CAPTCHAs: in che modo la semplice matematica in chiaro dimostra che sei umano?

Naviga le tue risposte
2

Sono incuriosito dal fatto che molti siti utilizzino numeri apparentemente casuali con un operatore casuale come controllo di sicurezza per convalidare che non sei un bot. Perdona la mia ignoranza nella tecnologia captcha, ma cosa impedisce al bot di tirare fuori il semplice problema matematico e di calcolarlo al volo?

Ecco un esempio che ho estratto da un sito web e brevitized : 

<h4>Security Question</h4>
<label for="bp-security-check"> 4 + 8 = </label>
<input type="hidden" name="bp-security-check-id" value="548bb54471083">
<input type="number" name="bp-security-check" required="required">
    
posta mattshu 13.12.2014 - 10:00
fonte

2 risposte

5

I CAPTCHA sono un'area di sicurezza del computer in cui "roll-your-own" può essere una buona idea.

Per interrompere un CAPTCHA, è necessario programmare un bot per riconoscere e risolvere il CAPTCHA. Per i siti a basso volume e di basso valore, il costo per programmare un bot per gestire anche un CAPTCHA banale come questo è maggiore del valore atteso di romperlo. Con il semplice espediente di essere diversi , l'operatore del sito ha eliminato la maggior parte degli attacchi automatici.

Si noti che un sistema banale non è sufficiente per proteggere un sito con un grande valore, ma il vantaggio di essere diversi rimane: un operatore bot non può distribuire il costo di rompere il CAPTCHA su più siti.

    
risposta data 13.12.2014 - 12:12
fonte
0

Blocca i robot più rudimentali che ripetono ripetutamente la stessa forma. Come hai detto, un bot più sofisticato può valutare il risultato e aggiungere il nonce unico a ogni richiesta, sconfiggendo così questo sistema. I robot più sofisticati possono persino fare un passo avanti eseguendo il riconoscimento ottico dei caratteri (OCR) su immagini captcha e input i risultati.

Forse il programmatore era pigro in questo caso, o forse il tipo di modulo non richiede una tale quantità di sicurezza. Per esempio. Se il modulo aggiunge semplicemente un indirizzo email a una mailing list, non è necessario avere captcha sofisticati. Tuttavia, se il modulo viene utilizzato per inviare le voci a un concorso, probabilmente potresti volere un captcha più sofisticato poiché c'è un incentivo per qualcuno ad automatizzare il processo.

    
risposta data 13.12.2014 - 11:51
fonte

Leggi altre domande sui tag

Mitigazione contro MITM a Starbucks Come simulare un'impronta digitale del browser?