Pubblicato da: Admin | 1 dicembre 2007

Ma cosa sono i captcha?

Leggiamo la definizione da Wikipedia:

Con l’acronimo inglese CAPTCHA si denota nell’ambito dell’informatica un test fatto di una o più domande e risposte per determinare se l’utente sia un umano (e non un computer o, più precisamente, un bot). L’acronimo deriva dall’inglese “completely automated public Turing test to tell computers and humans apart” (Test di Turing pubblico e completamente automatico per distinguere computer e umani). Il termine è stato coniato, nella terminologia inglese, nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper della Univerisità Carnegie Mellon e da John Langford della IBM. Come consueto nella terminologia informatica il termine inglese viene utilizzato anche nella terminologia informatica italiana.

Un test captcha tipicamente utilizzato è quello in cui si richiede ad un utente di scrivere quali siano le lettere o numeri presenti in una sequenza di lettere o numeri che appaiono distorti o offuscati sullo schermo.

Dal momento che il test viene gestito da un computer, mentre il test originale di Turing viene gestito da un umano, a volte si descrive il test captcha come un test di Turing inverso. Si tratta però di una definizione fuorviante, perché potrebbe indicare anche un test di Turing in cui entrambi i partecipanti tentano di provare che non sono umani.

I captcha sono quindi

utilizzati per impedire che i bot utilizzino determinati servizi, come i forum, la registrazione presso siti, scrivere commenti e in generale tutte quello che potrebbe essere usato per creare spam o per violare la rete con operazioni di hacking come il brute force. Ultimamente questo tipo di test viene utilizzato anche per contrastare lo spam generato da bot obbligando il mittente, se non conosciuto dal destinatario, a superare un test captcha prima di consentire la consegna del messaggio.

Ma la natura stessa del captcha porta a discriminare alcune tipologie di utenti:

L’uso di test captcha basati sulla lettura di testi o altre attività legate alla percezione visiva impedisce o limita fortemente l’accesso alle risorse protette agli utenti con problemi di vista (ad esempio i daltonici). Poiché tali test sono progettati specificamente per non essere leggibili da strumenti automatici, i normali ausili tecnologici usati dagli utenti ciechi o ipovedenti non sono infatti in grado di interpretarli. Il loro uso, generalmente legato alle fasi iniziali di accesso o registrazione ai siti, e talvolta ripetuto per ogni accesso, può costituire una discriminazione nei confronti di tali utenti disabili che in alcuni ordinamenti costituisce una violazione delle norme di legge.

Le nuove generazioni di captcha, create per resistere ai più sofisticati programmi di riconoscimento di testi, possono essere molto difficili o impossibili per molti utenti, anche nel pieno possesso della propria capacità visiva.

Qualcuno potrebbe obiettare che, in fondo, non vedenti, ipovedenti, dislessici o daltonici sono complessivamente una minima frazione dell’utenza internet. Un piccolo scotto da pagare per combattere lo spam. Sfortunatamente, i captcha sono aggirabili dagli spammer. Leggiamo ancora da Wikipedia:

Dopo l’uso massiccio di captcha, sono state scoperte alcune contromisure che permettono agli spammer di superare i captcha.

Il metodo più semplice è di utilizzare un utente per risolvere il captcha. Per fare questo lo spammer deve avere un sito Internet con un servizio per cui gli utenti umani chiedono l’accesso, come un forum o immagini pornografiche. Quando un utente chiede di accedere, viene salvato un captcha esterno che viene quindi risolto dall’utente. Successivamente verrà “riciclato” il captcha già risolto.

È anche possibile affidare a persone pagate il compito di risolvere un captcha, il documento del W3C indicato sopra afferma che un operatore può facilmente verificare centinaia di captcha in un’ora; questa possibile soluzione necessita di un investimento economico che non tutti possono o vogliono intraprendere.

Greg Mori e colleghi hanno presentato nel 2003 un lavoro [1] che illustra come aggirare uno dei sistemi più diffusi per realizzare test captcha, EZ-Gimpy; tale approccio è efficace nel 92% dei casi. Nei confronti del sistema Gimpy, più sofisticato ma meno diffuso, l’efficacia del metodo scende al 33%. Al momento non è però noto se tale algoritmo sia stato implementato al di fuori del contesto della ricerca.

Sono stati creati anche alcuni programmi per cercare una soluzione ripetutamente e altri per riconoscere i caratteri scritti, utilizzando tecniche apposite e non quelle standard degli OCR. Progetti come PWNtcha[2] hanno fatto grandi passi avanti contribuendo alla generale migrazione verso captcha più difficili.

C’è anche un altro metodo per superare un captcha: sfruttare sessioni in cui il test è già stato superato o salvare i test per poi creare un archivio di soluzioni.

E allora? Allora vi sono altri strumenti antispam, efficaci quanto e più dei captcha ottici, che permettono di raggiungere il duplice obiettivo di proteggersi dallo spam e mantenere accessibile il proprio sito. (Continua…)

Annunci

Categorie

%d blogger hanno fatto clic su Mi Piace per questo: