Jaki obecnie jest sens captcha i podobnych zabezpieczeń?

Zastanawiam się, po co aktualnie się stosuje różne captcha i tym podobne wynalazki.
W dobie AI, który jest w stanie od ręki wygenerować dowolnej treści film, albo wziąć zdjęcie kolegi i przerobić go na wilkołaka.
Przy takich możliwościach, odczytanie ukrytego za liniami czy innymi utrudnieniami napisu jest trywialne i raczej nie stanowi zabezpieczenia przed niczym.

Poniżej wynik mojego eksperymentu: dzisiaj, chwilę temu, podczas logowania się gdzieś-tam wyskoczyło mi, poza loginem i hasłem, okienko do odczytania captcha. Wkleiłem do kilku AI, większość odpowiedziała poprawnie, jeden pomylił literę T na drugiej pozycji z cyfrą 7.

Także ponownie zadaję pytanie - czy to nadal ma jakikolwiek sens (którego po prostu ja nie rozumiem), czy raczej to jest naleciałość z przeszłości i ludzie to montują, bo tak wypada?

Z captchą na pewno jest ciężej scrapować, bo musisz mieć odpalony silnik JS i jakieś AI do rozwiązywania captchy co znacząco zwiększa koszty i wydajność takiego przedsięwzięcia.

Captcha to też zazwyczaj szczyt lodowca. Pod spodem masz analizę ruchu i inne algorytmy, gdzie wybór obrazka to ostatni krok

captcha jest rozpykana od lat. zresztą go google napisał najlepszy program do rozwiazywania captchy a potem napisali bibliotekę utrudniającą odczytanie i ustawiali parametry. okazało się że istnieje poziom gdy ich ej aj rozwiązuje captchę a ludzie już nie potrafią. dlatego google pyta się ciebie gdzie jest rower na zdjęciu bo tego ej aj jeszcze nie umie. jak będzie umiał to znów będziemy w d'piu

Security through obscurity. Coś, co z założenia ma być do rozwiązania przez człowieka, będzie do rozwiązania przez maszynę - pytanie tylko jakim kosztem.

Tak samo DRMy na grach czy filmach. Tu nie chodzi o to, żeby nie dało się tego rozgryźć, bo zawsze się da. Chodzi o to, żeby byle pierwszy mietek nie był w stanie nagrać sobie OBSem filmu kupionego na jakieś platformie online i wrzucić go w sieć minutę po premierze. Albo żeby nowa gierka nie latała po piratach 2 dni po oficjalnym release'ie. Sporo twórców gier po roku (?) sami zdejmują DRMy, bo za nie trzeba (zazwyczaj) płacić, a w ciągu roku kto miał kupić grę to już dawno ją kupil, a kto chce spiracić to i tak ją prędzej czy później spiraci.

To już dawno powinno być odwrócone:

cerrato napisał(a):

Zastanawiam się, po co aktualnie się stosuje różne captcha i tym podobne wynalazki.

Zwyczajne utrudnienie i zniechęcenie większości potencjalnych scraperów.
Jasne - możesz sobie rozpykać captchę przy pomocy chatgpt, ale zaraz dojdziesz do limitu i będziesz musiał za to płacić, albo stawiać model lokalnie. Nie problem rozwiązać 50 captchy dziennie - można to zrobić nawet ręcznie. A takie tekstowe captche były rozpykane na lata przed LLMami, można też zapłacić hindusom w necie i chętnie będą rozwiązywać za centa od captchy.

Większość captchy na jakie ostatnio trafiam to manualne captche gdzie trzeba coś przesunąć, ustawić - tego nie wkleisz do chata i potrzebujesz dedykowanego rozwiązania.
W dodatku jest ich widocznie mniej niż parę lat temu - królują rozwiązania ukrytych captchy które sprawdzają twoje zachowanie na stronie i dopiero gdy wyda się zbyt robotyczne to się w ogóle pojawiają.

Nie wiem jak ciebie ale mnie jednak captche odpychają i w większości przypadków jest nieopłacalne ich omijanie. Natrafiam jednak często na źle zaimplementowane captche - przykładowo mam sobie skrypcik który sprawdza na bieżąco rezerwacje terminów na jednej stronie, żeby wbić się w okienko jak ktoś anuluje. System jest niby zabezpieczony captchą, ale zrobili to na samym początku - po jednorazowym wpisaniu captchy sesja jest podtrzymywana przy każdym requeście więc po prostu rozwiązuję jednorazowo jedną captchę przy każdym resecie skryptu gdy chcę go użyć i on sobie już może hulać dowoli. Ktoś kto tu implementował captchę chyba sam nie wiedział po co to robi.

Captcha to koszt, do zrzucenia na AI czy klaster białkowy w Bangalore. Czym trudniejsza, tym bardziej prawdopodobne że od strony ktoś się odbije a w systemach publicznych dochodzi problem dostępności, który niektóre captche rozwiązują tak że są dwa rodzaje zadań, wideo i audio co jest bez sensu bo daje dwa wektory omijania, o różnych stopniach trudności i atakującemu daje większy wybór.

A cel pierwotny był przecież taki nie żeby powstrzymać spambota tylko spowolnić, żeby skrypt dzieciak nie ładował się w formularz rejestracji ile fabryka dała.

Stąd ostatnio popularne stają się captche typu proof of work, altcha, capjs I inne. Nie udają że odróżniają człowieka od maszyny tylko każą jakiś problem obliczeniowy rozwiązać. Przeglądarka przepala trochę procesora żeby znaleźć rozwiązanie a weryfikacja na serwerze jest tania.

To dobry kierunek, moim zdaniem. Captcha jest automatyczna, niczego nie wymaga od użytkownika, nie ma żadnej "wersji audio". I tak, da się ją automatyzować, za koszt zużytego prądu. Problem zwykle daje się parametryzować, więc może wymagać 5 sekund obliczeń a może wymagać 60 sekund albo dowolnie długo. Do ochrony prostych formularzy może wystarczyć.