谷歌的新机器人预防recaptcha可能不会像承诺一样复杂。

在今天的博客帖子中,安全公司盾牌广场写道,谷歌算法可以很容易地绕过,从本月早些时候从Sakurity Consultant Egor Homakov播出的类似情绪。

Google于12月3日推出了新的机器人检测的CAPTCHA表格,名为CAPTCHA RECAPTCHA。该技术替换了CAPTCHA测试,该测试要求您以简单的文本复制一个粗糙的字母和数字,简单复选框。该公司表示,新的简单界面比旧CAPTCHA更安全,因为它分析了用户行为,以确定它们是一个人还是机器人。

以上:你所要做的就是检查框。

图像

为了减少用户必须与没有CAPTCHA接口的次数,算法仅使用户进行一次测试。下次访问该网站时,否则不会出现CAPTCHA - 除非用户定期清除他们的饼干,在这种情况下,他们每次都必须重新验证CAPTCHA。

盾牌广场断言谷歌对Cookie的依赖会产生问题。对于通过reCAPTCHA的机器人来说,他们所要做的就是存储他们希望访问的网站的相关cookie。或者,机器人可以使用光学字符识别工具以首先解决难题,允许继续访问该站点。

因为谷歌的软件是聪明的,并且应该实际学习辛西的行为,它有内置的条款来阻止复杂的机器人。如果没有CAPTCHA无法识别用户的过去行为,那么如果它们在隐姓就模式中浏览,Google会介绍旧的CAPTCHA测试。谷歌也使用测试,该测试将强迫可疑用户匹配类似图像或解决拼图拼图。但随着Sakurity的Homakov在他的原始帖子中说,机器人可以通过图像测试。

“机器人只是需要获取JS挑战代码,向另一个人(为流行的网站上的廉价或竞争对手工作)表示,”他写道,“并使用人类提供的答案。”

更重要的是,Homakov和Shield Square都发现,没有验证码介绍了一个新的漏洞。利用ClickJacking(其中攻击者在网站顶部创建透明层,以便当用户点击时,它将它们重新排出到另一个站点)机器人可以让真实的人类为它们带来Recaptcha测试。Homakov说该公司修补了ClickJacking漏洞,因此它不应该是一个问题,谷歌确认。

至于剩下的问题,当我在Homakov的初始帖子之后向谷歌达到谷歌时,公司指出没有CAPTCHA的机器学习。它表示没有CAPTCHA在随着时间的推移在线区分BOT行为和人类行为,因此现在存在的任何漏洞可能会很快解决。但是Homakov和Shield的帖子可以旋转在头部的反驳。如果机器人正常推进,谷歌可以永远播放一只猫和鼠标游戏与网络拖钓机器人 - 战斗持久威胁往往赢得。

值得注意的是,来自盾牌广场的代表Nachiappan VPN表示,谷歌的没有CAPTCHA算法仍然比旧的CAPTCHA表单更好。但是,他继续说,它可能不是银弹机器人预防谷歌希望它将是:一种工具,可以轻松为用户和难以置信的机器人。随着Google的算法对机器人与人类活动的更具挑剔,没有CAPTCHA谜题可能会更加困难。黑客新闻中的一个评论者最近遇到谷歌没有CAPTCHA表格,表示拼图游戏“接近了不值得努力的门槛。”暂时,用户可能必须牺牲流体体验以获得更好的机器人检测 - 一个问题不应该解决CAPTCHA。在我们看到易于使用的机器人威慑力之前,可能仍然可能是一段时间。