Erilaiset kuva-arvoitukset ovat tuttuja kaikille, jotka rekisteröityvät suosituille web-sivustoille tai kirjoittavat niihin esim. kommentteja. Palvelut pyrkivät varmistamaan, että toisessa päässä on oikeasti ihminen, eikä skriptikoodia.
Tyypillisin varmistusmenetelmä on sotkettua tekstipätkää esittävä kuva, jonka käyttäjä tulisi tunnistaa. Sotkemisen tarkoitus on hankaloittaa tekstintunnistusohjelmien (OCR) kykyä selvittää, mitä kuvan teksti esittää. Kuvien tekstit on piilotettu usein niin tehokkaasti, ettei täysin lukutaitoinen ihminenkään selviä tehtävästä.
Näiden ns. CAPTCHA-tarkistusten toteutukseen on tarjolla runsaasti valmiita sovelluskirjastoja, joilla web-sivuston rakentaja voi kytkeä tarkistuksen suoraan palveluunsa. Jos yksi tekniikka ei toimi, voi tilalle ottaa uuden. Esimerkiksi WordPress-blogiohjelmistoon löytyy useita CAPTCHA-lisäosia.
Alussa näitä "kuva-arvoituksia" pidettiin lähes takuuvarmana keinona estää automatiikkaan perustuva massahäiriköinti ja roskaaminen. Viime aikoina sivustojen ylläpitäjät ovat huomanneet, että CAPTCHA-testeistä huolimatta palveluun pääsee outoja valekäyttäjiä.
Aluksi epäiltiin, että roskapostittajat olisivat kehittäneet uusia algoritmeja tai murtautumiskeinoja tarkistusten ohittamiseksi. Jotkut CAPTCHA-testit tarjoavat yksinkertaisia kiertokeinoja, joissa itse kuvaa ei ole edes tarpeen tulkita vaan testi voidaan ohittaa asettamalla esim. evästeen arvo tai kutsumalla sivuja sopivassa järjestyksessä.
Yleensä CAPTCHAn helppo kierto ei onnistu. Kun tekniikka ei riitä, otetaan avuksi ihminen. Tarkistusta vaativassa palvelussa esitetty kuva-arvoitus voidaan ujuttaa jollekin toiselle sivustolle, jossa käyttäjät joko tietämättään tai selkeää palkintoa vastaan tunnistavat niitä roskapostittajan puolesta.
Tyypillinen esimerkki on aikuisviihdesivusto, jonka "alaikäisten tarkistustoiminto" sisältää samalla kuva-arvoituksen. Todellisuudessa kuva on haettu joltakin toiselta sivulta, ja käyttäjän antama tulkinta päätyy todellisuudessa robotille, joka pystyy kirjautumaan onnistuneesti sisään aivan toiseen palveluun.
Turvayhtiö Websense on julkaissut raportin, jossa kuvataan Googlen CAPTCHA-tarkistuksen ohitustapoja. Osassa tapauksista testi on saatettu läpäistä HTTP-pakettien sopivalla muodostuksella, valtaosassa kyse on kuitenkin tarkistuksen "ulkoistamisesta" venäläiselle sivustolle.
Julkaisujärjestelmä: Drupal | Tietoa Assemblix.netistä
