[Fanda] DobryKod.cz usnadňuje používání webů handicapovaným uživatelům - Aktuálně - Helpnet

Lubos Pintes lubos.pintes na gmail.com
Čtvrtek Únor 28 20:15:10 CET 2013


Mal by som otázku k tým údajným nedostatočne zabezpečeným captchám ako 
sú napr. matematické príklady. Podľa čoho môže spambot zistiť, že takýto 
kód na stránke je?
Nie je náhodou pre nich zaujímavé práve spamovanie tisícok webov? 
Myslím, prečo by sa mal zaujímať zrovna o ten môj?

Dňa 25. 2. 2013 14:29 Petr Závodský wrote / napísal(a):
> Dobrý den,
> CAPTCHA je bezpečnostní opatření a proto musí splňovat minimální
> bezpečnostní požadavky. Bohužel metody, jako např. početní úkony nebo typu
> napište číslici "stopadesátšest" jsou velmi snadno prolomitelné a usnadňují
> útoky na web nebo na uživatele a provozovatelům webů tak mohou vzniknout
> nemalé škody. Takovým útokem může být například získávání uživatelských
> jmen a následné vyzkoušení několika hesel na všechny uživatele (pokud
> vyzkoušíte jedno heslo na tisíc uživatelů, pravděpodobně alespoň v jednom
> případě uspějete.). Mezi další útoky patří spamování, získávání citlivých
> informací o uživatelích apod. Deformované obrázky se používají proto, že
> stroje je zpravidla nepřečtou. Přitom platí, že čím deformovanější text v
> obrázku, tím je bezpečnější. Proto se u lépe zabezpečených webů setkáváte s
> CAPTCHA obrázkovou. Bohužel také zpravidla platí, že čím bezpečnější
> CAPTCHA, tím hůře přístupný.
> Avšak pravda je, že v některých případech se CAPTCHA používá zcela zbytečně
> anebo obrázkový CAPTCHA být použit nemusí. Navíc dnes platí, že ani u webů,
> které potřebují splňovat maximální požadavky na zabezpečení, obrázkový
> CAPTCHA je již slabé zabezpečení (útočníci si mohou pronajímat lidi, kteří
> obrázkové kódy přepisují - běžně si kdokoliv může objednat armádu Indů a
> zaplatí za to několik velmi málo dolarů za tisíc přečtení.)
>
> Petr Závodský
>
> 2013/2/25 Csaba Garai <csaba.garai na gmail.com>
>
>> Zdravím,
>> sice zajímavý projekt, ale pořád si myslím, že existuje řada jednodušších
>> řešení, které jsou přitom finančně také nenáročné, jako početní úkony, nebo
>> typu napište číslicy "stopadesátšest"
>> nebo vyberte ze seznamu jaký je den v týdnu, či měsíc etc... Cs.
>>
>> DobryKod.cz usnadňuje používání webů handicapovaným uživatelům
>> 21.2.2013 21:53
>> DobryKod.cz dvěma novými bezplatnými službami zdarma usnadňuje
>> handicapovaným uživatelům používání webových stránek. Služba Screenshot
>> prolamuje překážku, kterou skýtá obrázkový CAPTCHA kód - obrázek, ze
>> kterého dobře vidící lidé opisují písmena a číslice, aby mohli pokračovat v
>> použití webu. K tomu služba Screenshot využívá spolupráce automatu a
>> lidských operátorů, kteří obrázkový CAPTCHA kód transformují do čitelné
>> podoby. Druhá služba Encrypted CAPTCHA poskytuje vývojářům webů alternativu
>> pro zajištění bezpečné, levné a především handicapovaným uživatelům
>> dostupné alternativy nejen obrázkového CAPTCHA.
>> Webové stránky někdy obsahují ochranu, která má odlišit člověka od stroje
>> a zabránit tak různým útokům, jakými jsou např. spamování, krádež
>> uživatelských dat apod. Takovou ochranou bývá právě CAPTCHA.
>>
>> Obrázkové CAPTCHA kódy vytváří překážku zejména zrakově postiženým webovým
>> uživatelům, protože je nevidí a zároveň nejsou dostupné zařízením, jež
>> zrakově postižení používají ke čtení webových stránek. Někdy používaný
>> zvukový CAPTCHA není vždy k dispozici, snižuje úroveň zabezpečení, náklady
>> na pořízení mohou být neúnosné a zpravidla chybí různé jazykové verze.
>>
>> Se službou Screenshot tyto překážky přestávají existovat. Uživatel pořídí
>> snímek obrazovky (screenshot) a zašle ho na centrální e-mailovou adresu
>> Dobrého kódu. Jako odpověď mu dorazí člověkem přečtený kód, který následně
>> může použít. Kód pro handicapované uživatele opisují operátoři, kterým
>> práci usnadňuje automat.
>>
>> V praxi se používají i jiná webová řešení pro rozlišení člověka a stroje.
>> Různé rébusy, grafické prvky aj. I v těchto případech však také bývají
>> nedostupné mnoha handicapovaným. Proto DobryKod.cz nabízí vývojářům řešení,
>> které taková bezpečnostní opatření vytváří snadno dostupnými zejména
>> zrakově postiženým. A to linkem, který obsahuje zašifrovaný řetězec písmen
>> a číslic. Když nevidomý uživatel na link klikne, je přesměrován na web
>> DobryKod.cz. Po zadání uživatelského jména a hesla je mu řetězec
>> rozšifrován a zobrazen v jemu čitelné podobě.
>>
>> Služby jsou svým uživatelům dostupné 24 hodin denně 7 dní v týdnu
>> prostřednictvým webu www.dobrykod.cz. Pokud se DobryKod.cz osvědčí v
>> Česku, je připraven pro rychlé rozšíření do zahraničí.
>>
>> Autorem služeb je Petr Závodský, pracovník společnosti CZ.NIC, z.s.p.o.
>> (správce české domény nejvyšší úrovně) a člen celosvětové komunity OWASP
>> (Open Web Application Security Project) zabývající se bezpečností webových
>> aplikací.
>> Petr Závodský
>>
>>
>> http://www.helpnet.cz/**aktualne/68025-3<http://www.helpnet.cz/aktualne/68025-3>
>>
>> --
>>
>>
>> s pozdravem, Cs.
>>



Další informace o konferenci Fanda