Adapt. Enjoy. Survive.

După cum spuneam în articolul precendent sunt un vechi fan Opera. Dar am trădat cauza în momentul în care a apărut Firefox. Chestie care pe termen lung mi-a afectat iremediabil obiceiurile. M-am obișnuit cu Tab Mix Plus (multiple row tab list) și cu încă vreo 2-3 plugin-uri.

Când a apărut Chrome m-am îndrăgostit pe loc de simplitatea lui. Mai târziu, când am putut să folosesc și extensii am avut câteva tentative de-a sări din barca Firefox. Însă de fiecare dată lipsa unui tab list pe mai multe rânduri m-a adus înapoi.

Întâi să explic cam ce aștept eu de la un browser. Multiple row tab list este (din păcate) o cerință obligatorie. Dau shutdown/restart la laptop odată pe săptămână cel mult, las diverse ferestre deschise de pe o zi pe alta ca să nu uit de anumite task-uri și mă aștept să le am pe toate în fața ochilor (scris + favicon) și la un click distanță. Alternativele (bookmarks, tab list salvat într-o listă care apare atunci când dau click pe un buton, scrollable tab list) nu sunt utile din punctul meu de vedere. Browserele care îndeplinesc această cerință sunt Firefox și Opera. Un Firefox care a devenit din ce în ce mai încet și mai buggy în ultima vreme și un Opera care de pe la versiunea 10.5 a început să se miște în direcția bună.

O a doua facilitate pe care mă aștept s-o găsesc într-un browser ar fi îmbunătățirea cu diverse plugin-uri. În Firefox am instalat la ora actuală XMarks (pentru sincronizare bookmark-uri), Greasemonkey, ScreenGrab și AdBlockPlus. Alternative pe care le pot găsi și pentru Chrome dar care sunt total inexistente pe Opera.

Prin urmare sunt în fața unei dileme. Cu ce browser aș putea eu să înlocuiesc Firefox. Cu un Opera care-mi oferă multiple row tab list dar care nu are posibilitatea de-a instala plugin-uri sau cu un Chrome care are această posibilitate dar pe care nu am listă de tab-uri pe mai multe rânduri ? Sincer, mai curând aș renunța la facilitățile oferite de plugin-uri (deși cu ceva greutate) decât să stau cu tab-urile înghesuite pe Chrome.

Și ca să-mi facă alegerea și mai grea, am mai jos lista cu majoritatea browserelor folosite, testate pe PeaceKeeper folosind laptopul din dotare ( 4GB RAM, CPU T8300, Windows 7 Pro).

După ce se vede prin test Chrome zburdă lejer prin partea de sus a clasamentului. Opera 10.10 e testat sub Linux. La fel și Firefox 3.6.3 și Chrome 5.0.342.9 (cred). Restul sunt în Windows.  Chrome ar fi alegerea perfectă (dacă ar mai avea și multiple row tab list nici n-aș mai sta pe gânduri). Opera 10.60 ar fi iarăși o alegere decentă (dacă ar avea și câteva plugin-uri decente iar mi-ar fi ușor să aleg). Firefox e în cădere libere și parcă văd că în curând și IE9 îl încalecă (deși slabe șanse și din partea IE).

(Yup, am testat și IE9 ăla Platform Preview. Și era să cad jos de pe scaun de râs când am văzut că se laudă că au luat 83/100 la Acid3 Test.)

Cititorii folosesc așa :

Întrebarea de final ar fi : “Mai rezistați cu Firefox ?” Și dacă nu, cam ce alternative preferați și de ce ?

… and nature will breed a better idiot.

Unul din adevărurile triste cu care mai ales noi cei din lumea IT ne întâlnim destul de des.

Undeva în cursul zilei de azi am primit un comentariu la unul din posturile mele. Fără prea mare legătură cu postul o să public și comentariul aici (scuzați caps-ul, este exact forma sub care a fost publicat de către cititoarea de conjunctură):

AM LUAT O TEAPA TARE ASTAZI DE LA UN OPERATOR ORANGE. ASTAZI DATA DE 08 06 2010 AM PRIMIT UN APEL DE LA UN ANONIM. MIA SPUS CA SUNT CASTICATOAREA PREMIULUI DE 5000 EURO SI O PLASMA IN VALOAREA DE 700 EURO, SA POT INTRA IN POSESIA LOR TREBUIA SA RASPUND LA UN SMS PRIMIT DAR NAM RASPUNS, ASA CA TREBUIE SA CUMPAR 6 CARTELE REINCARCABILE IN VALOARE DE 300 RON. ZIS SI FACUT AM FUGIT LA MAGAZIN SI AM CUMPARAT CARTELE PERSOANA STAND IN TELEFON MA ASTEPTAT SA LE RAZUIESC SI SA LE DAU CODURILE. AM FACUT SI ASTA , PE CARE MIAU PUS SI O INTREBARE, CARE E NUMELE ACELUI CARE A LUCRA AFARA SI A AJUNS MARE MUZICIAN ? ERA COSTEL BUSUIOC. MIAU DAT UN NR DE TEL SI NISTE DATE SI MIAU ZIS SA MERG LA BANCA BCR SA RIDIC BANII SI SA ASTEP SA VINA PERSOANA CU PLASMA. AM AJUNS LA BANCA CE SA VEDETI RASUL LUMII. ASA CA VA SFATUIESC SA NU LUATI IN SEAMA APELURILE FACUTA DE DOBITOCII DE LA ORANGE, NORMAL TOTI OPERATORII TREBUIE SA SE OCUPE DE TOATE PROBL CARE LE PROVOC ALTII IN NUMELE LOR.

Și cu ocazia comentariului ăsta redeschid subiectul pe care l-am dezbătut cu Răzvan Târboacă zilele trecute în comentariile de la un alt articol. Ce-i mai important ? Să creezi unelte (fie ele hardware sau software) idiot-proof sau să educi consumatorii ? Și prin “a educa consumatorii” nu înțeleg marketing-bullshit-urile cu “just works” sau altele asemenea.

Am tras o porție sănătoasă de râs dimineață după ce-am citit la piticu că cei de la adcaptcher au cam uitat să reînoiască domeniul și-au pus pe butuci site-urile care foloseau jucăria lor.

Mai acum ceva vreme luam la puricat adcaptcher și încercam să înțeleg ce-i atât de revoluționar la soluția lor. Între timp au reparat chestiile semnalate de mine atunci (încă aștept berea ) dar tot nu m-au lămurit cu partea revoluționară.

Azi am intrat pe site-ul lor (ca să văd dacă l-au plătit între timp ) și m-au lovit peste ochi testimonialele unor utilizatori obișnuiți. O să dau vreo 2-3 citate că-s de mare efect :

“dear ‘captcha’ no i’m not a robot, i’m just a human that can’t read your convoluted cryptic semi-text”

“#Yahoo has the WORSE CAPTCHA EVER because dumb guys like me can’t even read the warped letters!!! #fail”

“zaidrasid Hey website, if I can’t read your Captcha then I’ll seriously consider leaving your site! I’ll do it man! – Zaid Rasid, Wired Magazine,…”

“I detest those captcha things, I can never read them!”

Sistemul de captcha este din păcate un compromis făcut între usability (hai să nu folosim uzabilitate) și securitate (deși e cam mult spus securitate). Spam-ul a ajuns peste tot, ne invadează mail-urile, conturile de twitter, facebook și alte rețele sociale, blogurile, forumurile și alte site-uri pe care le accesăm. Doar o mica parte din mesajele de tip spam sunt trimise de efectiv de un om în carne și oase care stă să apese el butonul de “send” la final. Marea majoritate sunt trimise de scripturi din ce în ce mai complexe care fac treaba asta mult mai rapid și eficient. Au tot apărut soluții de eliminare a spamului cu diverse abordări. Evident, soluția perfectă ar trebui să fie complet transparentă pentru utilizatorul final. Însă modul în care sunt construite protocoalele folosite în comunicarea pe internet nu prea permite treaba asta. Pentru că pot fi create scripturi complexe care să simuleze foarte bine acțiunile unei persoane reale. Și astfel a apărut necesitatea unei metode care să se bazeze pe capacitatea umană de-a interpreta. Fie o imagine fie niște sunete (până la miros și pipăit mai avem de așteptat). Primele soluții de captcha erau extrem de simplu de citit. Însă tehnologia a ținut pasul și programele s-au specializat și în recunoașterea optică a caracterelor (ocr). Librăriile ocr au devenit din ce în ce mai puternice iar cei care făceau spam le-au folosit din plin. Întrecerea asta a dus încet încet la modul în care arată captcha în ziua de azi.

Un site cu zeci de mii de accesări și care oferă posibilitatea de-a posta mesaje este în mod clar o țintă pentru spam. Și cei care administrează site-ul au de ales între a șterge de mână grămezi de mesaje de spam și de-a folosi una sau mai multe metode de reducere a spamului. Utilizatorii finali, oamenii obișnuiți care vin să comenteze pe un astfel de spam pot fi într-adevăr deranjați de o metodă de tip captcha care nu le permite postarea mesajului până când nu introduc textul afișat în poză. Însă ar fi mult mai deranjați dacă lista de comentarii ar fi plină de mesaje cu reclame la viagra, cialis și alte prostii. Eu personal nu-s oprit de un captcha atunci când vreau să las un comentariu undeva. Și nici mulți alții că de aia este socializarea on-line în floare. Da, poate fi deranjant uneori, da, pot exista cuvinte pe care să nu le înțelegi (dar de aia ai buton de reload la majoritatea soluțiilor de captcha) însă sistemul trebuie privit ca un rău necesar.

Și-acu revenind la adcaptcher, de ce e “revoluționar” un sistem care-ți afișează mult mai clar cuvintele ? Lăsăm partea cu monetizarea. Aia de la google, yahoo, recaptcha și alții sunt tâmpiți pentru că s-au apucat să complice mult prea rău cuvintele afișate ? Le-au întors, răsucit, turtit și îngroșat doar ca să se afle în treabă și să pună bețe-n roate aiurea săracilor utilizatori ? Sau au avut un motiv întemeiat pentru asta ? Ia hai să cităm din wikipedia (un articol pe care ZĂU c-ar trebui să-l citească și cei de la adcaptcher) :

In February 2008 it was reported that spammers had achieved a success rate of 30% to 35%, using a bot, in responding to CAPTCHAs for Microsoft’s Live Mail service and a success rate of 20% against Google’s Gmail CAPTCHA. A Newcastle University research team has defeated the segmentation part of Microsoft’s CAPTCHA with a 90% success rate, and claim that this could lead to a complete crack with a greater than 60% rate

Mai dăm și “de pe net” :

In this paper, we analyse the security of a text-based CAPTCHA designed by Microsoft and deployed for years at many of their online services including Hotmail, MSN and Windows Live. This scheme was designed to be segmentation-resistant, and it has been well studied and tuned by its designers over the years. However, our simple attack has achieved a segmentation success rate of higher than 90% against this scheme. It took ~80 ms for our attack to completely segment a challenge on a desktop computer with a 1.86 GHz Intel Core 2 CPU and 2 GB RAM. As a result, we estimate that this Microsoft scheme can be broken with an overall (segmentation and then recognition) success rate of more than 60%. On the contrary, its design goal was that “automatic scripts should not be more successful than 1 in 10,000″ attempts (i.e. a success rate of 0.01%). For the first time, we show that a CAPTCHA that is carefully designed to be segmentation-resistant is vulnerable to novel but simple attacks. Our results show that it is not a trivial task to design a CAPTCHA scheme that is both usable and robust.

(de AICI(pdf) via zdnet)

Și da, doar prin segmentare și OCR. Nu știu care-i rata de penetrare a spamului în cazul adcaptcher însă nu este absolut deloc relevantă la momentul ăsta. Pentru majoritatea internetului adcapthcer este încă o soluție necunoscută și nebăgată încă în seama. Însă pot să pun pariu că atunci când va deveni (dacă va deveni) cunoscută, n-o să pună prea mari probleme librăriilor ocr pentru că, în mod clar, este ușor de segmentat  mesajul literă cu literă.  Momentan se folosește de “security through minority“. Și le merge bine (mă rog, până când uită să plătească domeniul ).

N-o fi captcha o soluție perfectă la problema spamului și nici nu există încă așa ceva însă este una dintre soluțiile cel mai des răspândite. Și împreună cu alte soluții (de tip akismet) pot rezolva aproape total problema spamului. Reinventarea roții nu-i de-ajuns.

Ah, și hai să mai dau o idee gratuită celor cu adcapthcer. Dacă tot se folosesc de serverele proprii ca să afișeze reclama, ce-ar fi să folosească și un sistem bazat pe reputație atunci când “acceptă” comentariile. Un soi de akismet+captcha integrat. Think about it…

De ceva vreme dețin domeniul clubcisco.ro. Prima/primele versiuni ale acestui blog au purtat în coadă domeniul clubcisco.ro. Domeniul principal a plecat de la o idee/discuție avută cu ceva ani în urmă de-a creea o comunitate cât mai deschisă în jurul instructorilor de la Academia Cisco – UPB.

Între timp a curs multă apă pe Dâmbovița, s-au mai schimbat și oamenii și opiniile lor și ideea a fost abandonată parțial într-un sertar. Una din promisiunile pe care mi le-am făcut la începutul acestui an a fost că voi încercă să aduc la lumină proiectul ClubCisco. Și-l aduc în forma asta, pentru că, o perioadă cel puțin, mă voi ocupa de el singur. Un forum de “rețeliști”, un forum unde oamenii tehnici pot cere un sfat (și stați liniștiți, vor exista persoane capabile să ofere sfaturi, nu vă bazați numai pe mine), un forum unde se pot discuta și alte subiecte, un forum unde oamenii din exterior pot lua un prim contact cu (o parte cel puțin) instructorii unei Academii Cisco. Chiar dacă în perioada asta sunt prinși cu începutul unui nou semestru, vor exista oameni dispuși să dea o mână de ajutor.

De ce în formatul unui forum și nu un portal. Pentru că nu am nici timpul nici exercițiul necesar de-a crea un portal care să facă față “criticilor”. În plus, formatul de forum mi se pare cel mai potrivit scopului meu.

Încă mai este de lucru pe ici pe colo, încă mai trebuie cizelat, urmărit, încă nu are moderatori sau administratori dar am mers pe ideea “If you build it, they will come” ca să parafrazez (nițel mai la plural) un film cunoscut. Prin urmare, vă aștept. Astfel voi fi și forțat de împrejurări să “mențin” proiectul.

Ar trebui să știți cu toții ce reprezintă “captcha” dar cu toate astea hai să facem un scurt istoric. Termenul de “captcha” vine de la “Completely Automated Public Turing test to tell Computers and Humans Apart” și reprezintă o imagine cu o serie de caractere distorsionate pe care un utilizator (uman) trebuie să le introducă înainte de a confirma o acțiune (de regulă login sau postarea unui text). Scopul principal este de a opri uneltele automate (scripturi, boti) să folosească anumite resurse.

Există câteva metode de-a trece un astfel de test, metode care sunt luate în calcul atunci când este dezvoltată o nouă versiune de captcha. În primul rând imaginile trebuie să fie generate automat și să  nu existe un grad ridicat de repetabilitate. În caz contrar, nu este decât o problemă de timp până când un atacator poate găsi perechile (cuvant / imagine) potrivite pentru a trece de test. O altă metodă este folosirea OCR (optical character recognition) pentru “citirea” textului. Asta este problema cea mai mare a implementărilor captcha pentru că textul trebuie să rămână îndeajuns de vizibil pentru a putea fi citit de un om dar trebuie să fie și suficient distorsionat încât să nu poată fi recunoscut de un program specializat. Și cum tehnica avansează destul de rapid acest lucru este din ce în ce mai dificil de realizat.

In February 2008 it was reported that spammers had achieved a success rate of 30% to 35%, using a bot, in responding to CAPTCHAs for Microsoft’s Live Mail service and a success rate of 20% against Google’s Gmail CAPTCHA. A Newcastle University research team has defeated the segmentation part of Microsoft’s CAPTCHA with a 90% success rate, and claim that this could lead to a complete crack with a greater than 60% rate.

O a treia metodă se bazează chiar pe factorul uman. Imaginile testelor captcha sunt folosite pe site-uri cu trafic mare apartinand atacatorului/atacatorilor și rezolvate în acest mod.

Și ajungem la subiectul principal al postului meu. Am urmărit de ceva vreme “buzz”-ul din jurul proiectului autohton “AdCaptcha“ “AdCaptcher“. Apărut inițial pe voxpublica unde a și stârnit niște reacții (oarecum copilărești) legate de “jena” de-a introduce anumite texte, proiectul pare a fi lăudat de toată lumea. Eu însă am câteva rezerve legate de funcționalitate și am încercat să aflu câteva detalii mai tehnice legate de proiect.

Cu excepția unei prezentări (100% marketing) și-a folosirii pe voxpublica n-am găsit însă nimic. Însă m-am jucat nițel cu implementarea de pe voxpublica și-am observat următoarea chestiune. Imaginea care formează testul este compusă din 2 jumătăți (imaginea este tăiată pe orizontală) și compusă ulterior cu ajutorul unui script. Deși la prima vedere URL-ul imaginii este generat unic la fiecare apariție a imaginii pe site de fapt acest lucru nu este adevărat. Luăm ca exemplu un link către jumătate de imagine pentru “money.ro”. Link-ul generat este :

http://www.adcaptcher.com/1266545375goIfQK0190110.png

La următoarea întâlnire a imaginii respective vom găsi ceva de genul :

http://www.adcaptcher.com/XXXXXXXgoIfQK0190110.png

Unde “XXXXXX” este un număr aleator cu cel puțin 1 cifră. Deci pot spune cu certitudine că toate link-urile către “xxxxxxgoIfQK0190110.png” duc către testul cu “money.ro”. Problem solved și nici n-am nevoie de OCR. Jumătatea de jos a imaginii complete este similar generată. Ce nu e tocmai ok ? Păi ia să recapitulăm. Avem niște imagini care pot fi ușor recunoscute de un soft OCR (money.ro cu alb pe fond verde e floare la ureche de exemplu). Avem un număr limitat de imagini (cred că n-am numărat mai mult de 10-15 “reclame” diferite) care generază testul captcha și care se bazează doar pe faptul că încă n-au apărut scripturile care să “citească” link-urile care compun imaginea (nu c-ar fi extrem de greu, eu am observat treaba cu link-urile în câteva minute de joacă și la cât de puține imagini sunt este suficient să “verifici” cu un script care-i jumătate de imagine ca să rezolvi testul). Și avem un mare buzz făcut în jurul proiectului. Și zău că nu-mi vine să cred că-s singurul care și-a pus întrebări vis-a-vis de funcționalitatea unui asemenea sistem.

Dacă tot vrem să îmbinăm utilul cu banii ce-ar fi să facem și noi ceva în stilul reCaptcha și să digitalizăm câteva hârțoage de prin bibliotecile naționale. Și putem să folosim în loc de cuvinte de control texte cu reclame. Sau doar fundal cu reclame. Sau mai bine lăsam locul reclamelor în alte zone și încercăm să fim nițel mai serioși cu chestiile legate de securitate că nu sună bine viitorul, zău.