CAPTCHA lze ji prolomit? Vyřešeno

[Pepis]

Lze prolomit ocranu CAPTCHA? někde sem četl že je už davno prolomena par lidi tvrdi že to je blbost že žadne pc sam o sobě bez uživatele se přez CAPTCHA nedostane...
Docela by mě to zajimalo :-)

[Reklama]

[Pic]

Přečti si laskavě pravidla fóra a nevkládej dotazy zabývající se nelegálními praktikami.

[Myloš]

Pic: U takového dotazu bych ještě nutně Pepise nepodezříval z touhy lámat se někomu přes kapču.

Pepis:
Jak se to dělá nevím a rady v tomhle ohledu neposkytuji, ale jinak – stačilo se zeptat strejdy Gůůgla, například „captcha prolomení“.
Ze zajímavých odkazů cituji:

Technologie CAPTCHA byla donedávna vcelku spolehlivou metodou jak odlišit robota a člověka. Po prolomení Yahoo CAPTCHA zaznamenal potíže i Google. Registrační proces Gmailu je též chráněn pomocí CAPTCHA a spameři již našli cestu. Úspěšnost robotů se pohybuje "jen" okolo dvaceti procent, ale díky automatizovanému procesu lze i s touto "neúspěšností" dosáhnout hrozivých výsledků. Čeká nás další vlna spamu, nebo dokonce tsunami ve velkém stylu?

Spammeři začli používat nový software, který dokáže prolomit captcha na Windows Live freemailu a vytvářet tak tisíce e-mailových účtů. Bot nainstalovaný na běžném napadeném PC se připojuje k freemailu a v 35% úspěšně vytvoří účet. Vzhledem k rychlosti a úspěšnosti je tento postup považován za plně automatizovaný. Nejedná se tedy o způsob, kdy docházelo k přeposílání captcha a jejích výsledků vyhodnocených skutečným člověkem při přístupu na jinou webovou stránku.

Přihlašování tvoří klasický formulář vyžadující uživatelské jméno, heslo a kód zobrazené captchy, celkem běžná záležitost. Mimo to nám server při vstupu na tuto stránku přidělí i jedinečný identifikátor sezení PHPSESSID. Vyplňme nyní všechny údaje a přihlasme se. Server následně zkontroluje námi zadaná data a v případě úspěšné autentifikace a korektně opsaného captcha kódu jsme vpuštěni do systému a do našeho sezení je zapsána informace o platném opsání captcha znaků, jsme tudíž považováni za člověka a můžeme se s chutí pustit do vydělávání tvrdé měny. Možná si teď říkáte, že jste si ničeho nezvyklého, co by odporovalo bezpečnostním pravidlům, nevšimli, a přesto se tak stalo.

---

Pokud bych se – jako vlastník nějakého webu – chtěl bránit spamu, CAPTCHA by byla asi poslední na řadě v zamýšlené ochraně. Nemám ji rád a jak vidno, není zcela spolehlivá, takže jestli někoho opravdu obtěžuje, jsou to živí návštěvníci; ne boti.
Daleko spíš bych sáhnul po povinné registraci příspěvatelů a v rámci procesu registrace nachystal povícero nástrah (a tam by mohla klidně být i CAPTCHA) na odfiltrování botů. Myslím si, že případný zájemce skousne radši (méně nerad) pár obstrukcí při registraci a pak už bude mít klid, než aby byl obtěžován při psaní každkého příspěvku.
Docela zajímavý způsob ochrany (jako její součást) může být skryté políčko přihlašovacího formuláře – bot si ho všimne, vyplní a pápá.
Anebo maximální počet pokusů o zadání z jedné I. P. adresy – 2 nebo 3 a pak čtvrt hodiny (hodinu…) bude daná I. P. blokovaná.
Zkrátka – možnosti tu sou…

[Pepis]

Diky jak řikal myloš chut prolomit captcha nemam jen mě to prostě zajimalo moc díky mužu hodit jako vyřešeno