監査専門家:鄭州軽工業大学教授 鄭元凡 インターネットを閲覧していると、下の図のような人間と機械による検証プロセスに遭遇することがよくあります。このプロセスでは、Web ページのコンテンツにアクセスするためにボックスをクリックする必要があります。 reCHAPTCHA 人間と機械の検証ダイアログボックス ソース丨wiki 上記の操作プロセスは、Web サイトのセキュリティを保護するために設定された検証です。結局のところ、ウェブサイトの登録、ログイン、クーポン収集、投票などのアプリケーションシナリオはすべて、マシン(プログラムスクリプト)によってスワイプされ、さまざまな損失を引き起こすリスクがあります。 しかし、ウェブサイトを訪問している「主体」が実在の人物(人間)であるかどうかを、たった 1 回のクリックで知ることができるのでしょうか?このようなずさんな検証方法で、本当に人間と機械を区別できるのでしょうか? 1 認証コードをクリックする方法 まず、Google Chrome 開発者ツール ウィンドウでウェブサイトの情報の一部を見てみましょう。キーボードの F12 ファンクション キーを押して、下の図に示すように、開発者ツール ウィンドウのネットワーク パネルを開きます。ヒューマンマシン認証ボタンをクリックすると、左側にネットワーク送信データパケットが表示されます。 ウェブサイト Chrome 開発者ツール ウィンドウ ネットワーク パネル (ネットワーク パネル) 出典: Google おそらく、あなたはまだこれらの内容の意味を理解していないかもしれませんが、それは問題ではありません。これらは、ローカル ブラウザーからリモート Web サイト サーバーに送信されるデータと考えてください。このデータは人間が見るためのものではなく、サーバーが見るためのものです。 これらの「文字化けしたコード」の情報を分析することで、サーバーは、それが実際の人間によって生成されたデータなのか、それとも単に自動化されたプログラム コードによって送信された要求データ パケットなのかを判断し、オペレーターが人間なのか機械なのかを区別することができます。 Python言語で書かれたコースグラビングスクリプトのソース丨Bilibili 画面ウィンドウ内の小さな四角を「冗談で」クリックして「背後の Web ページに入る」だけだと思っているかもしれませんが、実際には、この操作によってデータ パケットが生成され、サーバーに送信されます。 1. ユーザー行動データ: ページの一時停止時間、ボタンのクリック、マウスの軌跡など。 2. 環境変数:ユーザーデバイス情報、ネットワーク情報、オペレーティングシステム情報など。 3. ブラウザフィンガープリント: リクエストヘッダー情報、IP アドレス (ネットワークカードの論理アドレス) 情報、MAC アドレス (ネットワークカードの物理アドレス) 情報、地理的位置情報、Cookie 情報などが含まれます。 リクエストヘッダーの内容 この改良された検証方法は、12306 Web サイトのように多数のパターンから対象オブジェクトを苦労して選択する必要がなくなるため、多くのユーザーにとって便利ですが、残念ながら、この検証方法は、識別タイプの検証コードと比較して、セキュリティの面で大幅に改善されていません。 これらのデータの暗号化はフロントエンドの js コードによって完了し、ブラウザに付属する開発者ツールを使用してパッケージをキャプチャすることで js コードを取得できます。つまり、理論的には、これらのコードをリバースエンジニアリングして暗号化ロジックを見つけ出し、リクエストデータを偽造することが可能です。一部の js コードは難読化されて読みにくくなりますが、さまざまな有力者が対策を講じ、js コードを復元するための難読化防止ツールを発明しました。 認証コードの登場以来、この対立は止まっていないと言えるでしょう。 2 検証コードの進化 検証コードの起源は 1997 年にまで遡ります。当時、Altavista の Lillybridge などのプログラマーが、ハッカーによるバックエンドへの侵入を防ぐために、歪んだ文字の検証コードを初めて作成しました。 出典: ifanr 現在でも、このタイプの検証コードは、一部の Web サイトの主な検証方法として使用されています。文字が過度に歪んでいると、モニターの前にいる人は、対象の物体を識別するために首を振ったり左右にひねったりしなければならないことがよくあります。 検証コードが実際にその名前を得たのは、2003 年にカーネギーメロン大学の Luis von Ahn のチームが「CAPTCHA」というプログラム概念を提案したときでした。 CAPTCHA は、「コンピュータと人間を区別するための完全に自動化された公開チューリングテスト」の略語です。その中国語の意味は、コンピューターと人間を区別するための完全に自動化された公開チューリングテストです。 CAPTCHA テストでは、コンピューターがユーザーが回答する質問を自動的に生成します。機械は CAPTCHA の質問に答えることができないため、論理的に言えば、質問に答えられるユーザーは人間であるとみなすことができます。 セキュリティ保護とクラッキング侵入の戦いが激化する中、認証コードの認識の難易度は高まり、その形式も多様化しています。誕生から現在に至るまで、検証コードには主に、SMS 検証コード、音声検証コード、グラフィック検証コード、質問検証コード、スライドおよびクリック検証コードなどがあります。 SMS認証コード 人々は携帯電話を使用して認証コードをチェックし、ログインすることができますが、プログラムやロボットがそのような自動操作を実行するのは複雑です。 出典: jhkjsms.com 音声認証コード 人間が電話に出て音声を聞く場合、音声認識ソフトウェアが音声を分析するのを防ぐために、音声の内容にノイズが混ざったり、人間が許容できる程度に音声が変更されたりすることがあります。 出典: cloud.juphoon.com グラフィック検証コード 画像検証では、機械による認識を防ぐために、意図的に中心をぼかし、プログラム不可能なテキストを使用します。視覚障害のある人は音声認証を選択できます。 図に示すように、Image Turker と Audio Turker は、それぞれ画像と音声の検証コードを認識する人間を表しています。 authorize.net の画像キャプチャは最も簡単ですが、google.com の音声キャプチャは最も難しいです。 画像と音声の認証コードの人間認識精度 出典: web.stanford.edu 質問確認コード 国内のウェブサイトでは、パターンをクリックする必要がある確認コードが最もイライラすることが多いです。 「あなたが誰なのかを推測する」ゲーム形式の検証方法では、次のステップに進むことを諦めてしまうことがよくあります。 出典: www.12306.cn 確認コードをスライドしてクリックします 2014 年に、Google は新しい検証コード システム NoCAPTCHA reCAPTCHA を開始しました。これが最初に紹介したシステムです。確認コードを入力する必要はありません。クリックするだけです。 2018年に、GoogleはreCAPTCHAをアップグレードしました。ユーザーは何もアクションを起こす必要すらありません。システムは、ユーザーがバックグラウンドでウェブサイトを閲覧する方法を分析し、リスクスコアリングを実行します。ユーザーの評価が低すぎる場合、Web サイトはユーザーに正当なユーザーであることを証明するための追加の手順を実行するよう要求します。 出典: 知乎 3 国内認証コードの特徴 中国でより一般的な検証方法は、知識不要の検証コードであり、優れたユーザーエクスペリエンス、高いリスク識別率、強力なリスク遮断能力という 3 つの大きな利点があります。 出典: Station B のスクリーンショット 出典: Baidu セキュリティ検証 優れたユーザーエクスペリエンス ユーザーは考える必要がなく、体験は比較的スムーズです。 高いリスク特定率 機械学習の発展により、機械は人間の知識を獲得し、単純なグラフィック CAPTCHA も解読できるようになりました。しかし、知識フリーCAPTCHAは人間の行動特性や動作環境に基づいてリスクを総合的に評価するため、攻撃者が人間の行動を模倣することは困難です。 強力なリスク遮断能力 バックグラウンドで実行される評価ロジックは、ユーザーのリスク指数を決定し、疑わしい操作の程度に応じて難易度の異なる検証コードをプッシュしたり、操作を直接ブロックしてリスクを効果的に阻止したりすることができます。 この記事を読んだ後、認証コードについて何かを学び、Web サイトにアクセスするときに常にそれらの奇妙な認証コードに対処する必要がある理由を理解したと思います。 |
私が小さい頃、母は私にこのような秋服を買ってあげるのが好きでした。しかし、このような綿100%の秋服...
編集者注: 数百万の IP が科学技術を創造し、科学技術強国という夢を共同で築いています。科学知識を...
有名アーティストギャラリー |ロシアの画家グリスに「ソ連人民芸術家」の称号が授与された。爆発を待つ瞬...
糖尿病患者が日常生活で粉ミルクを飲みたい場合は、少し飲んでも大丈夫です。粉ミルクには主にタンパク質、...
スペアリブは、私たちが日常生活でよく食べるものです。特に、子供がいる家庭では、スペアリブをよく調理し...
蜂蜜に含まれる栄養は女性の体と心に有益であり、いくつかの生理学的疾患に一定の効果があり、血液循環を促...
新梨梅大根のような食品は私たちの生活の中では比較的珍しいはずです。私たちはこの食品の栄養価と薬効につ...
かつて、自動車の消費は一般の中国人にとって手の届かない贅沢品だったが、時代は変わった。自動車が家庭に...
春節休暇中のネットワークセキュリティリスク:公衆WiFiのリスクと予防春節休暇の到来とともに、ますま...
正直に言うと、JCG Hacker H1 が初めて登場したとき、私たちはそれが「スマートホーム ゲー...
太陽系、特に地球の存在には極めて極端な条件が必要であり、自然条件下ではそのような条件が存在することは...
ワインは生活の中でとても一般的です。ワインには多くの種類があります。飲むときは、自分の好みに合わせて...
新年のご挨拶中国科学技術協会会長 万剛中国科学技術協会党書記の何俊科氏新年を迎えるにあたり、中国科学...
豚骨を使った料理は数多くありますが、豚骨レンコンスープもその一つです。より多くの消費者のニーズを満た...
野生人参は熱中症の神経系を効果的に調整し、人体のバランスを整えます。科学的に見ると、野生人参を食べる...