谷歌的reCAPTCHA支持 - 你猜对了 - 谷歌:杜,只有机器人会拒绝签署巧克力工厂
专栏:科技资讯
发布日期:2019-07-01
阅读量:5194
作者:资讯小卡车

拿着reCAPTCHA图象的机器人手


分析
谷歌的reCAPTCHA v3系统,旨在让人们在网站互动过程中将人与机器人分开,如果你碰巧登录了自己的Google帐户,更有可能给你一个怀疑的好处 - 并且更有可能认为你是半信半疑如果你想保护自己的隐私,最近的研究表明。

reCAPTCHA v3于2018年10月推出,它提供了一种方式,网络开发人员可以将Google的reCAPTCHA API集成到他们的网页中,并获得0.0到1.0的分数,表明网站访问者是机器人的计算可能性。零表示用户很可能是机器人; 一个意味着用户几乎肯定是人。你可以在这里测试你对reCAPTCHA v3的看法

机器人检测仍然有待改进。根据将在加拿大蒙特利尔举行的RLDM 2019会议上提交的一份研究论文,下个月使用机器学习技术的软件可以将90%以上的时间用于人类对抗reCAPTCHA v3。

鉴于谷歌的Voight-Kampff测试的过去版本已经失败,将编码员送回绘图板以生成下一个希望更强大的机器人检测算法,这并不特别令人惊讶人们只需看看Facebook每个季度删除十亿或两个虚假账户,以了解在线人与机器之间的区别仍然是一个未解决的问题。

死亡程度

W3C最近提出了一项开发机器人测试的建议,该测试效果更好,并且对于那些有障碍的人来说也是可以接受的。他们已经“清楚地表明,传统的CAPTCHA不仅对残疾人来说仍然具有挑战性,而且它现在越来越不安全,现在可以说是现在不适合将人类与机器人模仿者区分开来。“

谷歌可能会使reCAPTCHA v3更耐机器学习。根据多伦多大学的博士生Mohamed Akrout和该论文的作者之一,reCAPTCHA v3的主要问题是“我不是机器人”复选框的固定位置。

“所以你可以通过检查第一次出现的HTML文件来检查复选框的坐标,然后你要求机器人使用机器学习去那个位置,”Akrout在给The Register的电子邮件中解释道

虽然只是通过随机化复选框的位置来解决这个问题,但他说,这说起来容易做起来难。

“大多数知名网站都出售其网页的特定区域(横幅,摩天大楼),广告和广告公司正在为特定位置付费,”Akrout说。“这意味着找到一个不同的空位以显示每个外观的复选框是具有挑战性的。但是,我们可以在网站的顶部弹出一个弹出窗口,但这种情况下的成本是用户体验。”

由于很难通过在线人员来识别机器人,因此Google不仅将鼠标移动等交互指标与具有隐私隐患的数据区分开来。

Tor让你狡猾

在试图攻击reCAPTCHA时,Akrout和他的同事Ismail Akrout与TelécomParisTech和Amal Feriani与Ankor AI一起发现使用Tor来改变你的IP地址会导致得分较低,就像使用代理或VPN一样。他们还发现,使用已登录的Google帐户进行模拟网站访问可以获得更高的分数。

“谷歌有第一个检查层通过IP或谷歌帐户连接来过滤潜在的机器人,但是一旦你通过了这个第一层,那么第二层,即实际的reCAPTCHA系统,将你的鼠标移动模式分类,”Akrout说。“第一个过滤层是一个不必要且不足以确定用户是人的条件。如果你满足它,你会进入下一个层次:机器学习分类层。”

这意味着Google为Google帐户持有者提供了更好的网络体验,阻碍了保护隐私的选择。

开发人员Daniel Shumway在一篇关于黑客新闻帖子中说:“对我来说,感觉谷歌在reCAPTCHA背后的整个策略是让保护你的隐私变得更加困难。” “我们基本上已经放弃了只有人类可以完成任务的想法,对我来说v3感觉就像谷歌公开说的那样,'你知道我们怎么能证明你不是机器人吗?因为我们确切地知道你是谁是。' 我甚至不知道它是否应该被称为CAPTCHA - 感觉它只是身份验证。我认为这不是一个可以接受的权衡。“

开发人员Armin Sebastian 在3月发布GitHub帖子的背景下提出了这个问题,声称reCAPTCHA定期阻止视觉障碍人士在从住宅IP地址浏览时接受视频谜题的音频挑战。

他说,使用谷歌浏览器可以缓解这个问题。“人们已经报告了通过切换到Chrome并始终登录他们的Google帐户来获取音频挑战的一定程度的成功,”他说。“reCAPTCHA服务也对从VPN连接的用户或Tor等匿名服务产生敌意。”

另一个数据啜饮工具

Sebastian表示,谷歌机器人捕捉方案v3的受欢迎程度可以在大约650,000个网站上找到 - 意味着“有效地阻止了寻求隐私的人访问网络的大部分内容”。

The Register要求Mozilla评论是否有人抱怨reCAPTCHA已经过度阻碍了Firefox用户的技术选择,正如一些人声称的那样,但我们没有收到回复。

除了潜在的隐私成本之外,reCAPTCHA引起了批评,因为它是另一种互联网技术,通过提供数据来加强谷歌的竞争地位,如谷歌搜索,加速移动页面,谷歌分析,安全浏览API和Android等。

“谷歌的验证码的发展已越来越多地集中在被动地跟踪人们在网络上,而不是让人们完成识别任务确定人道,”雅各布·霍夫曼-安德鲁斯,高级管理人员技师电子前沿基金会称,在一封电子邮件中注册“不幸的是,由于谷歌对于reCAPTCHA的隐私影响一直守口如瓶,我们只能猜测它用来确定你的人性的数据源(或者reCAPTCHA v3中的”风险评分“)。但是随着谷歌收集更多数据,网站,更多应用和更多人,他们在运行reCAPTCHA方面拥有越来越大的优势。“

霍夫曼 - 安德鲁斯认为,对于那些超出谷歌定义的规范的人来说,这使得在线生活变得更加困难。“目前尚不清楚网络将如何随着reCAPTCHA v3中的'风险评分'而改变,”他说。“如果网站使用它来锁定风险分数高的用户,他们可能会拒绝让用户拒绝让谷歌和其他人跟踪他们的浏览历史记录。”

他补充说,由于Google没有提供有关reCAPTCHA内部工作的详细信息,因此不清楚该公司是否支持Google服务的用户而不是那些不支持Google服务的用户。但他表示像Akrout这样的研究表明有些不对劲。

“如果这真的是reCAPTCHA的运作方式,那对选择不使用谷歌服务的人来说肯定是不公平的,”他说。“让网络对非谷歌用户更加敌视是推动更多人接触谷歌服务的一种方式。”


相反,Google发言人提供了这样的声明:“我们不会透露我们的安全方法,因为我们希望防止不良行为者使用该信息来逃避互联网上的检测和攻击网站。”该登记处计划周五与参与reCAPTCHA的谷歌工程师交谈,但不幸的是,该电话被取消了。

谷歌坚持认为,reCAPTCHA仅用于打击垃圾邮件和滥用行为。该公司坚持认为它不会将从服务中收集的信息用于广告。

“reCAPTCHA API的工作原理是收集硬件和软件信息,例如设备和应用程序数据,并将这些数据发送给Google进行分析,”公司发言人在给The Register的电子邮件中说“与您使用该服务有关的信息将用于改进reCAPTCHA以及出于一般安全目的。它不会被谷歌用于个性化广告。”

上一页:Delphi RAD工具(请记住?)再次获得对Linux桌面应用程序的支持
下一页:嗡嗡声的数据中心吱吱作响的施法者的恐惧声
说点什么
发表
最新评论
    本文由爱用建站平台用户上传并发布,爱用建站仅提供信息发布平台。文章仅代表作者个人观点,不代表爱用建站立场。未经作者许可,不得转载。有涉嫌抄袭的内容,请通过 反馈中心 进行举报。

    如有投稿需求,可点击立即投稿
    免费建站
    品牌营销
    免费小程序

    精彩资讯

    更多>>
    网站建设

    热点关注

    更多>>

    点击开启品牌新篇章