On Sun, 6 May 2007 08:29:40 +0200
Davide Alberani <da@xxxxxxxxxxxxxx> wrote:
> On May 05, Ivan Sergio Borgonovo <mail@xxxxxxxxxxxxxxx> wrote:
>
> > Tipo free account su un sito ma per registrarsi bisogna
> > decodificare il captcha di un altro?
>
> Yup; un'idea girata qualche secolo fa. A naso, dubito sia davvero
> usata: probabilmente per il catchpa medio un ocr tarato ad-hoc e`
> sufficiente.
mmm si, forse un ocr vale per un sito che ti può dare grandi
soddisfazioni... nel senso che ti tocca coinvolgere un umano pagato
per fare il tuning, poi può valere per installazioni di default di
cms, forum etc... che usano captcha conosciuti...
Avevo visto un papero su securityfocus che parlava di fare N
richieste per poi "mediare" sulle immagini e poi passarle a un ocr....
Sull'idea che una cosa generata da un computer può essere
"decodificata" in un tempo equivalente da un computer avrei i miei
dubbi.
Magari non è che si può capire dai log di erlug come effettivamente
abbiano fatto?
> > Per pura curiosità... ci sono paperi sull'argomento?
> Non e` un papero, ma forse era uno dei primi ad esprimere l'idea:
> http://www.boingboing.net/2004/01/27/solving_and_creating.html
A parte il valore storico ho visto passare su securityfocus anche
proof of concept di codice per leggere alcuni captcha.
Qualche anonimo saprebbe indirizzarmi a qualche sito porno che usa
effettivamente la tecnica di human exploit?
Cioè la cosa mi sembra anche probabile... ma vorrei toccare con mano
il fenomeno e appunto non ho visto paperi che diano numeri in
proposito... (eg. il 30% dei captcha viene bucato con questo sistema,
il 10% con quest'altro etc... o roba simile...).
Quindi per le mie conoscenze potrebbe ancora trattarsi di una
leggenda metropolitana.
Ovviamente abbiamo evidenza che almeno il captcha di erlug è stato
bucato.
Per carità non mi stò lamentando del lavoro fatto... e non ho nemmeno
le competenze per sapere se poteva essere fatto meglio... infatti la
cosa mi incuriosisce...
--
Ivan Sergio Borgonovo
http://www.webthatworks.it
|