Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google ontwikkelt 'Invisible Recaptcha'

Door , 60 reacties

Google werkt aan een captcha die geen enkele vorm van interactie vereist en zelfs volledig onzichtbaar is voor een bezoeker. Het bedrijf maakt op dit moment nog niet bekend hoe het werkt, maar webmasters kunnen zich al wel aanmelden om met de technologie aan de gang te gaan.

De technologie is binnenkort beschikbaar, schrijft Google op zijn captcha-webpagina. Dat Invisible Recaptcha binnenkort uitkomt, doet vermoeden dat de technologie overal zal werken waar nu nog de standaard No Captcha Recaptcha toegepast wordt. Die behelst meestal een enkele muisklik in het vakje 'ik ben geen robot'.

De Captcha, of completely automated public Turing test to tell computers and humans apart, is een verificatiesysteem dat moet voorkomen dat geautomatiseerde bots websites bezoeken en bijvoorbeeld echte gebruikers nabootsen of een ddos-aanval uitvoeren. De eerste van deze tests bestonden uit simpele stukjes tekst die gebruikers moesten overtikken, maar naarmate bots beter werden in tekstherkenning, moesten deze opdrachten moeilijker worden, tot frustratie van de gewone gebruiker. In respons daarop kwam Google in 2014 met de No Captcha Recaptcha, die werkt met wat Google omschrijft als een advanced risk analysis engine en alleen een muisklik vergt.

Hoewel de intentie van een Captcha goedaardig is, worden in de praktijk soms ook onschuldige gebruikers hierdoor tijdelijk gedwarsboomd. Gebruikers van anonimiseringsdiensten als Tor en vpn's klagen erover dat ze bij veel websites niet alleen gedwongen worden om een No Captcha Recaptcha te vervullen, maar daaropvolgend ook een visuele toets moeten doorstaan, zoals 'klik alle plaatjes aan met een winkelfaçade'. Het is op dit moment niet duidelijk of deze nieuwe Captcha ook het einde betekent van deze problemen voor deze specifieke gebruikers.

Reacties (60)

Wijzig sortering
Ik gebruik geen tor, geen vpn, en toch moet ik regelmatig die "klik de juiste plaatjes aan"-test doorstaan. Erg irritant.
Ik had dit dus ook: Bij Aliexpress kon ik maar niet inloggen zonder die test te krijgen, elke keer. Wat bleek was dat mijn browser de login onthoud en alvast invult, maar als er niet in het email en/of wantwoord veld wordt geklikt, je altijd de plaatjes test krijgt. Sinds ik dit weet heb ik geen enkele keer meer plaatjes te hoeven aanklikken.
Bij Spotify heb ik geen automatisch aanvullen aanstaan en toch moet ik élke dag opnieuw de Captcha invullen om in te kunnen loggen.
Dit is een heel interessant whitepaper met meer uitleg over hoe ReCaptcha werkt: https://www.blackhat.com/...e-Google-reCAPTCHA-wp.pdf

Er wordt ook gekeken naar je history op basis van de Google tracking cookie (en mogelijk je account). De machine waarop ik inlog op Spotify is een aparte vm die enkel wordt gebruikt om muziek af te spelen, dit wordt dus altijd gezien als een account met 0 history.
Ik moet dat ook vaak. Ik gaf hierin altijd de schuld aan het feit dat het voor Google een hele goedkope Image Recognition Engine is als je het door gebruikers laat doen (zoals bij de eerdere Captcha was om tekst in boeken en huisnummers te herkennen), maar waarschijnlijk ligt het dan aan mijn Adblocker.
Sinds ik Privacy Badger heb moet ik het overal invullen, maar het stoort mij persoonlijk niet veel
Niet nu ik weet dat het moet in ruil voor het verbergen van alle rommel ;) Mijn idee was dat het in het begin perfect werkte maar ik steeds vaker moest invullen omdat ik het toch doe en het voor hen gratis uitbesteding van beeldherkenning is :P
Ik gebruik geen tor, geen vpn, en toch moet ik regelmatig die "klik de juiste plaatjes aan"-test doorstaan. Erg irritant.
Waarom zou je het niet moeten?
Je kunt ook als je niet via top of VPN verbonden bent een bot gebruiken om reacties te plaatsen contactformulieren in te vullen automatisch accounts aan te maken.
Gebruikers van anonimiseringsdiensten als Tor en vpn's klagen erover dat ze bij veel websites niet alleen gedwongen worden om een No Captcha Recaptcha te vervullen, maar daaropvolgend ook een visuele toets moeten doorstaan, zoals 'klik alle plaatjes aan met een winkelfaçade'.

Het artikel insinueert dat enkel Tor- en VPN-gebruikers deze problemen ondervinden. Met mijn reactie wil ik duidelijk maken dat dit euvel zich niet limiteert tot deze selecte groep gebruikers.
NoScript, anti-tracker of anti-cookie software misschien? Of een slecht beveiligd network met buurman erop? Anders ook even een virus en/of wireshark scan doen. Zou best kunnen dat er iemand met jou IP-adres gekkigheid uitvoert.
Ben je misschien in incognitomodus? Of heb je software die alle cookies wist?

[Reactie gewijzigd door RoelRoel op 6 december 2016 13:35]

Ik gebruik geen tor, geen vpn, en toch moet ik regelmatig die "klik de juiste plaatjes aan"-test doorstaan. Erg irritant.
Houd in het achterhoofd dat iedere keer dat je die test doorstaat, je mee helpt allerhande image-recognition algoritmes beter te maken :) Dat is het mooie aan reCaptchas, het mes snijdt aan twee kanten. Het sluit bots buiten en verzorgt tegelijkertijd nieuwe input voor machine learning.
Eerlijk gezegd geloof ik niet dat de plaatjes ook "als bijvangst" worden gebruikt voor machine learning. Uit het Blackhat document dat hierboven gelinked wordt:
"Following our disclosure, reCaptcha altered the safeguards and the risk analysis process to mitigate our large-scale token harvesting attacks. They also removed the solution flexibility and sample image from the image captcha for reducing the attack’s accuracy. "

Oftewel, de Captcha krijgt als input al mee of de image true of false is, en er is voor de machine weinig over om te leren. Je zou nog kunnen redeneren dat Google zo big data verkrijgt over hoe goed bepaalde afbeeldingen door humans worden herkend, ware het niet dat de Captcha juist bedoeld is om 'false'-meldingen te genereren, oftewel bots buiten de deur te houden en dus veronderstelt true = human, false = bot.
Hoe wil je een beeld waarbij een tekst overgenomen moet worden van een plaatje (de originele Captchas dus) aanmerken als true of false?

Daarnaast is het vaak zo bij bijvoorbeeld het selecteren van winkelpanden-plaatjes dat er 2-3 al bekend zijn, maar die vierde wordt gebruikt als input voor nieuwe labels op trainingsdata voor ML. Op deze manier weet je zeker dat mensen het serieus invoeren adhv de drie correcte. Ze nemen dan de input van meerdere mensen voor dat vierde plaatje uiteraard. Als 4 mensen hetzelfde plaatje kenmerken als een [insert object] zal dat wel zo zijn, is de redenatie.
Als je de truc door hebt, kun je het AI systeem ook kloten. Bij die straatnaamherkenning was er 1 bekend, en 1 niet. Voor de onbekende lekker een foutieve naam invoeren 8-)
Daarom nemen ze een set (van meerdere personen) van human input om met 99%+ zekerheid de juiste invoer te hebben, om de dwarsbomende mens een hak te zetten 8-)
Recaptcha's no capcha werkt op basis van de Google tracking-cookie. Als die ouder is dan 15-30 dagen, hoef jij enkel I'm not a robot aan te klikken. Ontbreekt die cookie of is ie jonger, sorry, maar dan moet je onmogelijke opgaven maken met foto's: Er zijn geen verkeersborden, enkel straatnaamborden bijvoorbeeld, of een verkeersbord dat 13 vakjes beslaat, lekker klikken maar! Of winkelpuien terwijl er enkel kantoorruimtes op de foto staan.

Heb je problemen, dan kan dat ook komen door:
- Cache wissen na quit
- Cookiemonster of Self destructing Cookies extensie
- Ghostery
- Adblock
- InPrivate navigatie
- Hoge privacyinstellingen voor reclame binnen je Google account
Eigenlijk alles dat Googles verdienmodel dwarsboomt.
Ben je webdesigner: flikker Recaptcha er vandaag nog uit bij je klanten. Je jaagt er nu veel weg!

[Reactie gewijzigd door blanka op 6 december 2016 23:24]

Dus hij herkent user inputs vanaf de browser? Moet ik het zo begrijpen?
Ik snap dat wanneer een computer iets probeert te doen schiet die met een muis overal heen(in mijn gedachten) dus nu gaan mensen aan bots werken die meer menselijk zijn?
Ik denk niet dat het verstandig is dat Google precies gaat uitleggen hoe het werkt om te voorkomen dat het 'gekraakt' wordt door misbruikers.
Security through obscurity is no security at all
Dus of ik mijn kluis in mijn kelder zet of aan straat bij m'n voordeur, maakt geen verschil voor de veiligheid?
Fout intepretatie. Het zou in principe niet uit moeten maken of mensen weten dat je kluis in de kelder staat, of op zolder. Dat is vrijwel geen extra beveiliging. Het slot op je voordeur wel.
in principe maakt het niet uit voor de beveiliging van de kluis. Echter een extra drempel "is er een kluis of niet" maakt het nog lastiger. Hetzelfde idee als dat je dure spullen in je auto laat liggen. Ook al is de auto op slot, er is een duidelijke 'beloning' aanwezig. Tov een auto waar je dat niet zou kunnen zien/achterhalen. Dan is het een 'kans op'.

Hoe dan ook is beveiliging wat mij betreft een meerlaags iets. Obscurity kan helpen, maar is zeker niet een beveiliging an sich.
Het verschil tussen kluis in kelder en kluis op stoep gaat er niet om dat hij beter beveiligd is, maar da hij zichtbaarder is. Dat snap ik inderdaad, maar als hij in je kelder staat is hij niet beter beveiligd. Dieven die je huis binnen geraken en niet op voorhand weten dat er een kluis is, hebben in hun ogen een leuke bonus ofwel negeren ze hem, ze komen toch niet voor de kluis maar voor de rest.(dus non-argument)
Dieven die weten dat je een kluis in je kelder staan hebt, kun je gelijkstellen aan dieven die weten dat je een kluis op stoep staan hebt. Maw, ze weten dat die er is, Ze komen voor de kluis en ze zullen voorbereid zijn om in je huis te geraken.
Dus nee, security through obscurity is geen security. (In dit geval: "geen _extra_ security", want je kluis zelf is reeds secure.)

[Reactie gewijzigd door efari op 6 december 2016 13:55]

ik denk dat we beiden hetzelfde bedoelen ;-)
Toch is het beter als niemand vermoedt dat er een kluis staat. De waarde van een slot hangt helemaal af van wat er achter te vinden is.
Dat is als zeggen dat twee staps authenticatie niet uitmaakt tegenover een staps.
Je kan het beter zo zien: in Google's systeem, weet je dat de kluis er is. Je weet alleen niet wat voor soort slot erop zit. Dat kan je gemakkelijk uitvogelen door een exemplaar te kopen en mee te oefenen. (De botters kunnen ook een website met recaptcha maken).
Dat is een ander soort beveiliging en wordt Hide in Plain Sight genoemd. Als jij je kluis buiten naast de voordeur zet, zullen inbrekers niet snel verwachten dat je daar werkelijk al je kostbaarheden in bewaard en zullen ze dus ook weinig moeite doen deze open te breken.
Als jij een high value target bent (zoals Google of wat dan ook waar geld ligt) dan zal elke inbreker wel begrijpen dat je ergens een kluis hebt, dat het 2 minuten langer duurt om die te vinden is dan niet echt beveiliging te noemen ;)
Het voorbeeld van wel of niet iets hebben gaat niet echt op hier.
Jawel, de term is "Security through obscurity" en het sleutelwoord is THROUGH. Dus veiligheid door (enkel en alleen) geheimzinnigheid werkt niet. Als je je juwelen open en bloot in de slaapkamer hebt liggen, maar je houdt geheim dat het zo is, is het maar een heel dun laagje veiligheid.

In het voorbeeld van de kluis heb je de beveiliging door de kluis zelf. Niet zeggen wáár de kluis staat maakt wel verschil, maar het is ook hier maar een heel dun laagje.
je analogie is verkeerd, het verschil zit hem in een kluis met geheime mechaniek weggewerkt in de deur of met een mechaniek waarvan de fabrikant aangeeft hoe het werkt en waarom het moeilijk te kraken is.
In het eerste geval is het onmogelijk om zelf na te gaan of er geen fouten zitten in het mechaniek, en dit te laten repareren. In het laatste geval wel.
Security through obscurity heeft zichzelf allang bewezen. Zolang het maar een aanvullende maatregel is, en niet de enige maatregel. Uitstekend voorbeeld: Zet je ssh poort maar eens op een niet standaard poort. Je server wordt er veiliger door. Maar als je alsnog de login open laat staan met bijvoorbeeld een zwak wachtwoord, dan is het natuurlijk een slechte oplossing.
Het gaat hier niet over security, maar filteren. Groot verschil.
Vroeg of laat gebeurt dit toch.
Maar dan wel liever laat dan vroeg.
Hopelijk is er tegen die tijd dan weer een opvolger van dit systeem.
Gaat toch wel gebeuren.
Dan is het geen goede beveiliging. Iets is alleen veilig als men weet hoe het werkt. Als de kennis van hoe iets werkt een onderdeel is van je beveiliging is het per definitie niet veilig :)
Die bestaan er al en worden ook gebruikt. Zelfs de huidige "No Captcha" ReCaptcha is op een eenvoudige manier te automatiseren: https://2captcha.com/newapi-recaptcha-en
3. We upload captcha to our server and assign a worker to solve it
4. When the worker solves his captcha we receive g-recaptcha-response
Dus niet echt omzeilen of kraken, ze zetten gewoon echte mensen in om de Captchas op te lossen en sturen daarna jou de validatie code terug. De API die ze aanbieden is gewoon om gemakkelijk alle benodigde informatie naar hun mensen te sturen.

[Reactie gewijzigd door s1h4d0w op 6 december 2016 12:16]

Ik doelde eerder op het feit dat het buiten de browser opgelost kan worden.
Het ging over bots die "meer menselijk" waren, waarop jou reactie was "Die bestaan er al en worden ook gebruikt". Misschien bestaan die wel, maar het linkje dat je mee stuurde gaat dus niet over bots.
Ik wat wat mijn reactie was, maar dat was mijn punt niet. Ik heb het over het automatiseren van bots, niet het oplossen van de captchas.

[Reactie gewijzigd door kuurtjes op 6 december 2016 12:38]

Mensen werken al heel lang aan bots die meer menselijk zijn :)
Jup... overheen gelezen.
Opzich wel grappig als je twee bots met menselijk kenmerken tegen elkaar opzet om te zien of ze door hebben dat ze beide bots zijn.
Jij moet het zo begrijpen:
Het bedrijf maakt op dit moment nog niet bekend hoe het werkt,
Dus als je een vorm van autoklikker gebruikt, die dus menselijke bewegingen nabootst (vooraf opgenomen) word je gewoon doorgelaten ? Das handig :d
Dat is juist het punt: neen.
De captcha heeft juist als doel 'onechte' patronen te herkennen. Een opgenomen sessie zal dus wellicht een keer of een paar keer werken, maar de captcha zou dit door moeten krijgen, juist omdat mensen niet meerdere malen hetzelfde doen.
Ook vindt de huidige recaptcha het meestal ook al niet ok dat je meerdere malen dezelfde pagina bezoekt.
Nou ik ken iemand die gebruikt zon auto killer (met macro recorder) maar door de recaptcha met plaatjes werkt het systeem niet goed meer.

Wanneer hij een record maakt van een half uur aan stappen die hij uit wil voeren op de (spelletjes) website
en hier telkens door het programma kleine verschillen worden toegepast (soms iets meer links soms iets meer naar rechts, enz enz) lijkt het me lastig te detecteren.
Super, ik vind het zelf de No Captcha Recaptcha een goede toepassing. De ouderen manier was soms wel frustrerend omdat het plaatje niet duidelijk te lezen was.

Als dit in de toekomst volledig automatisch gaat wordt het nog handiger. Enkel vraag ik mij af hoe dit gaat werken. Aan de hand van hardware checking of IP adres checking? Of de browser zelf want je hebt al DDOS browser checkers bij sommige sites voor het tegen houden van DDOS attacks.

Met het vinkje vind ik al aardig werken, enkel vraag ik mij af hoe komt dat bots de checkbox niet kunnen opspeuren in een element loop en deze handmatig kan aanvinken. Of werkt dit op een hoger niveau?
Het is niet alleen een checkbox. Er zit een heel script achter wat je gebruik van de website analyseert en kijkt of het menselijk is.
Een mens beweegt bijv. zijn muis een beetje als hij klikt, typt niet met een regelmatige interval, beweegt zijn muis nooit recht, etc.
Dat "vinkje" is soort van een Turing test :)
Een mens beweegt bijv. zijn muis een beetje als hij klikt, typt niet met een regelmatige interval, beweegt zijn muis nooit recht, etc.
Nee, heeft niets met de muis te maken.
"Screen Resolution and Mouse. We experimented with multiple combinations of screen resolutions, and various mouse behavior configurations (the timing of movements and movement patterns).None of these had a negative effect on the risk analysis."

Uit https://www.blackhat.com/...e-Google-reCAPTCHA-wp.pdf
Dus mijn gedrag bij het registreren op een site wordt eigenlijk opgenomen? Met het aanvinken zie je het element even 'denken' en is die dus mijn input aan het checken of deze menselijk is?

Allemaal goed maar loopt Captcha dan niet tegen een privacy en informatie verzameling wetgeving?

[Reactie gewijzigd door Bennemans360 op 6 december 2016 11:51]

Allemaal goed maar loopt Captcha dan niet tegen een privacy en informatie verzameling wetgeving?
Niet als die informatie niet wordt opgeslagen.
mobile devices hebben geen muis..
Vooral die "typ de woorden over die u op het plaatje ziet" vind ik zeer lastig. Kheb het wel voor dat ik een keer of 4 moet proberen vooraleer ik het juist heb.
Vaak werken de captcha's niet eens fatsoenlijk over alle bekende browsers helaas. Of krijg je em niet eens te zien als je bv een adblocker hebt draaien en dan zit je je af te vragen waarom het nou fout gaat omdat heel de captcha niet eens te zien is en je dus niet eens door hebt dat er een captcha aanwezig zou moeten zijn.
Deze ontwikkeling zou inderdaad een (kleine) ergernis tijdens het interrnetten oplossen. Ben benieuwd of het goed werkt.
Ik heb allang een 'Invisible Captcha' ontwikkeld en hoe je dat maakt is helemaal niet zo moeilijk.
Nadeel blijft dat JavaScript moet werken.
Ander nadeel zijn die mensen uit India die voor een habbekrats met de hand zich registreren op elke denkbare website.

Wat ik hier vooral merk is dat ze met de hand registreren en dat vervolgens een bot probeert in te loggen en spam te posten.
Dankzij de 'Invisible Captcha' merken de spammers niks van de verborgen validatie en denken dat alles prima gaat. Ze hebben totaal niet door dat hun spambot niet kan inloggen en post :)

Daarnaast kan je ook mousepointer tracking, touch en de tab key registreren om te controleren of er überhaupt userinteraction plaats vindt.

[Reactie gewijzigd door DJMaze op 6 december 2016 13:52]

Doet me denken aan een systeem dat ooit voor SMF is ontwikkeld:
http://custom.simplemachines.org/mods/index.php?mod=3685

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*