L’équipe AltaVista (RIP) a inventé le CAPTCHA en 1997. À l’époque, il s’agissait d’une solution révolutionnaire à un problème de niche: elle empêchait les robots d’entrer des URL dans le moteur de recherche Web.

Avance rapide jusqu’en 2021 et il existe plus de 20 fournisseurs de CAPTCHA différents. Le plus grand de tous, le reCAPTCHA de Google, est utilisé par plus de 6,3 millions de sites Web.

Cela nous amène à une question intéressante: étant donné que tout le monde sur la planète les déteste et ne peut pas bloquer efficacement les bots, pourquoi les CAPTCHA sont-ils toujours une chose?

Le CAPTCHA classique « Veuillez sélectionner les photos du feu tricolore »

Pourquoi 47% des sites Web utilisant le service reCAPTCHA de Google utilisent-ils la version « Sélectionner les feux de signalisation »?

Feux de signalisation CAPTCHA

Les solutions reCAPTCHA qui nécessitent une interaction humaine constituent une solution simple pour les développeurs et les propriétaires d’applications. Ce sont des solutions boîte noire: pas de configuration, pas de décision et une visibilité limitée de l’impact sur les personnes ou les bots qui passent. Un scénario classique dans lequel vous ne voyez aucun mal et n’entendez aucun mal.

En fin de compte, tous les CAPTCHA basés sur des images sont limités par le puzzle humain contre bot: comment pouvez-vous effectuer un test d’image qui est systématiquement trop difficile pour les bots mais assez facile pour les humains?

Cela s’applique également aux CAPTCHA ludiques (rotation de l’image, etc.), où le puzzle est plus dans l’image que dans le texte. Ceci est basé sur une interprétation humaine cohérente qui peut être limitée de différentes manières.

Le raisonnement selon lequel il est bon marché, facile et n’a aucun impact sur les mesures de performance ne prend pas en compte la latence de session, l’impact UX et l’abandon de session.

J’ai une idée: construisons un nouveau CAPTCHA! ReCAPTCHA v3 …

Google a introduit de nouveaux CAPTCHA améliorés parmi un groupe d’autres fournisseurs!

Réponse non valide de reCAPTCHA

La dernière version (payante) de Google reconnaît la frustration des utilisateurs. Maintenant, cependant, les propriétaires d’applications doivent créer et gérer les évaluations des risques qui différencient les humains et les robots.

Le reCAPTCHA v3 de Google a moins d’impact humain, mais les robots disposent désormais d’un contrôle de sécurité auquel ils peuvent échapper. Comprendre et limiter les différences entre le chrome sans tête et le chrome est un art (sombre) qui permet aux robots d’obtenir le même score de risque que les humains.

D’autres variantes du CAPTCHA «moderne» obligent les utilisateurs à faire pivoter des images et à déplacer des pièces de puzzle. Tous ces services utilisent l’interaction humaine pour former un modèle de données pour la détection de bots. Le consommateur est le produit et la devise est le temps et la patience.

L’expérience d’un constructeur de robots

Les constructeurs de robots agissent comme des communautés de niche, se soutiennent mutuellement et partagent leurs connaissances. Ces communautés tendent vers des objectifs communs (par exemple Sneakerbots) ou des solutions open source communes (par exemple Puppeteer Extra Stealth).

En tant que constructeur de bot, vous avez deux approches pour éviter un CAPTCHA: 1) être indétectable ou 2) automatiser le processus de résolution du CAPTCHA.

Le marché des solutions de solutions CAPTCHA est chaud. Des services comme 2CAPTCHA garantissent que les CAPTCHA ne sont pas un obstacle pour les fabricants de robots semi-techniques bien financés. Dans le cas de 2CAPTCHA, ils ont plus de 300 cas de référence de bots utilisant leur solution. Voici des exemples de bots avec 2CAPTCHA.

En tant que constructeur de robots, vous pouvez résoudre votre problème pour moins de 1 USD pour 1000 CAPTCHA résolus.

Générateur de bot CAPTCHA

Maintenant, le point de contrôle de sécurité bon marché et facile frustre vos clients payants, mais pas les escrocs …

En utilisant le traitement d’image et l’automatisation, les constructeurs de robots peuvent automatiser la résolution de CAPTCHA ludiques:

Les fournisseurs de gestion de bots ne font rien pour éviter la confusion

Pourquoi les fournisseurs de sécurité qui utilisent CAPTCHA expliquent-ils à quel point CAPTCHA est-il mauvais?

Une solution d’atténuation des bots comporte quatre composants principaux:

  1. Détection côté client: Examiner l’application qui génère une demande
  2. Analyse / actions côté serveur: Indicateurs prédéfinis pour l’automatisation
  3. Analyse des données / comportement: Analyse statique et / ou contrôlée par IA
  4. Mesures d’atténuation: Blocage, transfert, consommation de ressources, CAPTCHA

L’application de modèles d’apprentissage automatique (ML) à la détection de bots est généralement non déterministe et a tendance à produire des faux positifs. Le ML est généralement utilisé hors bande et CAPTCHA est utilisé pour permettre à toutes les personnes de passer accidentellement. Cela n’assume aucune responsabilité pour les décisions difficiles en matière de conception de produits qui doivent être prises. Vous vous retrouvez avec une souricière qui attrape les gens de temps en temps, mais pas les robots astucieux.

Je suis une souris

Un exemple bien connu est l’objet navigator.webdriver dans un navigateur. La propriété Webdriver en lecture seule de navigateur Interface indique si l’agent utilisateur est contrôlé par l’automatisation. C’est une propriété souvent remplacée de l’objet Navigator qui fournit un signal clair pour l’automatisation du navigateur.

Nous avons donc exécuté le test super hacky suivant contre le même fournisseur que Nexus ciblait:

Générateur de bot CAPTCHA

Étape 1: Identifiez le site Web protégé par le fabricant et chargez-le dans Chrome

Étape 2: Ouvrez une console dans Chrome et remplacez la propriété Webdriver lors du chargement de la page

Étape 3: Si le fournisseur fournit un CAPTCHA, résolvez-le en laissant navigator.webdriver = true

TL; DR – Le fournisseur ignore un signal clair de l’automatisation du navigateur, exploite CAPTCHA et nous permet ensuite d’accéder au site Web.

Ça n’a aucun sens. Nous avons donné au fournisseur le signal le plus clair que nous automatisons notre navigateur, mais son produit n’est pas configuré pour prendre des décisions. La solution CAPTCHA vous permet de revendiquer un résultat sans conviction dans votre prise de décision produit en interne. « Nous ne savons pas vraiment si vous êtes un robot. Aidez-moi en faisant pivoter cette image. » et le même.

Compte tenu de la prolifération des solutions de solutions CAPTCHA sur le marché, cela soulève plusieurs questions sur l’efficacité de ces solutions.

Pourquoi n’avons-nous pas tué le CAPTCHA?

Les raisons d’utiliser les solutions CAPTCHA semblent être similaires entre les fournisseurs de sécurité et les propriétaires d’applications – c’est une solution pour éviter les décisions.

Il ne fait aucun doute que la distinction entre les humains et les robots peut être un défi. Que vous déployiez une solution CAPTCHA autogérée ou que vous l’externalisiez chez un fournisseur de sécurité qui utilise CAPTCHA, les propriétaires d’applications sont confrontés aux mêmes problèmes. Vous taxez les clients potentiels et vous risquez de perdre des revenus, mais vous n’avez aucun impact réel sur les constructeurs de robots.

Simple c’est bien, mais ça doit être efficace

Chez Kasada, la simplicité, l’innovation et l’efficacité à long terme sont les pierres angulaires de notre philosophie produit. Nous sommes fermement convaincus que les solutions de sécurité modernes doivent fournir des résultats simples, faciles à intégrer et à gérer.

C’est là que la plupart des blogs de fournisseurs d’atténuation des bots disent que les CAPTCHA ont leur place et devraient être mis en œuvre dans le cadre d’une approche globale de la défense. Nous croyons fermement qu’une défense complète est importante. Cependant, avec la solution Kasada, vous pouvez vous défendre contre l’automatisation malveillante sans compter sur vos clients payants pour confirmer qu’ils sont, en fait, humains sans CAPTCHA. Notre solution combine la capacité de détecter l’automatisation avec une solution de contrôle des dommages qui contrôle et élimine l’activité des bots.

«Il est absolument important pour nous de ne pas avoir d’interférence visible avec le flux client, qu’il s’agisse de reCAPTCHA, de pages de défi ou autres. Dans l’industrie du divertissement en général et des paris, les clients abandonneraient littéralement un processus d’inscription simplement parce qu’ils avaient une étape supplémentaire ou cinq secondes pour attendre qu’une page de défi disparaisse.  »

– Nik Pinchuk, responsable mondial de l’ingénierie chez PointsBet

Pour en savoir plus sur la façon dont Kasada permet aux clients de se débarrasser définitivement du CAPTCHA, Regardez cette vidéo d’une minute ou planifiez le vôtre briefing individuel gratuit sur les menaces.

*** Ceci est un blog syndiqué par Security Bloggers Network À la caisse écrit par Nick Rieniets. Lisez l’article original sur: https://www.kasada.io/why-isnt-captcha-dead-yet/



Source link

Recent Posts