Google har släppt en ny form av captcha-identifiering av bots, som ber användaren att klicka på en enda kryssruta. Den använder bildbaserad verifiering bara om det behövs.

Kan någon förklara för mig hur ett sådant program skiljer en människa från en bot?

Det finns ett program här som kan utföra musklick på din dator. Det kan inte detekteras av ett webbaserat program utan åtkomst till dina programfiler. Det borde vara möjligt att skriva en Windows-körbar som inte kan detekteras som kan kryssa i kryssrutan. Man kan också randomisera programmets svarstid.

Efter några (framgångsrika) försök kommer captcha att be om bildverifiering. Kanske kan det lösas av en AI som söker i bilderna med hjälp av Google Image Search (efter bild) och gör gissningar baserat på filnamnen på ”visuellt liknande” bilder. Om bilderna som används inte är från nätet skulle de vara begränsade i antal och man skulle kunna skapa en databas över dem.

Kan någon klargöra om dessa metoder faktiskt kan fungera?

Svar

Det här är inte riktigt en bra fråga för stackexchange eftersom Google håller sina algoritmer hemliga så allt vi verkligen kan göra är att gissa om hur det fungerar, men jag förstår att det nya systemet kommer att analysera din aktivitet över alla Googles tjänster (och eventuellt andra webbplatser som Google har viss kontroll över, till exempel webbplatser som har Google-annonser).

Således är det troligt att kontrollerna inte är begränsade till bara den sida som har kryssrutan. Om de till exempel upptäcker att din dator / IP-adress du använder också använts tidigare för att göra saker som en normal människa skulle göra – saker som att kontrollera Gmail, söka i Google-sökning, ladda upp filer till Drive, dela foton, surfa webben etc. – då kan det antagligen vara ganska säkert att du är en människa och låta dig hoppa över bildverifieringen. Å andra sidan, om den inte kan associera din dator med någon tidigare mänsklig aktivitet, skulle det vara mer misstänksamt och ge dig bildverifiering. Även om musens beteende när den klickar i kryssrutan kan det vara en faktor den analyserar, det är nästan säkert mycket mer till det.

Återigen vet vi inte säkert hur det fungerar. Det här är bara min bästa gissning baserat på det lilla Google har sagt:

Medan det nya reCAPTCHA API kan låta enkelt, ligger det en hög grad av sofistikering bakom den blygsamma kryssrutan. CAPTCHA har länge förlitat sig på att robotar inte kan lösa förvrängd text. Vår forskning visade dock nyligen att dagens Artificial Intelligence-teknik kan lösa även den svåraste varianten av förvrängd text med 99,8% noggrannhet. Således är förvrängd text i sig inte längre ett pålitligt test.

För att motverka detta utvecklade vi förra året en avancerad riskanalysbackend för reCAPTCHA som aktivt tar hänsyn till en användares hela engagemang i CAPTCHA-före, under och efter – för att avgöra om användaren är en människa. Detta gör att vi kan lita mindre på att skriva förvrängd text och i sin tur erbjuda en bättre upplevelse för användarna. Vi pratade om detta i vårt inlägg på Alla hjärtans dag tidigare i år.

För mig är poängen om ”före, under och efter användning” en stark ledtråd att de analyserar tidigare surfbeteende, men min tolkning kan vara fel.

Här ”ett citat från WIRED:

I stället för att bero på vid det traditionella förvrängda ordtestet undersöker Googles “reCaptcha” ledtrådar som varje användare oavsiktligt tillhandahåller: IP-adresser och kakor ger bevis för att användaren är samma vänliga människa som Google kommer ihåg från andra håll på webben. gör när den svävar och närmar sig en kryssruta kan hjälpa till att avslöja en automatiserad bot.

Det finns en annan tråd i stackoverflow som också diskuterar detta: https://stackoverflow.com/questions/27286232/how-does-new-google-recaptcha-work

När det gäller bildverifiering kommer du inte att kunna hitta dessa bilder med omvänd bild sök eller kompilera a databas över dem. De är vanligtvis slumpmässiga gatuskyltar eller husnummer som fångats av Googles Street View-bilar eller ord från böcker som skannats för Google Books-projektet. Det ligger ett bra syfte bakom detta – Google använder faktiskt vad människor skriver in i reCaptcha förbättra sina egna databaser och träna OCR-algoritmer. reCaptcha ger samma bild till ett antal användare, och om de alla är överens om vad det står, blir bilden träningsdata för Googles AI.

Från wikipedia:

ReCAPTCHA-tjänsten levererar prenumerationswebbplatser med bilder av ord som OCR-programvaran (OCR) inte har kunnat att läsa. Prenumerationswebbplatserna (vars syften i allmänhet inte är relaterade till bokens digitaliseringsprojekt) presenterar dessa bilder för människor att dechiffrera som CAPTCHA-ord, som en del av deras normala valideringsprocedurer. De returnerar sedan resultaten till reCAPTCHA-tjänsten, som skickar resultaten till digitaliseringsprojekten.

reCAPTCHA har arbetat med att digitalisera arkiven i The New York Times och böcker från Google Books. [3] Från och med 2012 hade trettio år av The New York Times digitaliserats och projektet planerades ha slutfört de återstående åren i slutet av 2013. Det nu färdiga arkivet för The New York Times kan sökas från New York Times Article Archive, där mer än 13 miljoner artiklar totalt har arkiverats från 1851 till idag.

Kommentarer

  • Kan du tillhandahålla några källor för ditt svar?
  • Du kan ha rätt. Jag undrade om en möjlig konflikt med deras Sekretesspolicy men läser det breda sättet det formuleras, och speciellt deras Hur vi använder information vi samlar in , det verkar vara kompatibelt: « Vi använder informationen vi samlar in från alla våra tjänster för att tillhandahålla, underhålla, skydda och förbättra dem, utveckla nya och skydda Google och våra användare. Vi använder också denna information för att erbjuda dig skräddarsytt innehåll ».
  • Det blockerar dig dock aldrig om du rensar bildtestet. (oavsett tidigare historia)
  • Hej! Jag tyckte att det här svaret var väldigt intressant. Men om Google redan är ganska säker på att du ’ är en människa, varför bryr det sig att visa en CAPTCHA alls?
  • @EliRose En betydande del av reCaptcha implementeringen är en kontroll på serversidan av widgeten ’ s säkerhetstoken . Webbplatsen måste verifiera att den ’ inte förfalskas. Detta händer vid användarinteraktion med widgeten.

Svar

Jag brukar också bli förvånad över den här saken. Så vad jag gjorde, i Chrome öppna inkognitoläge, bläddra sedan på en webbplats som har den nya Google CAPTCHA och kryssa i rutan. Det kom inte igenom mig, istället visar det en serie bilder och bad mig välja bilder relaterade till en bild.

Detta visar att Google spårar hela tiden vårt beteende för att avgöra om vi är mänskliga. eller inte.

Inkognitoläge

Kommentarer

  • Kan du förklara hur detta svarar på frågan? Jag kanske ’ saknar något, men jag saknar ’ se inte hur detta hanterar de möjliga attackerna som OP nämner.
  • @SLBarth: Det verkar ge stöd (med formatering som inte skulle ’ t har passat in i en kommentar) för förklaringen från tlng05 ’ s svar.
  • @BenVoigt ja jag försökte bara bete mig som en maskin och se hur Google reagerar. Att ta bort kakor, historik och cache utlöser också samma sak.
  • Jag ’ jag gissar att du är i Storbritannien.

    Kommersiell lastbil ” betyder inget för oss här i USA. Så ännu mer intressant att google gör det geografiskt kontextuellt.

  • Och en anmärkning, Chrome är också en produkt från Google.

Svar

När du klickar på Jag är inte en robot den skickar en HTTP-begäran till google med hela gäng användbara informationssaker som

  • Din IP-adress
  • Ditt land
  • Tidsstämpel

Information från din webbläsare, till exempel hur du flyttar markören precis innan du går in i kryssrutan. Hur du rullar på sidan före klicket. Tidsintervallet mellan olika webbläsarhändelser och många andra variabler som google håller hemligt.

Alla dessa kriterier behandlas sedan av maskininlärningsriskanalys hos Google och för det mesta kan informationen säga skillnaden mellan en människa och en bot men om riskanalysmotorn fortfarande är osäker, slutar ofta den lilla procenten av användare en ytterligare utmaning.

Det är där Bildigenkänning CAPTCHA kommer in. Om du bevisar att du är människa på detta sätt då är chansen att Googles motor kommer ihåg och nästa gång efter att du klickat på kryssrutan kommer du att kunna gå igenom med dessa.

Svar

Så vitt jag har sett är logiken så här:

  • Om användaren inte är loggad i Google-kontot (i webbläsaren) får han / hon en synlig captcha.
  • Om användaren är inloggad , beroende på din tidigare (förmodligen över google) aktivitetshistorik ( antingen på den sidan eller innan du navigerade dit), det finns två möjliga scenarier:
    1. Du får ingen captcha
    2. Du får enklare captcha (dvs. 1 labyrint istället för 4 labyrinter)

Vad jag inte kan förstå bra är vad som är användningen av checkbox captchas när algoritmen har redan upptäckt att du är en människa.

Kommentarer

  • Kryssrutan säkerställer att musrörelsesdata måste registreras för att skicka captcha bland andra saker

Svar

Det gör flera saker. Den kontrollerar din IP-adress och kakor. Det tittar på hur du klickar och musen rör sig innan du klickar. Med hjälp av ett automatiskt klickverktyg kan Google ge dig en bildsak.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *