(いわゆる)CAPTCHAは、人には簡単、機械には難しくするべきなのに
はてなダイアリーの画像認証がやっと変更された。
d:id:hatenadiary:20090828 スパムコメント、スパムブログ対策を強化しました - はてなダイアリー日記
ここしばらくの間はなぞなぞ認証無しではコメントspamまみれだったけど、これでしばらくは平和だろう。しかし…
機械にとって厳しくなったけど、あいかわらず、人にとっても無駄に厳しい。人ならばもっと簡単に読めて打ち込めるようにするべきだ。
人にとって無駄に厳しい
- spamコメントを防ぐ程度であれば、英数字6桁は無駄に多い
- 4桁で十分で、3桁でもいいぐらいじゃないかな。利用者が2〜6桁を選べるってもいいだろう。
- 英小文字のl(エル)と数字の1(イチ)があるって、なに かんがえてんだ!
- それとも、なにも かんがえてないのか? lと1とIとかOと0とかの紛らわしい文字は、出現しないようにするべきだ。
- 色づかいが変
- 色を変えてもプログラムによる解読を防ぐ意味はほとんど無い。人にとって読みづらいだけだ。色は固定でいいし、人にとって読みやすい色づかいにするべきだ。
「人にとっては簡単にする」「機械にとっては難しくする」という考えが制作者には全くない、…のだと私は思う。以前の画像認証を見てそう思った(d:id:bakuchikujuu:20070608)が、今回の変更のを見てますますそう思った。
はてなダイアリーの画像認証がspammerに突破されてた
はてなダイアリーの(いわゆる)CAPTCHA付のコメント欄に、spamが書き込まれていた。
>"shiofuki.navi-y.net" の検索結果のうち d.hatena.ne.jp からの日本語のページ 4,990 件中
無惨だ。
はてなダイアリーの「画像確認」がプログラムによって突破されたのは何の不思議もないし、むしろ当然だ。しかし、それをわざわざやる奴が現れたのはちょっと驚き。
spamは、文面だけでもむかつくって実害があるいつもの代物。
$ host shiofuki.navi-y.net
shiofuki.navi-y.net has address 66.71.248.210
リンク先もいつものホスト。
こいつは日本の各種掲示板・blogのシステムに個別対応しているっぽいから、d.hatena.ne.jp を狙うのは当然だな。むしろ、予想より遅いぐらいだ。
追記:正攻法ではない裏道があったのか
みずぴー日記 - Captcha
http://d.hatena.ne.jp/mzp/20070302/captcha
ということは、あらかじめcaptchaに書かれた文字と、captcha_keyのペアを調べておいて、コメントするたびにそいつを渡してやれば良い。
なんと…。
狙い撃ちされることなんて、まったく考えていないようだな。
はてなダイアリーのcaptchaが機械可読っぽかったので、機械投稿を試してみた
画像のcaptchaを導入するなら、もっと機械で認識しにくいのにすればいいと思う。
あるいは、システムを問わない無差別spamの排除なら、もっと簡単なのにするか。
PWNtcha - captcha decoder
http://sam.zoy.org/pwntcha/
での表現に倣うと、
Weaknesses: constant font, aligned glyphs, constant glyph position, constant rotation, no deformation, no perturbation.
ってところか。
ここまで楽な条件が揃っているので、背景のノイズには意味がない。機械的な解読を防ぐことはできず、人にとって読みにくいだけだ。
追記 2008/02/16
画像が"IMAGE EXPIRE"に変わった以後は、あらかじめ記録したcaptcha_code,captcha_keyは通らないようだ。
この点で、So-net blogよりはだいぶマシだ。
画像処理無しで突破できる、So-net blogの画像認証
http://blog.so-net.ne.jp/bakuchikujuu/2008-02-16
どうせ狙い撃ちには無力なら、もっと人間に優しくして欲しいものだ。実験中、cとeをノイズのせいで読み間違えて少しはまったよ。