Vlákno názorů k článku CAPTCHA: negatíva a spôsoby prelomenia od --==[FReeZ]==-- - Ctvrta metoda je asi nejpouzivanejsi, ale proc zde...

Ctvrta metoda je asi nejpouzivanejsi, ale proc zde neni popsana take obrana?

Extended attack:
Spociva ve skriptu/programu, ktery postupne bude stahovat vsechny kombinace obrazku a ukladat si k nim spravne odpovedi (vyplati se to zejmena u 3 az 4 mistnych verzi) kazdy soubor s obrazkem lze prevest na CRC (kontrolni soucet), cili neukladame obrazek, ale pouze onen CRC a spravnou odpoved. Jestlize nas SPAMBOT pote bude mit dostatek ulozenych kontrolnich souctu obrazku a k nim spravnych odpovedi, tak uz muze vse probihat automaticky.
Postupne se ulozily vsechny ty kombinace a CAPTCHA byla tim padem cracknuta.

Obrana je velmi prosta, spociva v generovani nahodneho pozadi, ktere by melo tvorit alespon 50% a text ma take 50%, tim vytvorime maximum kombinaci = maximum ruznych CRC. Pozadi nema byt vetsi, nebo sirsi nez pismo, protoze tim si ochranu nezvysime. Utocnikuv program/skript muze obrazky orezavat zleva, zprava i zvrchu a zespodu, bude delat CRC jen toho maleho mista s textem a kdyz je to vyladene na miru tak ani o pixel vic se nemusi pouzivat pro CRC, tim je pak dosazeno maximalniho vykonu v pripade, ze jiz SPAMBOT jede plne automaticky.

zapomnel jsem tam pripsat, ze ty spravne odpovedi se ziskavaji tim bodem 4 v clanku, cili na warezu je vystavena cizi CAPTCHA a kdo ji spravne nevyplni, nedostane se k tomu co chce stahovat.

mimoto stačí eště natočit znaky náhodně, každý zvlášť, k tomu náhodnou velikost, náhodnou barvu atd. a žádný kontrolní součty ani programy na čtení obrázků se nechytaj ani náhodou...
prostě captcha je nejúčinnější, od tý doby co jí používám mi tam neprolezlo se stovkama návštěv denně nic nečistýho...

CAPTCHA je prostě nej. K předchozímu bych ještě dodal, že je pro jistotu dobrý ověřovat, z jakého URL přicází požadavek - v jistých případech může odstranit problém 4.

ruzne barvy usnadnuji segmentaci captchy na jednotliva pismena. spis se mi zda, ze by mel obrazek vypadat co "nejjednoliteji" :-)

Pokud si znovu prectete muj prispevek, uvidite v nem "Obrana je velmi prosta, spociva v generovani nahodneho pozadi"... cili s tim nesouhlasite? Nebo s ukladanim kontrolnich souctu jednotlivych obrazku? CRC byl samozrejme uveden jen jako priklad, lze pouzit spolehlivejsi algoritmus. CAPTCHA neni jedno a to same, mame mnoho ruznych variant, nektere vice a jine mene bezpecne.

Najdou se i dnes lide s 3 mistnymi CAPTCHA, statickym pozadim a pismem nerotovanym - to jsou tusim puvodni a znacne zastarale modely, kterych se vsak na Internetu vyskytuje stale relativne dostatecne mnozstvi. Ovsem mnohem zajimavejsi pro spammery je harvestrovat emaily primo ze stranek pomoci vcelku jednoduchych a univerzalnich skriptu, ktere browsuji po strankach napriklad tak, jako googlebot a ukladaji si vse, co splnuje format emailu dle patricneho RFC.

Gmail ma tiez staticke pozadie...