web-dev-qa-db-ja.com

Apple

ハッカーニュースの記事で私は http://www.Apple.com/iTunes/50-billion-app-countdown/entry-form/ に移動キャプチャを使用していることを指摘しました:

enter image description here

私はそれがより短い(そして便利な)キャプチャを安全にする方法だと思います。私の仮説は、ある時点でフリーズすると、OCRプログラムが処理する文字を分離できないということです。

このスキームにはどのようなメリットがありますか?

17
Jesvin Jose

Wikipedia のCAPTCHAの目標は次のとおりです。

これらのテストは、コンピューターで生成するのは簡単ですが、コンピューターで解決するのは困難ですが、人間にとっても簡単です。

参照しているCAPTCHAは理解しやすく、静的なCAPTCHAがダウンしているパスよりもはるかに簡単です。

A difficult CAPTCHA

視力の弱い人がその問題や他の難しいCAPTCHAを解決するのが難しいと想像してください。

コンピューターが理解しづらいことの2番目の部分については、OCRプログラムは単一の画面を取得できず、パズルを解くことができないというあなたの理論は正しいかもしれません。しかし、より多くのサイトがこのタイプのCAPTCHAを採用するならば、それは短命であると考える必要があります。 OCRプログラムがアニメーションから2つ以上の静止画を合成した場合は、簡単に解決できるようです。

したがって、このアニメーション化されたCAPTCHAは、人間にとっては簡単に解決でき、コンピュータにとっては今のところ困難です...

11
Matthew Moore

これらの「セキュリティ」デバイスは、ユーザーエクスペリエンスに悪影響を与えます。

一部のハッキング/セキュリティ「業界」ガイドは、インタラクティブプログラムがターゲットサイトとのインターフェースを許可する前に、これらのいずれかを手動で完了することを提案しています [〜#〜] captcha [〜#〜] メカニズム応用。これは、ユーザーとして認証されると、ほとんどのサイトは、ユーザーとして動作することを前提とすることを意味します。人々が良い訪問者の習慣を研究するように、悪い訪問者はウェブサイトのセキュリティシステムのパターンを研究します。

参照したアニメーションキャプチャは既に危険にさらされています。 別のメジャー CAPTCHA(reCAPTCHA)もハッキングされました 時間をかけてシステムを調べた人がパターンを探しましたそしてそれを壊します。

ユーザーエクスペリエンスに関してこれらを使用する理由

これらのメカニズムの利点は単純です。サイトが大規模に悪用されるリスクがあり、ユーザーエクスペリエンスが大幅に制限される場合は、ユーザー(またはアプリケーション)がフォームに自動的に入力するのを防ぎ、適切なユーザーとして参加するようユーザーに要求するメカニズムを導入する必要があります。

ユーザーエクスペリエンスに関してこれらを使用すべきではないのはなぜですか?

  1. これらのデバイス(ギミック)のいずれかを使用して、Webサイト自体を強化するのではなくWebサイトを悪用しないようにすると、基本的に、通常のビジターのすべてが少し難しくなり、ユーザーエクスペリエンスが大幅に低下する可能性があります。彼らは、サイトやアプリケーションにアクセスするたびに、このハードルを目にする可能性があります。アカウントがロックされた場合、デバイスを正常に完了する方法についての誤解、または文字のスペルミスや読み違いのために、克服すべき他のハードルがあります。

  2. CAPTCHAメカニズムでは、訪問者が英語でテストを完了する必要があることがよくあります。これは常に最良の解決策とは限りません。

  3. サウンドチャレンジに関して、誰かが言語に精通しておらず、オーディオ部分を使用しようとしている場合:サウンドカードがあり、大きな場所にいない、実際にオーディオを聞くことができる場合彼らはフレーズを認識し、それらを元の言語のように音声的に聞こえる文字に変換する必要があります。これもかなり複雑であり、音声学を十分に理解する必要があります。

  4. 人々が数学の問題を解くことを要求する数学のCAPTCHAメカニズムもあります。ほとんどのコンピューターは数学よりかなり優れているため、これらはユーザーよりはるかに優れています。

  5. 誰かがあなたのサイトやアプリに侵入しようとしてそれを危うくしようとしていて、セキュリティを強化していない場合、エクスプロイトはメカニズムを一度だけ見るかもしれません。私が述べたものと同様に機能する、市場で入手可能ないくつかのセキュリティメカニズムがあります。時間があれば、それらはすべて打ち負かされる可能性があり、Webサイトやアプリケーションを設計するときのセキュリティに関する予算不足(または怠惰)の問題の解決策として提示されるすべての基本的な仕掛けです。その後、エクスプロイトがインターネット上で利用可能になり、デバイスの元の意図が役に立たなくなるのは時間の問題です。

推奨される実践

最初に見るのはユーザーの操作です。ユーザーの習慣は、Webサイトの通常の訪問者に何を期待するかについての優れた指標です。

ほとんどのユーザーは、投稿またはフォームに入力するのに時間がかかります。彼らは物事を平均的な速度で読み、標準的な方法で相互作用します。 auto-complete であっても、通常は何らかの相互作用が必要です。

  1. フォームへの入力が速すぎる(非現実的に不可能)場合は、コンテンツをコピーして貼り付けているか、ボードに自動的に挿入されている可能性があります。
  2. 応答に非常に長い時間がかかる(セッション時間よりも長い)場合は、逆にシステムを危険にさらそうとしました。

調査を使用する

投稿にかかる時間を確認するなどの簡単なことを行う場合は、その人がページ上にいるときにマウスが動いたかどうか(コンピューターの場合)、スクロールしたかどうか(モバイルデバイスの場合)、確認してください。ユーザーが実際のブラウザ(cURLのようなものではない)を使用している場合、または実際にページ上で時間を費やして、実際に操作する内容を読んでいる場合、falseを取得する可能性ははるかに低くなります。ポジティブ。投稿する前に、サイトにしばらくいるかどうかを確認してください。誰かがMicrosoft Wordなどのアプリケーションで自分の考えを書き出し(このサイトのように、参照を引用するサイトのように)、すぐに貼り付けられる場合があります。それでも、それらの人々は通常、投稿する前にコンテンツを変更するか、コンテンツを追加する前にしばらくサイトに滞在します。誰かが期待された制限を超える(またはフォームを破る)時点で、あなたは彼らに挑戦と応答を提示します。

新しいタイプのCAPTCHA

人々に母国語での問題への回答を提供するか、形状を認識して母国語で回答を提供するようにすると(複数の選択肢とその場での翻訳を通じて)、何千ものライブラリがあるため、はるかにユーザーフレンドリーです。画像(すべての文化で理解されている)攻撃者は理論的には画像が何であるかを理解し、その意味を見つけ、繰り返し試行するためにこれらの画像のデータベースを保存する必要があります。画像と回答がランダムに読み込まれる場合、攻撃者はパターンを見つけるのがはるかに困難になります。

New type of captcha

言語翻訳を特徴とするコンセプトの実用的な例を以下に示します。 http://code-resource.com/captcha/

閉鎖

CAPTCHAは、多くの新しい不正トラフィックを阻止する可能性があります。それはウェブサイトを運営する人々によく見えるでしょう。 CAPTCHAが危険にさらされた時点で、CAPTCHAはその魅力を失い、実際の訪問者、顧客、ユーザーを遠ざけるためのハードルにすぎません。

10
AbsoluteƵERØ

Captchaの目標は、人には簡単であるが、コンピュータでは難しい(または不可能)タスクを実行することです。問題は、コンピュータープログラムが開発されており、多くのキャプチャシステムを通過できることです。応答として、キャプチャシステムはより困難なタスクを進化させる必要があり、解読するのが面倒です。

enter image description here

単純な動画の利点は、文字を読むことは人間にとっては些細なことですが、それでもコンピュータにとっては難しいシステムであるということです。それがキャプチャの目標であり、これは正しい方向への一歩であるように見えます。

3
JohnGB

キャプチャを検出してさまざまなタスクを自動化するのに役立つさまざまなアプリ/プログラムがあります。これらは、キャプチャを使用する理由-「人間の検証」を打ち負かしました

人々が試した他のいくつかのアプローチは、match captchaを使用することです: enter image description here

他のものは3D画像を使用しており、追加を引用するようにユーザーに要求しています

CAPTCHAを移動することは同じ方向のステップですが、UXを改善しようとしています(いわゆる)。 (推測)従来のcaptchaの問題は、暗号化されたテキストを解読し、限られた試行の後にアクセスをブロックする従来のセキュリティ対策を実施できると誰もが期待できないことです。移動するキャプチャを使用すると、ほとんどの平均的な人々が最初の試みで単語を簡単に検出できると確信を持って言うことができます。より厳密なセキュリティ対策を実施できるようにします。

とは言っても、人々がこれを解読するのにそれほど時間がかかるとは思えません(または既に完了していますか?):)

1
rk.