Вышла новая версия reCaptcha API 2.0

[rinat_crone]

На демо-страничке на показало картинку, сразу сказало, что не робот и поставило зеленую галочку. Никогда не любил разгадывать reCaptcha, а если теперь и не нужно – супер!

[Dm4k]

То же самое. Но при открытии страницы в приватном окне, показывает каптчу.
Видимо залогиненым пользователям доказывать свою принадлежность к разумным — не требуется (=

[Haoose]

И у меня также. И не только на демо-страничке. Такая капча используется на humblebundle.com

[navion]

Похоже на то, в порнорежиме всегда выдаёт второй этап проверки.

[zenn]

Да, по всей видимости есть какой-то алгоритм анализа «уровня доверия» к пользователю, авторизованному в гугле.

[WaveCut]

По-моему смотрится общий процент успеха, все мы там были.

[mephisto]

Вероятно, старая версия как раз в таком случае выдавала упрощенную капчу из цифр (номера домов)

[DevMan]

Уже как месяц (если не больше) вижу ее на некоторых сайтах.
Они, видимо, и алгоритмы подкрутили: иногда показывает капчу, иногда достаточно кликнуть чекбокс.

[Enlightened]

Судя по всему, пользователь авторизованный в гугле, считается человеком по умолчанию)

[zenn]

По тому, что мне удалось «раскопать» о дате релиза — он был где-то в ноябре (странички документации созданы/редактированы в середине ноября, на гитхабе php библиотека опубликована неделю назад).

[Kenj1]

Коломбо, ты ли это?

[worker]

Если не робот, то кто еще может быть? НЛО?

[Klaster]

Я проанализировал ваш вопрос, и после нескольких часов мозгового штурма вместе с командой экспертов, могу предложить вариант ответа: «В вопросе предполагается, что если форму заполняет не робот(скрипт или программа), скорее всего это человек.»

[nomadmoon]

А как у неё с вежливой деградацией? Или нет яваскрипта нет капчи?

[Rukos]

В документаций есть вариант, когда нужна капча на странице с отсутствием javascript.

[STLEON]

Может я особенный, но уже 2 недели её юзаю в одном из проектов. Новость-то какая!

[zenn]

Все верно, релиз был где то в ноябре, выше я об этом говорил. Попросту подобной новости не было в просторах интернета, в том числе на хабре и я решил опубликовать материал, который может быть(по моему мнению) полезным для многих кто не знал об этом.

[STLEON]

Может я опять же не в теме, но может подобного рода новости лучше публиковать на Geektimes?

[negodnik]

Ну, не соглашусь. Все-таки это библиотека для разработчиков.

[zenn]

reCaptcha ведь имеет прямое отношение к веб-разработке и к информационной безопасности(защита от спама, к сожалению у меня нет 5 рейтинга для публикации в хаб Спам/Антиспам) поэтому публикация вполне соответствует тематике ресурса.

[STLEON]

Google анонсировал No-CAPTCHA — новую систему защиты от спамеров

[zenn]

Обратите внимание на даты.

[STLEON]

Это все понятно. Я хотел этим сказать, что контент будет дублироваться.

[zenn]

Это неизбежно ;) Но даже в данном случае 2 материала — абсолютно разные: на гиктаймсе статья более информационно-направленная, здесь — связана с разработкой, что вполне даже хорошо.

[Rukos]

Кто нибудь уже пробовал на одностраничных приложениях?

[zelenin]

какие-то могут быть проблемы?

[Rukos]

Сначала думали что grecaptcha.reset не правильно работает.
Но потом попробовали по другому и багов не осталось.

Была проблема если при переходе между страницами, грузить каждый раз скрипт каптчи.
Возникает проблема «Placeholder must be empty»

[zenn]

Натыкался на эту проблему тоже — она возникает когда на 1 странице есть 2 или более капчи и каждая пытается подтянуть гугловский js по калбеку или без него. Подобное так же возникает если попробовать выгрузить капчу по AJAX без использования калбэк-метода.

[zenn]

Исходники библиотеки для php опубликовали сами google, да и способов обойти блокировку — более сотни…

[Akiron]

Интересно как быстро её обойдут. Хотелось бы посмотреть на результат обхода. Чем сложнее все эти системы тем больше шанс, что найдутся умельцы которые смогут легко обойти защиту.

[Assada]

Мне кажется они не усложнили жизнь ботам, а упростили ее для людей.

[Akiron]

Да, действительно, посмотрел — капча сложнее не стала, правда многие кулхацкеры надолго не будут знать как её обойти, пока не сольют в сеть чей-нибудь код. В целом капча стала удобной и вполне удачной, посмотрим, что будет дальше.

[IdFox]

Теперь каждый домен, на котором планируется использовать reCaptcha2 должен быть указан в настройках

Хоть и прошло более года после опубликования статьи, но тем не менее пришлось адаптировать gRecaptcha для мультидоменной капчи
Не знаю, появилось ли это со времени опубликования статьи или уже было ранее
В общем подробности тут developers.google.com/recaptcha/docs/secure_token
Генерацию sToken пришлось переделать на PHP с примера на Java
Нигде по интернету не нашел, потому оставлю здесь, может кому понадобится

Код на PHP

    function grecaptcha_stoken($grecaptcha_skey) {
        
        $token_json = json_encode([
            'session_id' => time(),
            'ts_ms'      => round(microtime(true) * 1000),
        ]);
        
        $token_pad = 16 - strlen($token_json) % 16;
        
        $s_token = $token_json . str_repeat(chr($token_pad), $token_pad);
        $s_key   = substr(hash('sha1', $grecaptcha_skey, true), 0, 16);
        
        $stoken_crypt = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $s_key, $s_token, MCRYPT_MODE_ECB));
        $stoken_crypt = str_replace('+', '-', $stoken_crypt);
        $stoken_crypt = str_replace('/', '_', $stoken_crypt);
        
        return $stoken_crypt;
        
    }