Google heeft een nieuwe vorm van captcha-identificatie van bots uitgebracht, die de gebruiker vraagt om op een enkel selectievakje te klikken. Het maakt alleen gebruik van op afbeeldingen gebaseerde verificatie als dat nodig is.
Kan iemand mij uitleggen hoe een dergelijk programma een mens van een bot onderscheidt?
Er is een programma hier die muisklikken op uw computer kan uitvoeren. Het kan niet worden gedetecteerd door een webgebaseerd programma zonder toegang tot uw programmabestanden. Het zou mogelijk moeten zijn om een niet-detecteerbaar Windows-uitvoerbaar bestand te schrijven dat het selectievakje kan aanvinken. Men zou ook de responstijd van het programma willekeurig kunnen indelen.
Na een paar (succesvolle) pogingen zal de captcha om beeldverificatie vragen. Misschien kan dat worden opgelost door een AI die de afbeeldingen doorzoekt met Google Image Search (op afbeelding) en gissingen doet op basis van de bestandsnamen van “visueel vergelijkbare” afbeeldingen. Als de gebruikte afbeeldingen niet van het net afkomstig zijn, zouden ze in aantal beperkt zijn en zou men er een database van kunnen maken.
Kan iemand duidelijk maken of deze benaderingen echt zouden kunnen werken?
Answer
Dit is niet echt een goede vraag voor stackexchange aangezien Google zijn algoritmen geheim houdt, dus alles wat we echt kunnen doen is gissen over hoe het werkt, maar ik heb begrepen dat het nieuwe systeem uw activiteit in alle Google-services (en mogelijk andere sites waarover Google enige controle heeft, zoals websites met Google-advertenties) analyseert.
Dus , is het waarschijnlijk dat de controles niet beperkt zijn tot alleen de pagina met het selectievakje erop. Als ze bijvoorbeeld detecteren dat uw computer / IP-adres dat u gebruikt, in het verleden ook werd gebruikt om dingen te doen die een normaal mens zou doen, zoals Gmail controleren, zoeken op Google Zoeken, bestanden uploaden naar Drive, fotos delen, browsen internet enz. – dan kan het waarschijnlijk redelijk zeker zijn dat u een mens bent en kunt u de beeldverificatie overslaan. Aan de andere kant, als het uw computer niet kan associëren met een eerdere menselijke activiteit, dan zou het meer verdacht zijn en u de beeldverificatie geven. Hoewel het muisgedrag tijdens het klikken op het selectievakje een van de factoren kan zijn die het analyseert, er komt vrijwel zeker nog veel meer bij kijken.
Nogmaals, we weten niet zeker hoe het werkt. Dit is gewoon mijn beste schatting op basis van wat Google heeft gezegd:
Hoewel de nieuwe reCAPTCHA API misschien eenvoudig klinkt, zit er een hoge mate van verfijning achter dat bescheiden selectievakje. CAPTCHAs vertrouwen al lang op het onvermogen van robots om vervormde tekst op te lossen. Ons onderzoek heeft echter onlangs aangetoond dat de huidige kunstmatige-intelligentietechnologie zelfs de moeilijkste variant van vervormde tekst met een nauwkeurigheid van 99,8% kan oplossen. Dus vervormde tekst is op zichzelf niet langer een betrouwbare test.
Om dit tegen te gaan, hebben we vorig jaar een geavanceerde risicoanalyse-backend ontwikkeld voor reCAPTCHA die actief rekening houdt met de volledige betrokkenheid van een gebruiker bij de CAPTCHA – voorheen, tijdens en na – om te bepalen of die gebruiker een mens is. Dit stelt ons in staat minder te vertrouwen op het typen van vervormde tekst en op zijn beurt een betere ervaring voor gebruikers te bieden. We hebben hierover eerder dit jaar in onze Valentijnsdagpost gesproken.
Voor mij is het punt over “voor, tijdens en na gebruik” een sterke hint dat ze eerder browsegedrag analyseren, maar mijn interpretatie zou verkeerd kunnen zijn.
Hier “een citaat van WIRED:
In plaats van afhankelijk op basis van de traditionele test met vervormde woorden, onderzoekt Googles reCaptcha aanwijzingen die elke gebruiker onbewust geeft: IP-adressen en cookies bewijzen dat de gebruiker dezelfde vriendelijke mens is die Google zich herinnert van elders op het web. En Shet zegt dat zelfs de kleine bewegingen van de muis van een gebruiker maakt terwijl het zweeft en nadert een selectievakje kan helpen een geautomatiseerde bot te onthullen.
Er is een andere thread op stackoverflow die dit ook bespreekt: https://stackoverflow.com/questions/27286232/how-does-new-google-recaptcha-work
Wat betreft beeldverificatie, u zult die afbeeldingen niet kunnen vinden met omgekeerde afbeelding zoek, of compileer een database van hen. Het zijn meestal willekeurige straatnaamborden of huisnummers die zijn vastgelegd door Google Street View-autos, of woorden uit boeken die zijn gescand voor het Google Books-project. Hier zit een goed doel achter: Google maakt eigenlijk gebruik van wat mensen in reCaptcha typen om hun eigen databases verbeteren en OCR-algoritmen trainen. reCaptcha geeft hetzelfde beeld aan een aantal gebruikers, en als ze het allemaal eens zijn over wat het zegt, wordt het beeld trainingsdata voor Googles AI.
Van wikipedia:
De reCAPTCHA-service voorziet geabonneerde websites van afbeeldingen van woorden die software voor optische tekenherkenning (OCR) niet heeft kunnen gebruiken lezen. De geabonneerde websites (waarvan de doeleinden over het algemeen geen verband houden met het project voor het digitaliseren van boeken) presenteren deze afbeeldingen zodat mensen ze kunnen ontcijferen als CAPTCHA-woorden, als onderdeel van hun normale validatieprocedures. Ze sturen de resultaten vervolgens terug naar de reCAPTCHA-service, die de resultaten naar de digitaliseringsprojecten stuurt.
reCAPTCHA heeft gewerkt aan het digitaliseren van de archieven van The New York Times en boeken van Google Books. [3] Vanaf 2012 was dertig jaar The New York Times gedigitaliseerd en het project zou de resterende jaren eind 2013 hebben afgerond. Het nu voltooide archief van The New York Times kan worden doorzocht in het New York Times Article Archive, waar in totaal meer dan 13 miljoen artikelen zijn gearchiveerd, daterend van 1851 tot heden.
Reacties
- Kun je bronnen voor je antwoord geven?
- Misschien heb je gelijk. Ik vroeg me af of er een mogelijk conflict was met hun Privacybeleid , maar ik las de brede manier waarop het is geformuleerd, en vooral hun Hoe we de informatie gebruiken die we verzamelen , het lijkt compatibel: « We gebruiken de informatie die we verzamelen via al onze services om te leveren, onderhouden, om ze te beschermen en te verbeteren, om nieuwe te ontwikkelen en om Google en onze gebruikers te beschermen. We gebruiken deze informatie ook om u op maat gemaakte inhoud aan te bieden ».
- Het blokkeert u echter nooit als u de afbeeldingstest wist. (ongeacht eerdere geschiedenis)
- Hallo! Ik vond dit antwoord erg interessant. Maar als Google er al vrij zeker van is dat u ‘ een mens bent, waarom zou het dan überhaupt moeite doen om een CAPTCHA weer te geven?
- @EliRose Een aanzienlijk deel van de reCaptcha implementatie is een server-side controle van de widget ‘ s beveiligingstoken . De website moet verifiëren dat ‘ niet wordt vervalst. Dit gebeurt bij interactie van de gebruiker met de widget.
Antwoord
Ik sta ook altijd versteld van dit ding. Dus wat ik deed, in de incognitomodus van Chrome, blader vervolgens door een site met de nieuwe Google CAPTCHA en vink het vakje aan. Nou, ik kwam er niet doorheen, in plaats daarvan toont het een reeks afbeeldingen en wordt me gevraagd afbeeldingen te selecteren die betrekking hebben op één afbeelding.
Dit laat zien dat Google constant ons gedrag volgt om te bepalen of we mensen zijn of niet.
Reacties
- Kunt u uitleggen hoe dit de vraag beantwoordt? Misschien ‘ m mis ik iets, maar ik ‘ zie niet hoe dit de mogelijke aanvallen aanpakt die het OP noemt.
- @SLBarth: Het lijkt ondersteuning te bieden (met opmaak die ‘ passen niet in een opmerking) voor de uitleg gegeven door tlng05 ‘ s antwoord.
- @BenVoigt ja ik probeerde me gewoon als een machine te gedragen en te zien hoe Google reageert. Als cookies, geschiedenis en cache worden verwijderd, wordt hetzelfde geactiveerd.
- Ik ‘ vermoed dat je in het VK bent.
Commerciële vrachtwagen ” betekent niets voor ons hier in de VS. Dus nog interessanter is dat Google het geografisch contextueel maakt.
- En een opmerking, Chrome is ook een product van Google.
Antwoord
Als je op klikt, ben ik geen robot het verzendt via een HTTP-verzoek naar Google met een hele reeks nuttige informatie zoals
- Uw IP-adres
- Uw land
- Tijdstempel
Informatie uit uw browser, zoals de manier waarop u uw cursor beweegt net voordat u het selectievakje opent. Hoe u door de pagina scrolt vóór de klik. Het tijdsinterval tussen verschillende browsergebeurtenissen en vele andere variabelen die Google geheim houdt.
Al deze criteria worden vervolgens verwerkt door machine learning risicoanalyse bij Google en de informatie kan meestal het verschil zien tussen een mens en een bot, maar als de risicoanalyse-engine nog steeds niet zeker is, voltooit het kleine percentage gebruikers vaak een extra uitdaging.
Dat is waar CAPTCHA voor beeldherkenning binnenkomt. Als je op deze manier bewijst dat je een mens bent dan is de kans groot dat de engine van Google het onthoudt en de volgende keer dat u op dat selectievakje hebt geklikt, kunt u hiermee doorgaan.
Antwoord
Voor zover ik heb gezien, is de logica als volgt:
- Als de gebruiker niet is aangemeld in het Google-account (in de browser), krijgt hij / zij een zichtbare captcha.
- Als de gebruiker is ingelogd , dan is dat afhankelijk van je eerdere (waarschijnlijk in Google) activiteitengeschiedenis ( ofwel op die pagina of voordat je ernaartoe navigeerde), zijn er twee mogelijke scenarios:
- Je krijgt geen captcha
- Je krijgt een gemakkelijkere captcha (dwz 1 doolhof in plaats van 4 doolhoven)
Wat ik “niet goed kan begrijpen, is het gebruik van checkbox captchas wanneer het algoritme heeft al ontdekt dat u een mens bent.
Opmerkingen
- Het selectievakje zorgt ervoor dat muisbewegingsgegevens moeten worden geregistreerd om de captcha te kunnen verzenden, andere dingen
Antwoord
Het doet verschillende dingen. Het controleert uw IP-adres en cookies. Het kijkt hoe u klikt en hoe uw muis beweegt voordat u klikt. Door een automatisch kliktool te gebruiken, geeft Google u meestal een plaatje.