Wenn Sie ein einfaches CAPTCHA "Geben Sie die Nummer in dieses Bild ein" erstellen und diesen Stick 24 Stunden lang haben können, wissen Sie, dass Ihr Feind ein Amateur ist. Sie wissen, dass diese Art von primitivem Gerät mit maßgeschneidertem Code sie 24 Stunden lang verlangsamt. Das könnte Spaß machen :)
Ich würde Stylesheets ausgiebig verwenden, um Informationen im Seitencode auszublenden: in zweierlei Hinsicht: erstens CAPTCHAs ausblenden und zweitens informative Antworten ausblenden. Mit dem Ziel, Schaber sadistisch irrezuführen.
Ich würde ein bisschen Code auf der Serverseite schreiben, um falsche Antworten zu erstellen, die auf den ersten Blick glaubwürdig sind, aber auf eine Weise falsch sind, die nicht leicht zu bestätigen ist. Verwenden Sie außerdem Random Seeding oder MD5s, um sicherzustellen, dass dieselbe Eingabe immer dieselbe falsche Antwort liefert.
Irreführend bei CAPTCHAs:
Lassen Sie beispielsweise das zuletzt verwendete CAPTCHA-System. Verwenden Sie jedoch Stylesheets, um sie auszublenden. Folgen Sie mit einem anderen CAPTCHA, das von Javascript verschleiert wird. Vielleicht sogar ein anderes reCaptcha mit einem anderen Schlüssel.
Jetzt merkt der Schaber nicht, dass das erste CAPTCHA mit Stylesheets unterdrückt wird. Es wird fröhlich das CAPTCHA lösen und die Antwort mit dem falschen Schlüssel zurückgeben. Gotcha . Genau wie beim Knacken von Enigma können Sie jedoch nicht klar machen, dass Sie den Code kaputt gemacht haben. Der Schaber muss weiterhin glauben, dass er funktioniert. .
Irreführende Antworten:
Präsentieren Sie eine Antwort wie gewohnt mit einem Stylesheet. Das Stylesheet verbirgt dieses Ergebnis für normale Personen. Der Schaber merkt nicht, dass dieses Blatt die Eigenschaft "versteckt" hat. Die Antwort, die Sie hier präsentieren, ist die Fälschung . Präsentieren Sie anschließend das wahre Ergebnis. Präsentieren Sie für Bonuspunkte die Ergebnisse in einer Grafik , wodurch sie nicht mehr verschrottbar sind. Versuchen Sie dies natürlich zu verbergen.
Wenn Sie Telemetrie (falsches CAPTCHA gelöst) haben, dass es sich um eine verkratzte Abfrage handelt, müssen Sie das Abfrageergebnis nicht einmal von Ihrem Dienstanbieter kaufen . Geben Sie einen Ruhezustand (t + zufällig) für den typischen Zeitraum ein, den Ihr Dienstanbieter benötigt, und senden Sie dann eine falsche Antwort zurück.
Sieht normal aus
Der Angreifer glaubt, dass die Dinge normal funktionieren und nur auf Erfolg der Abfrage prüfen, nicht auf Qualität der Ergebnisse. Mit etwas Glück hat Ihr Angreifer nicht protokolliert, als jede Abfrage durchgeführt wurde , und speichert die Antworten einfach in einer Datenbank. Es kann ziemlich lange dauern, bis der Angreifer feststellt, dass Sie die Daten vergiftet haben. Zu diesem Zeitpunkt wäre die gesamte Datenbank beschädigt, da er keine Ahnung hat, welche Einträge gültig und welche giftig sind (siehe, wie wichtig es ist, dass die gefälschten Daten legitim aussehen ?) Auch wenn der Angreifer jeden Eintrag mit einem Zeitstempel versehen hat, was für eine Fehlersuche! Sie müssen mehrere Einträge für jeden Tag manuell überprüfen, um festzustellen, wann die Daten fehlerhaft waren.
Und noch etwas. Cache echte Antworten, und wenn sich eine Botnet-Abfrage im Cache befindet, geben Sie immer die richtige Antwort aus dem Cache. Der Scraper, der Fehler behebt, trifft Ihre reale Website mit einem Browser und fragt nach einer Testnummer von 213-456-7890. Das Ausblenden funktioniert und dies verhält sich wie eine echte Abfrage. Sie berechnen also die echte Antwort und geben sie zurück. Als nächstes weist der Schaber das Botnetz an, nach 213-456-7890 zu fragen. Um zu sehen, ob der Bot ein anderes Ergebnis erzielt. Sie erkennen die Bot-Abfrage . Wenn Sie jetzt eine falsche Antwort geben, weiß der Schaber, dass die Schablone hoch ist, und wiederholt dies, wenn Ihre Erkennung unterbrochen wird. Da Sie also die richtige Antwort im Cache haben, geben Sie sie auch in den versteckten Feldern. Jetzt ist der Scraper ratlos: Das Botnetz scheint zu funktionieren .
Warum und wie
Offensichtlich findet jemand Ihre Daten wertvoll. Sie würden es von Ihrer Quelle bekommen, aber sie wollen nicht dafür bezahlen, also kratzen sie Sie.
- Es ist möglich, dass es sich tatsächlich um eine Konkurrenz-Website handelt, die dasselbe tut wie Sie, und sie generieren eine Anfrage an Sie, wenn sie eine von ihrem Besucher erhalten. Im Wesentlichen ist dies ein Schema, um Ihren Service zu nutzen, aber deren Anzeigen zu schalten. Sie selbst kennen den Wert davon. Sie können dies testen, indem Sie auf jeder Website eines Mitbewerbers unklare und unterschiedliche Abfragen durchführen und sehen, welche Abfragen in Ihren Protokollen angezeigt werden.
Es gibt unzählige Möglichkeiten, CAPTCHAs zu lösen. Im Beispiel einer Mitbewerber-Website, auf der Ihre Daten für ihre Kunden abgerufen werden, geben diese möglicherweise einfach Ihr CAPTCHA an ihre Kunden weiter. Es gibt auch Möglichkeiten, Menschen dazu zu bringen, CAPTCHAs für Sie zu erstellen, z. B. "CAPTCHAs lösen, um kostenlosen Porno zu erhalten" oder indem Sie einen nicht verwandten Dienst anbieten, für den CAPTCHAs aus irgendeinem Grund erforderlich sind, z. B. ein anonymes Bulletin Board. Jedes Mal, wenn jemand etwas veröffentlicht, sendet er Ihnen eine Anfrage und erhält sein Poster, um Ihr CAPTCHA zu lösen. Es gibt auch CAPTCHA, das im Wesentlichen die Sklaverei in der Dritten Welt löst.