Стійкість капчі

[петро олекс]

в принципі використовувати можна, але у дуже обмежених випадках і за умови правильного підбору запитань - наприклад, арифметичні дії (при цьому відповідь бажано приймати тільки цифрами - менше проблем).

менше проблем для кого???
Я спеціально відповіді приймаю тільки одним СЛОВОМ.

[Миха́йло Даниленко]

У світлі оцього більшості капч на основі розпізнавання образів залишилося недовго жити...

[петро олекс]

Ну от і добре. Проти моєї "вишні ... лопати" іще нема штучних мізків.

[prapor]

Off-topic:

Це може казати людина що не стикалася з протеїновим DDoS'ом 

[по]

 

[по]

це якщо люди ддосять адміністрацію сайту  своїми "мізками"?

[RomadinR]

менше проблем для кого???
Я спеціально відповіді приймаю тільки одним СЛОВОМ.

Простіше (менше проблем) для того, хто організовує захист. Адже, як відомо, стійкість захисту і зручність для користувачів - це величини взаємновиключні: при максимальній стійкості користуватися системою практично неможливо і, навпаки, при максимальній зручності захист практично відсутній. Тому, основна задача при розробці систем захисту - знайти розумний компроміс між стійкістю захисту і зручністю, такий, щоб отримати ДОСТАТНІЙ захист при відносно незначній незручності.
Які проблеми зі словом? Перша проблема - мова. Друга проблема - правопис (про що я вже згадував раніше). Третя - потрібно дуже точно формулювати умову завдання, оговорювати всі (або максимальну їх кількість) вимоги до відповіді, яка вважається коректною. Для прикладу розглянемо просте питання: «Скільки буде 2 по два?» Якщо не задавати додаткових вимог, то множина правильних відповідей (тобто, таких, які може дати ЛЮДИНА), звісно, зчисленна, але достатньо потужна для того, щоб перераховувати всі правильні варіанти у базі даних було не реально на практиці. Наприклад, правильними будуть відповіді "4", "чотири", "ЧОТИРИ", "четверо", "дві пари", "четыре", "чатыры", "four", "четири", "төрт", "quattro", "vier". Ну, якщо великі/малі літери - то не велика проблема при використанні правильно працюючих функцій приведення до великих чи малих, введення цифр можна заборонити у відповідне поле, то написання слова іншою мовою - це цілком така собі ознака людини, а не робота. Тільки от як перевіряти правильність відповіді? Адже, погодьтеся, якщо Ви передбачите як правильну лише, наприклад, відповідь "чотири" і забороните вводити пробіл (наприклад, через JavaScript), щоб не можна було ввести два слова, то залишаються варіанти іншими мовами і варіанти написання з помилками, наприклад, "чтири" - ну, звичайно, з точки зору правопису неправильно, але ж ми не правопис перевіряємо, а роботів відсіюємо, а це відповідь явно людини. Так що з відповіддю словом є проблеми.

Чому я це так детально описую... Власне, це не тільки для такої капчі проблема. Я з цією проблемою зіткнувся, коли займався розробкою системи автоматизованого тестування студентів, у якій ми спробували реалізувати питання, для яких відповідь потрібно написати словами. Розглядали кілька різних алгоритмів перевірки. Для тестів, до речі, найбільш дієвим із тих, які тестили, виявився статистичний байєсів аналізатор. Для тестів він годиться, бо є можливість "поганяти" питання на тестових групах із ручною оцінкою результатів, на основі яких "вчиться" цей аналізатор. На наших питаннях імовірність правильної оцінки досягала прийнятного рівня (>80%) десь після 100-150 "вивчених" правильних відповідей і десь ~30-40 неправильних. Планувалося додатково тренувати аналізатор за результатами апеляцій. Але для капчі придатність цього методу сумнівна - "поганяти" кожне завдання капчі на достатній для навчання аналізатора хоча б на початковому рівні кількості "піддослідних" (при цьому бажано, щоб "піддослідні" були з "дикої природи", тобто, давали відповіді, схожі на ті, які буде давати "робочий" контингент) проблематично, а без навчання статистичний аналізатор бреше безбожно.

Тому я і кажу (з власного сумного досвіду), що для таких питань найпростіше реалізувати перевірку саме числової відповіді - вона однозначна і перевіряється простим порівнянням. А для словесної відповіді зробити коректну перевірку - то ціла проблема. Або дуже детально описувати у завданні, яку саме відповідь Ви сподіваєтеся отримати (але й тут людина має досить великі шанси дати несподівану, хоч і цілком правильну, відповідь), або городити щось на зразок статистичного аналізатора, але його потрібно довго вчити на досить великих наборах правильних і неправильних відповідей.
До речі, з того ж досвіду можу підказати ще один "фокус", який ускладнює "підбір" відповіді у запропонованому мною типі завдань - текст (номери) варіантів кожний раз перемішувати випадково, номер правильної відповіді для поточної спроби капчі зберігати, наприклад, у даних сесії на сервері - таким чином складність підбору відповіді зростає, бо номер відповіді тепер виходить не прив’язаний жорстко до тексту питання, а кожного разу змінюється.

[по]

Для прикладу розглянемо просте питання: «Скільки буде 2 по два?» Якщо не задавати додаткових вимог, то множина правильних відповідей (тобто, таких, які може дати ЛЮДИНА), звісно, зчисленна, але достатньо потужна для того, щоб перераховувати всі правильні варіанти у базі даних було не реально на практиці. Наприклад, правильними будуть відповіді "4", "чотири", "ЧОТИРИ", "четверо", "дві пари", "четыре", "чатыры", "four", "четири", "төрт", "quattro", "vier".

У таблиці капч у полі з відповідями відповіді записані у нижньому регістрі.

До введеної відповіді хастосовується mb_strtolower($cap, 'utf-8');

і гляньте перше повідомлення цієї гілки http://linux.org.ua/index.php?topic=11079.0
---
Всіїєї вашої відповіді я іще не читав.

[по]

написання слова іншою мовою - це цілком така собі ознака людини, а не робота. Тільки от як перевіряти правильність відповіді? Адже, погодьтеся, якщо Ви передбачите як правильну лише, наприклад, відповідь "чотири"

Якщо іноземні користувачі захочуть реєструватись, то я допишу у тбл капч відповіді на іноземних мовах.

Специфіка сайту розрахована (надіюсь поки що) тільки на українську аудиторію. Та і самого сайту іще нема (розробка не закінчена).
---
Складність/стійкість та зручність... - якщо людина захоче зареєструватися, то вона це зробить.

[по]

Про наявність декількох вірних відповідей (мені пофіг те що я світю назви тбл та полів): Є (і була) така можливість. Номер питання в сесії не зберігається. Він пишеться у форму з капча-питанням. Потім при обробці по цьому номеру дістається відповідь і порівнюється із введеної відповіддю.

Повторюсь: Через деякий час всі питання і відповіді будуть змінюватись в таблиці.

Код: [Вибрати]

mysql> select * from cap;
+-------+----------------------------------+--------------------------------------+
| capid | vopr_cap                         | otv_cap                              |
+-------+----------------------------------+--------------------------------------+
|     1 | 1 + 1                            | 2 два                                |
|     2 | 2 - 2                            | 0 ноль нуль                          |
|     3 | 5 + 5                            | 10 десять                            |
|     4 | 4 - 2                            | 2 два                                |
|     5 | 101 - 1                          | 100 сто                              |
|     6 | Хто  куля в лоб                  | сеня                                 |
|     7 | 99 + 1                           | 100 сто                              |
|     8 | 3 додати три                     | 6 шість шесть                        |
|     9 | 5 х 6                            | 30 тридцять тридцать                 |
|    10 | пять x вісім                     | 40 сорок                             |
|    11 | Як звуть Гомера                  | гомер                                |
|    12 | Яке ім’я у Гомера                | гомер                                |
|    15 | 10-4                             | 6                                    |
|    17 | 19 плюс 11                       | 30                                   |
+-------+----------------------------------+--------------------------------------+
14 rows in set (0.00 sec)


Про числові відповіді: Я їх НЕ хочу використовувати тому що для робота дати числову відповідь простіше ніж словом (ну  еее я так вважаю).

Хоча якщо написати питання "два приплюсувати 2" або "2 додати два" - то робот може не зрозуміти питання.

[RomadinR]

Якщо іноземні користувачі захочуть реєструватись, то я допишу у тбл капч відповіді на іноземних мовах.

Специфіка сайту розрахована (надіюсь поки що) тільки на українську аудиторію. Та і самого сайту іще нема (розробка не закінчена).
---
Складність/стійкість та зручність... - якщо людина захоче зареєструватися, то вона це зробить.

Тут все залежить від цінності Вашого сайту для того відвідувача. Якщо мені, наприклад, якийсь сайт потрібний, то я, звичайно ж, не пошкодую трохи часу, щоб пройти всі тернії на шляху реєстрації. А якщо так собі, то після другої-третьої невдалої спроби згадаю незлим тихим словом розробника і забуду про нього як про дурний сон. Щодо української аудиторії: з власного досвіду можу сказати, що після кількагодинної роботи з англійським текстом часто на автоматі відповідь пишу англійською . А стосовно першого речення, можна питання? Як Ви дізнаєтеся, що іноземні (іншомовні ?) користувачі захочуть зареєструватися? Через форму звернення на сайті? Так для цього ж, мабуть, треба зареєструватися? Чи не вийде ситуація, типу "Keyboard not found, press F1 to continue"?
Хоча це все так, міркування/теоретизування про сферичний у вакуумі сайт. Звісно, вирішувати Вам як головному архітектору проекту.

[по]

Я сайт буду тестувати на учасниках цього форуму. Впевнений - вам сподобається. АЛЕ!!!, якщо користувач звик сидіти у всяких органічнодоривних вкантактах, аднакласніках і тупо лупити беньки на фотки, натискати на лайки, окєї, класи, робити репости - то таким користувачам не місце на моєму ресурсі.

Щодо іноземних користувачів - то не проблема. Спочатку потрібно щоб хоч хтось (тільки не робобот) зареєструвався і почав...
---

Парадоксальний парадокс: Якби у мене в селі, в Укртелекомі, частіше  (і на довший строк) були перебої з інтернетами, то сайт створювався  б швидше.

Бо коли є інтернет, то я дивлюсь квартал95 та іншу фігню.

[Djalin]

на пхпбб така капча є - обходили

[gdekjifgb]

на пхпбб така капча є - обходили

хм-м це ви про що конкретно? про алгоритм топікстартера?

Як робот таку капчу може обійти?  Наведіть хоча б приблизний алгоритм запам’ятовування відповідей і їх підбору для капчаформи (форми з такою капчею).

[Djalin]

На жаль алгоритму я не наведу - я не пишу бота й не маю хрумера  - просто констатую факт - така капча пробивається.