CloudFlare表示新的HCAPTCHA旁路不会影响其实施

Web基础架构和网站安全提供商CloudFlare上周告知历史记录，最近的一个学术论文详细说明了一种绕过HCAPTCHA基于图像的挑战系统的方法不会影响其实现。

上个月发表的研究论文来自路易斯安那大学的三个学者，目标HCAPTCHA是CHCAPTCHA，去年在CloudFlare的网站保护系统中取代了谷歌的reCAPTCHA。

在一个名为“对HCAPTCHA系统的低成本攻击的低成本攻击”的纸质中，他们设计了一种使用浏览器自动化工具，图像识别，图像分类器和机器学习算法来下载HCAPTCHA拼图的攻击，确定图像的内容，识别图像的内容，分类图像，然后解决CAPTCHA的挑战。

学者表示，他们的攻击以95.93％的准确率合作，平均约18.76秒，以破解HCAPTCHA挑战。

但是，虽然以前发现了基于机器的基于图像的CAPTCHA解决方案的攻击，但本文的重大突破是，研究团队通过最少的计算资源实现了这一点 - 攻击钻机由运行Ubuntu OS的简单码头容器组成，配置有3核CPU和仅2GB的内存。

此外，研究团队表示，如果他们用谷歌云视觉，亚马逊重新识别和微软Azure认知愿景等最先进的在线视觉vision服务，则攻击可能更快地工作。这可以平均刮掉另一两秒钟。

该研究团队表示，如果在现实世界中实施，这些攻击可能允许威胁演员在实时网站上绕过基于HCAPTCHA图像的谜题，并对网站的基础架构进行自动攻击，例如论坛垃圾邮件，网页刮板等。

研究人员计划在下个月担心2021年关于攻击技术（WOOT）的2021年版研讨会上的攻击，担心一些网站所有者，他们将其作为其CloudFlare网站安全包的一部分。

然而，上周在电话呼叫电话中，在CloudFlare的Research主管周五，尼克沙利文讲述了“HCAPTCHA是CloudFlare用于检测和潜在阻止自动流量的各种方法之一”。有其他系统可以检测自动攻击。

此外，上周伸出评论，HCAPTCHA发言人还表示，该组织了解研究人员的工作，并已实施本文的缓解部门所建议的技术。

然而，HCraptcha还承认，由于几种设计决策，其免费版也不会阻止所有自动攻击。该公司的完整答案如下：

我们已经在“建议的缓解”部分中使用了这项技术，但我们的系统设计不实时泄漏检测。相比之下，通过reCAPTCHA，您可以简单地注册并获得机器人得分，这使得它变得微不足道。这限制了他们测试的免费版本的选项，根据设计，当提交正确答案时，它不会完全阻止所有检测到的自动化传递。相反，它依赖的工具之一是经常改变类别和挑战类型。然而，它还具有“防漏”保护，以避免泄漏这些。因此，我们在阅读本文后对他们的回应是，实际上，在报告的其他细节，抗排水保护正在设计。

HCAPTCHA发言人