTCHA "risolti" per 4 $, con un AFFIDABILITÀ di corrispondenza% SLA
    • proxy CAPTCHA, ad es. puoi accedere a pr0n se risolvi questo CAPTCHA ... o persino a creare un gioco da esso.

Per riassumere (come ho spesso fatto su questo argomento):

CAPTCHA tries to solve the wrong problem, and it does it badly: even if it worked perfectly, the problem is not "I want to identify who is a computer and who is a human and allow only humans to use my site however they want", but rather "I want to prevent misuse and flooding on my site".
We shouldnt be trying to turing-test the users, we should be limiting what they could do.

O anche meglio:

Authentication (or identification) is a poor replacement for authorization.

    
risposta data 24.11.2010 - 13:46
fonte
6

Qualsiasi meccanismo CAPTCHA può essere sovvertito trovando un'economia debole e dando alle persone una piccola somma di denaro per risolvere una grande quantità di CAPTCHA.

    
risposta data 24.11.2010 - 10:25
fonte
2

Asirra esegue la convalida sul lato client solo per comodità - ovvero, così puoi progettare una pagina web che impedisce che il modulo venga inviato senza che il captcha venga risolto. Questo impedisce il fastidio di navigare lontano da un modulo compilato solo per essere detto che il captcha non è riuscito.

In Asirra, come descrive la pagina di installazione, la vera sicurezza deriva dal fatto che il codice che scrivi sul back-end per l'elaborazione dei moduli deve anche colpire il servizio Asirra e assicurarsi che il modulo sia stato inviato con un biglietto valido che viene consegnato ai clienti solo quando la sfida è stata risolta.

Naturalmente, come descrivono i poster sopra, questa "sicurezza" dice solo che qualcuno o qualcosa ha identificato 12 immagini come cani / gatti. Non c'è un buon modo per sapere, ad esempio, se le foto sono state effettivamente risolte da un'IA avanzata o da un ragazzo in Cina che lavora per $ 3 / ora (vedi PixProfit.com)

    
risposta data 16.12.2010 - 23:04
fonte
1

Il MSFT Ajax Toolkit ha un'implementazione senza captcha che utilizza una varietà di mezzi trasparenti per verificare un utente. ESEMPIO DIMOSTRAZIONE

Questo è un codice piuttosto intelligente che può essere incorporato in altri sistemi per l'ultra-bot-paranoico.

    
risposta data 17.05.2011 - 18:50
fonte
0

Asirra è utilizzato da Club Bing di Microsoft. link

link fornisce il servizio Asirra ma il loro servizio è molto scarso.

    
risposta data 02.05.2011 - 09:41
fonte

Leggi altre domande sui tag