Капча рекапча: Разница между CAPTCHA и reCAPTCHA

Я пытаюсь добавить капчу в контактную форму в Мезонине , используя mezzanine-captcha . Однако я получаю исключение no such table: captcha_captchastore . Ясно, что я что-то упускаю в базе данных, но…

Я столкнулся с проблемой регистрации пользователей на моем сайте Joomla. Я также установил K2. Это в основном Captcha recaptcha, которая создает проблему, и я не могу ее исправить. Я включил плагин…

Я пытаюсь реализовать reCAPTCHA в контроллере контактной формы в Laravel 4. Я видел метод Validator::extend , но не могу выполнить пользовательскую проверку. Вот мой текущий код: class…

Я внедрил Google ReCaptcha на свой сайт, но я получаю раздражающую цифру/букву Captcha, я не хочу, чтобы мои клиенты имели с ними дело. Я видел на многих сайтах другую рекапчу от Google, где вам…

Я пытаюсь устранить неполадки в форме с помощью Google recaptcha версии 1.0 — когда форма отправляется, g-recaptcha-response заполняется, что означает, что Google счастлив, что это реальный человек,…

Надеюсь, что кто-то мог бы help..i получить виджет, чтобы показать для No captcha recaptcha, и я нашел код в интернете, который я пытаюсь использовать, потому что я не так хорош с php, но он,…

Привет, я только что добавил Google No CAPTCHA reCAPTCHA на свой сайт, и у меня возникла небольшая проблема. Он не помещается на моем мобильном сайте, и это проблема HUGE. Я перепробовал все,…

Я хочу добавить ReCaptcha версию 2 из Google в ZfcUser RegisterForm. Я сделал так, как упоминалось в Zend Framework 2: Как правильно заменить Фиглет с reCaptcha на zfcUser, и он отлично работает….

1С-Битрикс — Google reCAPTCHA | продвинутая капча

Мы ценим ваше время и просим взаимности. Поэтому существуют 3 простых, но ключевых правила обращения в техподдержку.

1. Создайте обращение в системе поддержки клиентов адресу:http://redsign.ru/support/

2. Если вопросов несколько – пронумеруйте их. Мы ответим на каждый из них по пунктам.

3. Для устранения проблем всегда нужен доступ к управлению сайтом. Для этого предоставьте:

— Административный доступ на сайт (адрес сайта, логин, пароль)

— FTP аккаунт с правами на чтение/запись всех папок и файлов сайта (особенно папки Bitrix).
хост:
логин:
пароль:

Если мы не сможем зайти к вам на сайт, то, скорее всего, не сможем помочь.
Режим работы техподдержки: с 9:00 — 17:00 с Пн по Пт.

КАК РАБОТАЕТ ТЕХПОДДЕРЖКА

Все обращения по технической части при входе делятся на 2 вида.
1. Обращение, составленное по правилам.
2. Обращение, составленное не по правилам.

Правила достаточно простые, но мы просим их соблюдать, т.к., например, отнимает огромное количество времени пролистывание истории переписки с инициатором и попытка найти рабочий пароль к сайту.

Поэтому если сообщение не соответствует требованиям, об этом инициатор получает уведомление, и ему придется опять ждать своей очереди. Это часто вызывает недовольство. Но таковы правила: мы ценим ваше время и просим взаимности.

В среднем в день мы успеваем принять к исполнению весь круг обращений за предыдущий день. Над увеличением скорости мы постоянно работаем.

==>

Далее, если обращение составлено по правилам, то оно может быть отнесено к следующим группам:

1. Обращение содержит вопрос по НЕтиповому функционалу 1С-Битрикс, реализованному в решении, и:

А) на него есть ответ в документации. Ответ поддержки: пожалуйста, внимательно изучите документацию, вопрос раскрыт в ней.

Б) Если нет ответа в документации, вы получаете на свой вопрос ответ, а в документацию добавится новая информация.

2. Обращение содержит вопрос по типовому функционалу 1С-Битрикс.Ответ поддержки: «Рекомендуем обратиться с вопросом напрямую к 1С-Битрикс или получить ответ из официальной документации».

Нужно здесь отметить, что приобретение решения предполагает наличие знаний платформы 1С-Битрикс, а также предполагает самостоятельную работу пользователя с использованием документации, которая, кстати, очень неплохо проработана. Кроме того, купив лицензию 1С-Битркс, вы полноправно можете рассчитывать на техническую поддержку создателя платформы.

3. В решении зафиксирован баг. Он будет исправлен в ближайшем обновлении сразу у всех пользователей.

4. Обращения, требующие коммерческой поддержки, выглядят следующим образом:

А) Вы все прочитали, изучили документацию, но ничего не поняли.

Б) У вас есть планы по доработке и настройке решения под ваши нужды.

В) Вы не хотите тратить свое время на изучение документации.

Ответ на обращение будет представлять собой предложение воспользоваться коммерческой поддержкой.

Есть еще некоторые группы обращений, которые представляют собой различный вариации указанных групп. Но основной принцип работы ТП таков.

Мы очень надеемся на ваше понимание и будем принимать все возможные шаги по совершенствованию нашей службы поддержки.

Скрытая капча reCAPTCHA (версии 2 и 3) от Google

Технические данные

Дата публикации:

04.06.2019

Дата обновления:

21.04.2021

Адаптивность:

Нет

Поддержка композита:

Нет

Число установок:

100 — 499 раз

Совместимые редакции

Описание

При этом вам достаточно просто установить модуль на сайт, а все необходимые подмены на всех страницах вашего сайта модуль сделает полностью самостоятельно. Везде, где используется капча Битрикса автоматически появится reCAPTCHA Google

Мы поддерживаем три варианта reCAPTCHA:

Версия 2: флажок «Я не робот»
В этом режиме пользователю достаточно просто поставить флажок в форме и всё — никаких вводов букв или цифр.

Версия 2: невидимый значок reCAPTCHA
В этом режиме капча вовсе не показывается пользователю, но при этом она продолжает работать и на основе поведения пользователя проверяет, что это не робот, а настоящий живой человек.

Версия 3: выполнять проверку запросов с учётом оценок
Аналогично предыдущему варианту, система вообще не беспокоит пользователя, но даёт внутреннюю оценку тому, является ли посетитель ботом или человеком.

2. Перейдите в панель управления Битрикса, раздел Настройки → Настройки продукта → Настройки модулей → Скрытая капча reCAPTCHA»

3. На странице настроек выберите вариант reCAPTCHA, который вам подходит.

4. Зайдите на страницу https://www.google.com/recaptcha/admin/, зарегистрируйте ваш сайт и получите строчки «публичный ключ» и «секретный ключ». Эти строки впишите на странице настроек модуля в соответствующие поля.

5. Включите модуль с помощью флажка на странице настроек модуля.

Как использовать капчу — reCAPTCHA в Joomla 3

Captcha (капча) — очень актуальная на сегодняшний день вещь. Если ваш сайт содержит любые контактные формы, будь то регистрация, отправка запроса, предоставление доступа к каким-либо функциям, то капча будет для вас хорошим способом защититься от различного рода ботов. 

reCAPTCHA — плагин для Joomla 3, который помогает вам повысить защиту сайта с помощью специальной формы, которая запрещает автоматизированный доступ к вашему сайту с помощью простых заданий на логику и математику. Решить данные задачки сможет абсолютно любой человек.

В данной статье мы расскажем, как включить, настроить и использовать капчу reCAPTCHA в Joomla 3.

Шаг первый — включить reCAPTCHA

Для начала откройте панель управления сайтом и откройте Расширения > Менеджер плагинов.

Найдите плагин CAPTCHA — reCAPTCHA, включите его и откройте. 

Также вы можете сделать также, как на приведенном скриншоте.

Шаг второй — настроить reCAPTCHA

Для того, чтобы капча работала, конечно же, необходимо ее настроить и получить ключ для вашего сайта.

Рекомендуем вам выбрать версию reCAPTCHA 2.0, поскольку версия 1.0 уже не поддерживается и работает только со старыми ключами.

После выбора версии необходимо получить приватный и публичный ключи доступа. Сделать это можно по данной ссылке. 

В открывшейся странице нажмите в правом верхнем углу Get Captcha (см. скриншот ниже). Войдите под своим аккаунтом Google или зарегистрируйтесь.

После этого — зарегистрируйте свой сайт — введите название сайта и его url. 

И после всех данных действий вы получите желанные ключи, Секретный и Публичный, которые нужно добавить в настройки плагина reCAPTCHA.

После ввода ключей вы также можете выбрать стиль капчи сайта, либо светлый (Light), либо темный (Dark).

Сохраните изменения.

Шаг третий — общие настройки

Теперь перейдите на вкладку Система > Общие настройки. 

На данной вкладке найдите пункт CAPTCHA (по умолчанию)*. По умолчанию в нем стоит значение «Не выбрано ни одного». Кликните и выберите пункт CAPTCHA-reCAPTCHA и сохраните изменения. 

Поздравляем, теперь на вашем Joomla сайте есть рабочая, красивая и современная капча!

Что такое капча? В чем разница между ReCaptcha v1, v2 и v3? — TECHNODOR

Captcha (или полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей) — это тест, предназначенный для различения людей и машин. Вначале Captcha использовала случайно сгенерированный текст в виде искаженного изображения, чтобы различать людей и машин. В то время это была серьезная проблема для компьютеров, которая не позволяла ботам оставлять спам-комментарии на веб-сайтах или создавать спам-адреса электронной почты.

Благодаря эффективности теста популярность Captcha выросла, и миллионы людей во всем мире решали Captcha для создания электронных писем или доступа к необходимому контенту. По словам доктора фон Ана, в 2006 году люди ежедневно решали 200 миллионов капч.

Recaptcha: Captcha для цифровой эпохи

Recaptcha работала, показывая своим пользователям пару слов, оба из которых были из книги, оцифрованной. Одно из показанных пользователю слов может быть понято компьютером с помощью программного обеспечения оптического распознавания символов (OCR). Напротив, другое слово не может быть идентифицировано с помощью того же самого. Слово, которое может быть идентифицировано с помощью OCR, известно как контрольное слово и используется для проверки правильности ответа на неопознанное слово и проверки того, что человек является человеком.

Компьютер предполагает, что если пользователь правильно определяет контрольное слово, то и другое слово также является правильным и что пользователь — человек. После этого компьютер сохраняет ответ на неизвестное слово в базе данных. Эта база данных может иметь разные результаты и известна как пул проверки. Неизвестное слово с разными контрольными словами показывается разным пользователям, и результаты сравниваются с ответами в пуле проверки. Слово с наибольшим количеством совпадений помещается в проверенный пул, а слово, которое не удалось идентифицировать с помощью OCR, теперь проверяется с помощью Recaptcha.

Это было отличным нововведением, и в 2009 году Google купил Recaptcha. Он использовал Recaptcha для архивирования книг в архивах книг Google. Она также использовался Google для улучшения просмотра улиц Google, помогая картам Google эффективно отображать адреса в Картах Google.

Все это было здорово, но с развитием искусственного интеллекта и алгоритмов глубокого обучения компьютеры догоняли людей, и они могли разгадывать капчи с большой эффективностью. Фактически, данные из Captcha использовались для обучения сверхточных нейронных сетей с точностью 99,8%. Это было проблемой, потому что компьютеры могли решать капчи с текстовыми изображениями, и требовалось что-то новое.

Recaptcha V2: проще для людей, но не для ботов

Кажется странным, правда? Раньше вам приходилось идентифицировать текст с линиями и плохим фоном, а теперь все, что вам нужно сделать, это установить флажок, и вы не будете считаться роботом. Это связано с тем, что, когда вы устанавливаете флажок, Google использует предварительный анализ рисков на основе вашей активности в Интернете, чтобы определить, являетесь ли вы ботом или нет.

Recaptcha V2 также поставляется с невидимой версией, в которой пользователю не нужно устанавливать флажок, вместо этого скрипт Recaptcha запускается при нажатии кнопки на веб-сайте.

Если Google считает, что пользователь не является ботом, он перенаправляет пользователя на следующую страницу, в противном случае пользователю показывается проблема классификации изображений, которая очень сложна для ботов. Опять же, если пользователь решает проблему, он перенаправляется на следующую страницу.

Хотя Recaptcha V2 был лучше, чем Recaptcha, конечному пользователю это доставляло некоторые неудобства. Если по какой-то причине анализ рисков Google решил, что вы бот, вам нужно было найти светофор в наборе изображений или т.п.

Идеальна ли Recaptcha V3?

Каждый раз, когда этот скрипт запускается, он генерирует оценку для пользователя на веб-сайте веб-мастеров на основе поведения каждого пользователя. Этот показатель варьируется от 0,0 до 1,0, причем верхний предел диапазона (1.0) соответствует активности человека, а нижний предел (0,0) — бот.

Увидев действие на странице, веб-мастер может решить, что нужно сделать с этим действием. Веб-мастер может запросить у пользователя двухфакторную проверку или любую другую форму идентификации, чтобы пропустить суеверные действия или полностью заблокировать такую ​​активность.

Для создания этой оценки Google использует адаптивный анализ рисков и, благодаря адаптивному характеру алгоритма, изучает, как люди взаимодействуют с конкретным веб-сайтом, и соответственно присваивает оценки. Из-за этого ботам сложно имитировать людей.

При этом Recaptcha v3 небезупречна, и ее можно обойти с помощью обучения.

Используя демонстрационный веб-сайт, на котором запущен скрипт Recaptcha, вы можете увидеть свои оценки, которые генерирует скрипт. Если вы откроете сайт в обычном веб-браузере, в который вошла ваша учетная запись Google, вы получите высокий балл 0,9. С другой стороны, если вы используете VPN вместе с браузером, в котором нет вашей учетной записи Google, ваша оценка может снизиться до 0,3. Это показывает, что алгоритм может быть смещен в сторону пользователей, которые используют VPN или блокировщики рекламы для повышения конфиденциальности, давая им более низкий балл.

Google сообщил Fastcompany, что сценарий также отправляет «информацию об оборудовании и программном обеспечении, включая данные об устройствах и приложениях, обратно в Google для анализа, и что служба используется только для борьбы со спамом и злоупотреблениями».

Хотя Google утверждает, что данные, собранные с помощью Recaptcha, не используются для рекламы, он по-прежнему собирает данные от своих пользователей с помощью скриптов, работающих на заднем плане веб-сайтов.

Глядя на Recaptcha V3, можно сказать, что это палка о двух концах. Google много работал над улучшением обнаружения ботов в Интернете, создавая беспроблемный опыт для пользователей, но он собирает данные и вторгается в конфиденциальность пользователей, чтобы обеспечить такой опыт.

Я не робот: 10 альтернатив reCAPTCHA

К маю 2020 года свыше 5 миллионов вебсайтов установили виджет reCAPTCHA, а более 1 миллиона из них используют последнюю невидимую версию — reCAPTCHA v3. Этот инструмент защищает веб-сервисы от интернет-ботов, но не всегда устраивает владельцев и пользователей.

Главные минусы reCAPTCHA — проблемы с конфиденциальностью данных, дизайн виджета, который редко сочетается со стилем сайта, и привлечение пользователей к обучению нейросетей. И даже после выхода Invisible reCAPTCHA, которая работает в невидимом для пользователей режиме, вопросы конфиденциальности остаются открытыми.

Правда, виджеты с поисками светофоров, мостов и гидрантов вряд ли скоро забудутся: они давно стали героями мемов. А Matthew Rayfield, о проектах которого мы уже рассказывали, даже сделал игру про капчу:

dang…

CAPTCHAs are really getting out of hand…. 😤

🌻 https://t.co/n9kdGWlwk4 pic.twitter.com/fHpMuuosWW

— Matthew Rayfield (@MatthewRayfield) May 20, 2020

Итак, чем можно заменить reCAPTCHA?

Другие капчи

Вы всё ещё не застрахованы от сбора информации о вас и вашем девайсе, но выглядят эти виджеты для многих приятнее и решать такие капчи зачастую проще. Вот несколько примеров.

MTCaptcha

«Умный и красивый способ остановить ботов» — заявляют разработчики. И это действительно так. Вы можете подобрать капчу с таким дизайном, который не будет выбиваться из общего стиля. Но во всех вариантах виджет MTCaptcha лаконичный и удобочитаемый:

Как и в случае с reCAPTCHA v3, есть невидимая версия. На главной странице можно ознакомиться со сравнением характеристик MTCaptcha и reCAPTCHA.

Capy

Если хочется чего-нибудь более интересного, подойдёт Capy. Эта лаконичная по своему дизайну капча предлагает пользователю переместить недостающий фрагмент пазла так, чтобы получилась цельная картинка:

Своя капча

Даже самая грубая самописная капча позволит защититься от большинства спам-ботов. Дело в том, что боты настроены на те капчи, которые уже умеют обходить. Если ваша капча уникальна, кому-то придётся постараться, чтобы написать индивидуальный алгоритм обхода. Не то чтобы это было сложно, но если злоумышленник не ставит своей целью заспамить именно ваш сайт — он, скорее всего, плюнет на эту затею.

Допустим, вы продаёте майки. Покажите пригоршню иконок и попросите пользователя кликнуть по синей майке. Для защиты от простого перебора можно генерировать задания случайным образом, добавлять процедурно генерируемые иконки, etc.

Самое приятное то, что капчу можно сделать тематической. Когда сайт с майками просит выбирать майки, а сайт с котами — котов, это смотрится куда лучше приевшихся светофоров. Да и о нарушении конфиденциальности можно забыть.

Разумеется, правильные ответы не должны храниться на стороне клиента.

CMS плагины

Вы можете воспользоваться готовыми плагинами различных CMS, не прибегая к reCAPTCHA. Мы выбрали несколько наиболее популярных.

Really Simple CAPTCHA

Лаконичный виджет, который установило свыше 800 000 пользователей WordPress:

Однако создатели Really Simple CAPTCHA предупреждают, что название плагина говорит само за себя: он очень прост, в том числе и для ботов. Надёжен только в тандеме с другими инструментами безопасности.

Hidden CAPTCHA

Вариант скрытой капчи в виде плагина для Drupal:

Около 8000 пользователей Drupal установили Hidden CAPTCHA.

OSOLCaptcha

OSOLCaptcha — это простенький вариант для тех, чей сайт на Joomla!: блокирует ботов, нормально смотрится и легко читается:

Solve Media

Вас интересует дополнительная монетизация ресурса? Тогда выбирайте Solve Media — капчу, которая объединила баннерную рекламу и антиспам-сервис в одном виджете:

А вот стандартный вариант без рекламы:

Работает на большинстве популярных CMS, среди которых vBulletin, WordPress, MediaWiki, Drupal, Joomla!, MyBB и другие.

Другие инструменты защиты от ботов

Honeypot-ловушки

Добавьте на сайт одно или несколько скрытых полей. Живой пользователь их не видит и не может заполнить, так что если они заполнены — перед нами бот. Для усиления защиты этот метод можно комбинировать с другими.

Форма ввода на JavaScript

Большинство спам-ботов примитивны. Чаще всего они даже не пытаются выполнять JS-скрипты, поэтому создание простой формы ввода на JS их отсечёт. Но метод не сработает, если у вас много пользователей с отключённым JavaScript. В таком случае нужно либо вообще отказаться от этого способа, либо параллельно использовать что-то ещё.

Двухфакторная аутентификация

А вот ещё одна альтернатива reCAPTCHA. Подтверждение по email или SMS решит проблему со спамом на 100%. Однако запрос такого подтверждения при каждом посещении сайта или действии на нём утомляет. Используйте двухфакторную аутентификацию точечно, например только при регистрации или авторизации пользователя.

Заключение

Любое из этих решений защищает от спам-ботов не хуже reCAPTCHA, но при этом лишено её недостатков. Попробуйте протестировать их в своих проектах — возможно, они понравятся вам больше решения от Google.

Также хорошим тоном будет обеспечить пользователям конфиденциальность с помощью DNT-функции (Do Not Track), которая позволит им отключать отслеживание в браузере. Для её использования достаточно собрать весь отслеживающий код в одном месте и обернуть в проверку:

if(!navigator.doNotTrack){
   // Google Analytics и прочая слежка
}

***

Для чего придумали CAPTCHA

Данный термин начал использоваться еще в далеком 2000 году. Русскоязычный сегмент рынка использует русский вариант транскрипции – капча. Капча представляет собой тест, с помощью которого отфильтровываются боты. Вся суть капчи в том, что для живого человека выполнение теста не составит никаких проблем, в то время как компьютер пока что не научился выполнять подобные задачи. В большинстве случаев CAPTCHA находит применение в случае необходимости предотвращения автоматически созданных аккаунтов, размещения спам-сообщений на различных площадках.

 

Виды CAPTCHA

Сегодня представлено достаточно большое количество разновидностей капч:

Графическая.Пользователь, чтобы пройти тест, должен указать цифры, буквы и прочие символы, которые демонстрируются на искаженной картинке (делается это специально для того, чтобы усложнить задачу боту).

Звуковая.Заключается в распознавании текста, что звучит на аудио. Предназначен также для тех пользователей, которые имеют проблемы со зрением. Логическая капча. Предлагает исключить лишнее из предлагаемых слов или картинок.

Образная.Пользователь должен распознавать определенные образы.

Видео.Фон с символами двигаются.

 

Важность защиты от ботов

Чтобы сайт развивался и продвигался, оптимизаторам необходимо принимать целый пакет дополнительных мер, с помощью которых исключается возможность распознавания капч ботами.

1. Устранить уязвимости. Это можно сделать, используя скрипты.
2. Исключение возможности перебора. Бот может просто начать угадывать. Если в задаче имеется десять картинок, то есть 1024 варианта, один из которых окажется верным.
3. Исключить автоматическое распознавание. Сегодня созданы несколько сервисов, с помощью которых удается определить капчу. Если картинка не слишком сложная в графическом плане, то в большинстве случаев эти сервисы смогут распознать, что именно написано на капче.

 

Дополнительные методы обхода капчи

Роботы могут использовать повторный идентификатор пользовательской сессии; Восстановление необходимых символов на основе данных, имеющихся на странице; Сбор базы данных под различные варианты капч с помощью генераторов чисел и прочего.

 

 

Как работает CAPTCHA?

Классические CAPTCHA, которые до сих пор используются на некоторых веб-ресурсах, включают просьбу пользователей идентифицировать буквы. Буквы искажены, поэтому боты вряд ли смогут их идентифицировать. Чтобы пройти тест, пользователи должны интерпретировать искаженный текст, ввести правильные буквы в поле формы и отправить форму. Если буквы не совпадают, пользователям предлагается повторить попытку. Такие тесты распространены в формах входа в систему, формах регистрации учетной записи, онлайн-опросах и страницах оформления заказа в электронной коммерции.

Идея состоит в том, что компьютерная программа, такая как бот, не сможет интерпретировать искаженные буквы, в то время как человек, который привык видеть и интерпретировать буквы в самых разных контекстах — с разными шрифтами, разными почерками и т. Д. — обычно будет уметь их идентифицировать.

Лучшее, что могут сделать многие боты, — это ввести несколько случайных букв, что делает статистически маловероятным их прохождение теста. Таким образом, боты не проходят тест и не могут взаимодействовать с веб-сайтом или приложением, в то время как люди могут продолжать использовать его как обычно.

Продвинутые боты могут использовать машинное обучение для определения этих искаженных букв, поэтому такие тесты CAPTCHA заменяются более сложными. Google reCAPTCHA разработал ряд других тестов для отделения пользователей-людей от ботов.

 

Что такое reCAPTCHA?

reCAPTCHA — это бесплатная услуга, которую Google предлагает вместо традиционных CAPTCHA. Технология reCAPTCHA была разработана исследователями из Университета Карнеги-Меллона, а затем приобретена Google в 2009 году.

reCAPTCHA более продвинутый, чем типичные тесты CAPTCHA. Как и CAPTCHA, некоторые reCAPTCHA требуют, чтобы пользователи вводили изображения текста, которые компьютеры не могут расшифровать. В отличие от обычных CAPTCHA, reCAPTCHA получает текст из реальных изображений: изображения уличных адресов, текст из печатных книг, текст из старых газет и так далее.

Со временем Google расширил функциональность тестов reCAPTCHA, так что им больше не нужно полагаться на старый стиль определения размытого или искаженного текста. Другие типы тестов reCAPTCHA включают:

• Распознавание изображений
• Флажок
• Общая оценка поведения пользователя (без взаимодействия с пользователем)

 

Как работает тест reCAPTCHA с распознаванием изображений?

Для теста reCAPTCHA распознавания изображений пользователям обычно предоставляются 9 или 16 квадратных изображений. Все изображения могут принадлежать к одному и тому же большому изображению, или каждое может быть различным. Пользователь должен идентифицировать изображения, содержащие определенные объекты, такие как животные, деревья или уличные знаки. Если их ответ совпадает с ответами большинства других пользователей, представивших тот же тест, ответ считается «правильным», и пользователь проходит тест.

 

Выделение определенных объектов на размытых фотографиях — трудная задача для компьютера. Даже продвинутые программы искусственного интеллекта (AI) борются с этим — так что бот тоже будет бороться с этим. Однако человек-пользователь должен уметь делать это довольно легко, поскольку люди привыкли воспринимать повседневные объекты во всех контекстах и ​​ситуациях.

 

Как работают тесты reCAPTCHA с одним флажком?

Некоторые тесты reCAPTCHA просто предлагают пользователю установить флажок рядом с утверждением «Я не робот». Однако проверка — это не фактическое действие по установке флажка — это все, что приводит к установке флажка.

Этот тест reCAPTCHA учитывает движение курсора пользователя по мере приближения к флажку. Даже самое прямое движение человека имеет некоторую степень случайности на микроскопическом уровне: крошечные бессознательные движения, которые боты не могут легко имитировать. Если движение курсора содержит в себе часть этой непредсказуемости, тогда тест решает, что пользователь, вероятно, легитимен. ReCAPTCHA также может оценивать файлы cookie, хранящиеся браузером на пользовательском устройстве, и историю устройства, чтобы определить, может ли пользователь быть ботом.

Если тест по-прежнему не может определить, является ли пользователь человеком, он может представлять дополнительную проблему, такую ​​как тест распознавания изображения, описанный выше. Однако в большинстве случаев движения курсора пользователя, файлы cookie и история устройства достаточно убедительны.

 

Что позволяет работаеть reCAPTCHA без взаимодействия с пользователем?

Последние версии reCAPTCHA способны комплексно взглянуть на поведение пользователя и историю взаимодействия с контентом в Интернете. В большинстве случаев программа может решить, основываясь на этих факторах, является ли пользователь ботом, не предлагая пользователю выполнить задачу. Если нет, то пользователь получит типичный запрос reCAPTCHA.

 

Что инициирует запуск теста CAPTCHA?

Некоторые веб-ресурсы просто автоматически имеют CAPTCHA в качестве упреждающей защиты от ботов. В других случаях тест может запускаться, если поведение пользователя кажется похожим на поведение бота: например, если пользователи запрашивают веб-страницы или щелкают гиперссылки с гораздо большей частотой, чем в среднем.

 

Достаточно ли CAPTCHA и reCAPTCHA для остановки вредоносных ботов?

Некоторые боты могут обходить текстовые CAPTCHA самостоятельно. Исследователи продемонстрировали способы написать программу, которая также превосходит CAPTCHA распознавания изображений. Кроме того, злоумышленники могут использовать фермы кликов, чтобы пройти тесты: тысячи низкооплачиваемых работников решают CAPTCHA от имени ботов.

Кроме капчи, там должны быть и другие стратегии в месте для остановки нежелательных ботов (например, контент очищающих ботов , верительных начинку ботов , или спам — ботов).

 

Каковы недостатки использования CAPTCHA или reCAPTCHA для остановки ботов?

Плохое взаимодействие с пользователем: тест CAPTCHA может прервать поток того, что пользователи пытаются сделать, что даст им негативное представление о своем опыте использования веб-ресурса и в некоторых случаях приведет к тому, что они вообще откажутся от веб-страницы.

Не подходит для людей с ослабленным зрением: проблема с CAPTCHA заключается в том, что они полагаются на визуальное восприятие. Это делает их практически невозможными не только для слепых людей, но и для тех, у кого серьезно ослаблено зрение.

Боты могут обмануть эти тесты: как описано выше, CAPTCHA не полностью защищена от ботов, и на них нельзя полагаться при управлении ботами.

 

Есть ли альтернативы использованию CAPTCHA или reCAPTCHA?

Решения для управления ботами, такие как Cloudflare Bot Management, могут определять плохих ботов, не влияя на взаимодействие с пользователем, в зависимости от поведения бота. Таким образом, ботов можно уменьшить, не заставляя пользователей заполнять CAPTCHA.

 

Как CAPTCHA и reCAPTCHA связаны с проектами искусственного интеллекта (AI)?

Поскольку миллионы пользователей идентифицируют трудночитаемый текст и выделяют объекты на размытых изображениях, эти данные передаются в компьютерные программы AI, чтобы они также лучше справлялись с этими задачами.

В общем, компьютерные программы борются с идентификацией предметов и букв в разных контекстах, потому что в реальном мире контекст может меняться почти бесконечно. Например, знак «стоп» представляет собой красный восьмиугольник с белыми буквами «СТОП». Компьютерная программа могла довольно легко определить такое сочетание формы и слова. Однако знак остановки на фотографии может сильно отличаться от этого простого описания в зависимости от контекста: ракурса фотографии, освещения, погоды и т. Д.

Благодаря машинному обучению программы ИИ могут лучше преодолевать эти ограничения. В примере со знаком остановки программист должен передать программе ИИ кучу данных о том, что является знаком остановки, а что нет. Чтобы это было эффективно, им нужно множество примеров изображений со знаками остановки и изображений без знаков остановки, и им нужно, чтобы пользователи-люди идентифицировали их до тех пор, пока программа не соберет достаточно данных, чтобы быть эффективными.

Выбор типа reCAPTCHA | Разработчики Google

Выбор типа reCAPTCHA Существует четыре типа reCAPTCHA на выбор при создании нового сайта.

reCAPTCHA v3

reCAPTCHA v3 позволяет проверить, является ли взаимодействие законным, без какого-либо взаимодействия с пользователем. Это чистый JavaScript API, возвращающий оценку, дающую вам возможность действовать в контексте вашего сайта: например, требовать дополнительных факторов аутентификации, отправлять сообщение на модерацию или регулировать ботов, которые могут очищать контент.

reCAPTCHA v2 (флажок «Я не робот»)

Флажок «Я не робот» требует, чтобы пользователь установил флажок, указывающий, что пользователь не робот. Это либо сразу передаст пользователя (без CAPTCHA), либо попросит его подтвердить, являются ли они людьми. Это самый простой вариант интеграции, требующий всего двух строк HTML для отображения флажка.

reCAPTCHA v2 (Невидимый значок reCAPTCHA)

Невидимый значок reCAPTCHA не требует, чтобы пользователь нажимал на флажок, вместо этого он вызывается непосредственно, когда пользователь нажимает на существующую кнопку на вашем сайте, или может быть вызван через вызов JavaScript API.Для интеграции требуется обратный вызов JavaScript после завершения проверки reCAPTCHA. По умолчанию только самый подозрительный трафик будет предлагать разгадывать капчу. Чтобы изменить это поведение, отредактируйте настройки безопасности вашего сайта в расширенных настройках.

reCAPTCHA v2 (Android)

Библиотека reCAPTCHA Android является частью API-интерфейсов SafetyNet сервисов Google Play. Эта библиотека предоставляет собственные API-интерфейсы Android, которые можно интегрировать непосредственно в приложение. Вы должны настроить сервисы Google Play в своем приложении и подключиться к GoogleApiClient перед вызовом reCAPTCHA API.Это либо пропустит пользователя немедленно (без запроса CAPTCHA), либо попросит его подтвердить, являются ли они людьми.

reCAPTCHA v1 — Завершение работы

reCAPTCHA v1 был отключен с марта 2018 года. Используйте вариант выше.

Переход с reCAPTCHA на hCaptcha

Недавно мы перевели поставщика CAPTCHA, который мы используем, с reCAPTCHA Google на службу, предоставляемую независимой hCaptcha. Мы рады этому изменению, потому что оно помогает решить проблему конфиденциальности, связанную с использованием службы Google, которая у нас есть в течение некоторого времени, а также дает нам больше гибкости для настройки показываемых CAPTCHA.Поскольку это изменение потенциально повлияет на всех клиентов Cloudflare, мы хотели более подробно рассмотреть его обоснование.

CAPTCHA в Cloudflare

Одна из услуг Cloudflare — это способ блокировать вредоносный автоматизированный («бот») трафик. Для этого мы используем ряд методов. Когда мы уверены, что что-то является вредоносной деятельностью бота, мы полностью блокируем это. Когда мы уверены, что это хороший человеческий трафик (или хороший бот, например, поисковик), мы пропускаем его.Но иногда, когда мы не уверены на 100%, является ли что-то вредоносным или хорошим, мы бросаем ему «вызов».

У нас есть разные типы задач, некоторые полностью автоматические, но одна требует вмешательства человека. Эти проблемы известны как CAPTCHA. Это аббревиатура от полностью автоматизированного общедоступного теста Тьюринга для различения компьютеров и людей (несколько Т отбрасываются, иначе это будет CAPTTTCHA). Это подсказки для ввода волнистых букв в поле, обозначения светофора или пешеходных переходов.Как правило, они должны быть чем-то, что легко сделать людям, но сложно для машин.

С первых дней существования Cloudflare мы использовали сервис Google reCAPTCHA. ReCAPTCHA стартовал как исследовательский проект Университета Карнеги-Меллона в 2007 году. Google приобрел проект в 2009 году, примерно в то же время, когда Cloudflare только начинала свою деятельность. Google предоставил reCAPTCHA бесплатно в обмен на данные из сервиса, который используется для обучения его систем визуальной идентификации. Когда мы искали CAPTCHA для Cloudflare, мы выбрали reCAPTCHA, потому что она была эффективной, могла масштабироваться и предлагалась бесплатно, что было важно, поскольку многие клиенты Cloudflare пользуются нашим бесплатным сервисом.

Проблемы конфиденциальности и блокировки

С тех пор некоторые клиенты выражали озабоченность по поводу использования службы Google для обслуживания CAPTCHA. Бизнес Google нацелен на пользователей с помощью рекламы. Cloudflare — нет. У нас есть строгие обязательства в отношении конфиденциальности. Мы смогли освоиться с Политикой конфиденциальности в отношении reCAPTCHA, но поняли, почему некоторые из наших клиентов были обеспокоены тем, что нужно передавать больше данных в Google.

У нас также были проблемы в некоторых регионах, например в Китае, где службы Google периодически блокируются.Только на Китай приходится 25 процентов всех пользователей Интернета. Учитывая, что некоторые из них не могли получить доступ к клиентам Cloudflare, если они запускали CAPTCHA, нас всегда беспокоило.

На протяжении многих лет проблем с конфиденциальностью и блокировкой было достаточно, чтобы заставить нас задуматься о переходе с reCAPTCHA. Но, как и большинству технологических компаний, было сложно определить приоритетность удаления чего-то, что в основном работало, вместо совершенно новых функций и функций для наших клиентов.

Google’s Changing Business Model

Ранее в этом году Google сообщил нам, что они собираются начать взимать плату за reCAPTCHA.Это полностью их право. Cloudflare, учитывая наш объем, несомненно, потребовала значительных затрат на сервис reCAPTCHA даже для Google.

Опять же, это вполне рационально для Google. Если стоимость обучения классификации изображений не превышает этих затрат, для Google имеет смысл запросить оплату за предоставляемую услугу. В нашем случае это увеличило бы ежегодные расходы на миллионы долларов только для того, чтобы продолжать использовать reCAPTCHA для наших бесплатных пользователей. В конце концов, это стало достаточным стимулом для поиска лучшей альтернативы.

A Better CAPTCHA

Мы оценили ряд поставщиков CAPTCHA, а также сами создали систему. В конце концов, hCaptcha стала лучшей альтернативой reCAPTCHA. Нам понравилось несколько вещей в решениях hCaptcha: 1) они не продают личные данные; они собирают только минимально необходимые личные данные, они прозрачны в описании собираемой информации и того, как они ее используют и / или раскрывают, и они согласились использовать такие данные только для предоставления сервиса hCaptcha для Cloudflare; 2) производительность (как по скорости, так и по скорости решения) оказалась такой же или лучше, чем ожидалось во время нашего A / B-тестирования; 3) у него есть надежное решение для слабовидящих и других пользователей с проблемами доступности; 4) он поддерживает Privacy Pass, чтобы уменьшить частоту CAPTCHA; 5) работал в регионах, где Google был заблокирован; и 6) команда hCaptcha была шустрой и отзывчивой, что доставляло удовольствие.

Стандартная бизнес-модель hCaptcha была похожа на то, как начиналась reCAPTCHA. Они планировали взимать плату с клиентов, которым нужны данные классификации изображений, и платить издателям за установку их CAPTCHA на своих сайтах. Для нас это звучало здорово, но, к сожалению, хотя это может хорошо работать для большинства издателей, это не в масштабе Cloudflare.

Мы работали с hCaptcha двумя способами. Во-первых, мы находимся в процессе использования нашей платформы Workers, чтобы нести большую часть технической нагрузки CAPTCHA и тем самым снизить их затраты.И, во-вторых, мы предложили, чтобы мы платили им, а не нам. Это гарантировало, что у них были ресурсы для масштабирования своих услуг в соответствии с нашими потребностями. Хотя это повлекло за собой некоторые дополнительные расходы, эти затраты были лишь малой частью того, что было бы у reCAPTCHA. А взамен у нас есть гораздо более гибкая платформа CAPTCHA и гораздо более отзывчивая команда.

Когда клиенты обслуживают CAPTCHA?

Когда мы впервые начали работать над этим проектом, предполагалось, что Cloudflare Bot Management и Firewall Rules будут самым крупным потребителем CAPTCHA.Это было в некоторой степени правильно. Хотя брандмауэры и боты были потребителями №1, они обслуживали лишь немногим более 50% наших CAPTCHA.

Это разбивка случаев, когда клиенты Cloudflare просили нас обслуживать CAPTCHA в их зонах, по общему количеству обслуженных CAPTCHA.

Источник
Правила брандмауэра и ботов	54,8%
IP-брандмауэр	18,6%
Уровень безопасности	16.8%
DDoS	6,3%
Ограничение скорости	1,7%
Правила WAF	1,5%
Другое	0,3%

Наши правила брандмауэра и ботов находятся наверху и являются большинством CAPTCHA, обслуживаемых Cloudflare. Это правила, написанные нашими клиентами, которые специально выбрасывают CAPTCHA при совпадении с правилом. Примеры этого включают запуск Captcha, если оценка управления ботами ниже порогового значения, при котором, по вашему мнению, соединение является автоматическим, но оценка выше порогового значения, в котором вы не уверены.Еще одно распространенное правило в этом сегменте — CAPTCHA 100% всего трафика за сайтом или определенной конечной точкой. Клиенты могут делать это для ограничения подключений к источнику или для того, чтобы замедлить автоматические системы от выполнения таких действий, как ввод учетных данных на странице входа в систему или загрязнение регистрационных данных. Это приводит к тому, что некоторые сайты в Cloudflare обслуживают сотни миллионов CAPTCHA в день.

Второй по популярности — наш IP Firewall. Это похоже на правила брандмауэра и ботов, но гораздо менее детализировано на уровне IP, ASN или страны.Большинство CAPTCHA для этой категории выполняется для правил, написанных на уровне ASN или на уровне страны. Предположительно, наши клиенты испытывают некоторый уровень недоверия к конкретному ASN (например, почему предполагается, что пользовательский трафик идет от поставщика облачной инфраструктуры?) Или подвергаются атакам из определенных стран.

Далее следуют уровни безопасности. Уровни безопасности имеют два различных варианта использования: 1) в качестве грубого инструмента для определения репутации IP-адреса и 2) я нахожусь в режиме атаки. Хотя мы рекомендуем клиентам использовать режим I’m Under Attack Mode только при активной атаке отказа в обслуживании, некоторые клиенты оставляют эту функцию включенной 100% времени в качестве элементарной формы ограничения скорости и фильтрации.

Последнее основное использование CAPTCHA — через одну из наших автоматизированных систем: недавно наша группа инженеров по защите от отказа в обслуживании научила Gatebot использовать CAPTCHA для смягчения небольших наводнений в определенных сценариях. Gatebot теперь может писать временные правила, в результате которых CAPTCHA будут показаны злоумышленникам.

Наконец, были также некоторые клиенты, выбравшие его в качестве действия переопределения для своих наборов правил ограничения скорости или управляемого WAF.

Мы также изучили, какие типы клиентов обслуживают CAPTCHA.В течение недели (нормализация для атак) наши бесплатные клиенты настроили свои зоны для обслуживания примерно 40-60% от общего количества CAPTCHA, обслуживаемых Cloudflare. Среди наших платежеспособных клиентов, как правило, наблюдается равномерное распределение между нашими корпоративными клиентами и корпоративными клиентами. В целом, мы измерили, что Cloudflare будет показывать несколько миллионов CAPTCHA в секунду, когда один или несколько наших клиентов находятся под атакой.

Устранение проблем

Всякий раз, когда мы меняем какую-либо часть системы Cloudflare, это значительно улучшает положение одних и временно ухудшает положение других.Мы и команда hCaptcha стремимся решать любые возникающие проблемы. Если вы или ваши пользователи обнаружите проблемы с новой реализацией hCaptcha, напишите об этом на форуме или откройте заявку в службу поддержки с как можно более подробной информацией.

По возможности включайте RayID, который обычно отображается в нижнем колонтитуле страницы CAPTCHA, чтобы мы могли отследить, что пошло не так.

Со временем мы считаем, что визуальные (и звуковые) CAPTCHA являются несовершенным ответом на ряд сложных проблем.Cloudflare продолжает работу, чтобы минимизировать и, надеюсь, в конечном итоге полностью исключить количество выпускаемых CAPTCHA, и мы будем рады поделиться результатами этой работы в этом блоге по мере продвижения. Название нашей внутренней чат-комнаты для команды, вносящей это изменение, — это не Новая CAPTCHA, это (Нет) CAPTCHA.

Как это можно обойти?

Если вы в последние годы проводили какое-то время в Интернете, вам нужно было поставить галочку, чтобы сказать миру: «Я не робот.Эта маленькая коробочка неизменно сопровождалась небольшим визуальным или звуковым тестом, называемым CAPTCHA.

Вы должны пройти тест CAPTCHA, чтобы доказать, что вы «не робот», прежде чем вы сможете получить доступ к какой-либо части веб-сайта. Обычно это происходит в тот момент, когда вам нужно заполнить форму для регистрации, подписки или совершения покупки на веб-сайте или в приложении.

Для многих пользователей это была раздражающая и отнимающая много времени необходимость в Интернете, часто заставляющая их задаваться вопросом, как избежать CAPTCHA.Однако для компаний, использующих их, инструменты CAPTCHA были обнадеживающей мерой безопасности. Это вселило в них уверенность в том, что люди, заходящие на их веб-сайт, являются настоящими посетителями, а не мошенниками. Но есть одна проблема: они не всегда работают.

В этой статье мы подробно рассмотрим, что такое CAPTCHA, как их можно легко обойти или как они неэффективны и что вы можете сделать вместо этого, чтобы по-настоящему защитить себя от мошенников.

Содержание:

Что такое капча?

Когда Интернет начал набирать обороты в 90-х, недобросовестные действия в Интернете последовали за ним.CAPTCHA были созданы в ответ на это как способ отличить настоящих пользователей от плохих ботов, просто сканирующих веб-сайты для совершения некоторой формы мошенничества.

Само название CAPTCHA объясняет эту цель, что означает «полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей», при этом тест Тьюринга создан для того, чтобы различать человеческий интеллект и интеллект машины.

Эти ранние CAPTCHA имели форму текста, измененного каким-то образом, чтобы роботы не могли его читать.Хотя изначально они были очень успешными, быстрое развитие вычислений означало, что боты могли читать то, что говорилось в тексте.

На самом деле, довольно скоро боты настолько научились обходить CAPTCHA, что к 2014 году Google обнаружил, что их программу reCAPTCHA (развитие исходных CAPTCHA) могут обходить боты в 99% случаев.

Хотите узнать больше о ботах? Загрузите электронную книгу Bots 101!

Что такое reCAPTCHA?

reCAPTCHA — это система проверки человеком, разработанная в 2007 году и приобретенная Google в 2009 году.Первоначально инструмент был разработан для помощи в оцифровке книг, которые нельзя было сканировать с помощью компьютеров. После активации для проверки пользователей reCAPTCHA отображала два разных искаженных слова с проходящими через них линиями (по сравнению со случайными последовательностями букв и цифр CAPTCHA).

К 2012 году в проект начали включать изображения из Google Street View. К настоящему времени вы почти наверняка потратили приличное количество времени, щелкая все изображения со светофором, чтобы доказать, что вы не бот.И вы, вероятно, тоже провалили некоторые из этих тестов! Как отмечает Baymard Institute : «Только 66% пользователей во время нашего качественного тестирования юзабилити успешно вошли в CAPTCHA с первой попытки».

Было еще несколько итераций reCAPTCHA, включая noCAPTCHA reCAPTCHA (где пользователям с низким уровнем риска нужно было только установить флажок с надписью «Я не робот») и reCAPTCHA v3.

О reCAPTCHA v3

В 2018 году Google представил reCAPTCHA v3, последнюю версию инструмента.Даже если вы невероятно опытный пользователь Интернета, есть большая вероятность, что вы почесываете подбородок и задаетесь вопросом, сталкивались ли вы раньше с reCAPTCHA v3.

С reCAPTCHA v3 вам не нужно расшифровывать искаженные слова, вам не нужно щелкать поля, чтобы указать, что вы знаете, как выглядит машина, и вам даже не нужно нажимать «Я не робот» ». Это связано с тем, что reCAPTCHA v3 существует в основном в фоновом режиме, полностью невидимым для обычного пользователя.

Таким образом, reCAPTCHA v3 помогает компаниям обнаруживать ботов, якобы улучшая взаимодействие с пользователем, но взамен это нарушает конфиденциальность пользователей.

Вот как это работает : Google анализирует поведение пользователей при навигации по веб-сайту и оценивает это поведение, чтобы определить, насколько «рискованным» является пользователь, т.е. насколько вероятно, что сеанс на самом деле является ботом, а не человеком.

Хотя reCAPTCHA v3 может помочь веб-сайтам обнаруживать ботов, она подходит только для этого случая использования. Если вы хотите защитить свой веб-сайт от мошенничества с рекламой, вам нужно сделать больше, чем просто положиться на эту услугу. Основываясь на данных о производительности клиентов, тщательно созданное вредоносное ПО и человеческое мошенничество преодолеют reCAPTCHA v3 и будут иметь высокий процент ложных срабатываний при неправильной маркировке реальных людей как мошенников.

Недостатки CAPTCHA

Какими бы полезными ни были CAPTCHA в прошлом, важно понимать, что у них есть свои недостатки. Эти инструменты оставляют желать лучшего как методы предотвращения мошенничества с рекламой. Некоторые ключевые проблемы с CAPTCHA и reCAPTCHA включают:

CAPTCHA вредят пользователю

Представьте, что вы переходите на веб-сайт продавца, чтобы завершить транзакцию электронной торговли. Вы только что узнали о новом продукте и хотите купить его как можно скорее.Когда вы начинаете процесс оформления заказа, вы сталкиваетесь с CAPTCHA. Что еще хуже, вы провалите тест. Повлияет ли такой опыт на то, чтобы вы с большей или меньшей вероятностью совершили покупку?

Если тест CAPTCHA выполнен некачественно, он может быть провален несколько раз. Например, если есть требование «выбрать все ящики с пожарным гидрантом», и все это один большой пожарный гидрант с кончиком части на нескольких пикселях на одном ящике, следует ли нажимать на него или нет?

Это может сильно расстраивать пользователей, что влияет на их вовлеченность и конверсию.

CAPTCHA может тратить время клиентов

В последних новостях было показано, что CAPTCHA отнимают у пользователей дополнительное время. Например, запуск консоли PS5 и Xbox Series X натолкнул покупателей на ботов, которыми владеют и управляют скальперы на сайтах розничных продавцов.

Когда человек сталкивается с тестом CAPTCHA, ему приходится тратить драгоценные секунды, глядя на него и отвечая. Бот может обойти проверку, действуя как шкипер CAPTCHA и переходя практически непосредственно к покупке за миллисекунды.Результат? Бот покупает десятки консолей, и к моменту завершения теста человек получает сообщение об ошибке «нет в наличии».

Смертельный коэффициент конверсии

В совокупности неудивительно, что раздражающие впечатления и большее время, необходимое для выполнения действий, приводят к снижению коэффициента конверсии с помощью CAPTCHA на 40%. Стоит отметить, что CAPTCHA не просто помешает вам привлечь больше потенциальных клиентов или продать больше продуктов в этот момент. Поскольку потребители, скорее всего, перестанут поддерживать бренды после неудачного опыта, они вполне могут помешать вам наращивать продажи и в будущем.

Обход CAPTCHA слишком прост с современными ботами

Если причинения вреда пользовательскому опыту было недостаточно, чтобы заставить вас задуматься об отказе от CAPTCHA, вот еще кое-что, что следует учитывать: благодаря развитию технологий искусственный интеллект (ИИ) дошел до того уровня, когда современный «бот CAPTCHA» или «Блокировка инструмента reCAPTCHA» может с легкостью обойти проверку, полностью лишив их цели.

Поскольку CAPTCHA не предлагает никакой поддержки или аналитики, вы не можете точно определить, откуда исходит мошенничество.Даже если ваши CAPTCHA каким-то образом не позволят ботам обойти их, вам все равно придется иметь дело с вредоносным ПО и человеческим мошенничеством.

К сожалению, несмотря на попытки опередить злонамеренных пользователей в цифровой рекламе, простой поиск в Google предоставит вам множество сайтов, которые точно расскажут, как обойти даже самые сложные тесты.

Кроме того, эти тесты часто настолько сложны или плохо сделаны, что пользователи искренне злятся, имея дело с ними, создавая далеко не идеальную картину CAPTCHA.В лучшем случае это приводит к кислому привкусу во рту из-за пользовательского опыта. В худшем случае они вообще покидают сайт.

Даже когда дело доходит до reCAPTCHA v3, мошенникам невероятно легко набрать высокий балл, используя тщательно созданный бот CAPTCHA или используя фермы мошенничества людей. Эти изощренные мошенники могут легко обходить CAPTCHA, с которыми они сталкиваются.

Возлагая ответственность на владельца веб-сайта, вы остаетесь с людьми, решающими, какой трафик, вероятно, должен попадать на их сайты.С учетом всего этого вероятность ложных срабатываний высока. Наиболее часто используемые CAPTCHA сегодня не должны использоваться в качестве окончательного решения для блокировки мошеннического трафика.

Что вы можете сделать с обходом CAPTCHA?

К счастью, существуют способы блокировать мошеннический трафик, которые лучше позволяют выявлять злонамеренных ботов, вредоносное ПО и человеческое мошенничество, которые не портят пользовательский опыт и не оставляют принятие решений в ваших руках.

Использование биометрии

С помощью биометрии можно проверить, что пользователи — настоящие люди, а не боты.Например, вы можете попросить людей со смартфонами подтвердить свою личность по отпечатку пальца. Есть и другие виды биометрии, которые следует учитывать, включая набор биометрических данных, распознавание речи и распознавание лиц.

Однако в зависимости от вашего варианта использования биометрия может быть не лучшим вариантом. С одной стороны, такие системы, как правило, довольно дороги. С другой стороны, не так много потребителей хотят отдавать свои биометрические данные, например, компании, которая продает носки.

Многофакторная аутентификация

Вы также можете реализовать метод многофакторной аутентификации (MFA), чтобы убедиться, что реальные люди получают доступ к вашим системам.Например, вы можете попросить кого-то войти в свою учетную запись, а затем отправить ему текстовое сообщение с одноразовым паролем, который он должен ввести на вашем веб-сайте, чтобы перейти к следующему шагу.

Хотя этот метод может быть полезен в безопасных средах, таких как банковские и брокерские бухгалтерские приложения, он, вероятно, создаст слишком много неудобств для пользователей средней компании.

Решения для борьбы с рекламным мошенничеством

Решение для борьбы с рекламным мошенничеством, такое как Anura, позволяет вам остановить ботов, а также защитить вас от вредоносных программ и мошенничества со стороны людей.Решение находится полностью на заднем плане вашего веб-сайта и никак не влияет на взаимодействие с пользователем.

Есть вопросы об обнаружении мошенничества с рекламой? Получите электронную книгу со всей необходимой информацией!

Anura точно обнаруживает мошенничество с помощью надежного, оптимизированного решения, которое практически не дает ложных срабатываний. Обретите душевное спокойствие, зная, что вы никогда не блокируете реальных посетителей. Этот окончательный и точный подход дает вам свободу вести свой бизнес, не беспокоясь о мошеннических посетителях.

С Anura вы можете продавать больше, привлекать больше потенциальных клиентов и оптимизировать свои кампании, не зная, что ваши данные точны и что мошенники не воспользовались вами. Это самый простой способ остановить трафик ботов, а также несколько других видов мошенничества с рекламой, не нанося ущерба пользовательскому интерфейсу.

Запросите пробную версию или свяжитесь с нами, чтобы узнать больше.

эффективная защита от ботов? [Обновление 2021 года]

Почему reCaptcha не является решением для управления ботами

Хотя reCaptcha v2 и v3 могут помочь ограничить трафик ботов, обе версии имеют несколько проблем:

1. Взаимодействие с пользователем: пользователи-люди ненавидят проблемы распознавания изображений / звука
2. Фермы Captcha и достижения в области искусственного интеллекта позволяют киберпреступникам обходить reCaptcha
3. Определение правильных пороговых значений для оценок пользователей v3 — очень сложная задача
4. Невозможно отслеживать ложные срабатывания и отрицательные результаты
5. Продвинутые боты могут их обойти.

Суть в том, что ни версия 2, ни версия 3 не могут заменить надлежащее решение для управления ботами.

Альтернатива reCaptcha, которая действительно останавливает ботов

Решение для защиты ботов DataDome SaaS предлагает альтернативу reCaptcha, которая действительно работает для сайтов электронной коммерции и тематических объявлений. Вот как мы решаем каждую из вышеупомянутых проблем.

Взаимодействие с пользователем

Как и reCaptcha v3, DataDome прозрачен для пользователей-людей. Нет никаких проблем, которые нужно решать.Но в отличие от версии 3, DataDome использует широкий спектр методов, чтобы отличить ботов от людей: поведенческий анализ, снятие отпечатков пальцев с устройств, репутация IP и многое другое. Все эти подходы невидимы для пользователей.

На самом деле клиенты DataDome часто сообщают, что удобство работы пользователей улучшилось. Для некоторых клиентов боты могут составлять 40% их трафика. Это сильно сказалось на нагрузке на их серверы и, как следствие, на производительности их веб-сайтов. Активация DataDome вместо reCaptcha значительно улучшила скорость загрузки и удобство работы пользователей, поскольку боты больше не загружали свои серверы.

Ферма Captcha и обнаружение AI

DataDome действительно использует Captcha в качестве цикла обратной связи, чтобы позволить заблокированным пользователям-людям продолжить навигацию. Тем не менее, мы не считаем решенную CAPTCHA неоспоримым доказательством. Мы разработали разные подходы, чтобы гарантировать, что Captcha решаются реальными людьми, а не фермами Captcha или нейронными сетями. Каждый день мы аннулируем тысячи поддельных ответов Captcha.

Блокирующие и разрешающие пороги

Если вы ищете альтернативу reCaptcha, которая работает на автопилоте, DataDome поможет вам.После того, как вы установили наш серверный модуль и мобильный SDK и занесли в белый список ботов ваших партнеров, вам не нужно добавлять какую-либо другую логику или пороговые значения обнаружения. Наша продвинутая система обнаружения заботится о том, чтобы определить, являются ли ваши посетители людьми или нет, поэтому вам не придется выполнять сложные упражнения.

В отличие от reCaptcha v3, DataDome также распознает хороших ботов, таких как менее популярные боты поисковых систем, агрегаторы контента и боты SEO. Это означает, что вам не нужно беспокоиться о том, что что-то забудете или сделаете ошибку и случайно снизите свой рейтинг в SEO.

Конечно, если вы хотите, DataDome дает вам возможность добавить настраиваемую логику обнаружения или занести в белый список часть вашего трафика на основе таких критериев, как IP-адрес, страна, пользовательский агент и т. Д.

Петли обратной связи

Благодаря нашему усовершенствованному механизму обнаружения, DataDome (в отличие от reCaptcha v3) имеет чрезвычайно низкий уровень ложных срабатываний: менее 0,01%. То есть из 10 000 обслуженных Captcha человек видит менее одного. В тех редких случаях, когда это происходит, наш цикл обратной связи в реальном времени передает информацию в наш механизм обнаружения менее чем за 2 мс, чтобы гарантировать, что мы не заблокируем людей жестко.

Чтобы справиться с ложноотрицательными результатами (пропускать ботов), механизм обнаружения DataDome постоянно изучает новые паттерны ботов с помощью ИИ. Он также использует плохой трафик, обнаруженный на одном веб-сайте, для защиты других веб-сайтов. Но мы также держим людей в курсе: наша команда аналитиков данных часто проверяет трафик, чтобы не пропустить ни одного бота.

DataDome также поставляется с интуитивно понятной панелью управления, которая позволяет отслеживать основные показатели трафика, такие как объем и характер неверных запросов ботов, количество обслуживаемых Captcha и т. Д.Если вы хотите изучить свой трафик более подробно, вы можете сделать это с помощью реального языка запросов, который можно использовать для изучения широкого диапазона параметров, таких как IP-адрес, страна, тип заблокированных ботов и т. Д.

Обнаружение продвинутых ботов

Каждый день DataDome встречает новых продвинутых ботов. Наш механизм обнаружения использует поведенческое обнаружение ИИ, расширенное сканирование отпечатков пальцев и репутацию IP, чтобы быть уверенным, что мы обнаруживаем даже самых хитрых ботов. В отличие от других решений для управления ботами, которые анализируют запросы в пакетном режиме, DataDome анализирует каждый запрос менее чем за 2 мс, чтобы определить, исходит ли он от бота или человека.

Обсуждаемый выше бот, получивший оценку пользователя 0,9 с помощью reCaptcha v3, будет немедленно обнаружен с помощью DataDome. Наш модуль снятия отпечатков пальцев может обнаруживать продвинутых ботов, которые используют резидентные IP-прокси, подделывают свой отпечаток пальца или используют настоящие браузеры и браузеры без головы, автоматизированные с помощью модифицированного Puppeteer. То же самое касается продвинутых ботов Playwright или модифицированных ботов Selenium, даже если они модифицируют двоичный файл Chromedriver. По единственной просьбе мы их останавливаем.

В заключение

Хотя reCaptcha v2 и v3 могут помочь заблокировать некоторый трафик ботов, они имеют множество проблем.Они ухудшают взаимодействие с пользователем, их можно обойти с помощью ферм Captcha или искусственного интеллекта, они не имеют реальных механизмов обратной связи, могут приводить к ложным срабатываниям и отрицательным результатам и не обнаруживают продвинутых ботов.

Ни одна из версий reCaptcha не должна рассматриваться как подходящее решение для управления ботами.

Хотите узнать, какой тип бот-трафика присутствует на вашем сайте? Вы можете протестировать свой сайт сегодня. (Это просто и бесплатно.)

Login No Captcha reCAPTCHA — плагин WordPress

Добавляет флажок Google No Captcha ReCaptcha на страницы входа в WordPress и Woocommerce, забытый пароль и страницы регистрации пользователей.Запрещает доступ к автоматизированным сценариям, упрощая для людей вход в систему, установив флажок. Как говорит Google, это «жестко для ботов, проще для людей».

• Экран параметров конфигурации
• Экран входа в систему после настройки

Устанавливайте плагины WordPress как обычно.

Зачем мне устанавливать этот плагин?

Многие сайты Worpdress подвергаются бомбардировке автоматическими скриптами, пытающимися войти в систему с правами администратора снова и снова.

The No Captcha — это очень простой тест, поддерживаемый Google, для быстрого отказа в доступе к автоматизированным скриптам. Это замечательно сам по себе, чтобы мгновенно сделать ваш сайт WordPress более безопасным, или его можно использовать с другими плагинами (например, Google Authenticator, Limit Login Attempts и т. Д.) Как часть стратегии глубокой защиты.

Для этого есть много других плагинов, зачем мне устанавливать

, этот ?

Я очень постарался, чтобы убедиться, что этот плагин прост в использовании и установке, что он совместим с различными конфигурациями WordPress, поддерживает несколько языков, и что вы случайно не заблокируете себя от администратора, используя Это.Я сам использую его и на своих сайтах. Пока это просто работает.

Поддерживает ли этот плагин плагин настраиваемой страницы входа [insert name]?

Наверное, нет. Многие плагины настраиваемых форм входа не вызывают стандартный обработчик действий login_form из своих форм входа, что делает невозможным правильное отображение кода после запроса пароля. По этой причине этот плагин поддерживает только стандартные формы wp-login.php и WooCommerce. Многие такие плагины предлагают поля для ввода капчи (иногда в качестве платного обновления).Этот плагин пытается хорошо выполнять только несколько вещей.

Нет. Этот плагин предназначен для предотвращения попыток автоматического взлома, а не для предотвращения спама в комментариях. У большинства хороших плагинов для комментариев есть собственные методы предотвращения спама. Этот плагин пытается хорошо выполнять только несколько вещей.

Добавляет ли этот плагин CAPTCHA в пользовательские формы?

Нет. Этот плагин предназначен для предотвращения попыток автоматического взлома, а не для предотвращения спама из пользовательских форм. У большинства хороших плагинов настраиваемой формы есть собственные методы предотвращения спама.Многие из них уже поддерживают поле CAPTCHA. Этот плагин пытается хорошо выполнять только несколько вещей.

Чем могу помочь?

Да, пожалуйста. Отправляйте запросы на вытягивание на github.

У меня проблемы с reCAPTCHA в Internet Explorer

Посетите эту страницу, чтобы получить помощь от Google.

Я все еще вижу множество атак грубой силы на /wp-login.php в моих файлах журналов

Плагин reCAPTCHA не предотвратит попытки атак грубой силы, а просто гарантирует, что они не увенчаются успехом.То есть скрипты могут по-прежнему предпринимать прямые POST-атаки на /wp-login.php, но без правильных данных reCAPTCHA они не пройдут (даже если они правильно угадали логин и пароль). Чтобы предотвратить повторные попытки доступа к /wp-login.php, рассмотрите возможность использования плагина, который ограничивает попытки входа в систему вместе с этим. Другие подходы, такие как брандмауэр веб-приложений, также должны стать частью вашей полной стратегии эшелонированной защиты.

Где я могу узнать больше о Google reCAPTCHA?

https: // www.google.com/recaptcha/intro/index.html

Какие у вас скучные заявления об отказе от ответственности?

Этот плагин никоим образом не связан и не одобрен Google. Google является зарегистрированным товарным знаком Google, Inc. Используя reCAPTCHA, вы соглашаетесь с условиями обслуживания, установленными Google. Автор не дает никаких гарантий относительно пригодности этого программного обеспечения для каких-либо целей. Вы соглашаетесь использовать его исключительно на свой страх и риск.

«Login No Captcha reCAPTCHA» — программное обеспечение с открытым исходным кодом.Следующие люди внесли свой вклад в этот плагин.

авторов

1.6.11

• Исправление обратной совместимости для PHP <= 5.5 empty () причуда / ошибка: https://www.php.net/manual/en/function.empty.php

1.6.10

• Устранена проблема, при которой капча могла быть пропущена при регистрации новых пользователей, представленных в 1.6.9
• Добавить параметр для полного отключения CSS по умолчанию

1.6.9

• Устраняет проблему зависимости CSS, вызывающую конфликты на страницах без входа в систему

1.6,8

• Предотвратить раскрытие информации, возвращая только ошибку о пустой капче, а не статус входа

1.6.7

• Отменить изменения стиля CSS после нескольких отчетов о проблемах
• Добавить поддержку немецкого языка

1.6.6

1,6,5

1.6.4

• Протестировано с 5.2
• Использование обратного вызова для отключения кнопок отправки

1.6.3

• Устранена проблема, из-за которой капча не отображалась во встроенной форме входа на страницу оформления заказа WooCommerce

1.6,2

• Устранить фатальную ошибку в старых версиях PHP (сообщалось в 5.4.45)

1.6.1

• Отключить кнопки отправки через javascript в формах Woo
• Улучшить обмен сообщениями об ошибках

1,6

• Добавлена ​​функция белого списка IP (спасибо @ farley1122)
• Более полная защита конечных точек регистрации, включая wp-signup.php и страницу my-account

1,5

• Устранить проблему, появившуюся в 1.4x обхода капчи
• ВСЕХ ПОЛЬЗОВАТЕЛЕЙ НАСТОЯТЕЛЬНО ПРИЗЫВАЕМЫЕ ОБНОВЛЕНИЯ ИЗ ПРИНЦИПОВ БЕЗОПАСНОСТИ И НЕ ИСПОЛЬЗОВАТЬ 1.4x

1.4.1

• Выровняйте языковой текстовый домен с тегом плагина, чтобы разрешить переводы

1,4

• Добавлена ​​поддержка регистрационных форм (спасибо d2roth)
• Согласовать вызовы фильтра / отбоя с кодом
• Увеличить приоритет (более раннее выполнение) проверки входа в систему (предотвращает ненужные предупреждения от e.грамм. WordFence)

1.3.3

• Исправлена ​​ошибка с откатом к cURL в случаях, когда TLS неправильно настроен

1.3.2

• Исправление совместимости для использования языковой конструкции empty () в php 5.x

1.3.1

• Добавлена ​​экспериментальная поддержка v3 (пока скрыта)

1,3

• Добавлен reCaptcha к форме утерянного пароля
• Добавлен русский перевод
• Протестировано с 5.0

1.2,5

• Отменить изменение формы утерянного пароля, так как это было только для внешнего интерфейса

1.2.4

• Добавить reCaptcha к форме забытого пароля

1.2.3

• Улучшенное соответствие разделу 508
• Не проверять значения noCaptcha при использовании метода аутентификации, отличного от WordPress, кроме WooCommerce
• Добавить стандартный эффект встряхивания WordPress к неверному ответу на вход

1.2.2

• Не проверять значения noCaptcha при использовании метода аутентификации, отличного от WordPress
• Исправлена ​​ошибка, из-за которой кнопка отправки неактивна на странице настроек

1.2,1

• Внедрить noCaptcha для формы входа клиента WooCommerce

1,2

• Исправлена ​​важная проблема безопасности (спасибо jezevec10 за отчет) для защиты страницы входа с поддержкой reCaptcha от умных ботов

1.1.11

• Добавлен французский перевод (спасибо fdinh)

1.1.10

• Незначительное исправление для сообщения об ошибках

1.1.7

• Исправлена ​​ошибка отображения формы входа в админку, тестирование на 4.5

1.1.6

• Отключить вход с помощью js, пока NoCaptcha не вернет

1.1.5

• Протестировано, совместимо с 4.4x

1.1.4

• Лучшее отображение капчи при отключенном javascript (благодаря вебмастералу)

1.1.3

• Улучшена обработка определенных ответов Google

1.1.2

• Улучшенная своевременная регистрация скрипта (только для администратора / входа в систему)

1.1,1

• Удалить предупреждение о слишком ранней постановке css / js в очередь

1,1

• Значительное улучшение безопасности: теперь поддерживается проверка reCaptcha с отключенным javascript (благодаря mfjtf)

1.0.3

• Устранить проблему с WordPress, размещенным в недоступном домене (например, localhost)

1.0.2

• Устранить ошибку с полезной нагрузкой wp_remote_post ()

1.0.1

• Устранить проблему связывания из-за того, что специалисты по сопровождению репозитория переименовали плагин

1.0,0

Безболезненно для людей, болезненно для ботов!

Многие компании, включая Gmail, Yahoo, Rediffmail и т. Д., Предлагают бесплатные почтовые услуги. Однако, используя это, как боты, так и люди создают тысячи бесплатных учетных записей электронной почты каждый день. Это создавало множество хаоса в Интернете.

Но с появлением CAPTCHA, в настоящее время пользователям Интернета необходимо заполнить CAPTCHA, прежде чем они смогут получить бесплатную учетную запись электронной почты. Однако среди этих интернет-пользователей CAPTCHA запрограммирована так, чтобы ее не читали боты и другие машины.Таким образом, это предотвращает неправильное использование бесплатных услуг.

Мы также заметили, что хакеры используют программы для создания онлайн-опросов в пользу определенного мнения, партии или голосования. Несмотря на то, что IP-адреса записываются, чтобы люди не могли проголосовать более одного раза. Однако с помощью ботов эту политику легко обойти. Таким образом, онлайн-опросы становятся ненадежными.

Если мы внедрим коды CAPTCHA в такие опросы, боты не смогут решать головоломки, и опросы получат правильные голоса.

Что такое капча и зачем она нам нужна?

Большинство приложений в настоящее время отображают поле ввода капчи или CAPTCHA каждый раз, когда вы пытаетесь войти в систему или пишете комментарий к любому сообщению в Интернете. Что же это за странные головоломки и почему они так популярны?

CAPTCHA или полностью автоматизированный общедоступный тест Тьюринга для различения компьютеров и людей — это умный способ идентифицировать людей и ботов.

Google также имеет технологию CAPTCHA, разработанную для предотвращения автоматического доступа, взлома, злоупотреблений, и обеспечивает защиту от ботов.Самостоятельная методика анализа рисков идентифицирует пользователя как человека или как бот.

Captcha был запущен с отсканированным текстом, числами и несколькими математическими уравнениями.

Переходите к невидимой reCAPTCHA?

Invisible reCAPTCHA — новая система Google. Эта новая система использует фотографии из Google Street View в дополнение к тексту и числам. Кроме того, Google реализовал программу, предлагающую пользователю выбрать связанные изображения из сетки из девяти изображений.С помощью reCAPTCHA Google реализовал поведенческий анализ взаимодействия пользователя в браузере с помощью CAPTCHA. Он может оценить поведение пользователя перед отображением изображений Captcha.

Давайте узнаем, как реализовать reCAPTCHA:

1. Зарегистрируйтесь в Google для реализации reCAPTCHA.

2. После успешного завершения регистрации можно добавить владельцев и установить параметры безопасности.

3. После регистрации на сайте отображаются два ключа.

• Ключ сайта — используется в HTML-коде.
• Секретный ключ — помогает Google идентифицировать запрашивающий сайт.

4. Интеграция в коде:

Включите указанный ниже тег скрипта в файл HTML

Добавьте тег div с классом ‘g-recaptcha ’ и предоставленным ниже ключом сайта

(b) Интеграция на стороне сервера:

Используйте приведенный ниже код подтверждения при отправке формы:

5. После отладки веб-сайта на экране отображается нижеуказанный заполнитель, добавленный на HTML-страницу.

После установки флажка на основе расчетов поведенческого анализа Google предлагает пользователю выбрать следующую сетку изображений:

После подтверждения выбора мы можем получить ответ на отправку формы в атрибуте «g-recaptcha-response».

При реализации проекта мы выделили следующие шаблоны поведенческого анализа:

• Капча, которую мы реализуем, — это Nocaptcha / Invisible Recaptcha, и всплывающее окно выбора изображения может появляться не всегда.Он основан на логике поведения. Следовательно, он запрашивает выбор изображений вручную только в том случае, если он подозревает нечеловеческую деятельность.

• Captcha создает файлы cookie каждый раз, когда они проверяются на машине. Итак, браузер создает историю просмотров и обращается с вами как с человеком. У ботов обычно нет истории просмотров.

• Если вы вошли в систему с соответствующей учетной записью Google, капча снова может быть пропущена.

• Мы можем видеть большую разницу между поведением человека и бота.Человек будет прокручивать страницу вверх или вниз, и ему потребуется некоторое время, прежде чем установить флажок «Я не робот». Он / она никогда не щелкает по флажку, как только страница загружается.

Общие проблемы:

1. Если капча загружается в iframe, нам трудно поиграть с ее стилем.

Ниже приведен стиль css, который можно попробовать.

2. Уязвимость при тестировании на проникновение:

Ключ, который мы использовали выше на этапе реализации 4 (а), приводит к уязвимости веб-сайта.

Чтобы избежать этого, добавьте функцию JavaScript для привязки ключа сайта к загрузке документа вместо того, чтобы сделать его доступным для чтения на экране.

Подводя итог, можно сказать, что CAPTCHA или Captcha — это сильный пользовательский фильтр, отделяющий людей от ботов. С появлением ботов для глубокого обучения CAPTCHA не может напрямую предотвращать взлом или другие подобные злонамеренные действия в Интернете. Он может просто создать барьер для ботов, которые пытаются получить доступ к Интернету, чтобы манипулировать его услугами.

Короче говоря, это снижает нечеловеческую активность в Интернете.

Тест Google reCAPTCHA был обманут искусственным интеллектом.

Вместо этого, по словам Акроута, многие сайты предпочитают вести переговоры немного более любезно. Если посетитель веб-сайта опускается ниже порога «бот или нет», на сайте отображается страница со старым стилем флажка «Я не робот», позволяя людям лучше понять, почему их покупки в Интернете или что-то еще было прервано, и давая им шанс доказать свою человечность.«Большинство программистов, которых я знаю, добавляют флажки, потому что не знают, как выбрать время, в которое они будут спрашивать v3 о его убеждениях». Под этим он подразумевает, что версия 3 имеет постоянный счет; веб-сайты могут получить к нему доступ в любое время. Сделайте это наугад, и сайт внезапно перестанет работать.

Подробнее: Captcha умирает. Вот как его заново изобретают для возраста ИИ.

И именно в этом пробеле Акроут и его коллеги-исследователи поражаются. Флажок «Я не робот» был введен в версии 2 reCAPTCHA, который анализирует поведение, включая движения мыши, для обнаружения ботов.Исследователи создали автоматизированную систему, которая может обмануть эту часть reCAPTCHA.

Он напрямую не обращается к невидимой оценке версии 3, а к анализу движения мыши, впервые введенному в версии 2, но из-за того, как система реализована на некоторых веб-сайтах, не нужно вводить в заблуждение новую систему. Другими словами, они нашли другой способ обойти reCAPTCHA с использованием ИИ, но он не такой грандиозный, как обещали.

Это не убеждает Нан Цзяна из Борнмутского университета, который не участвовал в этом исследовании.«Теоретически любую схему CAPTCHA, основанную исключительно на изучении поведения пользователя, можно взломать с помощью специализированных алгоритмов машинного обучения, поскольку такие алгоритмы можно легко использовать для имитации реального взаимодействия пользователя со страницей», — отмечает он. «Однако Google ReCAPTCHA… сочетает в себе другие технологии, чтобы предсказать, насколько клиенту можно доверять, а затем попытаться внести этого клиента в белый список. Как только вы попадете в белый список, все, что вы сделаете, все равно позволит вам пройти тест».

Акрут и его коллеги-исследователи обманывают одну часть reCAPTCHA, используя тип машинного обучения, называемый обучением с подкреплением, в котором программный агент пытается найти наилучший возможный путь, поощряемый вознаграждением за каждый шаг в правильном направлении.Их система раскладывает сетку квадратов на странице, перемещая мышь по диагонали через сетку к кнопке «Я не робот». Учитывая положительное подкрепление, если оно было успешным, и отрицательное, если нет, система изучает правильные способы перемещения, чтобы убедить reCAPTCHA в том, что мышь находится под контролем. Газета утверждает, что она работает с точностью 97,4%. На момент публикации Google не ответил на запрос о комментарии по поводу статьи.

Но Джейсон Полакис, доцент кафедры информатики в Университете Иллинойса, взломавший reCAPTCHA версии 2, отмечает, что в v3 reCAPTCHA есть нечто большее, чем работа, описанная в документе.«Атака, которую пытается продемонстрировать эта статья, просто перемещается от случайной начальной точки на странице к флажку», — говорит он. «Это очень конкретное и ограниченное подмножество взаимодействий, которые пользователь будет иметь с реальной страницей на практике (например, заполнение форм, взаимодействие с несколькими элементами страницы, перемещение по более сложным шаблонам и т. Д.)».

Он добавляет: «Если Google также улучшит использование более продвинутых методов, таких как снятие отпечатков пальцев с браузера / устройства (признаки, которые мы обнаружили, когда мы провели наш обширный углубленный анализ и взлом ReCaptcha v2), атака будет даже на практике сложнее.«

Акроут согласен с тем, что атака на основе движения мыши имеет ограничения, но они немного раскрывают принцип работы reCAPTCHA v3.» Если вы подключены к своей учетной записи Google с обычного IP-адреса, система в большинстве случаев будет возвращать что вы человек, — говорит он. Подключайтесь через TOR или прокси-сервер, и чаще всего вас будут сообщать как о боте.