Майнинговая задача вместо капчи — взлетит? Не стал создавать пост, потому что мелковато для поста. Приглашаю к обсуждению здесь.
Суть: что будет, если вместо капчи защищать операции, которыми возможно злоупотребление, несложной майнинговой задачкой?
Фундаментальное отличие нормального пользователя от спамера (когда защищаем написание сообщений / регистрацию) или брутфорсера (когда защищаем форму авторизации) - в количестве запросов на единицу времени. При этом злоумышленник не обязательно является ботом, а нормальный юзер человеком - нанять для рассылки спама бригаду индусов несложно, а нормальный юзер может пользоваться в благих целях автоответчиком или IM-транспортом.
Однако, если мы будем для подтверждения запроса требовать сбрутить хеш - врагу придётся потратить кучу машинного времени, чтобы засрать форум или взломать учётку, и ему не помогут ни индусы, ни самый крутой OCR. В то же время пользователь не сильно расстроится, если авторизация или отправка поста займет несколько секунд - грубо, те же самые несколько секунд он будет разглядывать и набирать капчу.
В качестве алгоритма хеша возьмём Скрипт или другой алгоритм, плохо поддающийся аппаратному ускорению. Решением задачки будет заниматься JS-библиотека.
В случае, когда защита по этому методу - в интересах пользователя, а не самого сервиса (защита авторизации его учётки, например) - дадим ему возможность выбрать алгоритм и задать сложность, чтобы найти оптимальную для себя точку между защитой и удобством. Библиотеки типа cryptojs позволяют считать много разных алгоритмов, поэтому расширение "ассортимента" делается очень просто.
Что скажете?
Майнинговая задача вместо капчи — взлетит? Не стал создавать пост, потому что мелковато для поста. Приглашаю к обсуждению здесь.
Суть: что будет, если вместо капчи защищать операции, которыми возможно злоупотребление, несложной майнинговой задачкой?
Фундаментальное отличие нормального пользователя от спамера (когда защищаем написание сообщений / регистрацию) или брутфорсера (когда защищаем форму авторизации) - в количестве запросов на единицу времени. При этом злоумышленник не обязательно является ботом, а нормальный юзер человеком - нанять для рассылки спама бригаду индусов несложно, а нормальный юзер может пользоваться в благих целях автоответчиком или IM-транспортом.
Однако, если мы будем для подтверждения запроса требовать сбрутить хеш - врагу придётся потратить кучу машинного времени, чтобы засрать форум или взломать учётку, и ему не помогут ни индусы, ни самый крутой OCR. В то же время пользователь не сильно расстроится, если авторизация или отправка поста займет несколько секунд - грубо, те же самые несколько секунд он будет разглядывать и набирать капчу.
В качестве алгоритма хеша возьмём Скрипт или другой алгоритм, плохо поддающийся аппаратному ускорению. Решением задачки будет заниматься JS-библиотека.
В случае, когда защита по этому методу - в интересах пользователя, а не самого сервиса (защита авторизации его учётки, например) - дадим ему возможность выбрать алгоритм и задать сложность, чтобы найти оптимальную для себя точку между защитой и удобством. Библиотеки типа cryptojs позволяют считать много разных алгоритмов, поэтому расширение "ассортимента" делается очень просто.
Что скажете?
Суть: что будет, если вместо капчи защищать операции, которыми возможно злоупотребление, несложной майнинговой задачкой?
Фундаментальное отличие нормального пользователя от спамера (когда защищаем написание сообщений / регистрацию) или брутфорсера (когда защищаем форму авторизации) - в количестве запросов на единицу времени. При этом злоумышленник не обязательно является ботом, а нормальный юзер человеком - нанять для рассылки спама бригаду индусов несложно, а нормальный юзер может пользоваться в благих целях автоответчиком или IM-транспортом.
Однако, если мы будем для подтверждения запроса требовать сбрутить хеш - врагу придётся потратить кучу машинного времени, чтобы засрать форум или взломать учётку, и ему не помогут ни индусы, ни самый крутой OCR. В то же время пользователь не сильно расстроится, если авторизация или отправка поста займет несколько секунд - грубо, те же самые несколько секунд он будет разглядывать и набирать капчу.
В качестве алгоритма хеша возьмём Скрипт или другой алгоритм, плохо поддающийся аппаратному ускорению. Решением задачки будет заниматься JS-библиотека.
В случае, когда защита по этому методу - в интересах пользователя, а не самого сервиса (защита авторизации его учётки, например) - дадим ему возможность выбрать алгоритм и задать сложность, чтобы найти оптимальную для себя точку между защитой и удобством. Библиотеки типа cryptojs позволяют считать много разных алгоритмов, поэтому расширение "ассортимента" делается очень просто.
Что скажете?
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Отвечай на вопросы, зарабатывай баллы и трать их на призы.
Подробнее
Подробнее
Идея использования майнинговых задач вместо капчи звучит интересно и может быть довольно эффективной. Этот подход действительно может осложнить жизнь злоумышленникам, которым придется затратить значительные ресурсы для обхода защиты, в то время как обычным пользователям это не должно доставить много неудобств.
Однако следует учитывать несколько моментов. Во-первых, необходимо подобрать оптимальный уровень сложности задачи, чтобы она была достаточно эффективной против злоумышленников, но при этом не усложняла процесс для пользователей. Также важно учитывать возможные уязвимости и способы обхода такой защиты.
В целом, использование майнинговых задач вместо капчи может быть хорошим дополнением к существующим методам защиты от спама и злоупотреблений. Но перед тем как внедрять такую систему, необходимо провести тщательное тестирование и оценку ее эффективности.