Распознавание и капча: мемуары спамоборчества
Деятельность нехороших программ-роботов (ботов), засыпающих спамом комментарии блога, заставляет использовать для борьбы со спамом в комментариях капчу. Капча – это задача, решение которой для человека не составляет труда, а робота ставит в тупик (тут, кстати, есть некоторое глубокое пересечение с NP-полными задачами, – шутка).
Для отправки комментария капчу требуется решить. Не слишком вежливо по отношению к комментатору, но что делать – я пробовал отключать капчу на dxdt.ru, результат ошеломляющий: несколько сотен комментариев со ссылочным спамом от ботов в сутки.
Так вот, капчи бывают самые разные. Я уже опробовал на dxdt.ru несколько вариантов, самые ранние из которых были текстовыми, а не “картиночными”.
Первый вариант состоял в решении простой арифметической задачи: “Сложите 3 и 1, результат введите в поле ответа”. Через некоторое время пришли боты и оставили спамерские сообщения.
Второй вариант капчи был даже и не капчей, а “вежливой системой” опознавания “свой-чужой”, работавшей по схеме “запрос-ответ”. Противоботовый комплект включал серверную и клиентскую часть. Впрочем, это конечно громко сказано, потому что обе части исчерпывались парой десятков написанных мной строк кода на загадочных языках PHP и javascript.
Система работала так: в форму комментирования сервером передавался некий код-пароль, отзыв на который вычислялся на стороне браузера с помощью особого кода javascript. Вычислялся отзыв автоматически, пользователю ничего решать не надо было. А без знания начальных установок серверной части сделать универсальный решатель для бота также оказывалось затруднительным. Кроме того, по моим тогдашним ощущениям, бот не должен бы разбирать javascipt на атакуемых страницах.
Некоторое время всё шло хорошо и спама не было. Потом пришёл некто (со стороны сервера выглядевший как браузер) и оставил спам на нескольких страницах, выполнив javascript. Не ясно, был ли это бот или биоробот (специалисты в этой непростой области мне потом говорили, что возможны оба варианта).
Третий вариант капчи опять стал невежливым и работал в кольце вычетов по модулю два (опять шутка): от комментатора требовалось определить ключевое слово, введя только чётные (или нечётные) буквы исходного слова, которое приводилось в форме комментирования. Почему-то с этой капчей не умели справляться некоторые живые комментаторы. Поэтому пришлось видоизменить задачу: длительное время проработавший вариант предлагал ввести короткое ключевое слово наоборот, справа-налево (rumba = abmur).
Впрочем, однажды текстовую капчу на dxdt.ru заменили картинки из найденного в закромах вордпрессовского репозитория хорошего плагина. Картиночная капча предлагает распознать символы на картинке. Для бота такая задача трудна. Особенно если символы качественно подобраны. (Правда, некоторые капчи из картинок-символов боты умеют распознавать хорошо.) Работающая сейчас на dxdt.ru картиночная капча пока не пропустила сколь-нибудь заметного количества спама. Тем не менее, на неё иногда жалуются комментаторы, что распознать сложно. Я думаю, что подобная жалоба однозначно идентифицирует человека. Впрочем, может уже есть и боты-жалобщики.
Тем не менее, я подумываю сделать новую капчу – геометрическую. Пример – на картинке к этой заметке. Задача капчи будет формулироваться так: “Сколько {треугольников|прямоугольников|квадратов|кругов|ромбов} вы видите на картинке?”. Посмотрим, какой будет эффект.
Адрес записки: https://dxdt.ru/2008/02/22/1164/
Похожие записки:
- Быстрые, но "нечестные" подписи в DNSSEC
- Небольшой переезд dxdt.ru
- Ядро Linux и звуки ноутбуков
- Another World на FPGA
- CVE-2024-31497 в PuTTY
- TLS-сертификаты dxdt.ru
- Симметричные ключи, аутентификация и стойкость в TLS
- Прогресс ESNI
- Chrome и УЦ Entrust
- Машинный ИИ в книгах прошлого века
- Странные особенности Golang: комментарии и ассемблер
Комментарии читателей блога: 6
1 <t> // 25th February 2008, 11:12 // Читатель dxdt.ru: занимательный… написал:
[…] Мемуары спамоборчества: капча и распознавание. (Оценить запись) Loading … Больше заметок – на главной странице блогаЧитайте также: […]
2 <t> // 25th February 2008, 16:09 // Читатель xcellnt написал:
Есть один приём против которого нету лома – взлом капчи на почтовых сервисах типа Gmail сетевыми порнографами для спама.
Бот хитрым образом копирует капчу на порносайт и предлагает её в качестве доступа к “продвинутому” контенту порносайта. И человек берет и вводит её ручками, “ломая” таким образом капчу :), бот получает чистенький аккаунт. Симбиоз бота и человека работает безотказно. И не надо заморачиваться на распознавание образов :).
3 <t> // 25th February 2008, 16:36 // Александр Венедюхин:
>Есть один приём против которого нету лома
Именно. Это и имелось в виду под биороботами.
4 <t> // 2nd March 2008, 17:25 // Читатель Allina написал:
Не надо никаких капч. Нужно самому все читать заодно и удалишь всякие гадости. В конце концов это же твой блог! А капчи ерунда
5 <t> // 2nd March 2008, 20:51 // Александр Венедюхин:
>Нужно самому все читать
Да-да, все семь-девять сотен сообщений в сутки. Ага.
6 <t> // 13th March 2008, 23:26 // Читатель almr написал:
Задумывался на этими капчами – как мне кажется текст и буковки очень тяжело, иногда задалбывает такой текст, не догадаться и не разглядеть. А вот мне кажется можно было бы показывать картинку например кошку или дерево и тогда человек бы легко отвечал, а для бота это крутая головоломка. А то иногда так зашумят, что не понять то ли это большая буква то-ли маленькая и тд. А еще можно ботов ловить по тому как вводится комент (он же его мгновенно вводит а человек даже быстрый не сможет) и еще можно проверять множество параметров – но это не так просто как картинки крутить.