Google ha lanzado una nueva forma de identificación de bots mediante captcha, que le pide al usuario que haga clic en una sola casilla de verificación. Utiliza verificación basada en imágenes solo si es necesario.

¿Podría alguien explicarme cómo un programa de este tipo diferencia a un humano de un bot?

Hay un programa aquí que puede realizar clics del mouse en su computadora. No puede ser detectado por un programa basado en la web sin acceso a sus archivos de programa. Debería ser posible escribir un ejecutable de Windows indetectable que pueda marcar la casilla de verificación. También se podría aleatorizar el tiempo de respuesta del programa.

Después de algunos intentos (exitosos), el captcha solicitará la verificación de la imagen. Quizás eso pueda ser resuelto por una IA que busque las imágenes usando la Búsqueda de imágenes de Google (por imagen) y haga conjeturas basadas en los nombres de archivo de imágenes «visualmente similares». Si las imágenes utilizadas no son de la red, entonces serían limitadas en número y se podría crear una base de datos de ellas.

¿Podría alguien aclarar si estos enfoques realmente podrían funcionar?

Respuesta

Esta no es realmente una gran pregunta para stackexchange ya que Google mantiene sus algoritmos en secreto, por lo que todo lo que podemos hacer es adivinar cómo funciona, pero tengo entendido que el nuevo sistema analizará su actividad en todos los servicios de Google (y posiblemente en otros sitios sobre los que Google tiene cierto control, como los sitios web que tienen anuncios de Google).

Por lo tanto , es probable que las comprobaciones no se limiten solo a la página que tiene la casilla de verificación. Por ejemplo, si detectan que su computadora / dirección IP que está utilizando también se usó en el pasado para hacer cosas que haría un humano normal, como revisar Gmail, buscar en la búsqueda de Google, cargar archivos en Drive, compartir fotos, navegar la web, etc., entonces probablemente pueda estar razonablemente seguro de que usted es un humano y le permitirá omitir la verificación de la imagen. Por otro lado, si no puede asociar su computadora con ninguna actividad humana previa, entonces sería más sospechoso y le daría la verificación de imagen. Aunque el comportamiento del mouse al hacer clic en la casilla de verificación puede ser un factor que analiza, es casi seguro que hay mucho más.

Una vez más, no sabemos con certeza cómo funciona. Esta es mi mejor suposición basada en lo poco que ha dicho Google:

Si bien la nueva API reCAPTCHA puede parecer simple, hay un alto grado de sofisticación detrás esa modesta casilla de verificación. Los CAPTCHA se han basado durante mucho tiempo en la incapacidad de los robots para resolver texto distorsionado. Sin embargo, nuestra investigación demostró recientemente que la tecnología de inteligencia artificial actual puede resolver incluso la variante más difícil de texto distorsionado con una precisión del 99,8%. Por lo tanto, el texto distorsionado, por sí solo, ya no es una prueba confiable.

Para contrarrestar esto, el año pasado desarrollamos un backend de análisis de riesgo avanzado para reCAPTCHA que considera activamente el compromiso total de un usuario con el CAPTCHA; antes, durante y después: para determinar si ese usuario es un ser humano. Esto nos permite confiar menos en escribir texto distorsionado y, a su vez, ofrecer una mejor experiencia para los usuarios. Hablamos de esto en nuestra publicación del Día de San Valentín a principios de este año.

Para mí, el punto sobre «antes, durante y después del uso» es una pista fuerte que analizan el comportamiento de navegación anterior, pero mi interpretación podría ser incorrecta.

Aquí «una cita de WIRED:

En lugar de depender Según la prueba tradicional de palabras distorsionadas, «reCaptcha» de Google examina las señales que cada usuario proporciona sin saberlo: las direcciones IP y las cookies proporcionan evidencia de que el usuario es el mismo ser humano amigable que Google recuerda de otras partes de la Web. Y Shet dice que incluso los pequeños movimientos del mouse de un usuario hace que cuando se cierne y se acerca a una casilla de verificación puede ayudar a revelar un bot automatizado.

Hay otro hilo en stackoverflow que también habla de esto: https://stackoverflow.com/questions/27286232/how-does-new-google-recaptcha-work

En cuanto a la verificación de imágenes, no podrá encontrar esas imágenes con imagen inversa. buscar o compilar un base de datos de ellos. Por lo general, son letreros de calles o números de casa aleatorios capturados por los autos de Street View de Google, o palabras de libros que se escanearon para el proyecto de Google Libros. Hay un buen propósito detrás de esto: Google en realidad hace uso de lo que la gente escribe en reCaptcha para mejorar sus propias bases de datos y entrenar algoritmos de OCR. reCaptcha da la misma imagen a varios usuarios, y si todos están de acuerdo en lo que dice, entonces la imagen se convierte en datos de entrenamiento para la IA de Google.

De wikipedia:

El servicio reCAPTCHA proporciona a los sitios web de suscripción imágenes de palabras que el software de reconocimiento óptico de caracteres (OCR) no ha podido leer. Los sitios web suscriptores (cuyos propósitos generalmente no están relacionados con el proyecto de digitalización de libros) presentan estas imágenes para que los humanos las descifren como palabras CAPTCHA, como parte de sus procedimientos normales de validación. Luego, devuelven los resultados al servicio reCAPTCHA, que envía los resultados a los proyectos de digitalización.

reCAPTCHA ha trabajado en la digitalización de los archivos de The New York Times y libros de Google Books. [3] En 2012, se habían digitalizado treinta años de The New York Times y se planeaba que el proyecto hubiera terminado los años restantes para fines de 2013. El archivo ahora completo de The New York Times se puede buscar en el Archivo de artículos del New York Times, donde se han archivado más de 13 millones de artículos en total, desde 1851 hasta la actualidad.

Comentarios

  • ¿Puede proporcionar alguna fuente para su respuesta?
  • Puede que tenga razón. Me preguntaba acerca de un posible conflicto con su Política de privacidad , pero leyendo la forma amplia en que está formulada, y especialmente su Cómo usamos la información que recopilamos , parece compatible: « Usamos la información que recopilamos de todos nuestros servicios para proporcionar, mantener, protegerlos y mejorarlos, desarrollar otros nuevos y proteger a Google y a nuestros usuarios. También usamos esta información para ofrecerle contenido personalizado ».
  • Sin embargo, nunca lo bloquea si borra la prueba de imagen. (independientemente del historial anterior)
  • ¡Hola! Encontré esta respuesta realmente interesante. Pero si Google ya está bastante seguro de que ‘ eres un humano, ¿por qué se molesta en mostrar un CAPTCHA?
  • @EliRose Una parte importante del reCaptcha La implementación es una verificación del lado del servidor del widget ‘ token de seguridad . El sitio web debe verificar que ‘ no se esté falsificando. Esto sucede cuando el usuario interactúa con el widget.

Respuesta

También me sorprende esto. Entonces, lo que hice, en Chrome, abra el modo de incógnito, luego busque un sitio que tenga el nuevo CAPTCHA de Google y marque la casilla. Bueno, no me ayudó, en su lugar muestra una serie de imágenes y me pidió que seleccionara imágenes relacionadas con una imagen.

Esto muestra que Google está constantemente rastreando nuestro comportamiento para determinar si somos humanos. o no.

Modo incógnito

Comentarios

  • ¿Podrías explicar cómo esto responde a la pregunta? Tal vez ‘ me esté perdiendo algo, pero no ‘ No vea cómo esto aborda los posibles ataques que menciona el OP.
  • @SLBarth: Parece brindar soporte (usando un formato que no ‘ no caben en un comentario) para la explicación dada por tlng05 ‘ s respuesta.
  • @BenVoigt sí, solo estaba tratando de comportarme como una máquina y ver cómo reacciona Google. Eliminar las cookies, el historial y la memoria caché también activa lo mismo.
  • Yo ‘ supongo que estás en el Reino Unido.

    Camión comercial » no significa nada para nosotros aquí en los EE. UU. Es aún más interesante que Google lo esté haciendo geográficamente contextual.

  • Y una nota, Chrome es también un producto de Google.

Responder

Cuando haces clic en no soy un robot envía una solicitud HTTP a Google con toda la información útil, como

  • Su dirección IP
  • Su país
  • Marca de tiempo

Información de su navegador, como la forma en que mueve el cursor justo antes de ingresar a la casilla de verificación. Cómo se desplaza por la página antes del clic. El intervalo de tiempo entre diferentes eventos del navegador y muchas otras variables que Google mantiene en secreto.

Todos estos criterios son luego procesados por el análisis de riesgo de aprendizaje automático en Google y la mayoría de las veces la información puede diferenciar entre un humano y un bot Si el motor de análisis de riesgos aún no está seguro, el pequeño porcentaje de usuarios suele completar un desafío adicional.

Ahí es donde entra CAPTCHA de reconocimiento de imágenes. Si demuestras que eres humano de esta manera entonces es probable que el motor de Google lo recuerde y la próxima vez, después de hacer clic en esa casilla, podrá pasar directamente a través de ellos.

Respuesta

Por lo que he visto, la lógica es la siguiente:

  • Si el usuario no está registrado en la cuenta de Google (en el navegador), entonces obtiene un captcha visible.
  • Si el usuario ha iniciado sesión , dependiendo de su historial de actividad anterior (probablemente en Google) ( ya sea en esa página o antes de navegar allí), hay dos escenarios posibles:
    1. No obtendrá ningún captcha
    2. Obtendrá un captcha más fácil (es decir, 1 laberinto en lugar de 4 laberintos)

Lo que no puedo entender bien es cuál es el uso de checkbox captchas cuando el algoritmo ha ya detectado que eres un humano.

Comentarios

  • La casilla de verificación asegura que los datos de movimiento del mouse deben ser registrados para enviar el captcha, entre otras cosas

Responder

Hace varias cosas. Comprueba su dirección IP y cookies. Observa cómo hace clic y cómo se mueve el mouse antes de hacer clic. El uso de una herramienta de clic automático suele hacer que Google te dé una imagen.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *