🌮 👨🏼‍🏫 👶🏾 CAPTCHA: قتل التحويل 🧒🏻 🥫 👨🏾

يعتبر CAPTCHA المعيار الدولي للحماية من هجمات DDoS والتسجيل التلقائي والرسائل غير المرغوب فيها. قمنا في Variti بتحليل فعالية هذا الحل وتوصلنا إلى استنتاج مفاده أن هذه أداة غير ملائمة للغاية وغير فعالة لحماية الروبوتات لها تأثير سيء على التحويل ، وأن المناطق التي بها اختبار CAPTCHA هي نقاط ضعف في حد ذاتها للهجمات.

قررنا مشاركة أسباب وجوب التخلص من captcha لصالح حلول مستخدم أكثر موثوقية وأقل إزعاجًا ، إلى حلول تسويقية وتقنية.

تسويق

يثير حنق وغضب!

يجب فحص كلمة التحقق بعناية وإدخالها بشكل دوري عدة مرات. تشير دراسة ستانفورد إلى أن رعاياهم قضوا في المتوسط 9.8 ثانية للتعرف على كلمة التحقق المرئية وتقديمها و 28.4 ثانية للنسخة الصوتية ، مع رفض 50٪ من المستخدمين حلها. في عام 2018، ومعهد Baymard، التي تجري دراسات مختلفة حول موضوع UX، يقدر أن المستخدمين لا يمكن أن تحل كبتشس يستند إلى نص في حوالي 8٪ من الحالات. يزيد هذا الرقم إلى 29٪ إذا كانت CAPTCHA حساسة لحالة الأحرف.

بادئ ذي بدء ، لا تزال هذه مشكلة قابلية للاستخدام ، نظرًا لأن هذه الوظيفة تجبر المستخدم على تنفيذ إجراء غير ضروري (بالإضافة إلى اختبار CAPTCHA ، فهذا ليس مناسبًا دائمًا ويبدو جميلًا في تصميم الصفحة). تتجلى هذه المشكلة بشكل واضح بشكل خاص إذا ، إذا تم إدخال الحل بشكل غير صحيح ، إعادة تحميل الصفحة بأكملها: على سبيل المثال ، إذا قام المستخدم بكتابة تعليق طويل لفترة طويلة ، ثم اختفى إذا كان الحل غير صحيح. النسبة المئوية لاحتمال أن يبدأ الشخص من جديد من جديد ليست كبيرة جدًا.

بالإضافة إلى ذلك ، هناك بالفعل العديد من الحلول لإنشاء اختبار CAPTCHA في السوق الذي يعرض الإعلانات فيه (على سبيل المثال ، يقترحون تجميع لغز من شعار الشركة). هذا لا يمكن إلا أن يؤثر على درجة مزاج المستخدم.

أخيرًا ، إنه غير مريح للغاية للأشخاص الذين يعانون من مشاكل في التنسيق أو الرؤية ، وحتى بالنسبة لأولئك الذين لا يميزون الألوان ، لأنه ليس كل مالكي الموارد الذين يقومون بتنفيذ اختبار CAPTCHA المرئي يضيفون صوتًا إليه. بالإضافة إلى ذلك ، فإن اختبار CAPTCHA مزعج بشكل خاص لجمهور "السن" والذي يوجد فيه نسبة كبيرة من الأشخاص الذين لديهم مستوى منخفض من الإلمام بالحاسوب أو نقص في المعرفة باللغة الإنجليزية.

يؤثر بشكل سيء على التحويل.

كما تعلم ، بشكل عام ، فإن أي حقل إضافي لملئه على الموقع يزيد من سوء التحويل. هنا دراسة مثيرة للاهتمام، مما أظهر أن رفض اختبار CAPTCHA يؤدي إلى زيادة في التحويل بنسبة 3.2٪. يمكن لكل مورد اختبار البيانات الدقيقة حول التغيير في التحويل اعتمادًا على اختبار CAPTCHA بشكل مستقل ، لأن النتائج تعتمد على التفاصيل والجمهور. ولكن إذا كنت تتعامل مع المشكلة من وجهة نظر الربح الضائع ، فأنت بحاجة إلى حساب التكاليف والفعالية في كلتا الحالتين - فهل يعد إدراج كلمة التحقق أكثر ربحية من التخلص من الرسائل غير المرغوب فيها بوسائل أخرى؟ علاوة على ذلك ، هم كذلك.

أصبحت اختبارات CAPTCHA أكثر صعوبة

على مر السنين ، أصبح اختبار CAPTCHA أكثر ذكاءً ، إلا أن برامج الروبوت بدأت في النمو بشكل أسرع وأصبحت أكثر تعقيدًا. في أوائل العقد الأول من القرن الحادي والعشرين ، كانت الصور البسيطة مع النص كافية لإيقاف معظم برامج البريد العشوائي ، ولكن في كل عام يجب تشويه النصوص أكثر فأكثر لتجاوز برامج التعرف على الأحرف. قد تلاحظ بنفسك أنه في اختبار CAPTCHA ، حيث تحتاج إلى تحديد عدة صور ، بعد عدة محاولات غير ناجحة ، يتم إخفاء أو تشويه الكائنات للبحث ، ويتم إضافة فئات جديدة من الكائنات ويزداد عدد الصفحات التي يجب تمريرها. تبعا لذلك ، مع التعقيد ، يزداد أيضا عدد حالات فشل المستخدمين الحقيقيين. بالطبع ، تحل Google مهامها الإضافية باستخدام هذه الخوارزميات لتعليم الروبوتات كيفية التعرف على الأشياء في الصور ومن غير المحتمل أن ترفضها ،ولكن حتى الآن يبدو كل شيء كما لو أن كل ما تفعله كلمة التحقق هو القضاء على برامج الروبوت غير الذكية والأشخاص غير المهتمين.

مرة أخرى في عام 2014 ، وضعت Google فيما بينها أفضل خوارزمية لحل النصوص والأشخاص الأكثر تشويهًا: تعرف الكمبيوتر بشكل صحيح على النص في 99.8٪ من الحالات ، والناس في 33٪ فقط.

تقني

Captcha من السهل الالتفاف حول Captcha لا يؤدي وظيفته الرئيسية - لا يعفي أصحاب الموارد من الروبوتات. حتى أن هناك أكثر من خيار "لمحاربة" مرسلي الرسائل غير المرغوب فيها باستخدام اختبار CAPTCHA.

أنظمة التعرف والشبكات العصبية تعمل أنظمة

التعرف الضوئي على الحروف (OCR) بشكل دقيق تمامًا ويسهل التعرف على كل من النصوص والصور المطبوعة. إن قرار إضافة خلفية "ضوضاء" ولون وخطوط إضافية لتشويه أو تكرار النص لا يساعد بشكل خاص على منع ذلك ، ولكنه يعقد المرور لشخص حقيقي.

مع تطور تقنيات التعلم الآلي والشبكات العصبية للتعلم العميق ، تبدو عملية التعقيد البصري الإضافية لـ captchas غير مجدية. شبكة عصبية تلافيفية كاملة يتم فيها إدخال الصورة ويتم إخراج الصورة المطلوبة أو تتعرف عدة صور (خرائط مركزية) على اختبار CAPTCHA في معظم الحالات. ومع ذلك ، بالنسبة لها ، يتم أيضًا حل اختبار captcha باختيار الصور المناسبة لاكتشاف وتصنيف الأشياء - بعد كل شيء ، هذا بالضبط ما تفعله الشبكة العصبية (بما في ذلك الشبكة العصبية reCAPCHA من Google). نعم ، كما تم تطوير بعض المكتبات التي تسمح لك بالعمل مع الشبكات العصبية في Google (على سبيل المثال ، Tensorflow ).

هناك خدمات القرصنةيتم فيها أخذ النسخة الصوتية من CAPTCHA ونسخها. مع التطوير الناجح لأنظمة التعرف على الصوت ، توقف هذا أيضًا عن مشكلة مرسلي البريد العشوائي ذوي الخبرة. هناك خوارزميات ونصوص ، مثل ، على سبيل المثال ، خوارزمية Kok-Yanger-Kasami للتعرف على قواعد اللغة ثنائية الأبعاد ، والتي يمكن أن تتعرف على أكثر من 50٪ اختبار CAPTCHA. هناك طرق أخرى لتجاوز التحقق من الصحة:

مولدات الأعداد وأنظمة العد الأخرى. على سبيل المثال ، إذا كانت هناك نفس المجموعة المكونة من 10 صور يتم إعادة ترتيبها ببساطة بشكل عشوائي ، وتحتاج إلى العثور على شيء محدد عليها ، أي 1024 اختلافًا ممكنًا فقط
استعادة الحرف من بيانات السجل
النصوص البرمجية "Peeping" لاستدعاء captcha ، على سبيل المثال ، <img scr = ”/ captcha.php؟ Code = 1234" />
إعادة تطبيق معرفات جلسة المستخدم
أخيرًا ، يربط مرسلو البريد العشوائي أحدث برامج التعرف على نوع FineReader بروبوتات البريد العشوائي الخاصة بالتعلم الذاتي.

نشاط تخميني:

هناك سوق كامل من الخدمات يعرض تجاوز كلمة التحقق ، وهو رخيص جدًا. يعمل آلاف الأشخاص الحقيقيين في هذه الصناعة - سكان الهند أو الصين ، الذين يجتازون الاختبارات مقابل رسوم رمزية. تقدم البورصات الخاصة مثل Amazon Mechanical Turk شراء العشرات من حروف التحقق غير المكشوفة مقابل بضعة سنتات ، كما أن العديد من الخدمات تؤدي باستمرار إلى خفض هذا السعر. إنهم ينشئون باستمرار الآلاف من الحسابات "النظيفة" الجديدة بالآلاف ، وهي الأسهل والأسرع للتحقق من أنظمة البريد العشوائي على المواقع.

أخيرًا ، هناك موارد عبر الإنترنت تحتوي على محتوى "مثير للاهتمام" مثل الألعاب أو محتوى للبالغين. قبل أن يتمكن المستخدمون من رؤية الدفعة التالية من المحتوى ، سيقوم النظام بتقديم طلب خلفية إلى Yahoo أو Google ، والاستيلاء على كلمة التحقق من هناك وإدخالها إلى المستخدم. وبمجرد أن يجيب المستخدم على السؤال ، سيرسل المخترق اختبار CAPTCHA إلى الموقع المستهدف. ليس من الصعب إنشاء موقع ويب شهير بمحتوى شائع إذا قمت بتحليل (أو ببساطة سرقة) محتوى مثير للاهتمام من عدد من البوابات "القانونية" (غالبًا ما نواجه مثل "أدوات النسخ" في عملنا). ونتيجة لذلك ، يحصل الهاكر على جمهور كبير يكشف النقاب عن كلمة التحقق لأشخاص آخرين ، ولا يشك في ذلك.

لا يميز بين البوتات الجيدة والسيئة

بالإضافة إلى الروبوتات السيئة ، فهناك برامج جيدة - هذه هي محركات البحث وروبوتات المتصفح ، الروبوتات المفيدة للشركات من الخدمات المختلفة التي تبحث عن المعلومات أو تنشرها أو تقدم المساعدة للمستخدم من خلال أتمتة الدعم الفني لشركة أو بيع خدماتها. على سبيل المثال ، وفقًا لـ GlobalDots ، في الوقت الحالي ، تبلغ نسبة الزيارات البشرية 62.1٪ ، وبرامج الروبوت السيئة 20.4٪ ، وبرامج الروبوت الجيدة 17.5٪ (أي أن التخلف عن السيئات ليس أمرًا بالغ الأهمية). لسوء الحظ ، لا تميز طريقة CAPTCHA بين برامج الروبوت الجيدة والسيئة ، وعدم تخطي الجميع بالتساوي ، على الرغم من أن برامج الروبوت "الجيدة" قد تكون مفيدة.

الموارد للهجمات

معظم أحرف CAPTCHA هي جهات خارجية - يتم توفيرها بواسطة نفس Google أو مطوري حلول captcha. ولكن في كثير من الحالات ، يتم إنشاؤها بواسطة نفس الخادم الذي يوجد عليه الموقع ، ثم يصبح هذا مكانًا عرضة للهجمات.

يعد إنشاء بعض أنواع اختبار CAPTCHA عملية مستهلكة للموارد إلى حد ما ولا يتم بسرعة ، لأنها تتطلب طلبات لمكتبات الطرف الثالث وتعمل بشكل عام مع الصور. إذا لم يتم توفير التخزين المؤقت افتراضيًا أو تم إيقاف تشغيله لسبب ما ، فهذه مشكلة أكثر. إذا قام المهاجم بتعيين المهمة لإنشاء عدد مفرط من الطلبات لإنشاء captcha ، فقد لا يكون لدى الخادم الوقت للقيام بذلك.

ومع ذلك ، يتم حل هذه المشكلة:

تحتاج إلى اختيار نوع معين من حروف التحقق التي تم حرمانها من هذه المشكلة.
ضع كلمة التحقق على مورد منفصل

السؤال الوحيد هو ما إذا كان مالك الموقع لديه الموارد لتوظيف مطور يقوم بذلك بطريقة جيدة.

يبطئ الموقع

قد لا يبدو التباطؤ البسيط أمرًا كبيرًا ، لكنك ستخطئ إذا لم تنتبه إليه. انظر إلى هذه الدراسة : بينما لا يعتقد خُمس جهات التسويق أن وقت التحميل يؤثر على معدلات التحويل ، فإن 70٪ تقريبًا من الأشخاص يعترفون بأن سرعة الصفحة تؤثر على احتمالية الشراء.

كيف يمكن أن تؤثر كلمة التحقق على السرعة؟

يعد إنشاء الصور المعقدة عملية كثيفة الاستخدام للموارد ، نظرًا لأنه لا يتم استخدام جميع الرموز الموضحة. لذلك ، يمكن لخدمات CAPTCHA والسجلات وملفات تعريف الارتباط ذات الصلة إبطاء المورد عبر الإنترنت.
, . , . backend .
, - API , , .

كل شيء؟

للاسف لا. هناك بضع نقاط أخرى.

أولاً ، يمكن لـ captcha كسر منطق الموقع - خاصة في الحالات التي ينتهي فيها ملء النموذج بـ captcha ، ولا يتم تحذير المستخدم دائمًا من هذا. ومع ذلك ، فإن خيار "إظهار كلمة التحقق فقط عند المدخل" لا يحل مشكلة الحماية من مرسلي الرسائل غير المرغوب فيها ، لأنه اتضح أنه بعد مرور مرة واحدة يمكنهم فعل ما يريدون أكثر.

ثانيًا ، دعنا نفكر في محركات البحث. إذا كانت محركات البحث "تبييض" بواسطة وكيل المستخدم ، فإن اختبار CAPTCHA غير فعال. إذا تم عرض كلمة التحقق للجميع ، فقد يبدو لمحركات البحث ، وسيواجه الموقع مشاكل في الفهرسة.

ليست كلمة التحقق واحدة

هناك العديد من أشكال الحماية الأخرى ، وأحيانًا أكثر فعالية ضد برامج التتبُّع. على سبيل المثال ، على الواجهة الأمامية ، يمكن أن يكون هذا هو الحد الأدنى من الوقت لملء نموذج ، أقل مما يمكن فقط لملء الروبوت ، أو حقل مخفي (عرض: لا شيء) لن يراه الشخص ولكنه يملأ الروبوت.

على مستوى الشبكة ، يمكن أن يكون هذا التعتيم أو تشفير HTML ، وحظر بعض وكلاء المستخدم والفخاخ المختلفة من جانب خادم الويب: على سبيل المثال ، إنشاء أقسام غير مرئية من الموقع ، حيث تقع فقط الروبوتات ويتم حظرها لاحقًا بواسطة IP ، أو تصفية الوكلاء المجهولين.

وأخيرًا ، هناك طريقة نطبقها في Variti- هذا هو التصفية الكاملة لحركة المرور ، التي نعتبرها النهج الوحيد الكامل للحماية من الروبوتات وهجمات DDoS. نقوم بتمرير كل حركة المرور التي تنتقل إلى موقع الويب أو التطبيق الخاص بالعميل من خلال مجموعاتنا ، وتقوم خوارزميات مضبوطة خصيصًا والتعلم الذاتي بتحديد وتمرير المزيد من حركة المرور المشروعة من المستخدمين المباشرين وبرامج الروبوت "الجيدة" ، كما أن حظر IP غير مطلوب في هذه العملية. ومع ذلك ، سنتحدث عن سبب اعتبار طريقة حظر IP ضارة في المقالات التالية.

CAPTCHA: قتل التحويل

تسويق

تقني

More articles: