CAPTCHAは機能しているか?

テーマ ・ プライベート♪ カテゴリ ・ 脆弱性メモ #3575
気になったので久々にログインしてみた。

ユーザ新規登録に、CAPTCHAっぽいのがあるけれども、これはこれはとても解析しやすいCAPTCHAだなあと思った。

まず、画像1つ1つが切り離されてる。これだと、解析する画素数が少ないので、まあ分布的に何の文字か解析しやすくなってしまう。
さらに、HTML上からの呼び出しが普通にimg要素による表現のため、ファイル名から用意に分かってしまう。

http://softonhouse.jp/images/user/C1.jpg
http://softonhouse.jp/images/user/C2.jpg
http://softonhouse.jp/images/user/C3.jpg
http://softonhouse.jp/images/user/C4.jpg
http://softonhouse.jp/images/user/C5.jpg
http://softonhouse.jp/images/user/C6.jpg
http://softonhouse.jp/images/user/C7.jpg
http://softonhouse.jp/images/user/C8.jpg
http://softonhouse.jp/images/user/C9.jpg
http://softonhouse.jp/images/user/C0.jpg

しかも、模様がランダム生成とかではなく1つだけなので、より解析する負担が減る。つまり、その画像がどんな文字か分かったらOKでござる的。
すなわち、これは人間が素直に画像を見て解読するより、何らかのプログラムが処理したほうが早いですね。

意味が無いので、取っ払った方が良いです。もしくは、世の中にはCAPTCHAのAPIがあるんでそれを利用するのも手です。
あとは、OpenIDとかそういうのも良いかと思います。

むしろ、なぞなぞ認証とかどうですかね。そっちの方がまともなCAPTCHAより実装楽かもしれません。

コメント1

  • お疲れぷろぐらま
    アドバイスの線で修正してみるね。 なぞなぞ認証いいね(笑)