...

reCaptcha de Google hacké !

Démarré par Goupilop, 29 juillet 2018 à 10:57:57

« précédent - suivant »
En bas

Goupilop

Bonjour,

Depuis plusieurs jours des robots s'inscrivent sur mon site malgré le mode SMF  reCpatcha de google en cause lire ici dessous:

https://homputersecurity.com/2017/03/02/un-hacker-brise-le-recaptcha-de-google/

Bref va falloir trouver autre chose

maximus23

Bonjour,

Cela date de mars 2017 donc je suppose que depuis le temps google à fait des corrections ?

Si tu as des soucis active l'antispam de Smf en duplex :)
Amitiés et à Bientôt.
Have a Nice Day.

Goupilop

Hello max,

Ben non pas de mise à jour du mod


Les attaques viennent de l' Ukraine, ils ont monté en puissance depuis 4 jours, je banni au fur et à mesure et bloque les IP en htaccess
Il semble que la seule parade c'est d'installée la dernière version de re-Captcha v.3 de Google mais pas de mod SMF à ce jour
Ils ont trouvé une faille dans le message audio comme explique dans le lien plus haut
Voilà c'est pour info...
Pas grave je filtre manuellement au fur et à mesure ;)
Bon après-midi...

Goupilop

29 juillet 2018 à 16:51:14 #3 Dernière édition: 29 juillet 2018 à 17:02:00 par Goupilop »
A ce sujet:

Aujourd'hui, Google admet que l'IA peut résoudre et contourner l'ancienne API reCaptcha v1.0 avec plus de 99% de précision !

Les chercheurs ont créé un outil appelé unCaptcha qui est capable d'abuser de l'option de défi audio du service reCaptcha V2 de Google

Donc le mod SMF v.1 est caduque à ce jour
Comment faire pour passer au dernier mod invisible de Google ?

Goupilop

29 juillet 2018 à 17:09:34 #4 Dernière édition: 29 juillet 2018 à 17:16:58 par Goupilop »
explication du hack:

Selon le document de recherche, unCaptcha combine des moteurs libres de parole à texte en ligne et des techniques avancées de cartographie phonétique. Tout d'abord, les chercheurs choisissent l'option audio des services reCaptcha en utilisant un logiciel d'automatisation de navigateur. Ceci déclenche le téléchargement du fichier son. Ensuite, en utilisant des services de synthèse vocale en ligne gratuits, ils sont capables d'identifier le défi du mot audio.
"Après avoir effectué une cartographie phonétique sur chacune des prédictions des services de reconnaissance vocale individuelle, nous" ensemble "leurs réponses pour obtenir une seule réponse", ont écrit les chercheurs. "Après avoir assemblé une chaîne de caractères, unCaptcha organiquement (avec un timing uniforme entre chaque caractère) tape la solution dans le champ et clique sur le bouton 'Vérifier'."



Google n'est pas étranger à la rupture de sa reCaptcha. En mars, des chercheurs d'East-Ee Security ont détaillé un contournement de validation de principe qui utilisait les propres outils Web de Google pour percer la mesure de sécurité.
L'outil nommé ReBreakCaptcha est capable de vaincre la sécurité reCaptcha via un script qui utilise les propres API de Google pour capturer les défis audio en tant que fichiers audio. Ensuite, il utilise la technologie de synthèse vocale pour convertir l'audio en réponses textuelles qui sont ensuite saisies sous forme de solutions textuelles aux problèmes audio utilisés dans reCaptcha.

Encore une fois, en 2016 chez Black Hat Asia, des chercheurs en sécurité de l'Université de Columbia ont publié un article https://www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA-wp.pdf . Selon les auteurs du document, leur technique a automatiquement résolu 70,78% des défis de l'image reCaptcha, tout en ne nécessitant que 19 secondes par défi.
East-Ee Security n'a fourni aucune donnée comparable pour son pontage ReBreakCaptcha.

Bref, Google semble comme Microsoft un plaisir pour les hackeurs ;D
Pfff ! je pense remplacer le re-captcha par une sonnette à l'ancienne ;D ;D ;D



maximus23

Amitiés et à Bientôt.
Have a Nice Day.

Goupilop

Citation de: maximus23 le 29 juillet 2018 à 17:46:51Bonsoir,

La dernière version est la 1.0.1 : https://custom.simplemachines.org/mods/index.php?mod=1044

:)
Bonjour,
Je veux bien mais...c'est bien là 1.0.1 qui est installée seulement il me renvoi la 1.0 ? bref...


Je suis revenu au contrôle SMF, je vais voir dans le temps ce que cela donne, je retourne les infos plus tard



En ce qui concerne le re-captcha de Google, c'est mort car la faille de l'audio est bien *é, on trouve le programme de * sur le net en plus :-(
Google à tout vouloir racheté commet des erreurs la preuve dans le sujet en cours
max passe l'info s.t.p puisque tu fait partie de l'équipe
Je suis allez voir le pic de * via l'IP relevé, c'est hallucinant en 4 jours + 76%
A l'avenir cela m'apprendra de faire confiance à Google
Avec l'Intelligence Artificielle ça commence à être chaud (très)
Pfff.....

Bonne journée

Goupilop

30 juillet 2018 à 14:38:29 #7 Dernière édition: 30 juillet 2018 à 14:45:55 par Goupilop »
Je viens de contrôler la fonction (protection spams) d'écoute des lettres sur la protection MSF, celle-ci est désactivée, c'est très bien :)


Google à K faire de même ;)

alexetgus

Le mieux, c'est de poser une question en français.
Par exemple, "Julie a un cheval rose. Quelle est la couleur du cheval de Julie ?".

Les bots ne parlent pas français à 99.9% ! Du coup, une seule question suffit. :)
Attention aux questions mathématiques que tout le monde parle, surtout les bots ! En plus, 3 questions, c'est saoulant pour les humains.


Avec reCAPTCHA, j'avais plusieurs inscriptions par jour.
Avec le captcha SMF (on sait qu'il n'est pas fiable du tout) et une question française, plus d'inscriptions ! ;D

Et si jamais ça recommence, je changerai la question, c'est tout.
Je précise que chez oim, les invités peuvent poster et je n'ai plus de problème de bots depuis l'abandon de reCAPTCHA qui est obsolète.



Pour info :
Ce n'est pas le mod qui doit être mis à jour (sauf pour reCAPTCHA invisible), c'est le captcha de Google.
A chaque fois qu'une page avec captcha est affichée, les serveurs Google sont appelés pour obtenir le JS reCAPTCHA.
C'est donc à Google de corriger son machin perméable.

Mais j'ai comme l'impression qu'ils veulent que tout le monde passe à reCAPTCHA invisible.
Si ils le voulaient, le simple reCAPTCHA serait très efficace comme il l'avait toujours été.
Mais non, ils ne veulent pas...

Goupilop

Oups ! j'ai oublié de mentionné que j'ai procédé de cette façon:

Pour désactiver la fonction d'écoute des lettres (panel Vérification) qui à pour but de procéder au téléchargement d'un fichier WAV,  il faut renommer (pour ma part) le fichier qui se trouve dans le répertoire Source en fichier back_Subs-Sound.php de ce fait le téléchargement est caduque puisque le script n'est pas actif ;)
Saleté de spammeurs de M*rde ! >:(

Bon après-midi

Goupilop

Citation de: alexetgus le 30 juillet 2018 à 15:10:08Le mieux, c'est de poser une question en français.
Par exemple, "Julie a un cheval rose. Quelle est la couleur du cheval de Julie ?".

Les bots ne parlent pas français à 99.9% ! Du coup, une seule question suffit. :)
Attention aux questions mathématiques que tout le monde parle, surtout les bots ! En plus, 3 questions, c'est saoulant pour les humains.
Hello alex,

Ouais, mais j'ai jamais vu 1 cheval rose MOI ! lol
Au fait elle est ou Julie ? ta son tél. je parie !
Ta raison pour Google sans compter le flicage qu'ils font !
3 questions mathématiques ? c'est pour les nuls hi hi hi...comme moi
Allez vive SMF et la tribu qui le supporte
Au fait elle est pour bientôt la 2.1 ? A ce sujet il faut qu'ils nous sorte un bon filtre anti-spams :-)

@+

Goupilop

30 juillet 2018 à 15:31:10 #11 Dernière édition: 30 juillet 2018 à 15:33:48 par Goupilop »
Je vais voir avec celui-ci pour essayer


(Pour Google, je me demande si c'est pas eux qui le font express dans cette histoire ?)

alexetgus

Oui, c'est mieux. Mais il faudrait un postulat de départ (machin à un bidule) et une question (bidule de machin ?) pour compliquer le truc. Je pense que le coups des pattes de chat, c'est connu.
Seuls les humains français peuvent comprendre, surtout si tu mets des accents que les anglophones ne connaissent pas. ;)

Mais si, les chevaux roses ça existe, allons !
J'ai plein de voisins drogués qui m'ont rapporté leur existence. Alors hein ? :P

Désolé, Julie n'a ni téléphone, ni adresse, c'est pas de bol hein ? :)

Si tu veux jeter un oeil, va sur mon site et commence une inscription ou une réponse (sans les finir, t'es pas obligé de t'inscrire/poster) et tu verras qu'il n'y a qu'une seule question.
De toute façon, le captcha ne marche pas, les bots le passent, il n'y a que la question (question unique).
Il faut faire gaffe avec le nombre de questions, faut pas dégouter le badaud.

Sinon, est-ce que SMF avance ? Il semblerait que oui, puisque ça bouge un peu sur le compte Github de SMF.
Mais bon, quand je vois que la beta 3 est disponible depuis le 24 Mai 2017, qu'il est rigoureusement conseillé de ne pas l'utiliser sur un site en production, que les mods beta 3 sont acceptés sur le site SMF, je me pose des questions... ???

Goupilop

Bonjour,

Bon celui du chat à 4 papates pas good, un plouc d'assureur de Floride est passé faire sa pub ;D
Donc celui plus haut avec 3 calculs est Ok en + de la suppression  de l'écoute du son (voir + haut également)
Il semble que le recaptcha de Google attire tous les bots du monde, préférable de le supprimer à mon gout
A voir dans le temps...
Bonne journée (chaude 8) )

maximus23

Bonjour,

Nouvelle version du module ReCAPTCHA en mode invisible dorénavant : https://custom.simplemachines.org/mods/index.php?mod=1044 Version 2.0

:)
Amitiés et à Bientôt.
Have a Nice Day.

En haut