טורקים אוטומטיים למען התיעוד. גם אתכם קאפצ'ה מעצבן? עד שימצאו פטנטים יותר טובים, פרויקט חדש מגייס את משתמשי האינטרנט בצורה מתחכמת – אם את כבר חייבת להקליד קוד קאפצ'ה אז באותה הזדמנות גם נבקש שתקלידי מילה שסורק ספרים (OCR) לא הצליח לפענח בשביל ARCHIVE.ORG. אני מצדיע לרעיון הפשוט והמבריק.
הבעיה האבטחתית ברורה. קפצ'ה רגילה היא אקראית אז אתה יכול לשלוט בסיכויים של הספאמר לנחש נכונה את המילה. כאן הספאמר יכול להפעיל התקפת מילון שתהיה יותר יעילה. תזכור שבשבילו הצלחה של רק 50% היא די טובה.
גם הקאפצ'ה הזו היא קשה ואקראית למדי. הלכת אליהם לאתר לראות בכלל במה מדובר? אתה גם לא יכול לעשות התקפת מילון על קאפצ'ה שבנויה נכון, רובן לא ישאלו אותך פעמיים על אותה מחרוזת כי הן מתוכננות להתעלם מהקוקי אחרי שימוש אחד.
כן, אבל אתה יכול לנחש את המילה הרבה יותר בקלות. למשל, נניח שאתה יכול לזהות 50% מהאותיות (לא מאד מופרך[1]). אם זו מילה אקראית – יצאת בסדר עדיין קשה לך לנחש את השאח. אם זו מילה ממילון – כמעט בטוח שיש לך פגיעה.
האמת שזה לא ממש משנה, עד כמה שידוע לי אף ספאמר לא ניסה לנחש קפצ'ות בשביל לשלוח ספאם, לא היה להם מספיק כח להתאמץ בשביל זה, אז רק לכלול את זה כבר יעזור. כמו שאם תשלח את הפורם דרך ג'אווהסקריפט זה יחסום ספאם בלי שזה באמת בטוח.
[1] זה די מעניין למשל. יש עוד.
מה שהם בד"כ עושים זה לשלוח לאנשים ספאם, להבטיח להם קצת פורנו בחינם, אבל בדרך להעביר אותם דרך טופס עם קאפצ'ה. הקאפצ'ה בעצם מגיע מאתר אחר כמו GMAIL שהספאמר רוצה לפתוח בו חשבון כאילו חוקי. לא תאמין איזה טריקים הולכים שם…