Google запустила CAPTCHA, которую не нужно вводить
, Текст: Валерия Шмырова
Google запустила бета-тестирование системы reCAPTCHA 3, которая анализирует поведение пользователя за последние дни и определяет, не является ли он ботом. С ее внедрением пользователям больше не придется тратить время на распознавание слов или картинок, которые предлагались в прежних версиях reCAPTCHA.
Тестирование reCAPTCHA 3
Google представила новую версию системы защиты веб-сайтов от ботов под названием reCAPTCHA 3. Этот вариант системы не требует от пользователя совершать какие-либо действия, чтобы подтвердить, что он человек, а не робот. Напомним, прежние версии reCAPTCHA просят пользователя распознать картинки — например, указать все изображения из предложенного набора, на которых присутствуют дорожные знаки, или торты, или котики.
Вместо этого reCAPTCHA 3 анализирует поведение пользователя в интернете за последние несколько дней, обращая внимание на особенности движения курсора мышки или ввода текста. На основании этих данных система оценивает естественность поведение пользователя по шкале от 1 до 0 баллов. 1 балл получают люди, 0 баллов — боты. Авторы проекта заявляют, что точность определения равняется 99,98%. При этом алгоритм никак не отвлекает пользователя от работы в интернете.
В настоящий момент reCAPTCHA 3 находится на стадии бета-тестирования. Познакомиться с системой и применить ее к своему сайту можно здесь.
Что такое reCAPTCHA
reCAPTCHA была создана на основе похожей системы под названием CAPTCHA, что расшифровывается как Completely Automated Public Turing test to tell Computers and Humans Apart — «полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей». CAPTCHA предлагает пользователю распознать текст, в деформированном виде представленный на картинке.
CAPTCHA начала применяться в 1997 г. одновременно двумя командами разработчиков — в поисковом движке AltaVista, чтобы воспрепятствовать добавлению URL-адресов ботами, и в фаерволе компании Sanctum. В 2007 г. сотрудниками Университета Карнеги — Меллона была создана reCAPTCHA, также ориентированная на распознавание различных объектов на изображениях, и приобретенная Google в сентябре 2009 г.
Google запустила тестирование новой версии reCAPTCHA
reCAPTCHA используется не только для различения пользователей-людей и ботов, но и для оцифровки книг, текст которых слишком неразборчив для распознавания компьютером. Изначально reCAPTCHA, как и ее предшественница, просила пользователя распознать деформированный текст. В 2012 г. она начала использовать и другие изображения — фотографии номерных табличек на зданиях из проекта Google Street View. В 2014 г. система стала предлагать пользователю выбрать из набора несколько изображений, на которых изображены однотипные объекты.
В 2013 г. reCAPTCHA начала использовать элементы анализа поведения пользователя, чтобы предсказать, является он человеком или ботом, еще до процедуры распознавания изображений. Проект получил название NoCAPTCHA. Если результаты анализа показывали высокую вероятность, что пользователь является ботом, ему предлагались более сложные картинки для распознавания.
Критика reCAPTCHA
В разное время reCAPTCHA критиковалась за использование бесплатной рабочей силы для оцифровки книг, и за большие неудобства, которые она доставляла пользователям интернета, имеющим проблемы со зрением или живущим в странах с жесткой интернет-цензурой.
В 2012 г. разработчик ПО Эндрю Манселл (Andrew Munsell) в статье «Капчи становятся смехотворными» привел многочисленные примеры того, что текстовые капчи бывают слишком неразборчивыми для прочтения даже вполне здоровыми людьми. Регулярная необходимость выполнять задания CAPTCHA и reCAPTCHA вызывала многочисленные жалобы пользователей на трату их личного и рабочего времени.
Google запускает reCAPTCHA v3, которая автоматически распознает плохой трафик — «Хакер»
Представители Google официально анонсировали запуск новой, третьей версии reCAPTCHA, которая обещает стать менее раздражающей для пользователей и заработает уже на этой неделе.
Механизм работы reCAPTCHA хорошо знаком пользователям и сильно ими нелюбим. Так, первая версия reCAPTCHA предлагала распознать искаженный текст, а вторая версия просила поставить галочку в поле «Я не робот» или вынуждала отыскивать на картинках бесконечные дорожные знаки, автомобили, витрины магазинов и так далее, заставляя пользователя тратить на это утомительное занятие несколько минут.
Хорошая новость заключается в том, что третьей версии reCAPTCHA, которую тестировали более года, практически не нужно будет взаимодействовать с пользователем. Теперь система использует проприетарную технологию Google, которая будет самостоятельно обучаться, наблюдая за обычным поведением посетителей сайтов, и в итоге сможет отличать хороший трафик от вредоносного и аномального. В результате столкнуться с reCAPTCHA v3 «воочию» придется лишь малому числу пользователей, которым система присвоит высокую степень риска по шкале от 0,1 (плохо) до 1 (хорошо). Степень риска будет рассчитываться исходя из поведения пользователя на сайте и с учетом источника трафика.
Интересно, что управлять поведением reCAPTCHA теперь смогут сами администраторы сайтов, тогда как раньше решения за них фактически принимал Google. Так, админы смогут использовать специальный тег action для страниц, которые хотят защитить. Данные теги соотносятся со степенями риска (которые тоже настраивает сам админ), что позволяет reCAPTCHA предпринимать различные автоматические действия, в зависимости от заданного рискового порога. То есть пропускать пользователей или запрашивать у пользователя/бота дополнительное подтверждение, подобно двухфакторной аутентификации или верификации по телефону.
Кроме того, инженеры Google пишут, что теги action могут использоваться как альтернативная система валидации для защиты внутренних данных сайтах, таких как профили или история транзакций.
Больше информации о новой версии reCAPTCHA можно найти на официальном сайте.
У нового reCAPTCHA от Google есть темная сторона
Мы все пытались зайти на сайт или отправить форму только для того, чтобы застревать, щелкая ящики светофоров, витрин или мостов в отчаянной попытке окончательно убедить компьютер, что мы на самом деле не бот.
В течение многих лет это был один из преобладающих способов, с помощью которого reCaptcha — детектор интернет-ботов, разработанный Google, — определял, является ли пользователь ботом или нет. Но прошлой осенью Google запустил новую версию инструмента с целью полного устранения этого раздражающего пользовательского опыта. Теперь, когда вы вводите форму на веб-сайте, который использует reCaptcha V3, вы не увидите флажок «Я не робот», и вам не нужно будет доказывать, что вы знаете, как выглядит кошка. Вместо этого вы вообще ничего не увидите.
«Это лучший опыт для пользователей. Каждый провалил проверку Captcha », — говорит Сай Хормее, ведущий специалист по Google ReCaptcha. Вместо этого Google анализирует способы навигации пользователей по веб-сайту и присваивает им оценку риска на основе того, насколько вредоносным является их поведение. Хормаи не поделится тем, какие сигналы Google использует для определения этих показателей, потому что, по его словам, мошенникам будет проще имитировать доброкачественных пользователей, но он считает, что эта новая версия reCaptcha делает его невероятно трудным для ботов или капч-фермеров — людей, которым платят крошечные суммы, чтобы взломать Captchas онлайн — чтобы обмануть систему Google.
«Вы должны понимать, каким должно быть поведение на сайте, и имитировать это достаточно хорошо, чтобы обмануть нас», — говорит он. Затем администраторы сайта получают доступ к оценкам рисков своих посетителей и могут решать, как с ними обращаться: например, если пользователь с высокой оценкой риска пытается войти в систему, веб-сайт может установить правила, чтобы попросить их ввести дополнительную информацию проверки через двухфакторную аутентификацию. Как выразился Khormaee, «в худшем случае у нас есть небольшие неудобства для законных пользователей, но если есть злоумышленник, мы предотвращаем кражу вашей учетной записи».
По данным сайта технической статистики Built With, более 650 000 сайтов уже используют reCaptcha v3; в целом, по крайней мере 4,5 миллиона веб-сайтов используют reCaptcha, в том числе 25% из 10000 лучших сайтов. Google также сейчас тестирует корпоративную версию reCaptcha v3, где Google создает настраиваемую reCaptcha для предприятий, которые ищут более детальные данные об уровнях риска пользователей, чтобы защитить свои алгоритмы сайта от злоумышленников и ботов.
Но эта новая система, основанная на оценке риска, имеет серьезный компромисс: конфиденциальность пользователей.
По словам двух исследователей безопасности, которые изучали reCaptcha, один из способов, по которым Google определяет, являетесь ли вы злоумышленником, заключается в том, есть ли у вас уже установленный файл cookie Google в вашем браузере. Это тот же файл cookie, который позволяет открывать новые вкладки в вашем браузере и не требует повторного входа в свою учетную запись Google каждый раз. Но, по словам Мохамеда Акрута, аспиранта в области компьютерных наук в Университете Торонто, который изучал reCaptcha, похоже, что Google также использует свои cookie-файлы, чтобы определить, является ли кто-то человеком в тестах reCaptcha v3. Акрут написал в апрельской газете о том, как моделирование reCaptcha v3, которое выполнялось в браузере с подключенной учетной записью Google, получило более низкие оценки риска, чем браузеры без подключенной учетной записи Google.
«Если у вас есть учетная запись Google, скорее всего, вы человек», — говорит он. Google не ответил на вопросы о роли, которую cookie-файлы играют в reCaptcha.
С reCaptcha v3, технический консультант Marcos Perona и тестировщик Akrout оба обнаружили, что их оценки reCaptcha всегда были низкими, когда они посещали тестовый веб-сайт в браузере, где они уже вошли в учетную запись Google. Кроме того, если они заходили на тестовый веб-сайт из частного браузера, такого как Tor или VPN, их оценки были высокими.
Для правильной работы этой системы оценки рисков администраторы веб-сайтов должны встраивать код reCaptcha v3 на все страницы своего веб-сайта, а не только в формы или страницы входа. Затем reCaptcha со временем узнает, как обычно действуют пользователи их веб-сайта, помогая алгоритму машинного обучения, лежащему в его основе, генерировать более точные оценки рисков. Поскольку reCaptcha v3, скорее всего, будет присутствовать на каждой странице веб-сайта, если вы вошли в свою учетную запись Google, существует вероятность того, что Google получает данные о каждой отдельной веб-странице, на которую вы переходите, которая встроена в reCaptcha v3 — и на сайте нет визуального указания на то, что это происходит, за небольшим логотипом reCaptcha, скрытым в углу.
Google рекомендует администраторам сайтов размещать reCaptcha на всех своих сайтах, а затем делиться полученными оценками рисков с этими администраторами, что очень важно для безопасности, считает Перона, потому что он говорит, что «дает владельцам сайтов больше контроля и видимости того, что происходит» с потенциальным мошенником и атаки ботов, и система даст администраторам более точные оценки, чем если бы reCaptcha использовал данные только с одной веб-страницы для анализа поведения пользователей.
Этот вид сбора данных на основе файлов cookie происходит в других местах в Интернете. Гигантские компании используют его как способ оценки того, куда их пользователи переходят при просмотре веб-страниц, что затем может быть связано с предоставлением более целенаправленной рекламы.
Например, cookie Google reCaptcha следует той же логике, что и кнопка «Мне нравится» в Facebook, когда она встроена в другие веб-сайты — она дает этому сайту некоторую функциональность в социальных сетях, но также позволяет Facebook знать, что вы там просматривали. Ранее Google заявлял, что данные, полученные с помощью reCaptcha, не используются для таргетинга объявлений или анализа интересов и предпочтений пользователей, хотя компания отказалась комментировать конкретно данные о поведении пользователей из reCaptcha v3.
Перона рассматривает использование Google reCaptcha как «захват онлайн пространства», который усиливает влияние Google на Интернет. Он считает, что reCaptcha похожа на другие продукты Google, такие как Accelerated Mobile Pages (AMP), программу, позволяющую быстрее загружать страницы новостных сайтов на мобильных устройствах.
«Это всегда обоюдоострый меч», — говорит Перона. «Вы получаете что-то, но вы также даете Google немного больше контроля над всем в Интернете». Выгода — это безопасность и улучшенный пользовательский интерфейс, но может пострадать конфиденциальность.
Google не решал никаких потенциальных проблем с конфиденциальностью и настаивал на том, что reCaptcha v3 является вопросом корпоративной ответственности. Он рассматривает reCaptcha v3 как способ обеспечения безопасного и беспроблемного онлайн-общения. «Google настолько глубоко интегрирован с интернетом», — говорит Хормее. «Мы хотим сделать все возможное, чтобы защитить его».
Перевод статьи: Google’s new reCAPTCHA has a dark side
Урок 027. Добавление Google reCAPTCHA
Добавил на сайт reCAPTCHA при регистрации пользователей и некоторых других действиях анонимных пользователей, а то слишком много роботов регистрируется на сайте.
Добавление reCAPTCHA был сделано через функцию декоратор, чтобы была возможность повторного использования этого метода для вьюшек сайта.
Для внедрения reCAPCTHA на сайт необходимо зарегистрировать свой сайт в админке reCAPTCHA .
В качестве домена я выбрал IP адрес локальной петли своего ПК, на котором веду разработку сайта.
Внедрение
Внедрение reCAPTCHA состоит из двух шагов:
- Внедрение reCAPTCHA на клиентской стороне, то есть в HTML коде
- Внедрение reCAPTCHA на серверной стороне
При регистрации сайта будет сгенерировано два ключа:
- Site key — Ключ, который будет помещаться на HTML странице
- Secret key — Ключ, который бует использоваться для коммуникации сайта и сервисом Google reCAPTCHA
Процесс внедрения будет следующий. На HTML странице в форме, которая требует валидации действий пользователя, помещаем script reCAPTCHA, и ключ сайта.
На стороне сервера внедряем декотор для view функции или класса view, если Вы используете Class Based View в сайте на Django. Я использую Class Based View.
При заполнении формы и отправки её данных на сервер, необходимо выдернуть из запроса информацию об ответе о валидации каптчи, а потом отправить запрос на сервер Google для верификации сайта и получения окончательного результата валидации. Ответ с первоначальным результатом валидации каптчи будет содержаться в поле g-recaptcha-response. Именно этот ответ и отправляется с секретным ключом на сервера Google для верификации сайта и получения окончательного результата верификации пользователя.
Для создания запроса воспользуемся библиотекой requests .
pip install requests
Декоратор
Secret Key помещаем в настройки вашего сайта, самый простой вариант — это добавить его в settings.py , хотя и не самый безопасный.
GOOGLE_RECAPTCHA_SECRET_KEY = '6LdqzjEUAAAAAKTDYsfuwZce-oa214GC8QeChVBF'
Далее создаем файл decorators. А в самой вьюшке делаем проверку на валидность reCAPTCHA. В моём случае эта была вьюшка, наследованная от FormView класса. На клиентской стороне необходимо добавить код подключения скрипта, место расположения каптчи, а также вывод сообщений об ошибках. В итоге получаем достаточно простое внедрение reCAPTCHA на Django сайте. Для Django рекомендую
VDS-сервера хостера Timeweb
. Я попытался вставить ссылку для загрузки в форму с reCaptcha (в соответствии с инструкциями Google), но кнопка «Отправить» открывает ссылку, даже если вы не пройдете вызов captcha. Код очень прост: JSFiddle Кто-нибудь знает, почему это не работает? Спасибо! Я внедряю google reCAPTCHA V2. Он работает почти идеально, за исключением следующей ошибки, расположенной в recaptchalib.php: Примечание: использование неопределенная константа успеха — предположил ‘success’ в (местоположение скрипта )… Итак, я установил Google reCaptcha для своего сайта, и все в порядке, ожидая от того, что он не позволит мне выровнять его по центру на моей странице, единственная причина, которую я вижу, заключается в том, что по умолчанию он дает элементу div ширину 304px. Когда я удаляю это с помощью… Я думаю, вы немного запутались в том, как работает Google reCaptcha-он не мешает POST (пользователь может легко обойти такую вещь), он используется для того, чтобы серверный код мог проверить, что пользователь не робот. Это означает, что у вас тоже должно быть что-то на стороне сервера, чтобы проверить, что отправляется. Вы не можете просто сделать все это на стороне клиента. (Хотя похоже, что Google делает все на стороне клиента, кнопка reCaptcha на самом деле находится в iframe, на другом сервере.) Например. смотрите демо-версию Google здесь: https: / / www. Обратите внимание, что он по-прежнему POSTs данные обратно на сервер, когда вы нажимаете кнопку Отправить-это сервер, который отвечает, чтобы сказать, человек вы или нет. Как говорится в документации Google: Когда ваши пользователи отправят форму, в которую вы интегрировали reCAPTCHA, вы
получите в качестве части полезной нагрузки строку с именем
«g-recaptcha-response». Чтобы проверить, проверил ли Google
этого пользователя, отправьте запрос POST с этими параметрами: URL: https:/ / www.google.com / recaptcha/api/siteverify секретный (обязательный) xxx В основном вам нужно проверить, соответствует ли запрос POST Вы можете узнать больше об этом процессе в документации reCaptcha: https:/ / developers.google.com / recaptcha/docs/verify Обновление: если вы не заботитесь о том, что кто-то может подделать результат, вы можете сделать это с помощью JavaScript, например: JSFiddle Поделиться Chuck Le Butt 04 декабря 2015 в 16:30 Существует несколько решений этой проблемы, основная проблема заключается в том, что действие формы-это ссылка для загрузки, поэтому форма вообще никогда не должна проверяться. Вы можете написать код PHP, который проверяет, а затем инициирует загрузку и использует страницу, которая помещается в качестве действия вашей формы, если вы хотите проверить через Google, если вы хотите истинную аутентификацию Google re-captcha. Кроме того, вы можете создать javascript, который изменяет действие формы с помощью атрибута тега data-callback g-recaptcha, чтобы действие формы не было ссылкой до тех пор, пока не будет выполнено recaptcha. Более подробную информацию об атрибутах тегов, доступных для прикрепления действий javascript, можно найти здесь: https:/ / developers.google.com/recaptcha/docs/display Поделиться David Scott 04 декабря 2015 в 16:07 
register/$’, check_recaptcha(views.RegisterView.as_view()), name=’register’),
]
class RegisterView(FormView):
form_class = UserCreationForm
template_name = 'register.html'
def form_valid(self, form):
# проверка валидности reCAPTCHA
if self.request.recaptcha_is_valid:
form.save()
return render(self.request, 'register_success.html', self.get_context_data())
return render(self.request, 'register.html', self.get_context_data()) Клиентская сторона
{% extends 'base.html' %}
{% block content %}
<form action="{% url 'register' %}" method="post">
{% csrf_token %}
{{ form.as_p }}
<script src='https://www.google.com/recaptcha/api.js'></script>
<div data-sitekey="6LdqzjEUAAAAABRAtK1a3QhIWbn46X_gdcXvhnbG"></div>
{% if messages %}
{% for message in messages %}
{{ message }}
{% endfor %}
{% endif %}
<input type="submit" value="Зарегистрироваться">
</form>
{% endblock %} Результат
Использование Google reCaptcha для защиты ссылки на скачивание от ботов
<head>
<script src='https://www.google.com/recaptcha/api.js'></script>
</head>
<body>
<form action="download link">
<input type="submit" value="download">
<div data-sitekey="xxx"></div>
</form>
</body>
Поделиться Источник Jorge Anzola 04 декабря 2015 в 15:57 2 ответа
1
google.com / recaptcha/api2/demo
ответ
(обязательно) Значение ‘g-recaptcha-response’.
remoteip
ip-адрес конечного пользователя.secret вашему секретному ключу из вашей учетной записи Recaptcha. Если это так, то вы должны дать пользователю ссылку для загрузки, если это не так, верните сообщение об ошибке.
0
Это не будет проверять ответ клиента через внешние серверы и может быть подделано, но все равно не позволит ссылке быть действием формы до тех пор, пока не будет нажата рекапча.Похожие вопросы:
Политика защиты от угроз и обнаружения ботов в Azure API Manager
1) Как Apigee, так и WSO2 имеют политику защиты от угроз OOTB для таких угроз, как XML бомбы, XML атаки внешних сущностей, XPath инъекция, Javascript инъекция и т. д. Поддерживает ли это Azure API…
Ошибка в форме Recaptcha,
Я использую модуль Recaptcha для фильтрации спама в форме. Но форма содержит некоторое поле загрузки файла alax, которое останавливает recaptcha для правильной работы. Каждый раз, когда я загружаю…
Google Recaptcha Внутренняя Ошибка
Я использую новый Google reCaptcha API для контактной формы внутри страницы на моем экземпляре wordpress, но API returns a 500 Internal Server Error message при использовании скрипта,…
google reCAPTCHA V2 » использование неопределенной константы ..»
Я внедряю google reCAPTCHA V2. Он работает почти идеально, за исключением следующей ошибки, расположенной в recaptchalib.php: Примечание: использование неопределенная константа успеха — предположил…
Google reCaptcha удалить элемент
Итак, я установил Google reCaptcha для своего сайта, и все в порядке, ожидая от того, что он не позволит мне выровнять его по центру на моей странице, единственная причина, которую я вижу,…
Реализуйте новый невидимый reCaptcha от Google
Я создаю сайт PHP, где я хотел бы поместить капчу в форму входа.
Я пошел с новым невидимым reCaptcha Google, но у меня возникли проблемы с его реализацией (часть HTML, PHP работает). Код, который у…
Использование php no captcha recaptcha кода в Smarty
у меня есть собственный веб-сайт, № CMS, и этот веб-сайт использует Smarty. Сайт позволяет пользователям регистрироваться и использует старую систему image captcha. Чтобы запретить регистрацию…
Можно ли повторно использовать токен Google reCaptcha?
В основном мой клиент хочет, чтобы я использовал маркер ответа Google reCaptcha как часть сеанса пользователя. Идея заключается в том, что если клиент запрашивает некоторые данные из бэкэнда…
Как работает Google reCAPTCHA v3?
Google выпустила reCAPTCHA v3 . Это устраняет все трения пользователя. Я хочу использовать его для защиты своего сайта. Однако я не уверен в том, как это защитит мой сайт. Что делать, если хакер…
Защиты от ботов или добавлением CAPTCHA зарегистрироваться опыт работы в Azure объявление В2С
Я использую Azure AD B2C в качестве решения аутентификации для приложения портала Dynamics CRM. До сих пор B2C позволяет настраивать опыт регистрации, который я сделал, чтобы настроить внешний вид…
Как использовать капчу — reCAPTCHA в Joomla 3
Captcha (капча) — очень актуальная на сегодняшний день вещь. Если ваш сайт содержит любые контактные формы, будь то регистрация, отправка запроса, предоставление доступа к каким-либо функциям, то капча будет для вас хорошим способом защититься от различного рода ботов.
reCAPTCHA — плагин для Joomla 3, который помогает вам повысить защиту сайта с помощью специальной формы, которая запрещает автоматизированный доступ к вашему сайту с помощью простых заданий на логику и математику. Решить данные задачки сможет абсолютно любой человек.
В данной статье мы расскажем, как включить, настроить и использовать капчу reCAPTCHA в Joomla 3.
Шаг первый — включить reCAPTCHA
Для начала откройте панель управления сайтом и откройте Расширения > Менеджер плагинов.
Найдите плагин CAPTCHA — reCAPTCHA, включите его и откройте.
Также вы можете сделать также, как на приведенном скриншоте.
Шаг второй — настроить reCAPTCHA
Для того, чтобы капча работала, конечно же, необходимо ее настроить и получить ключ для вашего сайта.
Рекомендуем вам выбрать версию reCAPTCHA 2.0, поскольку версия 1.0 уже не поддерживается и работает только со старыми ключами.
После выбора версии необходимо получить приватный и публичный ключи доступа. Сделать это можно по данной ссылке.
В открывшейся странице нажмите в правом верхнем углу Get Captcha (см. скриншот ниже). Войдите под своим аккаунтом Google или зарегистрируйтесь.
После этого — зарегистрируйте свой сайт — введите название сайта и его url.
И после всех данных действий вы получите желанные ключи, Секретный и Публичный, которые нужно добавить в настройки плагина reCAPTCHA.
После ввода ключей вы также можете выбрать стиль капчи сайта, либо светлый (Light), либо темный (Dark).
Сохраните изменения.
Шаг третий — общие настройки
Теперь перейдите на вкладку Система > Общие настройки.
На данной вкладке найдите пункт CAPTCHA (по умолчанию)*. По умолчанию в нем стоит значение «Не выбрано ни одного». Кликните и выберите пункт CAPTCHA-reCAPTCHA и сохраните изменения.
Поздравляем, теперь на вашем Joomla сайте есть рабочая, красивая и современная капча!
Google reCAPTCHA можно обойти. Как?
Давайте начнем с того, что это вообще за слово такое — «капча».
Это вольная транскрипция английской аббревиатуры captcha — Completely Automated Public Turing test to tell Computers and Humans Apart («полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей»).
В основе капчи, как и в основе оригинального теста Тьюринга, лежит простая идея: капча представляет собой тест, который может пройти человек и не может — компьютер. Чаще всего капча показывает пользователю искаженный текст, который нужно ввести повторно, чтобы получить доступ к чему-нибудь.
Капча — это важный инструмент, который позволяет легко и быстро защитить сайты от регистрирующихся ботов, блог-посты — от бесчисленных спамерских комментов и так далее. Без капчи умельцы смогли бы, к примеру, накручивать количество голосов в голосованиях или писать кучу рекламных комментариев с помощью программных роботов.
Первые версии капчи были довольно простыми, и компьютеры быстро научились их обходить. Это повлекло за собой соревнование хакеров и разработчиков тестов captcha. Стоило преступникам одолеть одну капчу, как выпускалась новая, более совершенная версия.
«Google’s ReCaptcha is simplest way of getting rid of bots. No math problems required!» @jgamboa #WPEProTip pic.twitter.com/bPOegSbmbz
— WP Engine (@wpengine) April 14, 2016
В какой-то момент в поединок вмешалась компания Google и представила свою reCAPTCHA. Сейчас разработка Google считается неофициальным стандартом в мире капчи. Она используется самой Google, Facebook и на многих других сайтах для защиты от спама и других пакостей. В общем-то, reCAPTCHA — это самый популярный вид капчи на свете.
К сожалению, оказалось, что разработка Google не так хорошо защищена, как многие думали.
Компьютерная программа впервые в истории прошла знаменитый тест Тьюринга на человечность. http://t.co/qVHBE4302t pic.twitter.
com/61bSutoih4
— События дня (@GazetaRu) June 9, 2014
com/61bSutoih4Специалисты по безопасности из Колумбийского университета недавно обнаружили несколько уязвимостей в технологии reCAPTCHA, которые позволяют хакерам обойти ограничения и инициировать крупномасштабные атаки на сайты.
Исследователи утверждают, что им удалось создать систему, которая успешно решает задачи капчи в 70% случаев, причем в среднем у нее на это уходит около 19 секунд. Для Facebook этот показатель даже выше — успешными были 83,5% попыток, — видимо, потому, что Facebook использует для теста картинки с более высоким разрешением.
Суперкомпьютер, прошедший тест Тьюринга, оказался блефом http://t.co/PzMRGaQ2Sk #habr
— Хабрахабр (@habrahabr) June 12, 2014
Для создания этой системы использовались методы машинного обучения. Обход reCAPTCHA происходил следующим образом: вначале программа получала файлы cookie и имитировала поведение живого человека. Она путешествовала по разным открытым сайтам с произвольными интервалами, соблюдала суточный режим посещения Интернета и всячески притворялась обычным пользователем. Делалось это неспроста: в логике Google прописано, что, если пользователь похож на робота, ему нужно предложить решить задачку посложнее.
Продемонстрировав «примерное поведение», программа запрашивала доступ, например, для комментирования, смотрела на капчу и отправлялась искать картинки из нее с помощью обратного поиска Google Images. Того, который на вход получает картинки, а на выходе выдает слова.
Забавно, что система для поиска изображений от Google помогла сломать стандарт reCAPTCHA, сделанный той же Google. Текстовые описания к картинкам очень сильно облегчили программе задачу. Кроме того, часто встречающиеся картинки специалисты Колумбийского университета внесли в программу вручную.
Тем не менее эта программа может работать и без Интернета.
«Наша полностью офлайновая система обхода капчи работает быстро и точно. Она сравнима с профессиональными решениями». — Исследователи особенно гордятся простотой и эффективностью своей разработки.
Прежде чем опубликовать результаты работы, специалисты Колумбийского университета связались с Google и Facebook и сообщили обеим компаниям о найденных уязвимостях. По их словам, Google быстро отреагировала, попытавшись усовершенствовать reCAPTCHA, в то время как Facebook пока не приняла никаких мер.
Best captcha I’ve seen for a while. pic.twitter.com/tVvbwjmTLC
— Siddharth Vadgama (@siddvee) April 12, 2016
Исследователи считают, что хакеры готовы платить по $2 за 1000 решенных задачек капчи, так что программка легко могла бы зарабатывать им $100 в день. А если бы они запустили сразу много атак одновременно или применили другие, дополнительные технологии, то ежедневная прибыль была бы еще больше. Поскольку злоумышленники за воздух не платят, вы вполне можете представить масштабы потенциального бедствия.
Очевидно, что в мире кибербезопасности есть еще много нерешенных проблем, но такие исследования помогают многим компаниям, включая Google, занять более активную позицию и пересмотреть меры безопасности. Google уже заинтересовалась возможностью сделать свою защиту надежнее, и хочется верить, что и другие сайты не проигнорируют это исследование.
Вы робот? Представляем «Без CAPTCHA reCAPTCHA»
Но мы решили, что было бы проще напрямую спросить наших пользователей, являются ли они роботами — и мы это сделали! Мы начали развертывание нового API, который радикально упрощает работу с reCAPTCHA. Мы называем это «Без CAPTCHA reCAPTCHA», и вот как это выглядит:На веб-сайтах, использующих этот новый API, значительное количество пользователей смогут безопасно и легко подтвердить, что они люди, без необходимости вводить CAPTCHA.Вместо этого всего одним щелчком они подтвердят, что они не робот.
Краткая история CAPTCHA
Хотя новый API reCAPTCHA может показаться простым, за этим скромным флажком скрывается высокая степень сложности. CAPTCHA долгое время полагались на неспособность роботов решать искаженный текст. Однако наше недавнее исследование показало, что сегодняшняя технология искусственного интеллекта может решить даже самый сложный вариант искаженного текста с точностью 99,8%.Таким образом, искаженный текст сам по себе больше не является надежным тестом.
Чтобы противостоять этому, в прошлом году мы разработали серверную часть расширенного анализа рисков для reCAPTCHA, которая активно учитывает все взаимодействие пользователя с CAPTCHA — до, во время и после — чтобы определить, является ли этот пользователь человеком. Это позволяет нам меньше полагаться на набор искаженного текста и, в свою очередь, предлагает лучший опыт для пользователей. Мы говорили об этом в нашем посте ко Дню святого Валентина ранее в этом году.
Новый API — это следующий шаг в этой устойчивой эволюции.Теперь люди могут просто поставить галочку, и в большинстве случаев они справятся с задачей.
Вы, , уверены, , что вы не робот?
Однако CAPTCHA пока не исчезнет. В случаях, когда механизм анализа рисков не может с уверенностью предсказать, является ли пользователь человеком или злоумышленником, он предложит CAPTCHA выявить больше сигналов, увеличивая количество контрольных точек безопасности, чтобы подтвердить, что пользователь действителен.
Этот новый API также позволяет нам экспериментировать с новыми типами задач, которые нам, людям, проще использовать, особенно на мобильных устройствах.В приведенном ниже примере вы можете увидеть CAPTCHA, основанную на классической проблеме компьютерного зрения для маркировки изображений. В этой версии задачи CAPTCHA вас просят выбрать все изображения, которые соответствуют подсказке.
Нажимать на фотографии кошек или индеек намного проще, чем утомительно набирать строку искаженного текста на телефоне.
Внедрение нового API на вашем сайте
По мере того, как все больше веб-сайтов внедряют новый API, все больше людей увидят сообщение «Нет CAPTCHA reCAPTCHA».Ранние пользователи, такие как Snapchat, WordPress, Humble Bundle и некоторые другие, уже видят отличные результаты с этим новым API. Например, за последнюю неделю более 60% трафика WordPress и более 80% трафика Humble Bundle на reCAPTCHA столкнулись с проблемой No CAPTCHA — пользователи попадали на эти сайты быстрее. Чтобы принять новую reCAPTCHA на своем веб-сайте, посетите наш сайт, чтобы узнать больше.
Люди, мы продолжим нашу работу, чтобы сделать Интернет безопасным и простым в использовании. Оскорбительные боты и скрипты, будет только хуже — извините, мы (все еще) не сожалеем.
Автор: Винай Шет, менеджер по продукту, reCAPTCHA reCAPTCHA защищает ваши любимые веб-сайты от спама и злоупотреблений. Итак, когда вы выходите в Интернет — скажем, для совершения покупок в последний момент на празднике — вы не будете конкурировать с роботами и вредоносными скриптами за доступ к сайтам. В течение многих лет мы просили пользователей подтвердить, что они не роботы, прося их прочитать искаженный текст и ввести его в поле, например:
На веб-сайтах, использующих этот новый API, значительное количество пользователей смогут безопасно и легко подтвердить, что они люди, без необходимости вводить CAPTCHA. Вместо этого всего одним щелчком они подтвердят, что они не робот.
Краткая история CAPTCHA
Хотя новый API reCAPTCHA может показаться простым, за этим скромным флажком скрывается высокая степень сложности.
CAPTCHA долгое время полагались на неспособность роботов решать искаженный текст. Однако наше недавнее исследование показало, что сегодняшняя технология искусственного интеллекта может решить даже самый сложный вариант искаженного текста с точностью 99,8%. Таким образом, искаженный текст сам по себе больше не является надежным тестом.
Чтобы противостоять этому, в прошлом году мы разработали серверную часть расширенного анализа рисков для reCAPTCHA, которая активно учитывает все взаимодействие пользователя с CAPTCHA — до, во время и после — чтобы определить, является ли этот пользователь человеком.Это позволяет нам меньше полагаться на набор искаженного текста и, в свою очередь, предлагает лучший опыт для пользователей. Мы говорили об этом в нашем посте ко Дню святого Валентина ранее в этом году.
Новый API — это следующий шаг в этой устойчивой эволюции. Теперь люди могут просто поставить галочку, и в большинстве случаев они справятся с задачей.
Вы, , уверены, , что вы не робот?
Однако CAPTCHA пока не исчезнет. В случаях, когда механизм анализа рисков не может с уверенностью предсказать, является ли пользователь человеком или злоумышленником, он предложит CAPTCHA выявить больше сигналов, увеличивая количество контрольных точек безопасности, чтобы подтвердить, что пользователь действителен.
Этот новый API также позволяет нам экспериментировать с новыми типами задач, которые нам, людям, проще использовать, особенно на мобильных устройствах. В приведенном ниже примере вы можете увидеть CAPTCHA, основанную на классической проблеме компьютерного зрения для маркировки изображений. В этой версии задачи CAPTCHA вас просят выбрать все изображения, которые соответствуют подсказке. Нажимать на фотографии кошек или индеек намного проще, чем утомительно набирать строку искаженного текста на телефоне.
Внедрение нового API на вашем сайте
По мере того, как все больше веб-сайтов внедряют новый API, все больше людей увидят сообщение «No CAPTCHA reCAPTCHA».
Ранние пользователи, такие как Snapchat, WordPress, Humble Bundle и некоторые другие, уже видят отличные результаты с этим новым API. Например, за последнюю неделю более 60% трафика WordPress и более 80% трафика Humble Bundle на reCAPTCHA столкнулись с проблемой No CAPTCHA — пользователи попадали на эти сайты быстрее. Чтобы принять новую reCAPTCHA на своем веб-сайте, посетите наш сайт, чтобы узнать больше.Люди, мы продолжим нашу работу, чтобы сделать Интернет безопасным и простым в использовании. Оскорбительные боты и скрипты, будет только хуже — извините, мы (все еще) не сожалеем.
python — Как интегрировать Captcha (Recaptcha) для WTForms в CherryPy
Мой ответ в основном относится к частям вопроса CherryPy и reCaptcha. На мой взгляд, использование WTForms и других подобных библиотек приводит к проблеме проектирования, когда, говоря в терминах MVC-подобного дизайна, вы разбрасываете представление и контроллер в свой собственный код и код / конфигурацию WTForms.Все просто, когда вы управляете чем-то одним в одном месте. Таким образом, я предлагаю использовать механизм шаблонов, такой как Jinja2, для представления (вы можете создать макрос для повторяющегося элемента формы) и использовать библиотеку проверки ввода, например, voluptuous в контроллере (вы можете использовать ту же схему для проверки формы и API).
Если вы не можете избежать WTForms, просто возьмите validateRecaptcha и превратите его в настраиваемый валидатор WTForms.
#! / Usr / bin / env python
# - * - кодировка: utf-8 - * -
импортировать urllib
импортировать json
импортная вишня
импорт сладострастный как volu
config = {
'Глобальный' : {
'сервер.socket_host ':' 127.0.0.1 ',
'server.socket_port': 8080,
'server.thread_pool': 8
},
'/': {
'recaptcha': {
# По умолчанию все ключи работают на localhost
'siteKey': '6LeYIbsSAAAAACRPIllxA7wvXjIE411PfdB2gt2J',
'secret': '6LeYIbsSAAAAAJezaIq3Ft_hSTo0YtyeFG-JgRtu'
}
}
}
def validateRecaptcha (значение):
'' 'https://developers. google.com/recaptcha/docs/verify' ''
если 'g-recaptcha-response' отсутствует в cherrypy.request.params:
Raise volu.Invalid ('Ответ Recaptcha отсутствует')
полезная нагрузка = urllib.urlencode ({
'секрет': cherrypy.request.config ['recaptcha'] ['секрет'],
'remoteip': cherrypy.request.headers ['удаленный-адрес'],
'ответ': cherrypy.request.params ['g-recaptcha-response']
})
url = 'https://www.google.com/recaptcha/api/siteverify'
response = json.load (urllib.urlopen (URL, полезная нагрузка))
если нет ответа ['успех']:
cherrypy.log (str (ответ))
поднять volu.Invalid (ответ ['коды ошибок'])
класс App:
@ cherrypy.expose
def index (self, ** kwargs):
form = dict (form = {'значение': ''}, errors = '')
если вишневый.request.method == 'POST':
schema = volu.Schema ({
'значение': volu.All (unicode, volu.Length (min = 8, max = 16)),
'g-recaptcha-response': validateRecaptcha,
}, обязательно = True, extra = True)
пытаться:
kwargs = схема (kwargs)
кроме volu.MultipleInvalid, как например:
form = dict (form = kwargs, errors = {e.path [0] для e в ex.errors})
еще:
поднять cherrypy.HTTPRedirect ('# успех')
return '' '
демонстрация reCAPTCHA
'' '.формат (cherrypy.request.config ['recaptcha'] ['siteKey'], ** форма)
если __name__ == '__main__':
cherrypy.quickstart (приложение (), '/', конфигурация)
google.com/recaptcha/docs/verify' ''
если 'g-recaptcha-response' отсутствует в cherrypy.request.params:
Raise volu.Invalid ('Ответ Recaptcha отсутствует')
полезная нагрузка = urllib.urlencode ({
'секрет': cherrypy.request.config ['recaptcha'] ['секрет'],
'remoteip': cherrypy.request.headers ['удаленный-адрес'],
'ответ': cherrypy.request.params ['g-recaptcha-response']
})
url = 'https://www.google.com/recaptcha/api/siteverify'
response = json.load (urllib.urlopen (URL, полезная нагрузка))
если нет ответа ['успех']:
cherrypy.log (str (ответ))
поднять volu.Invalid (ответ ['коды ошибок'])
класс App:
@ cherrypy.expose
def index (self, ** kwargs):
form = dict (form = {'значение': ''}, errors = '')
если вишневый.request.method == 'POST':
schema = volu.Schema ({
'значение': volu.All (unicode, volu.Length (min = 8, max = 16)),
'g-recaptcha-response': validateRecaptcha,
}, обязательно = True, extra = True)
пытаться:
kwargs = схема (kwargs)
кроме volu.MultipleInvalid, как например:
form = dict (form = kwargs, errors = {e.path [0] для e в ex.errors})
еще:
поднять cherrypy.HTTPRedirect ('# успех')
return '' '
Captcha против reCaptcha, в чем их разница?
Согласно исследованию Imperva, вредоносные боты берут на себя ответственность за 23% всего веб-трафика. Они пробуют множество способов атаковать ваши веб-сайты, используя просочившиеся попытки ввода паролей, устаревшее программное обеспечение или плагины. Эти хакеры стремятся удалить все ваши страницы и сообщения, добавить токсичный контент и даже украсть данные важных клиентов.
Вредоносные боты и спам заставили всех разработчиков срочно найти эффективное решение для их предотвращения. WordPress поддерживает более 30% всех веб-сайтов. Если у вас есть сайт, работающий на этой CMS, вы, вероятно, являетесь постоянной мишенью. Но не волнуйтесь, вы можете применить различные методы, чтобы отделить людей от ботов и избежать повреждений.
Помимо 2FA (двухфакторной аутентификации) или установки сертификата SSL, владельцы сайтов оспаривают эффективность Captcha и reCAPTCHA.Но когда использовать капчу, а когда добавлять ReCaptcha?
Чтобы ответить на эти вопросы, давайте быстро определим Captcha и reCAPTCHA и сравним их различия, чтобы вы могли принять собственное решение.
Краткое описание Captcha и reCAPTCHA
Что такое капча?
Captcha — это проверочный тест на людях, требующий от пользователей решения головоломок. После выполнения действия на веб-сайте, такого как вход в систему или отправка комментария, пользователи должны идентифицировать себя.Их попросят ввести последовательность букв или цифр, решить простую математическую задачу и щелкнуть изображения автомобилей, гор или пожарных гидрантов.
Фактически, компьютер проходил тест правильно в 99,8% случаев, а люди — только в 33%. Вот почему Google предлагает reCAPTCHA, чтобы более эффективно отделять пользователей от ботов.
Что такое reCAPTCHA?
Размещенная в Google, reCAPTCHA показывает, насколько вероятно, что пользователь будет человеком или программой, и в то же время помогает в проекте оцифровки книг.
У нас есть 2 версии reCAPTCHA, в которых пользователям предлагается ввести несколько слов или цифр с изображения или установить флажок «Я не робот». Если боты не пройдут тест или попытаются получить доступ без идентификации, они будут заблокированы от взаимодействия с вашим сайтом.
Различия между Captcha и reCAPTCHA
Как Captcha, так и reCAPTCHA помогают владельцам сайтов остановить атаки злонамеренных ботов на ваши сайты. Однако есть еще вариации, которые отличают этот инструмент от других.
В следующей таблице сравниваются несколько основных характеристик этих двух идентификаторов ботов:
| Описание | Captcha | reCaptcha |
| Пазлы разные | ✓ | ✓ |
| Скрыть капчу от определенных пользователей | ✓ | ✓ |
| Изменить размер | × | ✓ |
| Установить лимит времени подачи | ✓ | × |
| Параметр обновления | ✓ | ✓ |
| Совместимость с контактной формой 7 | ✓ | ✓ |
| Совместимость с BuddyPress | ✓ | ✓ |
| Совместимость с WooCommerce | ✓ | ✓ |
Типы Captcha и reCAPTCHA
Разработанная в начале 2000-х годов в Университете Карнеги-Меллона, капча бывает разных типов.Помимо простых головоломок, таких как решение математических задач или задач со словами, вы также можете использовать другие чрезвычайно сложные типы капчи. Настоятельно рекомендуется разрешить только социальный вход, приманку и биометрию.
Вот несколько примеров капчи:
или
Как уже упоминалось, в настоящее время существует 2 основных типа reCaptcha: reCAPTCHA V2 и reCAPTCHA V3. ReCAPTCHA v1 не работает с марта 2018 года.
Версия 2 включает 3 различных варианта, включая флажок «Я не робот», невидимый значок reCAPTCHA и reCAPTCHA Android.
Флажок «Я не робот» отображается как простейший вариант, требующий для отображения всего 2 строк HTML.
Невидимая reCAPTCHA не заставляет пользователей решать головоломки или ставить галочки в клетках. Вместо этого они идентифицируются непосредственно при нажатии кнопки на вашем сайте. Среди этих кликов только самым подозрительным пользователям будет предложено решить капчу.
Являясь частью API SafetyNet сервисов Google Play, reCAPTCHA V2 Android разрешает вам интегрироваться в приложение.Вам необходимо настроить сервисы Google Play в своем приложении и подключиться к GoogleApiClient, чтобы пользователи немедленно проходили через них.
reCAPTCHA V3 позволяет вам проверить законность действия без какого-либо взаимодействия с пользователем. Использование JavaScript API для получения оценки позволяет вам потребовать дополнительные факторы аутентификации или отправить сообщение на модерацию.
Размеры
Хотя капча отображается только одного размера, вы можете изменить дизайн Google noCAPTCHA reCAPTCHA в соответствии с темами или формами вашего сайта.В частности, весь контент сайта будет выглядеть более адаптивным к мобильным устройствам. Вы можете сделать это, используя множество бесплатных плагинов, доступных в репозитории WordPress.
Вы можете не только настроить размер reCAPTCHA, но и настроить его внешний вид. Просто добавьте этот код на свою главную HTML-страницу перед элементом