CAPTCHA'ların sonu!

Sanıyorum hepimiz CAPTCHA denen şeyi ve ne kadar sinir bozucu olduğunu biliriz. OCR sistemlerinin tanıyamaması için iyice bozulan bu yazılar aynı zamanda bizim gözlerimizi de olağan dışı şekillere sokarlar. Ne varki bir yandan da spam-bot olarak anılan ve başta forumlar olmak üzere birçok yerde otomatize edilmiş halde reklam yayınlayan yazılımlardan korunmak için de en başarılı yol CAPTCHA kullanmak. Yani, en azından şu ana kadar öyleydi...

ThePCSpy.com adlı bir siteyi yöneten Oli adlı bir arkadaş artık bu göz yorucu ve kullanışsız uygulamadan sıkılmış ve sonunda KittenAuth adlı yeni bir sistem geliştirmiş.

Sistemin temel mantığı Blade Runner adlı kitaptan bildiğimiz bir tekniğe dayanıyor. Bu güne kadar kullanılan CAPTCHA sisteminin temelinde bir metnin OCR ile tanınamayacak kadar bozulması, fakat bir insan tarafından okunabilmesi fikri yatıyordu. Bu fikir iki yönden hatalıydı. Birincisi, latin alfabesi kullanmayan insanlar için sorun olabilmesiydi. İkinci hata ise her ne kadar şu anda elimizde olan OCR sistemleri CAPTCHA'ları çözemese de yeterince gelişmiş bir OCR sistemi için onları çözmenin o kadar da zor bir eylem olmayacağıydı.

Durumu gören Oli, bilgisayarlar tarafından taklit edilmesi, en azından yakın gelecekte, pek olası gözükmeyen bir insan özelliğinden faydalanmaya karar verdi: Duygular. Bunun üzerine siteye kayıt için ortalığa birkaç adet resim koydu ve kayıt olacak olan kullanıcıdan bu resimlerin arasından sevimli kedileri seçmelerini istedi.

Bu sistem botlara karşı daha kesin bir koruma sağlaması ve dilden bağımsız olması gibi avantajların yanında göz bozan yazılar yerine sevimli fotoğraflar göstererek gözünüze de hitap ediyor. Üstelik kullanılacak resimleri dilediğiniz gibi değiştirebiliyorsunuz. Bu sayede sitenizin içeriğine daha uygun resimlerle de bu yöntemi uygulamanız mümkün.

Bakalım şimdi spammer cephesinden buna nasıl bir cevap gelecek?

Görüşler

towsonu2003
yaklaşık 18 yıl önce

pr0n siteleri de en sirin kedi resimleri yayinlar eminim...

saka bir yana, umarim dial up kullanan siteleri dusunup cici ve kucuk resimler koyarlar... ve javascript kullanmazlar (bazilarimiz hala dillo ve lynx'i seviyor)...

bio
yaklaşık 18 yıl önce

Bu ilk degil, bu tur fikirler daha once de vardi ama sorun surada: Bunlar, CAPTCHA gibi otomatik uretilebilir seyler degil. Sonucta oraya sinirli sayida hayvan resmi koyabiliyorsunuz. Belli bir siteyi hedefleyen spammer, birkac defa refresh edip, olasi butun resimleri ona gore bir bot yazabilir.

Belki resimleri cesitli efektlerle rastgele sekilde bozmak dusunulebilir ama bu sefer de insanlarin da kediyi ayirt etmesi zorlasabilir.

Butun bunlarin yaninda, (eski tip CAPTCHA dahil) bu metodlarin gorme ozurluler icin sorun olusturdugunu da eklemekte yarar var.

tongucyumruk
yaklaşık 18 yıl önce

Herşeyden önce şuna dikkat etmek lazım. Eğer bir spammer sadece sizin sitenizi hedef almışsa üşenmeyip gidip her seferinde CAPTCHA'yı kendisi aşarak sisteme kullanıcı kaydı da yapabilir. Yani bu tip sistemler genelde sitenizi özel olarak hedefleyen insanlar üzerinde işe yaramaz.

CAPTCHA tarzı sistemlerin hedeflediği asıl olay belli bir tip yazılımı (mesela phpbb'yi) hedefleyen ve bu yazılımın olduğu her siteye otomatik olarak kullanıcı ekleyip spam yollayan bot'ları engellemektir. Bu konuda şu anki CAPTCHA sistemi de oldukça başarılıdır tabiiki fakat insanlara eziyet etmektedir.

Daha önemlisi CAPTCHA sisteminin çalışma mantığı tektir. Bir resim olur ve siz o resmin içerisindeki yazıları bir kutuya girersiniz. Halbuki KittyAuth sisteminde gerek soruyu, gerekse resimleri dilediğiniz gibi değiştirme şansınız vardır. Dahası sorular ve cevapları rastsal bir şekilde değiştirerek botlara karşı oldukça ciddi bir koruma sağlayabilirsiniz.

Bu sistemin sorunları yok mudur? Olmaz olur mu? Tabiiki vardır. Sizin de bahsettiğiniz gibi görme engelli insanların bu sistemi nasıl kullanacağı bir sorundur. Belki onlar için de bu sistemin sesli bir türevi kullanılabilir. Dİğer bir sorun ise KittyAuth resimlerinin CAPTCHA'da olduğu gibi tamamen rastsal bir şekilde üretilmiyor olmasıdır. Bu sayede siteler ve onların KittyAuth sistemlerindeki soru ve cevapları içeren veritabanları oluşturulabilir ve böylece bot'ların yolu açılabilir.

Bu tip bazı sorunları olmakla beraber öncelikle alfabe sorununu çözmesi, bunun yanında insan/bilgisayar ayrımını CAPTCHA'ya oranla çok daha "insansı" bir yolla tespit etmesi sebebiyle bence bu yöntemin yolu açık.

Zebani
yaklaşık 18 yıl önce

"rastsal" bu türkçe mi? yoksa benim bilmediğim bir teknik terim mi? sanırım "raslantı" kelimesiyle bir ilişkisi var ama. :)

FZ
yaklaşık 18 yıl önce

ASCII tabanlı CAPTCHA, seslendirme yazılımı kullanan görme engelliler için, görüntü tabanlı CAPTCHA'ya göre çok daha avantajlı değil mi?

hayy
yaklaşık 18 yıl önce

bunu söylemek için çok erken bence, resimleri tıklayıp güvenli giriş yapmak ta pek sağlam değil. örnek olarak 9 resim var diyelim, 9'un üçlü kombinasyonları yapılır ve böylece bozuk resimli girişten çok daha kolay şekilde sisteme giriş yapılır. captcha'yı alt edecek bir algoritma olarak görmüyorum, görenlere lafım yok.

tapoem
yaklaşık 18 yıl önce

çok fazla yer kaplıyorlar sitede. bence bu yüzden de kullanılmıyorlar.

Evil_Empire
yaklaşık 18 yıl önce

Otomatik olarak server tarafında üretilen "CAPTCHA" imajlararını okumakta zorlandığım oluyor. Ayrıca "I" ve "1", "O" ve"0" gibi birbirine karışabilen semboller her zaman ayırd elimeyebiliyor.

Buna karşılık şu ana kadar gördüğüm kullanışlı bot engelleyici sistemi: http://www.darkthrone.com adresinde gördüğümü belirteyim. Online oyun oynanan bu sitede rastgele kelimelerden üretilen "CAPTCHA" imajları üzerinde iki kere geçen kelimeyi buluyorsunuz. Hiç klavyeye dokunmadan 1 sn süren bir işle çözmüşler olayı.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Apache.org´u nasıl hack ettim?

conan
9 Haziran 2001, 1 dakika okuma süresi

Baştan söyleyeyim, hack eden ben değilim ;) Daha önce Apache.org un başına gelenler yazısında belirttiğim olayın akabinde, hack'in nasıl gercekleştirildigine dair hacker (cracker?) ile bir IRC roportajı yapılmış.

Kendini fluffy bunny diye tanıtan hacker roportajda detaylı bir şekilde apache.org, VA Linux (themes.org), Source Forge (5 ay) ve de bir ISP'yi (Akamai.net) nasıl eline geçirdiğini anlatıyor. Genel olarak sniffing ve SSH üstünden trojan horse yollayarak passwordleri ele geçirdiğinden bahseden bunny kendisine white hat mi yoksa black hat mi diye soranlara da gray hat olduğunu soylemiş ;) (Do not underestimate the power of the dark side... [Star Wars - Yoda])

Detaylı bilgi

DNS Önbellek Zehirlenmesi: Açıklık ve Kapanması

auselen
5 Ağustos 2008, 1 dakika okuma süresi

Internet'in temel protokollerinden olan DNS üzerinde çok ciddi bir açık bulunmuştur.

Son günlerde görünürlüğü, etkisi ve alınan önlemleri açısından çokça tartışılan, Dan Kaminsky tarafından bulunan DNS protokol açığı, belli başlı ürünler için çözülmüş olmasına rağmen, açıklığı suistimal edebilecek saldırı araçlarının ortaya çıkması ve hala tüm ağ ve bilgisayar markaları tarafından çözümlerin sunulmamış olmasından dolayı, daha uzunca bir süre güvenlik açısından bir sorun olmaya devam edecek gibi görünmektedir.

Tarayıcınıza güvenlik testi

Soulblighter
23 Mart 2005, 1 dakika okuma süresi

Internet tarayıcınız güvenli mi? Güvenlik firması ScanIT bunun için online çalışan bir güvenlik testi hazırlamış.
http://bcheck.scanit.be/bcheck adresinden ulaşabilirsiniz...

Test uygulaması, kullandığım Firefox 1.0.1 tarayıcısında herhangi bir hataya rastlamadı. :)

Netsec Güvenlik Bülteni: Sayı 30 18.07.2010

anonim
20 Temmuz 2010, 1 dakika okuma süresi

Netsec ağ ve bilgi güvenliği listesi üyeleri tarafından hazırlanan güvenlik bülteninin 30. sayısı çıktı.

Makyajsız siteler

barbar
15 Temmuz 2002, 1 dakika okuma süresi

Internetin haşarı çocuklarının yaptıkları yaramazlıkları takip edebileceğiniz bir site bu. İçeriğinde hangi grup kime kızmış, hıncını nasıl almış, kimleri selamlamış gibi konulara açıklık geliyor.
Sistem yöneticileri hangi sistem nasıl kırılmış log dosyalarından öğrenip, isterlerse önlem bile alabilirler.
defacement archives