パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

スパマーがCAPTCHAの突破に成功?」記事へのコメント

  • ちょっと探せば、色んなサイトのCAPTCHAに対して90%~100%等の実用に足る認識率で破れるツールはぞろぞろ見つかります。
    単にそれを実行する人の割合が少ないので、サイト開発側はコスト的に現在の CAPTCHA が落としどころになっているというだけ。

    サイトの性質によってどれほどコストをかけるべきかの判断は違うので一概に CAPTCHA じゃ安心できないとは言えないでしょう。
    比較的カジュアルな大量取得を防ぎたいという要件なら依然効果はあると思います。

    スパマーからしたら、HotmailやYahooやGmailなどメールサービスは狙い目でしょうから対策にコストをかけざるを得ないかもしれませんね。
    一般のサイトではまだそこまで心配しなくても良いのでは…、と思います。
    • スパマー対策というと、スパムボットをはじくためのフィルタとか、CAPTCHAとか、認証ばかりに目がいきがちですが、
      それと同時に、「巡回してくるボットが登録フォームの存在をかぎつけないように、フォームの存在を隠す」対策も必要ではと思います。
      大手ではなく一般のサイトでは、スパムターゲットは手動ではなくロボットが見つける事が大半でしょうから、特に有効かと思います。

      実際、私の運営しているウェブサイトのアクセスログを取ってみると、たとえ本物のCGIプログラムではなくて、フォームの使い方の解説用としてHTMLファイルに記述したダミーフォームであっても、そのフォームに定期的にPOSTしようと試みてはいつも失敗している怪しげなスパムボットがやって来る事があります。
      どうやら、掲示板やブログやメールフォーム等の投稿フォームにありがちなフォームのパターン(name, emailといった名前のテキストボックスに加えてtextareaという構成)をスパムクローラが見つけると、スパムターゲットとみなされてロックオンされてしまうようです。

      掲示板やブログやメールフォーム等のCGIプログラムの開発を考えているなら、完全な投稿フォームを、クローラから見える範囲に丸裸で置いておくのではなくて、チューリングテストにパスした時だけ見せるのがスパム防止に有効です。
      実際私も、チューリングテストとまではいかないまでも、入口に「氏名」のテキストボックス+「次画面」ボタンだけの単純な投稿フォームを作って、そのフォームにPOSTしないとtextarea要素を含む完全な投稿フォームを表示しないよう、メールフォームプログラムを手直ししたところ、一時期毎日のように来ていたスパム投稿がパタリと止んだ実績があります。

      もっとも、HotmailやYahoo並の大手サービスとなると、犯罪者もボットで探すのではなく手動で個別に対応するでしょうから、また別の話になるかもしれませんが。
      --
      ハイバネーション(=冬眠)中。 押井徳馬(・(T)・)
      親コメント
      • >スパマー対策というと、スパムボットをはじくためのフィルタとか、CAPTCHAとか、認証ばかりに目がいきがちですが、

         こちらでは、被リンク数稼ぎ(?)のURL羅列spam対策に限れば、以下2つの条件で99.9%排除できてます。
        ・formの"mail"とかに「@」が入っていたら弾く
        (今時、わざわざe-mailのspamを呼び寄せる「人」はいないよねー。
         どーせ使わないので、nameはmailでそのままでサイト持ちのURL記入欄に改造してるのに)
        ・本文のtextareaに「<a」「[url=」が入っていたら弾く
        (うちのBBSは、HTMLは受け付けないし、BBCodeも受け付けないよ)

         掲示板にspamに舞い込みはじめた頃はその対策がちょっと面白かったのですけど、近頃はワンパターンの馬鹿なプログラムしかなくて退屈です。
         おそらく、そんなのでも世の多数の無防備な掲示板に書き込めるので、たまに出会う小細工に対応する必要はないのでしょう。

        >完全な投稿フォームを、クローラから見える範囲に丸裸で置いておくのではなくて、チューリングテストにパスした時だけ見せるのがスパム防止に有効です。

         これは、spam投稿ロボット自体が来なくて、無駄な回線負荷やCPU負荷がなくなるのがよいですね。
        親コメント
    • スパマーからしたら、HotmailやYahooやGmailなどメールサービスは狙い目でしょうから対策にコストをかけざるを得ないかもしれませんね。
          一般のサイトではまだそこまで心配しなくても良いのでは…、と思います。
       一般のblogや掲示板の場合、むしろ、CHAPTCHAをもっと優しくするべきだと思ってます。
       それらの場合に防ぎたいのは、無差別のspam書き込みです。無差別のspam書き込みを防ぐには、「CAPTCHAがある」ことだけで十分です。

       既にいわゆるCAPTCHAを解析するツールは色々あります(*)。しかし、少なくとも今のところ、CAPTCHAの種類を判定してそれに合わせた解析を行い、その結果をformの正しい項目に当てはめる「賢い」spam投稿プログラムは(たぶん)無いでしょうから。

      *:参考
      CAPTCHA --- Radium Software Development 2006-11-07 [radiumsoftware.com]
      PWNtcha - captcha decoder [zoy.org]
      Breaking a Visual CAPTCHA [cs.sfu.ca]
      /aiCAPTCHA : CAPTCHA Comment Spammer [mperfect.net]

       ただし、あまり軟弱なのもどうかとは思います。特に、「狙い撃ち」される可能性がそれなりにあるサイトでは。
       「高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは ~前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか [takagi-hiromitsu.jp]」で扱われているほど酷くなくても、「CAPCHAもどき」と言えそうなのを時々見ます。
       メジャーなサイトでは例えば、はてなダイアリーのguestで投稿する場合のCAPTCHA。簡単そうだよなーと思って試したら、簡単に機械投稿できました [hatena.ne.jp]。ビットマップの画像データを色々いじった経験のある人なら、簡単でしょうね。
      親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...