Onderzoekers werken aan verbeterd captcha-systeem

Israëlische onderzoekers denken met captcha's gebaseerd op bewegende beelden een betere beveiligingsmethode te hebben ontwikkeld. De methode is een voortvloeisel van een onderzoek gepresenteerd op de Siggraph Asia 2009.

In dat onderzoek getiteld 'Emerging Images', uitgevoerd door Daniel Cohen-Or van de Blavatnik School of Computer Sciences van de universiteit van Tel Aviv samen met collega's uit Taiwan, Saudi Arabië en India, wordt gebruikgemaakt van de unieke eigenschap van het menselijk brein dat uit ogenschijnlijk onsamenhangende delen een samenhangend geheel kan worden herkend. Deze eigenschap wordt emergentie genoemd.

Met de methode in het onderzoek van Cohen-Or kunnen bewegende beelden worden gegenereerd waarvan de afzonderlijke frames alleen ruis lijken te bevatten, maar als de frames na elkaar worden afgespeeld kunnen personen 3d-objecten in de beelden herkennen.

Volgens Cohen-Or kan de techniek een nuttige toepassing hebben als vervanging van de huidige tekst-captcha's, die met vervormde letters mens van bot proberen te onderscheiden. Deze laatste worden steeds meer met succes door ocr-programma's opgelost. De video-captcha's doorstaan de test beter doordat computers nog geen raad weten met de ruispatronen.

Wel zal het nog even duren voor de video-captcha's in de praktijk kan worden ingezet. Daar is meer onderzoek voor nodig. Vooral voor het invoeren van de goede oplossing moet nog een manier worden gevonden. De onderzoekers werken ook aan de mogelijkheid om in de toekomst video-captcha's met verschillende moeilijkheidsgraden te genereren.

IT-banen

Reacties (147)

gizmostudios 2 januari 2010 14:48

Ik heb zelf voor een inschrijfformulier een systeem ontwikkeld waarbij de submit-knop vervangen is door een Flash-knop. Zodra je deze indrukt stuurt Flash een MD5 hash van een rekensommetje wat opgebouwd is uit een timestamp en een voorgedefinieerde sleutel die uit een mySQL database gehaald wordt. Deze hash wordt met het formulier meegestuurd, en wanneer deze gecontroleerd wordt door PHP wanneer de pagina herladen wordt, laat ik PHP dezelfde rekensom uitvoeren. Wanneer deze twee hashes gelijk zijn is daadwerkelijk de Flash-knop gebruikt om het formulier te versturen. Wanneer een bot Javascript heeft gebruikt om form.submit() aan te roepen breek ik de handel af. De sleutel wordt elke dag automatisch in de mySQL database ververst, en de datum is natuurlijk ook elke seconde weer vernieuwd.

Al bij al lijkt het veel werk, maar het is eenmalig opzetten en het is de meest gebruikersvriendelijke methode die ik ken, en evengoed een solide beveiliging. Ik heb tot heden nog geen spam of onzinnige aanmeldingen gekregen dus het werkt goed! Bots kunnen nog niet de Flash plugin benaderen om deze aan te sturen.

Dus zonder Captcha kán het wel, of zien jullie in deze methode alsnog een lek?

antonboonstra @gizmostudios • 2 januari 2010 17:26

Voor een kleine site gebruik ik gewoon een javascript, die bij het submitten een spatie als laatste karakter toevoegt aan een veld. Met PHP controleer ik vervolgens of het laatste karakter ook een spatie is. Werkt prima voor een kleinere site en de gebruiker heeft er geen last van.

hackerhater @antonboonstra • 2 januari 2010 18:33

En wat als de bezoeker javascript uit heeft staan?
Geef je dan ook een nette melding die daarvoor waarschuwd?

antonboonstra @hackerhater • 3 januari 2010 15:00

Uiteraard, al zijn er weinig bezoekers die javascript uit hebben staan.

naikon @gizmostudios • 2 januari 2010 15:38

Bots hoeven de flash plugin helemaal niet aan te roepen. Ze kunnen de hash gewoon zelf berekenen en mee terug sturen. De code om dit te doen staat gewoon in de flash knop en is dus voor de hele wereld toegankelijk. Dit werkt misschien voor een kleine site, maar als grotere sites dit gaan doen word het zo gekraakt.

gizmostudios @naikon • 2 januari 2010 20:38

Ik haal de sleutel uit een mySQL database he, die is niet publiekelijk toegankelijk. De connectie wordt via een PHP script gemaakt en alles gaat via POST. De SWF is ook met SWFencrypt gehusseld dus de broncode achterhalen is een hele tour.

Maar je hebt gelijk, alles wat veel in gebruik genomen wordt is een aantrekkelijker doelwit voor hackers. En uiteindelijk bestaat er niet zoiets als onbreekbare beveiliging. Je kunt ze het hoogstens zo moeilijk mogelijk maken. Maar ik wilde bezoekers niet die vervelende Captcha in moeten laten vullen, dus heb ik zelf ook alles uit de kast getrokken. Maar wie weet, misschien dat er meerdere mensen hier oor naar hebben? Ik zou er geen probleem mee hebben om dit Open-Source beschikbaar te stellen, als de vraag er naar is.

RIVDSL @gizmostudios • 2 januari 2010 15:18

Werkt natuurlijk goed als je zoiets zelf maakt en alleen zelf gebruikt. Maar zodra iedereen dit gaat toepassen is er zo een methode gevonden om de flash plugin met een bot aan te roepen.

ktf 2 januari 2010 11:46

Geluidssamples kunnen misschien nog wel ingewikkelder, het menselijk brein is ertoe in staat bepaalde geluiden 10 decibel te versterken van de achtergrond, dat is behoorlijk veel. Overigens vraag ik me af hoe je dit moet genereren met een doorsnee server en hoe je hier nu een vraag over kunt stellen in de vorm van: wat zie je hier, kun je zo 10 verschillende (goede) antwoorden opnoemen.

Daar komt nog bij dat je hier moeilijk een oneindige hoeveelheid van kunt genereren, en dus kunnen spammers met databases gaan werken. Het is in ieder geval een hele stap vooruit lijkt me.

Edit: aan de andere kant schiet je hier niets mee op. Een spammer die een pornosite runt ofzo vraagt zijn bezoekers (voordat ze verder kunnen) 5 van die dingen in te vullen die zijn bots net zijn tegengekomen. Die manier van werken is met geen enkele captcha af te weren.

[Reactie gewijzigd door ktf op 1 augustus 2024 09:56]

gizmostudios @ktf • 2 januari 2010 12:49

Ik denk dat je het object heel eenvoudig moeten "tracken" met de muis, het is de beweging, niet het object wat je moet raden. De bots kunnen niet de beweging analyseren, de mens wel. In het voorbeeldfilmpje zie je ook aan de linkerkant "reliably detects the moving subject", waar enkel de beweging omgekaderd wordt. Dus het moeten raden WAT het object is is niet eens nodig volgens mij.

ppl @gizmostudios • 2 januari 2010 16:17

Ik denk dat je je daarmee aardig vergist. Er is namelijk sprake van 2 dingen: je hebt een beweging en je hebt een object die deze beweging uitvoert. Daarbij heb je het voordeel dat je willekeurig kunt vragen naar wat het object is of wat de beweging is en dus moet je beide dingen achterhalen. Als je dan middels een willekeurig samengestelde multiple choice lijst van 3 of 5 mogelijkheden een gebruiker vraagt wat de beweging en/of object is wordt het al lastig om het te raden. Door middel van social engineering is het echter niet onmogelijk. Je krijgt dan het verhaal wat ktf in z'n edit beschrijft: mensen krijgen een afbeelding/animatie voorgeschoteld en selecteren dan een bepaalde optie. Middels statistiek is dan uit te rekenen welke optie dan de meest waarschijnlijke is. Dat sla je op in je database en vervolgens heb je afbeelding/animatie aan 1 woord of meerdere woorden gehangen. Middels analyse van zowel afbeelding/animatie en de keuzes die je krijgt kan men dan de juiste optie kiezen. Tegen dat social engineering valt helaas niets te doen, er zijn teveel gebruikers die dom/onwetend zijn (doorhalen welke je niet van toepassing acht

) en er dus in zullen trappen. Daar heb je maar een paar van nodig en hopsa, je kunt je database vullen. De truc zit 'm dan ook in zorgen dat je mensen naar zo'n site krijgt. Een andere optie wordt hieronder al genoemd: mensen betalen om dit te doen. Mik op een bepaalde bevolking die wel een extraatje kan gebruiken en hopsa, ze doen het zo.

[Reactie gewijzigd door ppl op 1 augustus 2024 09:56]

Verwijderd @ppl • 2 januari 2010 17:26

Ik denk niet dat je de reactie heel goed hebt gelezen, de beweging "tracken" met de muis betekend iets dat de beweging van de muis gebruikt, dus dat je met het object mee beweegt met de muis. En dat is iets wat heel makkelijk is voor mensen, en (blijkbaar) heel lastig voor computers.
Op die manier heb je niet te maken met mc vragen oid, en heeft het een nog kleinere gokkans tov gewone captcha's.

Andr01d @ktf • 2 januari 2010 12:31

Ja, spammers gebruiken ook Amazon's Mechanical Turk om captcha's aan de lopende band te ontcijferen.

Stoney3K

R&d
Wetenschap

@ktf • 2 januari 2010 17:20

Edit: aan de andere kant schiet je hier niets mee op. Een spammer die een pornosite runt ofzo vraagt zijn bezoekers (voordat ze verder kunnen) 5 van die dingen in te vullen die zijn bots net zijn tegengekomen. Die manier van werken is met geen enkele captcha af te weren.

True, als je tegenwoordig nog een warez-site of toplist opentrekt (als je als simpele downloader al zo stom bent...) dan maken de meer clandestiene sites gelijk misbruik van jou als gebruiker. Of ze besteden het uit aan een aantal Chinezen met typemachines.

De enige oplossing die 100% gegarandeerd werkt: Internetters eens manieren leren, zodat ze donders goed snappen dat 99.99999% geen zin heeft om nep-horloges, illegale software, Viagra of zogenaamde erfenissen te kopen.

frickY 2 januari 2010 12:25

Bots worden dan wel steeds beter in het oplossen van captcha's, maar die bots worden specifiek voor 1 captcha geschreven.

Het probleem is dat iedereen maar naar opensource grijpt, dezelfde captcha engine gebruikt, en het dus lucratief wordt daar een bot voor te schrijven.

Wanneer je een eigen klein forum hebt is het maken van een eigen captcha voldoende om bestaande bots te slim af te zijn. Voor hele grote partijen zou het regelmatig wisselen van engine een goede stap moeten zijn.

Arnoud Engelfriet @frickY • 2 januari 2010 13:38

Dat klopt, je komt soms zelfs al een heel eind als je de velden in je invoerformulieren een nietstandaard naam geeft. Hoewel je ook weer de hoeveelheid vrije tijd van spammers moet onderschatten, ik had er ooit eentje die specifiek voor mijn zelfgeknutselde contactformulier een script had gebouwd.

Een andere oplossing is een spamfilter zoals Akismet dat de ingevulde formulieren scant nadat ze zijn ingestuurd.

timonb @frickY • 2 januari 2010 13:54

Sterker nog, ik zou er voor kiezen om verschillende engines tegelijkertijd te gebruiken. Dus de ene gebruiker krijgt een rekensom, de ander een tekstuele test, de ander een bewegend plaatje enz enz.

Daarmee maak je het voor bot bouwers ongelooflijk moeilijk en onvoorspelbaar.

Verwijderd 2 januari 2010 13:23

Ik vind de video in het artikel nu niet bepaald echt een verbetering, ik vind het zelfs storend de beelden met ruis. Nu een tijd terug kwam ik deze Captcha tegen (screenshot). Je moet er even bij nadenken maar het is wel gebruiksvriendelijk als de bijna onleesbare tekens die je op sommige websites tegenkomt

Maar los van Captcha's, er moet toch een efficiëntere methode bestaan om bots te onderscheiden van personen? Ik zou eerder een methode bedenken waarbij de ontwikkelaars van webserver software & de ontwikkelaars van browsers eens rond de tafel gaan zitten om iets in richting van een protocol / beveiliging te bedenken. Misschien moet men de Captcha (of een alternatief) op één of andere manier integreren in de browser en vervolgens gebruik maken van een (beveiligd) header / protocol of andere die kan vertellen dat de cliënt een echt persoon is en geen bot.

Arnoud Engelfriet @Verwijderd • 2 januari 2010 13:51

Dit lijkt me lastiger dan je denkt. Het probleem is dat mensen taken moeten uitvoeren die robots in principe ook kunnen doen: het invullen van een paar tekstvelden en het drukken op een knop. Firefox vult voor mij bij de meeste blogs en sites alvast alle velden in die het kan (naam, e-mail, website-URL) en met een plugin als Quicktext of zelfs maar copy-paste kan ik ook het vrijetekstveld snel invullen.

Er zijn grofweg drie manieren:
1) een challenge/response systeem dat mensen wel kunnen en robots niet: dat is dus het idee van de captcha
2) een inhoudelijke analyse of dit een bijdrage is aan de discussie of ongewenste inhoud: dit is wat spamfilters doen, maar ook usermoderatie zoals hier of bij SlashDot zijn een optie
3) een out-of-band authenticatie van deelnemers als zijnde mensen: bijvoorbeeld wat cyf3r hierboven zegt met een digitaal paspoort

Bij 1 is het probleem dat vaak maar op 1 aspect wordt gechallenged, en dat aspect is te automatiseren. Met OCR kun je rare tekstjes uit afbeeldingen vissen, met beeldherkenning zijn bewegende beelden te classificeren en met dicteersoftware kun je gesproken woorden tot tekst omzetten. Wil je meer doen dan wordt het al gauw onbruikbaar of voor mensen te lastig (met als hoogtepunt http://farm3.static.flick...237733_cda4a1dbb3.jpg?v=0).

Bij 2 zijn we een heel eind, omdat de meeste spam zich richt op een beperkt aantal onderwerpen waarop te filteren is en die buiten de normale discussie vallen (op een forum voor erectiestoornissen is Akismet onbruikbaar).

Maar trolls met bv. paranoide tekstbijdragen ("stem op Geert" of "leest HetVrijeVolk.invalid") zijn lastiger aan te pakken. Usermoderatie (geen teen -1) werkt dan weer wel, alleen moet je dan een voldoende grote groep hebben omdat trollen nogal eens handpoppen (sockpuppets) gaan aanmaken om zichzelf omhoog te modden.

Bij 3 zou je bijvoorbeeld mensen kunnen laten registreren en hun eerste paar berichten handmatig of via een spamfilter kunnen scannen. Dat heeft alleen het nadeel dat het een drempel voor de discussie opwerpt, want mensen willen zich geen driehonderd keer registreren. Een systeem als OpenID of Windows Passport Bing Live (of hoe het deze week ook maar heet) helpt daartegen want je wordt automatisch overal ingelogd, maar ja dan weten 'ze' wel alles wat je doet.

ppl @Arnoud Engelfriet • 2 januari 2010 17:03

Dat plaatje in optie 1 is misschien ook nog wel eens een hele slimme filtering mogelijkheid voor meer dan alleen spammers. Als je een bepaald forum voor wiskundige hebt waarbij je je alleen richt op mensen die er echt verstand van hebt en waarbij je de pubers die er komen voor hun huiswerk wilt weren dan is die captcha toch de ultieme manier om spam en die pubers te weren

Mooie controle of je wel slim genoeg bent voor het forum. Overigens roept dat weer een andere discussie op maar dat terzijde.

Bij optie 2 heb je ook ban mogelijkheden om in zulke gevallen trollen te weigeren dat kun je ook wel voor spammers doen (en bij beide kun je dan bezig blijven wegens wisselende ip-adressen en fqdn's of sockpuppets zoals jij het noemt). Ik denk alleen niet dat een moderatiesysteem hier uitkomst kan bieden. Als je een druk bezochte site hebt wordt moderatie van alle reacties erg lastig, dat vereist veel mankracht. In zulke gevallen is het geen goed en misschien ook niet eens een haalbaar systeem om spam tegen te gaan. Dan wil je namelijk al zoveel mogelijk spam hebben gefilterd. Er moet dus meer gebeuren.

Bij optie 3 lijkt je verhaal meer in te spelen op applicaties en diensten waarmee al je afzonderlijke useraccounts bij elkaar kunt vegen. Webbrowsers kunnen dat ook al aardig maar je hebt er ook specifieke apps voor zoals Keepass en 1Password. Qua diensten kom je dan inderdaad bij iets als OpenID terecht. Dat Windows Live gebeuren is overigens een slecht voorbeeld omdat dit zich beperkt tot de sites en diensten van Microsoft, daarbuiten is het niet te gebruiken itt iets als OpenID (Google doet dit ook voor haar eigen diensten middels dat gmail adres en tweakers.net doet dit eigenlijk ook door 1 login voor zowel frontpage als forum te gebruiken). OpenID zelf is een open standaard waarbij je kunt je registeren bij een OpenID identity provider (je zou dat ook zelf kunnen opzetten) en blijkbaar kun je ook je eigen url gebruiken voor OpenID (bijv. die van je blog; je moet er nog wel wat voor doen). De drempel is dan de keuze tussen makkelijk en moeilijk. Makkelijk is registreren bij een identity provider waarbij privacy een issue wordt (zoals je zelf al opmerkt). Bij moeilijk zul je zelf aan de gang moeten en dan lopen veel mensen tegen het limiet aan van hun technische kennis (wellicht dat een plugin voor bijv. Wordpress het wel makkelijk kan maken). Ondanks alles blijven ook dit weer handelingen die een gebruiker handmatig moet doen en welke ongetwijfeld ook wel weer op de een of andere manier te automatiseren zijn. Het is dan ook meer gericht op gebruikersgemak omdat je juist hiermee niet overal weer door een lang registratieproces moet.

Ik denk dat je dan ook met 2 dingen zit die je zult moeten doen:
1. Accepteren dat spam er is en er geen methode is om dat 100% tegen te gaan. Je kunt het alleen maar lastiger maken waarbij je wel moet opletten dat het voor users die je graag wilt ook niet direct lastiger wordt.
2. Het zo lastig mogelijk maken door verschillende systemen tegelijk toepassen. Security is ook zo'n voorbeeld, dat doe je ook niet met maar 1 maatregel. Als je iets veilig wil hebben volgt een complete procedure met allerlei middelen om de procedure te ondersteunen. Maar ook hier geldt punt 1 weer: je kunt nog zoveel doen, het is geen garantie dat je alles tegen houdt.

Ter illustratie van punt 2: op fora en sites moet je veelal een account hebben om ergens op te mogen reageren of om een topic te kunnen maken. Daar begint het dan ook al, voor de registratie moet je dan iets doen als gegevens invullen plus een captcha waarna een account wordt aangemaakt en je per mail (waarbij je de eis kunt stellen dat het geen hotmail, gmail, etc. mag zijn) een activatielink krijgt waarop je moet klikken voordat het account ook actief en bruikbaar wordt. Na dat proces kun je reageren, topics maken, etc. Bij het reageren heb je de mogelijkheid tot moderatie. Je kunt reacties een bepaalde hoeveelheid punten geven ter waardering maar ook om ongewenste reacties zoals spam te weren. Daarbij is er echter ook nog een mogelijkheid: het rapporteren van onregelmatigheden aan de crew die dan maatregelen kan treffen. Het is zeker geen waterdicht systeem maar wel een systeem dat aardig goed werkt zoals hier op tweakers.net te zien is, puur en alleen vanwege de combinatie van diverse maatregelen. Voor een klein weblogje volstaat misschien een captcha en moderatie van berichten omdat de hoeveelheid dan behapbaar is.

@KimG: het probleem van "even" nadenken zit 'm in ongeduldige gebruikers. Gebruikers willen veelal niet "even" nadenken en houden het dan ook maar voor gezien. Dan is het dus niet gebruiksvriendelijk. Er moet een bepaalde balans worden gevonden en dat is heel erg lastig. Dit onderzoek naar geanimeerde captcha's is dan ook de zoveelste waarbij men die balans probeert te vinden.

Stoney3K

R&d
Wetenschap

@ppl • 2 januari 2010 17:44

Ter illustratie van punt 2: op fora en sites moet je veelal een account hebben om ergens op te mogen reageren of om een topic te kunnen maken. Daar begint het dan ook al, voor de registratie moet je dan iets doen als gegevens invullen plus een captcha waarna een account wordt aangemaakt en je per mail (waarbij je de eis kunt stellen dat het geen hotmail, gmail, etc. mag zijn) een activatielink krijgt waarop je moet klikken voordat het account ook actief en bruikbaar wordt. Na dat proces kun je reageren, topics maken, etc.

Tegenwoordig is het zelfs zo dat je op forums een account moet hebben om sommige topics te kunnen lezen of afbeeldingen of software te kunnen downloaden.

Ik kom het vaak genoeg tegen dat ik naar een issue Google, een relevant draadje met bijbehorende software (bv. een ZIP met drivers) vind, op 'Download Attachment' klik en dan een mooie access-denied melding voor mijn neus krijg, omdat ik me eerst moet registreren en zes captcha's weg moet werken, terwijl ik 100% zeker weten nooit een post zal maken op dat forum.

Mensen die serieus ergens een bijdrage aan willen leveren doen wel de moeite om het hele registratieproces af te werken, maar mensen die 'zomaar even buurten' of een forum-account aanmaken om bestandjes te kunnen downloaden, die weer je (onbedoeld) af.

Essence @Arnoud Engelfriet • 2 januari 2010 14:43

Jouw genoemd hoogtepunt van lastige captcha is prima te automatiseren hoor!
Hint: gebruik wolfram alpha:
http://www.wolframalpha.c...84*sin%287*x-pi%2F2%29%29

arjankoole

@Verwijderd • 2 januari 2010 13:53

Je moet er even bij nadenken maar het is wel gebruiksvriendelijk

Als je de normale gebruiker (jan met de pet) pakt, die surft naar een site, ziet die captcha, en klikt op het kruisje. Normale gebruikers vinden zoiets een ramp. Leuk voor sommige tweakers misschien, maar voor normale gebruikers (en da's 99,99% van de doelgroep van het gros van de websites) is het echt niets.

Dan is een normale captcha nog een stuk gebruiksvriendelijker.

Gamebuster @Verwijderd • 2 januari 2010 16:38

Wat een kut captcha. Ik moest tenminste 20 seconden denken voordat ik doorhad wat de bedoeling was. Doe mij dan maar een dom tekstje.

Ik had ooit 1tje gezien die een analoge klok had met ruis en telkens andere kleurtjes. Je moest daarbij de tijd invoeren.

[Reactie gewijzigd door Gamebuster op 1 augustus 2024 09:56]

wildhagen

R&d
Wetenschap
Privacy

2 januari 2010 11:41

Worden die ondingen dan ook nog eens beter lees/zicht-baar? Want soms zijn die dingen dus werkelijk volkomen onleesbaar, ook voor mensen, niet alleen voor spambots.

Bij een registratie op een bepaald forum moest ik wel 10x opnieuw proberen voor ik er een had die goed was.

Ik ben van mening dat die dingen wel afgeschaft kunnen worden, bedenk dan een systeem wat iig gebruiksvriendelijker is. Want om je gebruikers het zo moeilijk mogelijk te maken lijkt me toch niet de meest handige methode...

Verwijderd @wildhagen • 2 januari 2010 11:50

Inderdaad, daar ben ik het ook mee eens, die dingen zijn haast niet te lezen.

T-men @Verwijderd • 2 januari 2010 12:37

Tja, dat is de 'wapen wedloop' tussen wat OCR-software niet en, wij mensen, nog wel kunnen lezen. En aangezien de evolutie van computers op dit moment veel sneller gaat dan onze eigen evolutie is het gevolg dat captcha's steeds onleesbaarder worden.

Toch kun je ook mooie dingen met captcha's doen. Zo is reCaptcha naar mijn mening een geweldig idee. Je gebruikt teksten welke door een computer als onleesbaar worden beschouwd als captcha. Deze per definitie onleesbare tekst voor de computer is voor ons mensen vaak nog prima te lezen. Door het intypen van de captcha wordt dan de menselijke geest gebruikt om dit 'onleesbare' stuk tekst digitaal te vertalen. Zo worden hele jaargangen van b.v. de New-York times vertaald en digitaal beschikbaar gemaakt.

Een prima uitleg hiervoor door de uitvinder van de captcha (zegt 'ie zelf tenminste) én de recaptcha, Louis von Ahn, is te vinden in deze video

gizmostudios @T-men • 2 januari 2010 13:01

Ik denk niet dat het gaat om de definitie van het object, eerder de beweging. Kijk maar goed naar het voorbeeldfilmpje, het object wordt aan de linkerkant alleen maar omkaderd per frame, maar niet geanalyseerd op karakteristieken van het object. Een bot kan niet het object scheiden van de ruis, en dus ook niet de positie bepalen.

When animated, the motion pops out immediately (0:28)

Je hoeft als bezoeker alleen maar het object te volgen, je hoeft alleen maar je muis te gebruiken. Misschien moet je wel de baan van beweging tekenen op het scherm, met een paar punten of heel globaal een lijn trekken. Dat is al een stuk gebruikersvriendelijker dan een paar nauwelijks leesbare letters te moeten raden.

[Reactie gewijzigd door gizmostudios op 1 augustus 2024 09:56]

Ghalin @gizmostudios • 3 januari 2010 14:18

Dit kan nog steeds met letters/cijfers werken. Je laat enkele letters/cijfers van boven naar beneden bewegen in animatie en het blijft voor ons zichtbaar en voor de algortimes niet.

Verwijderd @gizmostudios • 5 januari 2010 14:49

En dan huur je een paar mensen in die de hele dag capthcha's kraken.

Verwijderd @T-men • 3 januari 2010 18:21

Laat een hond kat of vogel zien als captcha vraag daarbij wat voor kleur heeft het en je hebt al redelijk wat mogelijkheden

Nox @T-men • 2 januari 2010 14:11

Prima idee! Enkel is ieder antwoord dat ik invul goed, ook als ik een typo maak.

jip_86 @Nox • 2 januari 2010 14:33

Dat klopt in principe. Alleen moet je ook nog een tweede woord invullen waarvan de tekst wel bekend is bij de computer.

CyBeR @jip_86 • 2 januari 2010 17:30

En het is meestal vrij duidelijk welke van de twee dat is, dus je kunt 1x het goede woord invullen en de rest mag onzin zijn

T-men @CyBeR • 2 januari 2010 18:16

Die wordt er wel weer uit gevist. Een zelfde plaatje wordt meerdere keren naar verschillende gebruikers verstuurd. Er moeten meerdere gelijke antwoorden op terug komen voordat het als 'vertaald' beschouwd wordt.

Ook als captcha blijft het overeind. Je hebt immers prima bewezen dat je een mens bent, want voor een computer is het niet zo "vrij duidelijk welke van de twee dat is"

Grauw @jip_86 • 2 januari 2010 23:59

Wat, dus dat tweede woord overtypen is helemaal niet nodig? Wat een verspilling van mijn tijd dan.

Verwijderd @T-men • 2 januari 2010 13:03

Hehe ja en nu ik weet hoe het werkt vul ik dus alleen maar degene in die zeker weten goed is. Haha. Flauw he

Coocoocachoo @wildhagen • 2 januari 2010 11:51

Worden die ondingen dan ook nog eens beter lees/zicht-baar? Want soms zijn die dingen dus werkelijk volkomen onleesbaar, ook voor mensen, niet alleen voor spambots.

De voorbeelden in de filmpjes worden alleen maar lastiger. Want is de oplossing voor het eerste filmpje "Running man"/"Man running circles"/"Man running in circles"/"Circle runner"/etc...
Het grote voordeel van de huidige captcha's is dat het gewoon eenduidige karakters zijn (die inderdaad niet altijd even duidelijk te lezen zijn voor mensen) en dat de oplossing niet van een interpretatie, laat staan taalkennis en -vaardigheid afhangt.

En als je de bewegende beelden gaat vervangen door karakters dan denk ik dat het al een stuk makkelijker eruit te filteren is.

OMEGA_ReD @Coocoocachoo • 2 januari 2010 12:01

Ik denk dat ze een Multiple Choice vraag maken ofzo.

Maurits van Baerle @OMEGA_ReD • 2 januari 2010 14:07

Ik denk dat Multiple Choice best goed te doen is, stel twee vragen per captcha:

Het object dat u ziet in het filmpje is een:
- Kurkentrekker
- Paard
- Mens
- Strandbal
- Wolk

Het object beweegt:
- Van links naar rechts
- Van rechts naar links
- In een cirkel met de klok mee
- In een cirkel tegen de klok in
- Van boven naar beneden
- Van beneden naar boven

Eventueel zou je de foute antwoorden ook nog kunnen rouleren met andere captcha's, soms is het inderdaad een kurkentrekker en geen mens bijvoorbeeld of speel je het filmpje achterstevoren af zodat de richting omdraait.

Dit geeft een redelijke grote hoeveelheid kansen, vooral als de captcha natuurlijk niet uit één en hetzelfde filmpje bestaat maar een site ook nog eens 20 verschillende filmpjes heeft.

[Reactie gewijzigd door Maurits van Baerle op 1 augustus 2024 09:56]

ppl @Maurits van Baerle • 2 januari 2010 15:41

Ik denk dat je het gewoon heel simpel moet houden en alleen maar vragen welk figuurtje je ziet bewegen. De gehele beweging die te zien is moet je achterwege laten omdat je het daarmee alleen maar moeilijker maakt.

Het hele idee van deze techniek is het voor software nagenoeg onmogelijk maken om te zien wat er op het plaatje staat en wat er in het filmpje gebeurd. Het maakt hierbij gebruik van het herkennen van patronen door het menselijk brein. Normaliter maak je allemaal foto's en die ga je dan vergelijken. Doordat er echter allemaal ruis in zit die per plaatje weer van plek is veranderd zit je met een gigantisch aantal verschillen. Door ze echter snel achter elkaar te spelen herkent het menselijk brein een patroon zoals het rennende mannetje en rennende paard in het voorbeeldfilmpje. Daar is weinig moeite voor nodig. Je hoeft niet na te denken wat er voor woorden staan en je hoeft geen uitkomst van een som te berekenen. De vraag "wat zie je?" met daarna een willekeurig aantal keuzes zou voldoende moeten zijn. Het toevoegen van nog meer zaken zou er een complete multiple choice toets van maken en dan haken mensen af.

RwD @ppl • 3 januari 2010 00:48

je moet gewoon met de muis de positie volgen tijdens het filmpje. Dan wordt het taalonafhankelijk en hoef je het object niet te herkennen. Toch kan een computer onmogelijk de juiste positie aanwijzen.

Sphere- @Maurits van Baerle • 2 januari 2010 15:17

Dan heeft een bot bij een bruteforce aanval nog steeds 3% kans op een goed antwoord.
Het probleem met deze aanpak is dat je zoveel antwoorden nodig hebt dat het voor de mens ook niet meer gebruiktsvriendelijk is. Je wilt niet tientallen vragen doorlopen of uit een lijst met 100 antwoorden zoeken.

Tomassie91 @OMEGA_ReD • 2 januari 2010 12:26

Het idee van een captcha is toch dat een machine er niet doorheen kan brute-forcen?

Als je er een multiple choice van maakt heb je (1/mogelijkheden) kans om er door te komen. Dat is een veel grotere kans dan bij een ouderwetse captcha (1/(26*aantal letters)).

Dus ik denk dat ze daar toch iets anders voor gebruiken, misschien iets met keywords ofzo. Dus bij het eerste plaatje zal 'man' waarschijnlijk het goede antwoord zijn.

Verwijderd @Tomassie91 • 2 januari 2010 12:33

Quick sidenote: kans bij een ouderwetse captcha is niet (1/(26*aantal letters)), maar
1/(26^aantal letters)). Het aantal mogelijkheden stijgt exponentieel met het aantal letters, niet lineair.

timonb @Tomassie91 • 2 januari 2010 13:40

Het gaat er om dat de beheerder van de website enkel menselijke bezoekers wil hebben. Volgens mij wordt hier iets ontwikkelt wat het er niet makkelijker op maakt.

Mensen zijn in staat om iets te intepreteren, computers kunnen dit voor als nog niet. Volgens mij is de methode om een plaatje te laten zien waar een aantal objecten op staan en vervolgens vragen welke object een bepaalde kleur heeft.

Of heel simpel, toon een plaatje met een zooitje dieren en vraag hoeveel van een bepaald diersoort op het plaatje staan. Daarmee lijkt me het maken van een bot al zo veel moeilijker gemaakt en het voor de mens niet al te ingewikkeld maakt.

Verwijderd @OMEGA_ReD • 2 januari 2010 12:18

Daar zat ik ook aan te denken, maar volgens mij verslaat dat het doel van een chapta, 4-5 keer proberen (gemiddeld) en je bent er ook in.

RwD @Verwijderd • 3 januari 2010 00:42

Waarschijnlijk moet je gewoon het object volgen met de muis, want ze laten zien dat de computer daar slecht in is.

ps, die uitdrukking is engels....

Verwijderd @RwD • 3 januari 2010 18:25

Of laat de computer een penalty nemen mis, 1 minuut wachten.

jeroenathome @OMEGA_ReD • 2 januari 2010 12:22

Ga er maar vanuit dat het geen multiple choise wordt. Dan is de kans dat de spambot de juiste kiest groter als met de bestaande captcha techniek. Voorbeeld: Als je uit 4 mogelijkheden kan kiezen is het 25% kans dat je de juiste kiest. Bij 10 keuzes is het nog steeds 10% kans dat je de juiste keuze maakt. Dus meerkeuze is geen oplossing voor captcha.

Verwijderd @OMEGA_ReD • 2 januari 2010 12:28

Met multiple choice maak je het juist veel te makkelijk voor spambots. Die hoeven immers maar een paar keer te proberen voor ze goed gokken. Bij captchas moet het aantal mogelijke antwoorden gewoon zodanig groot zijn dat de kans dat je goed gokt te verwaarlozen is.

mcDavid @Coocoocachoo • 2 januari 2010 11:58

In plaats van een paard kun je natuurlijk ook gewoon letters of een woord laten bewegen.

Coocoocachoo @mcDavid • 2 januari 2010 12:30

Een simpel woord dat heen en weer beweegt over het scherm is natuurlijk heel makkelijk te kraken door gewoon de herhalende pixels te OCRen.
Zelfs als je het in 3D laat bewegen zal het, zij het wat moeilijker, denk ik ook wel te OCRen zijn omdat in een bepaald frame de letters toch moeten staan. Je moet ze nu alleen vergelijken met een 3D model van letters ipv 2D modellen.

vandeGerrit @Coocoocachoo • 2 januari 2010 12:48

Ik denk niet dat het zo makkelijk is zoals jij denkt. Doordat de geproduceerde laag van ruis, voorzowel de achtergrond, als het bewegende object wordt gemaakt. Alle pixels veranderen dus, op misschien een enkele willekeurige na dan. Als je verder kijkt naar het filmpje, dan probeert men doormiddel van tracking er bruikbare data voor een PC uit te halen. Dit geeft teveel ruis.

Met letters, zal het misschien iets makkelijker worden voor computers om te achterhalen. Maar doormiddel van contour herkenning e.d. kunnen computers al weten wat er op een plaatje bevind. http://knight.cis.temple.edu/~shape/partshape/ (Kon even geen betere link vinden). Er zijn databases die hier al mee werken, en als jij een plaatje van een paard wil, dan krijg jij uit de database plaatjes van een paard, berekend vanuit het plaatje.

kwinvdv @vandeGerrit • 2 januari 2010 16:50

En wat als je als Captcha, in plaats van die ruis, een plaatje van een dier pakt en die door een ACII-generator haalt, dan zit de computer alleen tekst, of zijn er ook al programma's die ook terug kunnen converteren?
Je zou op een site ook gebruik kunnen maken van heel veel verschillende soorten Captcha, waardoor een hacker heel veel verschillende software moet gebruiken wil die het allemaal kunnen ontcijferen.

RielN @Coocoocachoo • 2 januari 2010 15:06

nee tuurlijk niet want door deze truuk ziet de computer geen letter.

Death1ord @mcDavid • 2 januari 2010 12:33

Het leek op een ezel

En daar heb je het probleem dat die dingen te gevoelig voor interpretatie zijn én je moet nog eens (vaak in het Engels) weten hoe een woord wordt geschreven.

Als dit zo blijft doorgaan word het onmogelijk om nog ergens te registreren omdat je er gewoon niet wijs uit geraakt.

(en dan heb ik nog niet over de "gesproken" versie gesproken

)

PolarWolf @Coocoocachoo • 2 januari 2010 11:56

En waarom zouden het geen 3D gerenderde cijfers en letters kunnen zijn die via video worden afgespeeld?

Coocoocachoo @PolarWolf • 2 januari 2010 12:26

Die kunnen natuurlijk wel, maar zoals ik in mijn laatste zin aangeef denk ik dat die weer makkelijker gekraakt kunnen worden doordat daar uiteindelijk toch wel OCR op kan worden losgelaten. Zij het met enigszins geavanceerdere methodes omdat de karakters in 3D zijn.
Of ze gaan weer dermate vreemde manieren bedenken om de karakters in 3D om te zetten dat het (te) lastig wordt om het te ontcijferen.

Vooral het feit dat ze in het filmpje geen voorbeelden met karakters hebben doet me twijfelen aan hoe goed dat werkt...

T-men @Coocoocachoo • 2 januari 2010 12:46

Ik denk dat je daar helemaal gelijk in hebt.
Wat b.v. nog wel zou kunnen werken is, naar het voorbeeld van een paard, dat je dat 3D-paart rond ziet rennen in de captcha en daar onder dan een aantal volledig andere plaatjes toont waarvan er op ééntje ook een paard te zien is.
De mens zal onmiddellijk de link zien en het juiste plaatje aanwijzen.

Nadeel van dit systeem is dat je met multiple choice ook kunt gokken en een bepaald percentage daarvan zal goed zijn. En aangezien computers heel snel kunnen zijn in dit soort gokken zullen ze best een aantal goede antwoorden produceren.

josttie @T-men • 2 januari 2010 14:23

kan je beter heel veel dieren in een lijstje zetten, zodat die kans heel erg klein wordt.
(en dan natuurlijk ook verschillende talen)

kwinvdv @josttie • 2 januari 2010 16:38

Maar dan is er nog steeds een kans dat een computer het goed raad en als een computer dit bijvoorbeeld 100 keer per minuut zou doen en 1 op de 100 goed heeft, is dat 1 per minuut.
Wat PolarWolf voorstelt zou misschien nog kunnen werken, waarbij 3D tekst rond draaiend en over het beeld verschuifd in de ruis, net zo als in die oude Windows screensavers. Want zo zou het goede antwoord nog wel makkelijk in te voeren zijn.

ronny @kwinvdv • 4 januari 2010 09:28

Dan komt het volgende mechanisme in werking.
Als 1 IP adres 100 maal per minut probeert te raden dan block je die voor een bepaalde tijd.

Mentalist @T-men • 2 januari 2010 17:05

Nadeel van dit systeem is dat je met multiple choice ook kunt gokken en een bepaald percentage daarvan zal goed zijn. En aangezien computers heel snel kunnen zijn in dit soort gokken zullen ze best een aantal goede antwoorden produceren.

Met een beperkt aantal antwoordmogelijkheden zijn er al voldoende goede captcha's. Bijvoorbeeld "how many cats do you see in this picture?". Komt een computer ook nooit achter. Of wat denk je van "Wie ziet er aantrekkelijker uit, Erica Terpstra of Kate Winslet?". "Balkenende of Marco Borsato?" Genoeg te verzinnen, "Wat is groter, het paleis op de dam of een hutje op de hei?". Het voornaamste probleem is als iemand eens alle antwoorden gaat indexeren een computer het alsnog in kan vullen.

[Reactie gewijzigd door Mentalist op 1 augustus 2024 09:56]

Roeligan @Coocoocachoo • 2 januari 2010 18:19

Misschien wel geen tekst, maar een map met coordinaten. De vraag kan dan zijn, klik op het hoofd van de rennende man.

TheekAzzaBreek @wildhagen • 2 januari 2010 12:10

Dat die dingen beter leesbaar zouden kunnen ben ik met je eens, maar afschaffen? Als je de deur wagenwijd openzet voor spammers kan je je forum beter meteen sluiten.

wildhagen

R&d
Wetenschap
Privacy

@TheekAzzaBreek • 2 januari 2010 12:35

Als je al je gebruikers wegjaagt omdat die dingen soms zó moeilijk leesbaar zijn dat je 10 pogingen nodig hebt om er door te komen, kan je je site ook wel sluiten, want dan is er niemand meer die erop kan.

Waarom kan je niet een andere methode doen dan een captcha? Zoals een moderator die handmatig je account moet activeren bijvoorbeeld, al dan niet in combinatie met een door de gebruiker aan te klikken activeringslink. Of een registratieprocedure die je één (of enkele) willekeurige vragen stelt uit de FAQ van de site.

En zo zullen er nog wel meer methoden te verzinnen zijn door deskundigen die heel wat gebruiksvriendelijker zijn dan een captcha.

Aham brahmasmi

@wildhagen • 2 januari 2010 13:07

Waarom kan je niet een andere methode doen dan een captcha? Zoals een moderator die handmatig je account moet activeren bijvoorbeeld, al dan niet in combinatie met een door de gebruiker aan te klikken activeringslink. Of een registratieprocedure die je één (of enkele) willekeurige vragen stelt uit de FAQ van de site.

En zo zullen er nog wel meer methoden te verzinnen zijn door deskundigen die heel wat gebruiksvriendelijker zijn dan een captcha.

Dat gebeurt toch ook op de meeste fora. Bovendien zie ik het probleem ook niet zo als je alleen bij de registratie een captcha krijgt; mocht hij onleesbaar zijn dan herlaad je de pagina even.

Het zijn meestal de simpelere blogs waar je je niet hoeft te registreren waar je voor elke reactie die je wil posten weer een captcha moet oplossen.

[Reactie gewijzigd door Aham brahmasmi op 1 augustus 2024 09:56]

ppl @Aham brahmasmi • 2 januari 2010 15:53

De meeste fora gebruiken activatie van een account waarbij de gebruiker op een link die hij/zij per mail toegestuurd krijgt. Bij een aantal fora vindt men het van belang dat mensen die er geen account hebben wel de informatie op het forum kunnen doorzoeken. Om daar spamming mee tegen te gaan gebruiken ze juist daar wel captcha's. Voorbeelden hiervan zijn te zien op ubuntuforums.org en forums.freebsd.org.

Op Macrumors.com maken ze voor het forum ook gebruik van een activatielink die je per mail krijgt en waar je even op moet klikken. Desondanks hebben ze daar toch last van spammers. Ik denk dat je je ook terdege moet realiseren dat spamming niet volledig uit te bannen valt maar dat je wel middels die activatielink heel wat spamming kunt voorkomen. Het gebruik van captcha's was destijds ook een aardige uitvinding die inmiddels aan een draadje hangt omdat het middels ocr al aardig gekraakt is.

Dat wat men hier demonstreert is dan ook meer een vervanging van de huidige captcha's waarbij men gebruik maakt van het menselijk vermogen om patronen te herkennen. Softwarematig gezien is dat heel erg moeilijk omdat men tot op de dag van vandaag alleen maar doet aan het herkennen van verschillen. Door de ruis iedere keer iets te bewegen levert dit dermate veel verschillen op dat de software erop vastloopt. Wij mensen zien echter tussen al die bewegende puntjes het patroon nog. Het lijkt een erg handige techniek te zijn indien je nog van captcha's gebruik wilt maken. Het is alleen nog allemaal erg pril en ruw van opzet. Er moet, zoals het artikel ook al meldt, nog het nodige aan onderzoek worden gedaan om het te perfectioneren zodat bijv. het patroon ook beter te zien is (het rennende mannetje vind ik bijv. een stuk duidelijker dan dat paard, met name de eerste paar frames waarin het mannetje erg op de voorgrond is). Het nadeel van dit soort captcha's is echter wel dat sommige mensen niet goed of totaal niet in staat zijn om bepaalde patronen te herkennen, die zul je dan echt iets anders moeten voorschotelen.

Verwijderd @ppl • 3 januari 2010 11:17

Een activeringslink is natuurlijk erg makkelijk voor een bot. Bot maakt een apart email adres aan (geautomatiseerd op een eigen server), leest de link uit de mail uit en je bent er...

sfc1971 @wildhagen • 2 januari 2010 20:56

Helaas, er is eigenlijk geen alternatief meer. Met de hand alle input controleren werkt niet als je het doelwit bent van een spammer die je forum wil flooden met link spam om zijn sites hoger in de zoekresultaten te krijgen.

Zoek maar eens goed, en je vind talloze sites die ooit zijn opgezet als klein forum of blog waar 99% spam commentaar/posts zijn.

Het is dweilen met de kraan open.

Geen enkele website beheerder implementeert catchpa's voor de lol. Google denkt ECHT niet van "ach, we krijgen extra klanten door ze een catchpa te tonen".

Ze hebben gewoon geen keuze meer. En alle andere suggesties die je geeft zijn even moeilijk. Een FAQ? Niemand leest die dingen, en wil ze ook niet lezen.

Probeer het toch echt eens op een eigen site als je het zo goed weet. Je kunt er een fortuin mee verdienen.

Saven @wildhagen • 2 januari 2010 13:14

Omdat je anders misschien zit met 10.000 accounts die je allemaal (handmatig) moet verwijderen

AcidBanger 2 januari 2010 11:44

Als je zo een bewegende captha op je website zou hebben zou die dan niet traag gaan laden ? want het is weer extra stuk beveiliging en ik neem aan dat bewegende objecten het zaakje weer wat trager maken...

theblindman

@AcidBanger • 2 januari 2010 11:55

Als de server niet zo traag is hoef je dat met de huidige ADSL, kabel en glasvezelverbindingen niet echt te merken, maar het kost uiteraard meer rekenkracht aan de kant van de server. Die moet nu op eens, zeg, 300 frames berekenen inplaats van 1.

Edit: iets wat late reactie.

[Reactie gewijzigd door theblindman op 1 augustus 2024 09:56]

kwinvdv @theblindman • 2 januari 2010 17:15

De server hoeft lijkt mij helemaal geen bewegende objecten te berekenen, want dit zou al eerder gedaan moeten zijn en staan deze afbeeldingen in een database die je dan alleen hoeft te downloaden, wat hooguit een paar MB zijn, waarschijnlijk minder omdat er alleen zwart en wit in voorkomt en het een niet erg lange animatie is.

hell4you @kwinvdv • 3 januari 2010 02:15

En dus jij zegt dat als ik 100 keer refresh, zodat ik alle afbeeldingen binnen heb, ik een compare kan doen en vervolgens nog machinaal de acties kan uitvoeren?

Maar dan nog, stel je maakt een site met populaire content. Weliswaar illegaal of iets in die trant, maar dan download je de captcha van de site die je wilt aanvallen, je laat de user op jouw site het goede antwoord invullen voordat ze hun content krijgen en vervolgens gebruik jij dat antwoord om je actie uit te voeren op de achterliggende site. In feite doet iemand anders dan het vuile werk voor je.

Ik blijf erbij, captcha's zijn niet de oplossing. Wat wel? Ik weet het niet

wildhagen

R&d
Wetenschap
Privacy

@AcidBanger • 2 januari 2010 11:45

Met die breedbandverbindingen van tegenwoordig lijkt me dat niet zo'n issue meer. Een GIF kan ook bewegen, maar is toch echt maar erg klein.

Het lijkt me ook niet waarschijnlijk dat het hier om filmpjes in 1080p-kwaliteit van 100 MB per stuk gaat ofzo.

dtech @AcidBanger • 2 januari 2010 12:14

Captcha's worden meestal alleen gebruikt bij registratie. Zelfs een groot forum als GoT heeft denk ik maar hoogstends enkele registraties per minuut, ik denk dat een server dat makkelijk kan hebben.

ppl @AcidBanger • 2 januari 2010 16:05

Dat trage laden kan gebeuren en daar zullen ze ook naar moeten kijken. Dan moeten ze dus niet kijken naar hoe ze het sneller kunnen maken maar eerder naar wat de minimale snelheid is om het verstopte patroon te kunnen herkennen. Voor software maakt het niet uit, die zal normaliter toch plaatjes schieten en de verschillen berekenen. Door de bewegende ruis waartussen de eigenlijke animatie wordt verstopt zijn dit dermate veel verschillen dat de software het niet meer weet. De snelheid maakt in dat verhaal niets uit omdat het om de verschillen gaat tussen de plaatjes. Hoofdzaak is dat wij mensen het patroon nog kunnen herkennen en dan is snelheid wel van belang. Probeer in het filmpje wanneer ze alle plaatjes naast elkaar zetten het patroon maar eens te herkennen, software is daar beter in dan wij.

Zoals wildhagen al aangeeft kun je het ook als gif doen wat niet zo'n grote file is. Zoals je in het filmpje ziet gaat het ook alleen maar om een aantal zwart-wit plaatjes dat achter elkaar is gezet. Dat zal allemaal niet zo erg veel data zijn. Afmetingen van zo'n filmpje zijn ook niet zo belangrijk, je moet alleen het patroon kunnen herkennen.

@dtech: plaatjes kun je van het forum scheiden en dat is ook exact wat tweakers.net doet. De load wordt daarmee over een aantal servers verspreidt waardoor het ook geen probleem meer wordt. Het probleem zul je dan ook eerder tegen komen bij de kleinere sites waarbij men maar 1 server heeft of juist alleen maar en website pakketje en dus vaak draait op een server waarop meerdere sites staan.

Dark 2 januari 2010 12:32

Ik vind het ondingen, vaak slecht leesbaar en opnieuw proberen, en dit maakt het denk ik niet veel beter...

kan je niet makkelijker een punt in de user agreement zetten dat je wel 'human' moet zijn en dat de account bij bot gedrag automagisch geblokkeerd wordt?

edit: dan leg je het probleem iig niet bij de gebruiker, maar verschuift het naar de detectie van wat bot gedrag is en wat niet...

[Reactie gewijzigd door Dark op 1 augustus 2024 09:56]

Verwijderd @Dark • 2 januari 2010 12:42

Personen die bots gebruiken gaan zich echt niet aan de user agreement houden... zo simpel is het spijtig genoeg niet, ze doen het vooral om er geld mee te verdienen door reclame: viagra, illegale films etc... deze personen gaan zich echt niet aan de regels van een site houden ;-)

Wat ik een beter idee zou vinden dan captcha is dat je alleen op een site kunt indien je je kenbaar maakt via je digitaal identiteitskaart, bijna iedereen in België heeft er al eentje, dus dat zou niet zozeer een probleem mogen zijn en zo zijn die bot spammers ook makkelijker te traceren.

Dark @Verwijderd • 2 januari 2010 13:09

jah vandaar ook niet alleen een user agreement, maar ook een detectie ... als ze daar dezelfde moeite in stoppen als de onleesbare plaatjes/filmpjes moet dat minstens even goed kunnen werken.

Stoney3K

R&d
Wetenschap

@Verwijderd • 2 januari 2010 17:28

Wat ik een beter idee zou vinden dan captcha is dat je alleen op een site kunt indien je je kenbaar maakt via je digitaal identiteitskaart, bijna iedereen in België heeft er al eentje, dus dat zou niet zozeer een probleem mogen zijn en zo zijn die bot spammers ook makkelijker te traceren.

En jij bent er blij mee om op elk willekeurig forum je BSN in te vullen om te bewijzen dat je het echt bent, of je digitale ID/password overal op het internet te gaan kloppen? Dan zijn we namelijk nog verder van huis, een verkeerde site die al die gegevens gaat harvesten, en je zit naar massale identiteits-diefstal te kijken.

catfish @Verwijderd • 2 januari 2010 13:08

op die manier kunnen ze het spam probleem met email ook oplossen, maar op die manier verleis je de anonimiteit op het internet (welke heel veel mensen juist zo goed vinden)

timonb @catfish • 2 januari 2010 14:00

Waar komt het idee eigenlijk vandaan dat het internet anoniem dient te zijn?

Je wilt op een forum je mening ventileren, prima, dus voor datgene wat je zegt en doet sta je ook. Waarom zou je dat dan anoniem willen verkondigen?

De enige reden waarom alles anoniem zou moeten op internet is omdat je je schaamt voor datgene je doet op internet of omdat het niet geheel sociaal verantwoord en/of legaal is.

Murtceps @timonb • 2 januari 2010 15:27

Vandaar dat jouw profiel hier op T.net volledig is ingevuld?

Privacy is voor sommige personen belangrijk in verband met werk, als jij een bepaalde mening hebt wat problemen kan geven op je arbeidsplek of voor personen die een strafblad hebben en zich willen uiten op een bepaalde site zonder gelijk een stempel te krijgen. En op bepaalde fora wil je juist de mening hebben van die bepaalde "insiders" die zich dan niet meer zo snel zullen inschrijven.
En zo zijn er vast meer voorbeelden te verzinnen waarom we onze privacy graag willen houden. Maar die discussie over privacy is hier al zo vaak gehouden.

Een verbeterd captcha systeem ben ik zeker wel voor. Bij de huidige captcha's moet ik soms echt 10x proberen voordat ik een code heb die ik zelf kan lezen

Misschien een systeem waarbij naast moderators ook online gebruikers direct een nieuwe aanmelding kunnen accepteren?

Aham brahmasmi

@Verwijderd • 2 januari 2010 13:12

@cyf3r: Dan gaat natuurlijk wel je privacy verloren he.

gizmostudios @Dark • 2 januari 2010 13:17

Maar dan moet je dus "bot gedrag" gaan detecteren... dat is natuurlijk veel duurder en complexer dan een Captcha installeren bij de registratie pagina. En dat moet ook door de hele website heen worden bijgehouden. Tweakers houdt bijv. wel statistieken bij van wat gebruikers uitspoken, maar dat is een enorme website die de resources daarvoor hebben. Een kleiner forum of website heeft vaak die privileges niet. Om nog maar te zwijgen van je inbraak op privacy.

Dark @gizmostudios • 2 januari 2010 18:52

Website en captcha hebben ze in dat geval meestal niet zelf ontwikkeld, is gewoon een standaard dingetje in een of andere phpnuke variant... zo zou dat met botgedrag-detectie dan ook gaan... wordt gewoon een standaard dingetje in zo'n pakket...

De meeste servers houden bestwel uitgebreide logs bij, dus druk maken over de privacy is onzin, die gegevens worden al verzameld. De analyze van de access logs door een script lijkt me niet bepaald privacy gevoelig, doet de eerste de beste webalizer ook... Dit gekoppeld aan een black/white list moet je toch een eind kunnen komen...

NBK 2 januari 2010 16:27

Dit lijkt mij relatief makkelijk te kraken.
Je ziet beweging omdat bepaalde vlekken herhaaldelijk terugkomen op ongeveer dezelfde plek. De rest van de vlekken op de verschillende frames hebben geen enkele overeenkomst met vlekken uit voorgaande frames. Als je een mpeg codec een compressie laat maken kom je waarschijnlijk al heel ver met de vector's van de tussenliggende P en D frames.

kwinvdv @NBK • 2 januari 2010 17:27

Voor een mens lijkt het inderdaad heel makkelijk, maar omdat het verschil tussen de locaties tussen frames van de zwarte vlekken steeds random lijkt voor een programma, zal het heel lastig zijn om een bewegend en constant vervormd object te kunnen volgen over meerdere frames. Maar als het uiteindelijk hier in staat is, moet het ook nog gaan herkennen wat het object is en alles gaan interpreteren. Als dat tenminste de manier gaat worden waarmee je het goede antwoord gaat invoeren.

Stoney3K

R&d
Wetenschap

@NBK • 2 januari 2010 17:51

Jup, zelfs als je botweg MPEG-4 zou comprimeren en alle keyframes weg zou donderen, hou je een partij groene smeer over die netjes met de beweging meeloopt. (Dat zijn immers de P en D frames). Motion tracking over het resultaat, en ze mogen weer iets nieuws proberen.

Bovendien is dit filmpje ook nog eens mooi zwart-wit, dus over de chroma maak ik me al helemaal geen zorgen.

Verwijderd @NBK • 3 januari 2010 05:00

NBK

Jij denkt dat bepaalde vlekken herhaaldelijk terugkomen, maar dit is gewoon een verschijnsel welke jij denkt waar te nemen door de unieke werking van onze hersenen.

Wij hebben een speciale manier van objectherkenning, een manier die momenteel enorm moeilijk is om toe te passen met computers. Als je dan nog eens abstract gaat werken zoals in deze captcha-tests is het voor computers helemaal onmogelijk om dat object te gaan herkennen, aangezien het voor mensen reeds wat moeilijker begint te worden. Als ze het dan al niet kunnen herkennen (wat nodig is om het te lokaliseren) zullen ze zeker niet kunnen volgen, want om iets te volgen moet je eerst weten wat je moet volgen.

Dit is trouwens het hele punt achter deze captcha methode.

woekele 2 januari 2010 11:42

En hoe moeten blinde mensen dan door een captcha komen? Met een geluidssample waarschijnlijk, zoals ze nu al vaak doen? Dan is dat toch weer het zwakste punt lijkt me.

erikdeperik @woekele • 2 januari 2010 12:08

intresante vraag.
voor slechtzienden is het zowiezo lastig zon captcha.
als je helemaal blind bent,wat kan je dan nog op het web?
iets met geluid doen is dan idd miss een oplossing

T-men @erikdeperik • 2 januari 2010 14:04

Captcha voor blinden kan prima via geluiden. B.v. zoiets: (via reCaptcha. Klik op de het luidsprekertje om van tekst naar een audio-captcha te gaan)

You can hear the new audio CAPTCHA by going here and clicking on the audio button. You'll hear a short clip with people speaking and will have to type what they are saying. To account for spelling mistakes and homophones, the verification algorithm uses a phoneme-based encoding and allows a small number of mistakes.

Edit: link buiten de quote gezet

[Reactie gewijzigd door T-men op 1 augustus 2024 09:56]

ppl @T-men • 2 januari 2010 15:57

De discussie die woekele hiermee lijkt te starten gaat over het kunnen misbruiken van die audio dingen. Straks laat men het beeld voor wat het is en schakelt men over op audio analyse om zo de captcha uit te rekenen en te omzeilen. Dan is het ook meteen de vraag hoe je dat gaat oplossen cq. tegen gaat. Dan kom je uiteindelijk ook weer terecht bij de vraag wat je er dan uiteindelijk allemaal mee opschiet (spamming maar wel users, geen spamming en ook geen users wegens onmogelijke captcha's).

wildhagen

R&d
Wetenschap
Privacy

@erikdeperik • 2 januari 2010 12:10

als je helemaal blind bent,wat kan je dan nog op het web?

Daar heb je braille voor, er is zelfs een Internet-versie van die taal: Web-Braille. Daarnaast houden veel webdesigners rekening met mensen met handicaps, door middel van allerlei aanpassingen.

Weet alleen niet of zo'n captcha (de ouderwetse of de nieuwe variant) ook in (web)braille te realiseren is.

[Reactie gewijzigd door wildhagen op 1 augustus 2024 09:56]

Verwijderd @woekele • 2 januari 2010 13:34

Die geluidssamples zijn trouwens niet gemakkelijk. Ik probeerde laatst eentje omdat ik de letters echt niet kon lezen, maar bij het geluidsfragment was het nog veel moeilijker. Het gemakkelijkste als blinde persoon is de beheerder contacteren (denk ik)

Verwijderd @Verwijderd • 2 januari 2010 14:04

Kun je er donder op zeggen dat de websitebeheerders veel mail van blindman0951@hotmail.com gaan ontvangen.

Verwijderd 2 januari 2010 11:54

Ben benieuwd hoe dit gebruikt gaat worden. Deze techniek is op den duur ook gewoon te tracken.

Kuhlie @Verwijderd • 2 januari 2010 12:03

Ik zie nu al een mogelijke aanval, uit de losse pols: bekijk de ruis-stippen die in een paar beeldjes achter elkaar steeds maar een beetje verschoven zijn. Dat zijn de stippen die deel uitmaken van het gezochte plaatje.

inf3rno89 @Kuhlie • 2 januari 2010 12:12

Ik denk dat dat niet gaat lukken omdat het allemaal onafhankelijke frames zijn die achter elkaar worden getoond.

Stoney3K

R&d
Wetenschap

@inf3rno89 • 2 januari 2010 17:24

Een film zijn ook allemaal onafhankelijke frames...

Het enige verschil in dit filmpje is dat de informatie nu niet in één frame zit, maar in de korrelatie tussen verschillende frames. En sinds we genoeg onderzoek hebben gedaan om dat er ook uit te kunnen peuteren (MPEG, anyone?), denk ik niet dat deze captcha lang stand zal houden.

Een beetje frutten met difference matte, inverteren van de boel en je video ziet er al een stuk machine-leesbaarder uit.

RielN @Kuhlie • 2 januari 2010 12:13

Die zijn er niet, kijk maar goed.
Die veranderen ook steeds.

telenut @RielN • 2 januari 2010 13:58

je moet dan ook niet kijken naar de zwarte vlekken, maar naar de witte. Ze traceren gewoon het verkeerde kleur... de vorm herken je doordat er een witte rand is die overal blijft

TheekAzzaBreek @Verwijderd • 2 januari 2010 12:16

Natuurlijk. Iedere verbetering in beveiliging is tijdelijk, en wordt op den duur achterhaald. Maar als je hiermee een aantal jaar een alternatief hebt voor de ondertussen verzwakte captcha's is dat toch prachtig?

Op dit item kan niet meer gereageerd worden.

Onderzoekers werken aan verbeterd captcha-systeem

Lees meer

IT-banen

Reacties (147)

Sorteer op:

Weergave: