Antivírus blog

vírusok, férgek, botnetek, kártevők

Akiknek a Captcha kínszenvedés

2013. augusztus 07. 13:09 - Csizmazia Darab István [Rambo]

Bár a vírusokkal közvetlenül nem, de a számítógépes biztonsággal azért kapcsolatos a bizonyára mindenki által ismert Touring teszt, a regisztrálásoknál, bejelentkezéseknél szokásos Captcha felismerési feladat. Ezek közül néhány kacifántosabb hullámírás valljuk be, sokszor még a gyakorlott, teljesen egészséges felhasználókat is próbára teszi, ám van egy olyan csoportja is a gép előtt ülőknek, akiknek ez a fajta nehezítés komoly gondot, vagy éppen leküzdhetetlen akadályt jelent, ők pedig a fogyatékkal élők.

Már jó ideje, hogy a spamek és kártevőket terjesztő e-mailek feladói tömegesen, iparszerűen regisztrálnak kamu címeket, és ezt megakadályozandó lenne az egyik eszköz ez a bizonyos Captcha. Amely a "Completely Automated Public Turing test to tell Computers and Humans Apart" azaz "teljesen automatizált nyilvános Turing-teszt a számítógép és az ember megkülönböztetésére" szavak kezdőbetűi alapján kapta a nevét a keresztségben. A hullámzó betűk, a betűhatárokat összemosó megjelenítés, a betűtesten keresztülfutó vonalak, a színezett, illetve raszterezett háttér mind-mind amiatt kerültek a képbe, hogy az automatikus felismerést kizárva igazi hús-vér ember lehessen csak képes megoldani ezeket a feliratokat. Elvileg. Mert hogy milyen megkerülő módszerek léteznek, arról már korábban többször írtunk, például a Captcha törő indiai rabszolgákrólÁm úgy tűnik, az egyre bonyolultabb ábrákkal operáló történetben van egy felhasználói réteg, akikre sajnos kevesen gondoltak az ilyen Captchas fejtörők "kapcsán". Legalábbis ez derül ki abból a kezdeményezésből, amelyet ausztráliai fogyasztóvédelmi, valamint fogyatékosokat képviselő csoportok indítottak különféle látássérült, hallássérült szervezetek nevében a Captcha "megbuktatására", mert őket nem azonosítják humánként.

Elmondásuk szerint az alapkoncepció, amely a valódi felhasználó és az automatizált botok közt tenne különbséget, egyáltalán nem gondol rájuk, vagyis a különféle fokú fogyatékossággal élőkre, és nem kínál számukra semmilyen útmutatást, vagy elkerülő alternatív megoldást. Úgy vélik, a Captcha töltögetés sokszor nem csak egyszerűen frusztráló, vagy aránytalanul nehezen, időigényesen megoldható számukra, de egyes esetekben egyenesen lehetetlen feladat elé állítja őket. Ebben az úgynevezett audió lehetőség későbbi bevezetése sem hozta meg a teljeskörű megváltást. Az ACCAN (Australian Communications Consumer Action Network) éppen ezért azt javasolja, hogy legyen lehetőség más, például egy megerősítő e-mail opcióra, ahol mondjuk a "valóban regisztrálni szeretne" kérdésre kapott visszaigazoló levél tartalmazná a szükséges aktivációs linket, nem pedig kusza betűs rejtvény, ez mindenki által egyszerűen kezelhető, és egyben biztonságos megoldás is lehetne.

Elvileg az ajánlások között egyébként léteznének olyan szofisztikált interakció mentes megoldások is, amelyek például a spamekhez hasonlóan az azonos IP tartományból érkező tömeges regisztrációkat ki tudják szűrni, vagy bármiféle extra ellenőrző kód begépelése nélkül is valamilyen heurisztikus vizsgálattal meg tudná különböztetni a humán és az automatizált robot felhasználókat. Ugyancsak megvalósítható technikai megoldás lehet, hogy a különféle szolgáltatások túlterhelése elleni védekezésként átmenetileg csak abban az időszakban kérnének be megerősítő Captcha kódot, amíg a kiszolgáló szerver terhelése bármilyen okból (pl. DoS támadás, stb.) magas, míg ha ez normál értékre lecsökken, akkor már elhagyják ezt az ellenőrzést.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr185449591

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nevergone 2013.08.07. 13:31:31

Jobb helyeken lehetőség van a szöveges captcha helyett hang-alappút is kérni.

Yv@n 2013.08.07. 14:43:26

"Az ACCAN (Australian Communications Consumer Action Network) éppen ezért azt javasolja, hogy legyen lehetőség más, például egy megerősítő e-mail opcióra, ahol mondjuk a "valóban regisztrálni szeretne" kérdésre kapott visszaigazoló levél tartalmazná a szükséges aktivációs linket, nem pedig kusza betűs rejtvény, ez mindenki által egyszerűen kezelhető, és egyben biztonságos megoldás is lehetne."
És egyúttal teljességgel használhatatlan is lenne, legalábbis abból a szemszögből nézve, ami miatt a captcha alkalmazásra kerül.

Drupal/wordpress telepítéseknél régóta opció, hogy nem captcha-t használ az ember, hanem megerősítő email-t. A gond csak az, ha rátalál a site-ra egy spambot, mert ezesetben ennek a megoldásnak az eredménye napi 1000-1500db visszapattanó levél kamu címekről, rosszabb esetben akár megtoldva a szerver ipcímének egy laza egyhetes spamlistára kerüléssével.