Wordpress

индекс

133,78

Долой капчу! Да здравствует Clickcha — one click captcha

Пока в интерфейсах матерят размытые буквы, об которые ломаются глаза,
ценители WP сохраняют верных комментаторов.

Clickcha на сегодня доступна плагином как для WordPress, так и для bbPress.
Это логическая картинка, на которой надо только тыцнуть нужную фигуру для отправки формы

Поскольку картинка заменяет штатную кнопку сабмита,
в запросе обязательно должны быть переданы мышиные координаты,
а вот поля для ввода разгадки нет.
Поэтому

OCR-ить картинку бесполезно,
использовать индокитайцев с anticapcha тоже (пока)
надстройки вроде Зеннопостера не натренируешь — нажимать надо в разные места

Можно помучить демо

Для WP
для bbPress

P. S.
Спасибо всем, кто отписался — TODO отправится автору

+90

9 октября 2009, 20:26

dirtyHabrBobr

комментарии (95)

DileSoft 9 октября 2009, 20:32 #

Надо сделать капчу на Flash-е! И чтобы они двигались! Тогда хрен кто взломает.

+15

adm0r 9 октября 2009, 21:19 # ↑

А еще можно сделать капчу с блекджеком и шлюхами! И чтобы они двигались, разговаривали, можно было ~~грабить корованы~~ не грабить корованы, запускать ракеты, узнать ответ на Самый Главный Вопрос Жизни, Вселенной и Всего такого. Такую капчу точно ~~хрен~~фиг кто взломает.

+22

enartemy 9 октября 2009, 21:54 # ↑

А можно просто не делать капчу. Тогда и взламывать будет нечего.

Lector 10 октября 2009, 13:41 # ↑

самая лучшая капча для WP — www.wordpressplugins.ru/faq/no-spam.html — это способ вообще отсечь спам-скрипты без капчи.
далее идет капча Invisible Captcha — www.wordpressplugins.ru/komments/invisible-captcha.html — делает, что и выше, также без показа капчи посетителю.
и наконец — самая удобная настоящая капча CheckBot — www.wordpressplugins.ru/komments/checkbot.html

AlexPTS 12 октября 2009, 21:17 # ↑

И с китобоями на луне )

bO_oblik 9 октября 2009, 22:30 # ↑

Вот такую надо капчу. Чтоб спамеры боялись.

+11

DmitryLoki 9 октября 2009, 23:52 # ↑

признайтесь кто таки кликнул? =)

kolpeex 10 октября 2009, 15:24 # ↑

Я только навел мышь. Кликать не стал, т.к. все равно не кликабельна (курсор не изменился).

–1

Dragonizer 11 октября 2009, 21:30 # ↑

Черт, а я какой-то внушаемый. Вижу, что не кликабельна, а все равно…

Napolsky 10 октября 2009, 00:41 # ↑

не кликабельна :(

xgraph 10 октября 2009, 01:25 # ↑

«Кликай, подтверждай» — вот правильная надпись.

bO_oblik 10 октября 2009, 04:24 # ↑

Вы просто не прошли проверку!

scu 11 октября 2009, 12:11 # ↑

боюсь, бояться ее только будут люди, а не роботы :))))

Wolverine 9 октября 2009, 23:24 # ↑

С мобильных девайсов будет проблемно комментировать посты(

Skylan 10 октября 2009, 01:50 # ↑

точно такая же мысль пришла в голову. часто с телефона в интернете сайту смотрю через Opera mini. Там невозможно будет ввести эту капчу…

Хотя например, браузер Opera mobile и другие близкие к нему браузеры думаю нормально такую капчу поймут.

darkk 10 октября 2009, 07:43 # ↑

Opera mobile (по крайней мере восьмёрка) тоже будет иметь проблемы.

Skylan 10 октября 2009, 11:31 # ↑

На счет 8ки не знаю, возможно.

Я проверял на 9.5 beta — всё прекрасно работает.

+25

spyfzm 9 октября 2009, 20:36 #

Симулируя клик на случайную точку площадки, можно с достаточной вероятностью (не менее 1%) проходить капчу, чего для многих целей ломателей капчи вполне достаточно. Например для спама в комментах блога на вордпрессе.

+17

Davidov 9 октября 2009, 21:06 # ↑

А если грубо выделить объекты (задача намного более простая, чем OCR; по крайней мере на такой картинке), то получится >10%.

Kakysha 9 октября 2009, 22:50 # ↑

А если всеже предположить, что кол-во вариантов такой капчи (наибольший круг, наименьашя цифра) конечно, т.к. придумывают их все те же люди, то и вообще можно распознавать действие, требуемое от нас по шапке картинки (надписи). А уж далее распознать неискаженные цифры и найти наименьшую, наибольшую вообще не составит труда, также как и посчитать площади фигур.
PS: пока вообще только 4 варианта, как я понял.
-number
— smallest
— biggest
-biggest circle
-biggest square

zaartix 10 октября 2009, 01:19 # ↑

даже на самую хитрую жопу найдется…

в общем тут вопрос лишь в том, насколько важен ваш ресурс, ну или сколько бабла можно срубить, наспамив у вас )

zaartix 10 октября 2009, 01:25 # ↑

надеюсь этот сарказм будет понят

spyfzm 10 октября 2009, 00:13 # ↑

Тем более, теперь эта капча вообще бесполезна.
Я думаю, что для каждой задачи нужна своя, адекватная ситуации капча. Ну и обязательно другие методы защиты — обман случайно зашедших ботов скрытыми полями, и другие, вплоть до запрета комментов от неподтвержденных модератором регистраций с индийских и китайских айпи.
Где-то матановая капча совершенно необходима…

Nesp 9 октября 2009, 23:48 # ↑

А если задержку на клики в 30 секунд?

spyfzm 9 октября 2009, 23:52 # ↑

Ну тогда можно постить одну рекламную ссылку на один пост или блог (смотря для чего действителен таймаут) примерно раз в 50 минут. Ну то есть 28 ссылок в сутки на один блог (или пост). Конечно, для одного блога проще ручками, но для массового спама вполне себе эффективно.

НЛО прилетело и опубликовало эту надпись здесь

spyfzm 10 октября 2009, 06:01 # ↑

Нет, ни в коем случае))

smokeralex 12 октября 2009, 21:28 # ↑

а мы вас после 4-5 неверной попытки по IP забаним минут на 20;)

+12

vpbar 9 октября 2009, 20:40 #

Ну определить замкнутую область — такие алгоритмы есть. Работаю даже точнее чем распознавание символов.
Если всегда надо тыкать только в самой большой фигуре — то капча ломается просто.
Можно даже ничего не распознавать, просто тыкать в случайном месть. С вероятностью площатдь_большой_фигуры/площадь_картинки капча будет «распознана».

так что
1. OCR-ить даже проще.
2. при популярности такой капчи соответствующие параметры в сервисы типа капчабота будут добавлены. Скорость и точность распознавания будет, скорее всего, выше чем у текстовых/числовых капч
3. Можно тыкать всегда в одну точку. Довольно часто это будет удачно.

dirtyHabrBobr 9 октября 2009, 20:48 # ↑

я специально дал несколько картинок — задача меняется

MiXei4 9 октября 2009, 20:52 # ↑

Вероятность удачного тыка всё равно = «площадь_большой_фигуры/площадь_картинки» как ни крути :)

MiXei4 9 октября 2009, 20:53 # ↑

То есть не большой, а нужной. Сорри.

vpbar 9 октября 2009, 20:57 # ↑

наибольший/наименьший фигуру/номер я увидел пока только такие варианты. Т.е. находим замкнутую фигуру тыкаем внутри. С вероятностью процентов 10 капча распознана. (Больше 10 фигур я там не наблюдал).
Если найти замкнутую фигуру наибольшего размера вероятность угадывания увеличится.
2й. способ будет работать в независимости от задачи. Простейший английский работники анти-капча сервисов я полагаю поймут.

Так что капча, конечно вводится намного проще и быстрее чем числовая/текстовая но и намного менее надежна.

dirtyHabrBobr 9 октября 2009, 21:48 # ↑

посмотрите внимательно, там нельзя приблизиться к 10%
вероятностный подбор основательно повышает шансы бота спалиться по частоте обращений

а штатная настройка «должен иметь ранее одобренные комментарии» в сочетании с
сделает именно то, о чем написано — сохраняем лояльных последователей,
отправляя минимум прорвавшихся ботов ждать ~~одобрения~~ стирания
что решение тьюринг-идеальное утверждать и не буду

у меня уже стоит (в смысле плагин). Если начнут пробивать — состучимся с автором для импрува

lrrr 9 октября 2009, 22:47 # ↑

Ну значит нужно просто еще распознавать задание — я думаю даже самой буйной фантазии хватит максимум на пару десятков вариантов.

IDDQD 9 октября 2009, 23:03 # ↑

Средняя площадь круга 380 пикселей, площадь капчи — 17664 пикс., если постоянно тыкать в одну точку, то вероятность попадания равна 2.15%.

1. OCR-ить вообще не нужно
2. у индокитайцев с логикой все впорядке
3. ботов даже тренировать не придется

Выход:
дополните идею. сделайте поле больше, числа двухзначными и задачу смените на выбор трех наименьших/наибольших/четных/нечетных/простых чисел

esenin 10 октября 2009, 01:02 # ↑

Согласен.

mdk 10 октября 2009, 02:23 # ↑

По моему не прокатит. Распознав задание(а это довольно просто) что нам мешает выделить из кругов три наибольших\наименьших?

IDDQD 10 октября 2009, 02:57 # ↑

Идея с фигурами не котируется — слишком простые алгоритмы подбора. Работаем только с числами: большие/меньшие/четные/нечетные и т.д… можно требовать прокликать все числа по возрастанию/убыванию

реализовать можно или на флеше, или на JS — счетчик кликов и координаты в куках, как только набрали нужное кол-во кликов делаем аякс запрос и получаем результат — просто, сердито и одной правой))

bO_oblik 10 октября 2009, 04:30 # ↑

Лучше просить пользователя написать слово из 147 букв зашифрованное в md хэш, бот не дагодается, я гарантирую это.

adm0r 10 октября 2009, 04:33 # ↑

Слово? Слово это не тру! Вот сочинение в 500 слов на тему «Как я провел лето» на клингонском языке, шифрованное по Картману 512 битным ключем в уме — вот это забава для рядового пользователя!

darkk 10 октября 2009, 07:45 # ↑

Не всякий посетитель знает, что такое простое число.

Aspedin 9 октября 2009, 21:40 #

Плюсую.
О современные капчи и в правду глаз сломаешь иной раз.

НЛО прилетело и опубликовало эту надпись здесь

dirtyHabrBobr 9 октября 2009, 22:05 # ↑

требуется решение, специально под такой блог заточенное

в промышленном объеме (я занимался дорами прежде)
парсинг и спам площадок автоматизирован.
Глазами ее кто-либо не скоро увидит, просто сайт будет уходить в список непробитых

zeroed 10 октября 2009, 00:28 # ↑

А непробиваемые сайты ради интереса и улучшения «сервиса» не смотрят вручную на предмет интересного?

–1

dirtyHabrBobr 10 октября 2009, 01:54 # ↑

выиграем время и успеем усложнить задачку

mordet 9 октября 2009, 21:57 #

Сложными при распознавании компьютером все еще являются образы вещей, которые люди выделяют по неким признакам. Например, попробуйте заставить компьютер распознать корову в рисунке пятилетнего ребенка, где помима туловища, пары-тройки палок и головы с рогами ничего не понять.
Что меня всегда удивляло — это то, что легкораспознаваемые общепринятые СИМВОЛЫ все еще РИСУЮТ на картинках, якобы сложно разпознаваемых. Логичнее было бы спрашивать, что тут нарисовано, иметь список ассоциаций, заодно и о душевном здравии человека узнаете немало нового.

P.S. Не предлагаю показывать любимые психологами «пятна» (:

НЛО прилетело и опубликовало эту надпись здесь

Tolsi 9 октября 2009, 22:12 # ↑

рандомное перемещение конечностей коровы в заданной области с небольшим углом поворота?

НЛО прилетело и опубликовало эту надпись здесь

Tolsi 9 октября 2009, 22:20 # ↑

… с рандомным уровнем полупрозрачности каждой отдельной части тела коровки
ps искать будем долго… очень… слишком

medvoodoo 10 октября 2009, 09:31 # ↑

генератор коровы существует уже давно, правда не для капчи, в линуксе команда(пакет) cow :)

stn 10 октября 2009, 06:34 # ↑

Вот например в этой капче, дже если образ распознан роботом, все равно это еще не дает ответа: www.1clicaptcha.com

mordet 10 октября 2009, 14:13 # ↑

Правильно, это только пол-дела. Но если образ все-таки распознан, с помощью деревьев ассоциаций машина вполне может такие задачки «решить». Задание дается в текстовом виде, что облегчает его анализ, а вероятность угадывания кликов при необходимом одном слишком велика, ведь картинки расположены строго по таблице. (Примерно 11.(1)% в приведенных Вами примерах — она огромна!)

Вот в задании с выбором двух вероятность угадать уже 0.(75)%, гораздо меньше. Но с учетом того, что спамерам порой достаточно и такой вероятности, она тоже слишком мала.

Согласитель, ввод слова гораздо сложнее клика мышью не только физически для человека, но и затратно для брутфорсера, ведь там вероятности исчисляются уже совсем другими цифрами.

Miona 9 октября 2009, 22:25 #

А с оперы мини например такую капчу никак и не использовать… Или с другого какого-нибудь мобильного браузера.

Skylan 10 октября 2009, 02:05 # ↑

Opera mobile 9.5 — прекрасно работает такая капча. Так что не со всеми мобильными браузерами проблема.

А вот с Opera mini и встроенными телефонными браузера — это минус, точно не пройдешь такую капчу.

Qbit 9 октября 2009, 22:34 #

Любой желающий может сломать эту капчу с нуля за вполне обозримое время. Алгоритм поиска решения.
1) Поэкспериментировать со свободными OCR-системами, такими как CuneiForm и Tesseract.
2) Поэкспериментировать со свободными библиотеками для image processing & computer vision, такими как OpenCV или Aforge.NET.
3) Почитать по диагонали книжки по обработке изображений, например, Гонсалеса—Вудса, Пратта, Форсайта.
4) Разобраться с алгоритмом Хафа для нахождения окружностей, взять готовую реализацию.
5) Для квадратов будет отлично работать заполнение областей и последующий анализ гистограмм-проекций (т.н. вертикальная и горизонтальная статистика). Но это навскидку, скорее всего, смогу придумать способ и проще.
6) ?????
7) Профит!

dirtyHabrBobr 9 октября 2009, 22:49 # ↑

я тоже коменты в середине бывает пропускаю
1 2

Qbit 9 октября 2009, 23:02 # ↑

1) Здесь не идёт речь о вероятностном долблении. Речь идёт о полноценном ломе. В данном виде капчи я оцениваю вероятность успеха каждой попытки примерно как 100%. Что, по сравнению с другими видами капчи, запредельно много.

2) Лом капчи всегда заточен под конкретный вид капчи.

Kastrulya 9 октября 2009, 22:35 #

мне кажется бесполезно т.к. роботы уже и эти загогулины-буквы распознают, а самый большой шарик и подавно. дас ист ИМХО.

+13

habrausername 9 октября 2009, 22:35 #

А давайте сразу так —

Табличка «Cарказм».

Error_403_Forbidden 9 октября 2009, 23:05 #

0. Не все знают немецкий язык, поэтому не все смогут понять задание.
> 1. OCR-ить картинку бесполезно
Ха! Помнится, в 1994-м году, в школе на олимпиаде по информатике как раз было такое задание — найти на картинке круг и треугольник. Некоторые школьники(!) написали алгоритм. Так что распознавать простейшие шаблонные фигуры очень просто (взять хотя бы метод Хафа)
> 2. использовать индокитайцев с anticapcha тоже (пока)
Это и не нужно
> 3. надстройки вроде Зеннопостера не натренируешь — нажимать надо в разные места
Можно чисто случайными нажатиями угадать ответ
В общем, как только начнут ставить эту капчу, её тут же поломают

adm0r 9 октября 2009, 23:10 # ↑

Ха! Помнится, в 1994-м году, в школе на олимпиаде по информатике как раз было такое задание — найти на картинке круг и треугольник. Некоторые школьники(!) написали алгоритм. Так что распознавать простейшие шаблонные фигуры очень просто (взять хотя бы метод Хафа)

Да что далеко ходить, у меня в школе на олимпиаде было задание найти круг и вписать в него прямоугольный треугольник. Я справился, и это при том, что я слабый программист, без необходимой теоретической базы.

Plague 12 октября 2009, 12:05 # ↑

Ха! Помнится, в 1994-м году, в школе на олимпиаде по информатике как раз было такое задание — найти на картинке круг и треугольник. Некоторые школьники(!) написали алгоритм. Так что распознавать простейшие шаблонные фигуры очень просто (взять хотя бы метод Хафа)

Зачем все усложнять? Ведь, наверняка, школьникам на вход будут давать простые картинки, т.е. с одной однотонной фигурой.
Находим фигуру на картинке, обводим в прямоугольник, считаем отношение площади фигуры к площади прямоугольника. Если отношение близко к 0,78 — круг, равно и менее 0,5 — треугольник.

DeMx 9 октября 2009, 23:12 #

Выглядит убоговато.

daysfullofwonder 9 октября 2009, 23:24 #

детский сад

maxano 9 октября 2009, 23:43 #

Если выбрать по какому то порядку цифры, т.е. кликнуть n раз, и отдать координаты, было бы более разумно. Как выше было написано, скажем выбрать четные или на оборот цифры.

maxano 9 октября 2009, 23:44 # ↑

Или разместить головы животных %) и выбрать только домашних или диких, в общем, чем больше кликов, тем лучше.

Error_403_Forbidden 9 октября 2009, 23:49 #

В каждом посте про капчи комментарии повторяются.
Автор, ты читал хотя бы один пост на хабре про капчи?

monser 9 октября 2009, 23:51 #

чтоб точно не сломали сделать тоже самое в флеше + сделать чтоб все шарики бегали по полю и чтоб они крутились вокруг себя, вот так примерно:

ну вокруг могут летать цифры… и чтоб взломать такое скрипту взломщика придётся делать много скриншотов что равняется времени… тобишь если круг большой цифры одновременно не видно… то надо ждать пока он прокрутить… а крутится оно может медленно…
кроме этого выбрать надо будет несколько фигур… например все фигуры на которыч сумма цифр больше 10… капчу делать большой где то пикселей 500х200 или даже 600х300… мячики делать маленькими… пикселей на 36х36 примерно… ну разных размеров конечно…
скорость вращения делаем рандомальной… + добавляем несколько осей вращения…

monser 9 октября 2009, 23:53 # ↑

зато челу не придётся клаву трогать как в случае с капчей… но мозг напрячь чуток придётся… =)

MYPABEU 10 октября 2009, 08:49 # ↑

Что бы взломать такое достаточно будет простого дебагера.
Флэш теперь открытый формат — поэтому дебагеров развелось море, в том числе и опенсурсных.

dyakov 10 октября 2009, 11:49 # ↑

Вся работа капч основана на том что на сервере известен ответ
С бегающей и меняющейся капчей это не возможно

KiLEX 10 октября 2009, 00:00 #

А мне нравиться :)
Для понижение шансов 1% можно сделать пару тройку таких заданий. кликать все равно проще чем упорно набирать вглядываяся в капчу

KiLEX 10 октября 2009, 00:03 # ↑

кроме того можно увеличить размер картинки. что понизит шанс. иногда увеличивать размер обьектов, чтобы они пересекались. и задачи типа кликнуть впересечение обьектов

Nesp 10 октября 2009, 00:00 #

В следующем году ценители WP открую для себя капчи на флеше, в духе
img527.imageshack.us/img527/2917/newcaptcha.jpg.

Agent_Smith 10 октября 2009, 00:06 # ↑

404 — Not Found

Nesp 10 октября 2009, 00:08 # ↑

Точка в конце — анти-кармо-фильтр ;)

zimorodok 10 октября 2009, 00:05 #

В тему капчей. Порпобуйте прослушать капчи для людей с плохим зрением.

Agent_Smith 10 октября 2009, 00:10 # ↑

На некоторых проектах разобрать капчу по голосу не составит труда, там без всякого шума, очень внятно с большими промежутками говорят прям по буквам: А — B — …
Но вот что воспроизводит ReCaptcha по мойму не сможет понять ни один гуманоид в нашей галактике.

Agent_Smith 10 октября 2009, 00:05 #

У нас на локальном трекере уже давно подобная капча стоит. Правда не понятно, нафиг она нужна на локальном трекере?
В общем суть сводится к тому, что там матрица 5х10 клеток, где одна из ячеек закрашена синим цветом.
Надо кликнуть по ней 10 раз, после каждого клика ячейка меняет свое положение.

Shchvova 10 октября 2009, 00:10 #

Мда, по моему котята круче.
Кстате, а кто придумал название с 4 согласными подряд? (на мой ник не смотреть, я его вообще не для того чтобы читать придумал)

ConstNW 10 октября 2009, 01:26 #

> OCR-ить картинку бесполезно

Как это бесполезно? Что за глупости?

Алгоритм простой:
1. грузим картинку с кликчи.
2. вырезаем заголовок с задачей и сравниваем с штаммами заданий.
3. Выполняем поиск простых фигур(квадрат, круг, прямоугольник) и возможно цифр в них(без искажений)
4. ???
5. Profit!

Замечание по упрощению: Если нам влом разбирать что-то отличное от квадратов, то делаем запросы на кликчу до получения нужного задания.

Таким образом получается все с точностью до наоборот. Разбор кликчи оказывается еще проще.

dirtyHabrBobr 10 октября 2009, 01:46 # ↑

Сколько времени займет один успешный пробив?
(средняя спам-база 200к урлов)

ConstNW 10 октября 2009, 02:31 # ↑

эффективность разгадывания стремится к 100%
процессорным временем на разбор картинки можно пренебречь.
решение задачи зависит от ширины канала.

DnV 10 октября 2009, 03:40 #

Бегало, прыгало, координаты… как далеко представление большинства хабраюзеров о эффективности каптчи :( Сабж ломается немного дольше простого чекбокса.

kolpeex 10 октября 2009, 15:49 #

Примерно такой должна быть капча, только {SHUFFLE} по-умолчанию ;-)

www.flashzona.ru/i1948

d9k 11 октября 2009, 00:50 # ↑

… и в вашем блоге будет либо молчание, либо парочка матерных комментариев)

НЛО прилетело и опубликовало эту надпись здесь

ruguevara 12 октября 2009, 09:53 #

Кликокапча чтобы не ломалась брутфорсом как описано выше, должа быть из серии картинок, и желательно чтобы там были размытые образы. Например фото натюрморта и надпись «кликните на синий цветочек» (а в следущий раз «кликните на вазу»). На следующей картинке «кликните на девушку», на следующей «кликните на колесо». Это можно поставить на краудсорсинг по типу Recapcha (про одну из картинок система сама не знает ответ, только ключслово) и в результате будем иметь помеченные ключевыми словами области на картинках.

dirtyHabrBobr 12 октября 2009, 10:50 #

Есть хороший вариант типа теста на IQ
но у них страница Usage не работает, неясно можно ли прикрутить к WP

ioni 14 октября 2009, 19:37 #

Как-то все плавно перешло на обсуждение «как сломать» вместо полезности для пользователя.

Когда я комментирую, мне *лень* двигать мышкой — TAB на клавиатуре отлично справляется (поэтому например, я не не люблю checkbot — кривые руки программистов не догадались поставить номер перехода в форме, в результате ТАБ'ом я туда не попадаю сразу.

А тут придется принести в жертву скорость общения, между прочим