Index (comments/trackbacks)

hidew 2008.03.07

#1640 個人ブログの CAPTCHA

png 5271 byte 最近は、ブログのコメント欄などにもスパム対策として CAPTCHA が設置されることがある。大手サービスのアカウント取得時はやむをえないかもしれないが、個人ブログがスパムコメントを防ぐために CAPTCHA を使うのは明らかに「やりすぎ」、愚策である。

スパム対策で重要なのは

システム設計者が楽をし、ユーザーも楽をし、スパマーだけが苦労する

という方法を考えることだ。しかし、多くのスパム対策が

システム設計者が苦労し、ユーザーが不便になり、スパマーは通り過ぎる

という方法になってしまっている。スパムを封じるという目的を達成しつつも、それ以上のものを失ってしまっている。

Getting Real by 37signals

それが理想的か?ノー。しかし、限りなく柔軟か?イエス。

これにならって、

「それが理想的か?ノー。しかし、限りなく簡便か?イエス。」

という方針で臨むのが、スパム対策の要諦である。

スパムコメント対策の妙案

無味乾燥な英数字をユーザーにタイプさせるかわりの方法がいくつか考え出されている。

  • Negative CAPTCHA
  • 猫認証
  • 漢字CAPTCHA
  • なぞなぞ認証

Negative CAPTCHA

隠しフォームを用意して、そこに何かを記入したらスパム判定。逆転の発想。

スパマーだけを落とし穴にはめる。

ユーザになんの不便も迷惑もかけない優れた方法。実装の手間もかからないのでとりあえず試してみるべき。

猫認証

無味乾燥な英数字のかわりに「動物の画像」を複数用意して、「猫の画像だけをクリックしてください」という方法。

画像解析で犬、猫、虎、狸などを見分けるのは不可能。順列組み合わせで突破は可能だが、ATMのように「間違い3回」でシャットアウトすればよい。

他にも

  • キーボードが必要ない
  • ちょっと楽しくなる/和む
  • 猫以外にも応用が利く

などの利点がある。

システム設計者が少し面倒なのが欠点かもしれない。といっても CAPTCHA よりははるかに簡単。

漢字CAPTCHA

Geekなぺーじ : 外国からのコメントスパム対策
http://www.geekpage.jp/blog/?id=2007/1/14

で行われている方法。外国からのスパムでなくても有効。

せいぜい数十の文字種しかない英数字と、少なくとも数千種類の文字を持つ日本語では OCR(画像文字認識)の難易度が全く違う。日本人にとって読みやすく、入力しやすい点が重要。漢字なら文字を歪める必要はないだろう。

応用として、「漢字の読み」を入力させるようにすれば、スパムだけでなくネットイナゴも弾くことができる。

なぞなぞ認証

「猫認証」「漢字CAPTCHA」の汎用版ともいうべき方法。「なぞなぞ認証」は「はてな」での呼称。

その記事にコメントする(記事を閲覧する)人間ならば常識のことを問いかける。

たとえば、「囲碁の記事」なら「宇宙流と言えば? ○宮○○」と問えば、関係者は一瞬で入力できるが、それ以外の人はお手上げになる。

  • 「政治の記事」なら「日本の総理大臣は? ○○○○」
  • 「仙台の記事」なら「待ち合わせ場所は? ○○○前」
  • 「Rubyの記事」なら「開発者のハンドルは M... 」

という具合。

手間はかかるが、CAPTCHA の「無駄な手間」と比べると「意味のある手間」になっている。ミニクイズ大会の方向に発展すれば出題者、解答者ともに楽しめるかも。もはや何のために導入したかも忘れてしまう png 446 byte

関連

CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan

CAPTCHAの抱える問題とは、ようするに「強度を上げれば(読みにくくすれば)人間にも読みにくい」という単純かつ原理的な矛盾です。

本来、CAPTCHAはボットによる自動アカウント取得などを阻止する手段として、「ユーザにほんの少しだけ協力してもらう」というスタンスから出発しました。逆にいえば、これは100%サービス提供側の都合であって、ユーザにとってはどうでもいいことなのです。

ところが、自分の都合であるということを忘れたサービス提供者は調子に乗ってどんどん強度を上げ、偽陽性にイライラするユーザへの配慮を忘れ、まるでこれは「ユーザの当然の義務」であるかのようにふるまいはじめます。

Geekなぺーじ : 海外からのコメントスパムを全て撃退

「外国からのコメントスパム対策」」を行ってから本日で丁度1年になります。 この間、1日100件以上のコメントスパムが届いていますが、この対策を潜り抜けた外国からのコメントスパムは0件です。
..
当初、この日本語(漢字)単語固定CAPTCHAを使って、単語の更新を何度かしなければならないだろうと予測していましたが、今のところ1年間単語は変更していません。 こんな単純でいい加減な方法でも、結構いけるんですね。。。

Geekなぺーじ : エロパワーでCaptcha突破
http://www.geekpage.jp/blog/?id=2007/11/2

らばQ : 「これはひどい」と言いたくなるCAPTCHAトップ10
http://labaq.com/archives/50932625.html
原文
Top 10 Worst Captchas | John M Willis ESM Blog
http://www.johnmwillis.com/other/top-10-worst-captchas/

「CAPTCHAは愚策」がおもしろい - 岩本隆史の日記帳
http://d.hatena.ne.jp/IwamotoTakashi/20080301/p2

変形文字「CAPTCHA」はもう無意味? - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0802/27 ..

*

hidew 2008.08.02 [1]

妹認証

妹認証 - 妹がBOTからプログラムを守る
http://www.okanesuita.org/auth_sister/

妹の質問に答える非常に斬新なPHP用のCAPTCHAモジュール「妹認証」 - GIGAZINE
http://gigazine.net/index.php?/news/comments/20080801_auth_sister/

png 10754 byte

hidew 2008.10.19 [2]

CAPTCHAよりも優れた日本向けスパム対策

CAPTCHAよりも優れた日本向けスパム対策

日本でしか使わないシステムなら、日本用のスパム対策をすることで簡単にスパムを防ぐことができます。 どうするかというと、それはとても簡単で、以下のような設問を1つ設けるだけでスパム対策ができます。

”ねこ”とひらがなで入力してください

この設問を1つ設けて、ユーザーに「ねこ」と入力させるだけでOKです。「ねこ」と入力できていなければ、ユーザー登録を拒否します。

hidew 2009.08.02 [3]

はてな の CAPTCHA

はてなのCAPTCHAを破るプログラムは30分あれば書ける

具体的には、はてな の CAPTCHA には8つの好ましくない特徴と、2つの 脆弱性 がある。

8つの好ましくない特徴

  1. サイズが小さすぎる。→ こんなに小さいと探索量(計算量)が小さくて済む。
  2. フォントにゆがみがない → フォント はある程度変形させたほうが良い。変形させてあると テンプレート マッチング がしにくくなる。
  3. フォントが固定。→ フォント は毎回変えたほうが良い。
  4. フォントを回転させていない → フォント は文字ごとにある程度 ランダム に回転させた方が良い。
  5. フォントサイズが一定 → フォント サイズは文字ごとにある程度 ランダム に変化させた方が良い。
  6. フォントの色がすべて同じ → 文字は文字ごとに色をわずかに変えたほうが 抽出 しにくくなる
  7. 背景 画像 が単調 → これでは簡単に文字だけを 抽出 できてしまう。
  8. 使われている文字の種類が少なすぎる。0~9とa~fまでの16種類しかない。

はてな の CAPTCHA に見られる2つの 脆弱性

  1. 文字の表示位置が毎回同じ
  2. 画像 を要求されるごとに スクラッチ の位置が異なる
UGG 2010.11.03 [4]

記事読ませていただきました。

記事読ませていただきました。

Amazon オススメ商品