CAPTCHA'ların sonu!

Sanıyorum hepimiz CAPTCHA denen şeyi ve ne kadar sinir bozucu olduğunu biliriz. OCR sistemlerinin tanıyamaması için iyice bozulan bu yazılar aynı zamanda bizim gözlerimizi de olağan dışı şekillere sokarlar. Ne varki bir yandan da spam-bot olarak anılan ve başta forumlar olmak üzere birçok yerde otomatize edilmiş halde reklam yayınlayan yazılımlardan korunmak için de en başarılı yol CAPTCHA kullanmak. Yani, en azından şu ana kadar öyleydi...

ThePCSpy.com adlı bir siteyi yöneten Oli adlı bir arkadaş artık bu göz yorucu ve kullanışsız uygulamadan sıkılmış ve sonunda KittenAuth adlı yeni bir sistem geliştirmiş.

Sistemin temel mantığı Blade Runner adlı kitaptan bildiğimiz bir tekniğe dayanıyor. Bu güne kadar kullanılan CAPTCHA sisteminin temelinde bir metnin OCR ile tanınamayacak kadar bozulması, fakat bir insan tarafından okunabilmesi fikri yatıyordu. Bu fikir iki yönden hatalıydı. Birincisi, latin alfabesi kullanmayan insanlar için sorun olabilmesiydi. İkinci hata ise her ne kadar şu anda elimizde olan OCR sistemleri CAPTCHA'ları çözemese de yeterince gelişmiş bir OCR sistemi için onları çözmenin o kadar da zor bir eylem olmayacağıydı.

Durumu gören Oli, bilgisayarlar tarafından taklit edilmesi, en azından yakın gelecekte, pek olası gözükmeyen bir insan özelliğinden faydalanmaya karar verdi: Duygular. Bunun üzerine siteye kayıt için ortalığa birkaç adet resim koydu ve kayıt olacak olan kullanıcıdan bu resimlerin arasından sevimli kedileri seçmelerini istedi.

Bu sistem botlara karşı daha kesin bir koruma sağlaması ve dilden bağımsız olması gibi avantajların yanında göz bozan yazılar yerine sevimli fotoğraflar göstererek gözünüze de hitap ediyor. Üstelik kullanılacak resimleri dilediğiniz gibi değiştirebiliyorsunuz. Bu sayede sitenizin içeriğine daha uygun resimlerle de bu yöntemi uygulamanız mümkün.

Bakalım şimdi spammer cephesinden buna nasıl bir cevap gelecek?

Görüşler

towsonu2003
yaklaşık 20 yıl önce

pr0n siteleri de en sirin kedi resimleri yayinlar eminim...

saka bir yana, umarim dial up kullanan siteleri dusunup cici ve kucuk resimler koyarlar... ve javascript kullanmazlar (bazilarimiz hala dillo ve lynx'i seviyor)...

bio
yaklaşık 20 yıl önce

Bu ilk degil, bu tur fikirler daha once de vardi ama sorun surada: Bunlar, CAPTCHA gibi otomatik uretilebilir seyler degil. Sonucta oraya sinirli sayida hayvan resmi koyabiliyorsunuz. Belli bir siteyi hedefleyen spammer, birkac defa refresh edip, olasi butun resimleri ona gore bir bot yazabilir.

Belki resimleri cesitli efektlerle rastgele sekilde bozmak dusunulebilir ama bu sefer de insanlarin da kediyi ayirt etmesi zorlasabilir.

Butun bunlarin yaninda, (eski tip CAPTCHA dahil) bu metodlarin gorme ozurluler icin sorun olusturdugunu da eklemekte yarar var.

tongucyumruk
yaklaşık 20 yıl önce

Herşeyden önce şuna dikkat etmek lazım. Eğer bir spammer sadece sizin sitenizi hedef almışsa üşenmeyip gidip her seferinde CAPTCHA'yı kendisi aşarak sisteme kullanıcı kaydı da yapabilir. Yani bu tip sistemler genelde sitenizi özel olarak hedefleyen insanlar üzerinde işe yaramaz.

CAPTCHA tarzı sistemlerin hedeflediği asıl olay belli bir tip yazılımı (mesela phpbb'yi) hedefleyen ve bu yazılımın olduğu her siteye otomatik olarak kullanıcı ekleyip spam yollayan bot'ları engellemektir. Bu konuda şu anki CAPTCHA sistemi de oldukça başarılıdır tabiiki fakat insanlara eziyet etmektedir.

Daha önemlisi CAPTCHA sisteminin çalışma mantığı tektir. Bir resim olur ve siz o resmin içerisindeki yazıları bir kutuya girersiniz. Halbuki KittyAuth sisteminde gerek soruyu, gerekse resimleri dilediğiniz gibi değiştirme şansınız vardır. Dahası sorular ve cevapları rastsal bir şekilde değiştirerek botlara karşı oldukça ciddi bir koruma sağlayabilirsiniz.

Bu sistemin sorunları yok mudur? Olmaz olur mu? Tabiiki vardır. Sizin de bahsettiğiniz gibi görme engelli insanların bu sistemi nasıl kullanacağı bir sorundur. Belki onlar için de bu sistemin sesli bir türevi kullanılabilir. Dİğer bir sorun ise KittyAuth resimlerinin CAPTCHA'da olduğu gibi tamamen rastsal bir şekilde üretilmiyor olmasıdır. Bu sayede siteler ve onların KittyAuth sistemlerindeki soru ve cevapları içeren veritabanları oluşturulabilir ve böylece bot'ların yolu açılabilir.

Bu tip bazı sorunları olmakla beraber öncelikle alfabe sorununu çözmesi, bunun yanında insan/bilgisayar ayrımını CAPTCHA'ya oranla çok daha "insansı" bir yolla tespit etmesi sebebiyle bence bu yöntemin yolu açık.

Zebani
yaklaşık 20 yıl önce

"rastsal" bu türkçe mi? yoksa benim bilmediğim bir teknik terim mi? sanırım "raslantı" kelimesiyle bir ilişkisi var ama. :)

FZ
yaklaşık 20 yıl önce

ASCII tabanlı CAPTCHA, seslendirme yazılımı kullanan görme engelliler için, görüntü tabanlı CAPTCHA'ya göre çok daha avantajlı değil mi?

hayy
yaklaşık 20 yıl önce

bunu söylemek için çok erken bence, resimleri tıklayıp güvenli giriş yapmak ta pek sağlam değil. örnek olarak 9 resim var diyelim, 9'un üçlü kombinasyonları yapılır ve böylece bozuk resimli girişten çok daha kolay şekilde sisteme giriş yapılır. captcha'yı alt edecek bir algoritma olarak görmüyorum, görenlere lafım yok.

tapoem
yaklaşık 20 yıl önce

çok fazla yer kaplıyorlar sitede. bence bu yüzden de kullanılmıyorlar.

Evil_Empire
yaklaşık 20 yıl önce

Otomatik olarak server tarafında üretilen "CAPTCHA" imajlararını okumakta zorlandığım oluyor. Ayrıca "I" ve "1", "O" ve"0" gibi birbirine karışabilen semboller her zaman ayırd elimeyebiliyor.

Buna karşılık şu ana kadar gördüğüm kullanışlı bot engelleyici sistemi: http://www.darkthrone.com adresinde gördüğümü belirteyim. Online oyun oynanan bu sitede rastgele kelimelerden üretilen "CAPTCHA" imajları üzerinde iki kere geçen kelimeyi buluyorsunuz. Hiç klavyeye dokunmadan 1 sn süren bir işle çözmüşler olayı.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

SecurityFocus Internet Tarayıcı Uyarısı

Soulblighter
28 Ekim 2004, 1 dakika okuma süresi

Daha önce "BugTraq Tarayıcı Testi" ile ilgili bir yazı yollamıştım. Bu yazıdan sonra SecurityFocus internet tarayıcılarla ilgili uyarıları yayınladı. BugTraq testinde IE'nin kodunun diğerlerinden daha iyi olduğu ve hatalı HTML kodlarını düzgün sorunsuz yorumladığına dair bilgi verilmişti. Fakat SecurityFocus aynı uyarıyı IE için de yapmış. Kısacası IE dahil tüm tarayıcılar bu soruna sahip. Ben de size SecurityFocus sonuçlarını çeviriyorum.

ADSL Modem Öntanımlı Parola Zayıflığı

extacy
21 Mart 2004, 2 dakika okuma süresi

Bu açık başka ülkelerde var mıdır bilmem ama bizim ülkemiz insanlarında %80 oranında geçerlidir :(

Bunun nedeni bilgisizlik midir, vurdum duymazlık mıdır bilmem ama... sonuçları çok kötü olabilir. Malum güzel ülkemin her yanı ADSL ile yeni yeni tanışmaya başladı fakat beraberinde yeni bir sorun getirdi. Lafı kisa tutup soruna geçmek istiyorum.

NSA Bizi Yiyor Mu?

experience
10 Şubat 2006, 1 dakika okuma süresi

NSA'yı biliyoruz, söylenene gore hepimizi, her şeyimizi dinliyor bu keratalar.

Washington Post'ta 27 Ocak'ta yayımlanmış bir haber denk geldi. Habere burdan ulaşabilirsiniz.

Haberin özeti: Bush, NSA'yı ziyaret etmiş. Buraya kadar normal ama bu haberden ben NSA'nın pek de alengirli kulengirli sistemler kullanmadığına kanaat getirdim (bizi yiyor olmasınlar sakın?)

Web sayfasında adres yayınlamak...

sundance
28 Eylül 2003, 1 dakika okuma süresi

İnsanların size ulaşabilmesi için web sayfanızda adresinizi yayınlamak istiyorsunuz, fakat sayfaları dolaşıp email adresi toplayan web spiderlarından da illallah dediniz. Adresinizi sundance at fazlamesai nokta net veya fazlamesai.net de sundance diye yazdınız, bu sefer de ortalama IT müdürünün bu adresi anlayıp anlamayacağından endişe etmeye başladınız :)

Bu java script sayesinde artık böyle bir derdiniz kalmayacak. Sayfaya girip email adresinizi yazın ve anında size hiçbir spiderın anlayamayacağı karmaşıklıkta geri verilsin. Hem de sayfa üstündeki görüntüsünde ve linkinde hiçbir sorun olmadan. Dahası Javascripti sadece karmaşıklaştırılmış adresinizi bir kez oluşturmak için kullanıyorsunuz, sayfanıza girecek kullanıcıların browserlarında olması da gerekli değil.

Bayrağı yakalamaya çalışanları yakalayın!

conan
30 Ekim 2001, 1 dakika okuma süresi

Her sene DEF CON dünyanın en büyük "hacking party"sini düzenliyor. Capture the flag ismi verilen bu partiye dünyanın dört bir yanından hackerlar katılıyor. Göreviniz 72 saat içerisinde bir sisteme girebilmek!

İşte bu kargaşada da The Shmoo Group da oluşan bütün trafiği loglamış ve de online olarak internet ortamına sunmuş. 5.8 GB'lik herhalde dunyanın en büyük IDS testinin sonucunu indirmek isteyenlere kolay gelsin! :)))

Not: ben baktığımda site sanırım slashdot etkisinden down olmuştu ;) Yine de referans olarak linkleri vereyim dedim.