Limitações CAPTCHA da mitigação de bots

por Ben Zilberman

Uma parte essencial da evolução tecnológica é a criação de sistemas, máquinas e aplicativos que criam, coletam e comunicam dados de maneira autônoma e independente. Essa automação libera o pessoal da tecnologia da informação para se concentrar em outras tarefas. Atualmente, esses bots geram mais da metade do tráfego da Internet, mas infelizmente toda evolução traz algum tipo de abuso. Vários bots “ruins” visam atingir objetivos diferentes, entre os quais raspagem na Web, DDoS de aplicativos Web e clickjacking. Embora bots simples baseados em script não sejam um grande desafio para detectar e bloquear, os bots avançados complicam drasticamente o processo de mitigação usando técnicas como imitar o comportamento do usuário, usar endereços IP dinâmicos, operar atrás de proxies anônimos e CDNs, etc.

Captcha significa “Teste de Turing Público completamente automatizado para diferenciar computadores e seres humanos”.

Como os robôs estão crescendo em sofisticação, eles são uma ameaça complexa para muitos operadores de sites. Atualmente, as soluções no mercado utilizam várias técnicas, cada uma com suas próprias limitações, principalmente aquelas baseadas em IPs, como lista negra. Outros incluem desafios durante o aperto de mão, mas também podem ser enganados. Nos sites, uma das formas mais populares de fazer distinção entre bots e humanos é o captcha. Infelizmente, ele não fornece o nível de proteção necessário em comparação com a abordagem mais avançada de impressão digital de dispositivos.

O Captcha está falhando no teste?

Vamos tentar ver do ponto de vista de um bot. Se eu sou um bot e quero ignorar um mecanismo de impressão digital, o esforço é muito maior e complexo do que ignorar um captcha. Primeiro, o captcha requer intervenção e cooperação humanas. Todos sabemos o quão desagradável é o captcha – às vezes precisamos responder a uma pergunta clicando em figuras, digitando uma palavra ou números que foram distorcidos, ou mesmo digitando uma palavra ouvida da trilha sonora. Os robôs se tornam cada vez mais sofisticados e usam novas tecnologias para ignorar o captcha, como a tecnologia de fala para texto que escreve a palavra tocada na trilha sonora. Há pouco mais de um ano, o Google apresentou o reCAPTCHA. O reCAPTCHA é mais resiliente que o captcha clássico, no entanto, ainda requer interação humana (para marcar a caixa “Eu não sou um robô”) e também possui limitações em alguns casos de uso. O reCAPTCHA é apresentado como se a solicitação fosse proveniente de um usuário legítimo e não de um bot. Vários fatores são usados ​​para identificar o bot antes de apresentar o reCAPTCHA: Número de reCAPTCHA por domínio / por navegador, solicitações simultâneas por dia e mais). E então o reCAPTCHA é apresentado.

Leia mais: http://ow.ly/hYvI30iXOL1