Захист від спам-ботів і як його обходять, Ігор Артамонов
Всі, напевно, стикалися з картинками з текстом, який потрібно написати, наприклад при реєстрації, CAPTCHA по нашому. Як то мене запитали, чи можна автоматично розпізнати текст на одному сайті, який перетворений у такий спосіб, але з малим спотворенням. Я згадав було, що знаходив в інеті щось подібне, знайшов пару сайтів (типу Breaking a Visual CAPTCHA і PWNtcha — captcha decoder тощо), але взяти щось звідти було нереально. Тоді я і зацікавився як проходять всі ці тести всякі боти. А те, що вони проходять це помітно.
З чого я зробив висновок: сильно накручувати такий захист немає сенсу. Побалуватимуться заборонить і простенька картинка, а тим кому воно дійсно треба, і у них є час (трохи, до речі) і ресурси (сервачок простенький з дозволеним Adult Content), або просто гроші щоб домовитися з власником подібного ресурсу, ті обійдуть будь-який подібний захист .
Все це, звісно, добре, але є свої труднощі. Картинку доведеться фізично викачувати, інакше по реферер легко тебе викрити. Крім того, що викачати, треба ще й дуже популярний порносайт мати, тому що на захисті картинка буде через хвилину експайриться, і якщо ти за хвилину не встиг викачати її, зберегти, покласти на порносайт, показати користувачеві, отримати відповідь та заліпити його назад на цей перший сайт - вибач.
А популярний порносайт, в якому переходи здійснюються десятки разів на хвилину не дуже зрадіє, якщо тепер його користувачам для переходу на нову картинку доведеться долати такі труднощі, користувач почне йти. Знаєш, скільки бабок треба буде заплатити власнику такого сайту? Не говорячи вже про те, щоб зробити такий сайт самостійно.
Зображеннявикачувати безпосереднє перед тим, як запитувати у користувача.
І я думаю що навіть особливо нерозкручуючи порносайт, просто помістивши посилання на інший такий сайт можна отримати щонайменше пару сотень відвідувачів на день = пару сотень реєстрацій.
Так, ну, і не забуваємо, що як тільки сервіс помічає багато реєстрацій з одного IP, він цей айпі надійно банить.
Щодо IP: навіть бот, який сам парсить картинку, стикається з такою ж проблемою. Так що цей спосіб тут не до чого.
І вирішується це через усі списки проксей, бекдори та ін. давно продумані хакерські рішення. Тут я особливо не шукав, але не хакер 🙂
Так, а навіщо такі труднощі із вигадуванням способів обходу. Що взагалі неможливо написати скрипти для розшифровки таких винаходів?
Реально написати, але це набагато дорожче.
звичайно реально 🙂 я цим, наприклад, і займаюся 🙂