Comments 111
Но вы ведь так и не познакомились :-/
Поставьте хоть капчу, она защитит он таких ботов.
Неужто бизнес настолько подгонял что не было времени вставить reCAPTCHA?
Ставить reCAPTCHA — не уважать своих пользователей.
Если вас никогда не просили найти несколько раз подряд автомобильные дорожные знаки на 9 фотографиях где нет ни одного дорожного знака(но по мнение рекапчи он есть), то вы вряд ли поймёте что с этим сервисом не так.
Если вас никогда не просили найти несколько раз подряд автомобильные дорожные знаки на 9 фотографиях где нет ни одного дорожного знака(но по мнение рекапчи он есть), то вы вряд ли поймёте что с этим сервисом не так.
Пользователям пора смириться с рекапчей. Она должна быть везде, где надо остановить или замедлить автоматические действия.
Вы же знаете, что уже существуют программы для автоматического решения рекапчи? Не считая многих сервисов для решения капч с помощью других людей.
Программы таких 2 — xevil и капмонстр. реальный пробив там процентов 20 в лучшем случае, при немалых затратах на ip под прокси. А сервисы — от 150 руб за 1к разгадываний, что опять же с учетом доп ip все удорожают. В итоге смысл все это делать есть только у сильно полезных сервисов, которые эти затраты смогут окупить. но которые кроме рекапчи быстро введут доп защиты, типа подтверждений телефонов или ввода кредитки.
UFO just landed and posted this here
Вы уже отказались от использования сервисов гугла?
UFO just landed and posted this here
UFO just landed and posted this here
Google-users vs Google-haters. Одни видят в сообщении вброс, другие поддерживают. Это как сине-черное/бело-бежевое платье — можно по-разному увидеть.
Я не голосовал, но не представляю, как разработчик может не пользоваться гуглом вообще.
Извините, но я в это не верю ¯\_(ツ)_/¯
Извините, но я в это не верю ¯\_(ツ)_/¯
Из принципа. И пользоваться duckduckgo, к примеру.
Когда-то я сидел в links и там тоже вылезала капча на запросах, при том что у меня был отдельный выделенный статический айпи адрес. Ну короче я плюнул и пересел на альтернативный поисковый движок (благо они еще существуют).
Когда-то я сидел в links и там тоже вылезала капча на запросах, при том что у меня был отдельный выделенный статический айпи адрес. Ну короче я плюнул и пересел на альтернативный поисковый движок (благо они еще существуют).
UFO just landed and posted this here
Достаточно однажды залогиниться на любом из сервисов Гугла, чтобы не видеть его капчу. На сторонних сайтах при этом достаточно поставить галку без угадывания, где здесь магазин, а где — автомобиль.
Увы, это работает этак для 95%, но периодически, на какие-то нестандартные запросы в поиске или несколько действий подряд даже у залогиненного пользователя с достаточно большой историей вылазит угадайка со значками…
Неправда. Я постоянно залогинен и всё равно при отправке комментов на своем же сайте с моей рекапчей нужно ее всегда гадать.
Видимо, это от сайта зависит. Просто не ходите на сайты, которые даже для залогиненых пользователей требуют разгадывать капчу.
))))))
Это мой сайт, я капчу сам ставил для JComments
И вообще, в первый раз слышу, что залогиненные гугловцы в общем случае освобождаются от всех рекапч
Это мой сайт, я капчу сам ставил для JComments
И вообще, в первый раз слышу, что залогиненные гугловцы в общем случае освобождаются от всех рекапч
Я вижу рекапчу только в порнорежиме.
А чо за браузер с порнорежимом? Я тоже хочу.
Любой современный: https://www.zdnet.com/article/how-do-you-use-your-browsers-porn-mode/
Подозреваю, вы выходите в интернет через провайдера, предоставляющего вам доступ через NAT с одним белым айпи, вместе с тысячами других таких же пользователей. Запросы одного из них, заражённого ботнетом, приводят к необходимости прохождения капчи всеми, кто разделяет тот же внешний айпи.
А если я не хочу постоянно быть залогиненным в сервисах Гугла? Он и без того знает обо слишком много, я не хочу, чтобы он знал обо мне все.
Интересно. В последнее время сижу в интернете через один и тот же ВПН (привет Роскомнадзору), и поэтому капчи прут изо всех щелей. При этом логин в Гугле у меня не сбрасывается, но капчам, похоже, на это плевать. =-)
Видимо через этот айпи ещё несколько тысяч обходчиков блокировок
Вероятно, так. The point is: логин в гугле не помогает от капч =-)
Аренда статичного белого айпи помогает, проверено лично =)
Не помогает. Проверено лично. А сообщение меняется на что-то типа «из вашей подсети происходило что-то нехорошее, докажите чистоту помыслов, вот вам витрины и знаки».
Значит вашему провайдеру засрали весь его пул. Либо вам не повезло на конкретный айпи, который раньше был шлюзом для ботнетов, спаммеров или ещё чего такого. У меня дома в аренде один и тот же статичный айпи уже много лет, и я вообще не вижу рекапчу.
У меня тоже уже много лет один и тот же статичный IP и я постоянно залогинен в гуглоаккаунт. Но я периодически вижу рекапчу :)
Пожимаю плечами. Значит, гугл меня больше уважает :-D
Скорее просто алгоритм отображения рекапчи несколько сложнее чем вам кажется :)
Нет, просто гугл действует на упреждение — если с разных IP одной подсети лезут боты значит с высокой вероятностью вся подсеть может принадлежать ботам, вот и ловят всех без разбору. Честно говоря, уже лет 5 не видел капчи от гугла в его же поисковике.
Сомнительно: у меня есть на работе линия ADSL от Укртелекома, подсеть /16, адреса из которой раздаются клиентам рандомно. На разных айпишках из этой подсети ситуация разная — на некоторых (можно сказать даже большинстве) всё красиво, а на некоторых — рекапча и проверки чрез каждые несколько гуглений (а некоторые айпи, скажем, даже забанены в банке Аваль). Просто один айпи у провайдера, из-за использования NAT, может шариться (совместно использоваться) у тысяч клиентов, со всеми из этого вытекающими проблемами.
если вы часто попадаете на одну и ту же страницу с капчей, то у вас вместо галочки начинают появляться автомобили и столбы
Увы, я ниже свой кейс описал, у меня рекапча лезет даже в поиске гугла при совершенном с двухфакторкой входе в аккаунт.
Они любят экспериментальные вещи выверять на рандомно отобранных людях, поэтому у одних работает так а у других по-другому. Возможно, у вас включен какой-то режим анонимности — например блокировка маячков и счетчиков на посещаемых страницах, ограничены кукисы например. Гугл видит что идут запросы с IP но нет запроса счётчиков и маячков, считает что работает бот.
Согласен, уже не помню даже когда видел капчу на Гугле, только на сторонних сервисах, и то обычно когда пароль пару раз неправильно введешь то появляется капча.
Как мне уже несколько раз указали в комментариях, у многих это не так.
Видимо, это связано как с самими сторонними сервисами — владелец может выбрать настройки пароноидальности рекапчи, так и с повальным использованием прокси/впн — Гугл подозревает бота в каждом пользователе, если они толпой используют один айпи.
По крайней мере сделал первый шаг, поисковики по-умолчанию теперь yandex и duckduckgo.
Вам яндекс капча, которая в 60% вообще не читаема и не разгадываема и постоянно вылазящая везде в яндекс сервисах больше нравится? Я не мазахист-патриот.
Не могу составить он ней мнение, поскольку в отличии от гугловской капчи, её пока не видел. Будет доставать — перестану и яндексом пользоваться, благо поисковиков достаточно нынче.
Даже Гугл и Яндекс при локальных поисках (региональных, имена-фамилии и т.п.) отличаются как небо и земля, не в пользу гугла. А все остальные вообще курят в сторонке.
Если вам, конечно, нужен хороший поиск, а не страницу в википедии или функцию php
Если вам, конечно, нужен хороший поиск, а не страницу в википедии или функцию php
Да Гугл и Яндекс удобнее чем остальные поисковики, но по вопросу о том делает ли это их лучше на хабре (или на гиктаймсе) уже была дискуссия.
Хороший поиск этот тот который дает результаты, а не тот который требует сложного отбора — это скорее нужно для анализа вполне конкретного источника, который ищется не поисковиком.
Хороший поиск этот тот который дает результаты, а не тот который требует сложного отбора — это скорее нужно для анализа вполне конкретного источника, который ищется не поисковиком.
Вы не о вот этой? Странно, я читаемее капчи не видел.
Ну вот, кстати, в последнее время все чаще ищу через Яндекс. Не хочется. но приходится. Вот надо мне что-то быстро погуглить, а он мне нннна рекапчу, да еще и не с первого раза которая проходится — ну не вижу я там знаков, автобусов и прочего, а ИИ их считает, что видит, и так по 3-5 кругов. И это при том, что я залогинен в аккаунт Гугловский с 2ФА, так что, по уму, он мне вообще рекапчу не должен совать, пусть даже у меня серый IP, как на смарте, так и на домашнем подключении.
Мне на телефоне в последнее время регулярно показывает эту долбаную рекапчу из 10 шагов, когда надо что-то быстро загуглить (при том, что я авторизован в гуглоакке). Просто переключаюсь на яндекс в такой момент и всё, пусть сами свои капчи разгадывают.
У меня от рекаптчи истерика случается каждый раз, когда на каждый новый запрос в гугле приходится её разгадывать от 1 до 3 раз, причём вариант со сменой изображений самый отвратительный. Изображения угасают и появляются очень долго.
Что ж вы такое ищете, что капчу разгадывать приходится?
Не связано ли это с использованием прокси?
Не обязательно прокси. Даже на VPN на отдельной машине у любого популярного хостера будет так срабатывать.
У меня например коммуналка на одном IP + я часто гуглю интересную инфу вперемешку с программированием, типа «что-то об комп. игрушке» + «особенности внешней политики бразилии в 18 веке» + «react fiber». Пару раз доходило до того что гугл прямо таки банил, лечилось переменой IP (рестартом роутера)
И да, капча в таких случаях бесит, особенно когда корректируешь запрос в риалтайме и снова сидишь, выполняешь распознавание
И да, капча в таких случаях бесит, особенно когда корректируешь запрос в риалтайме и снова сидишь, выполняешь распознавание
На работе я из гугла бывает не вылажу, при этом наружу смотрит один айпишник на несколько тысяч сотрудников — капчу вижу только в порнорежиме на некоторых сайтах, у самого гугла только если опять же в порнорежиме пароль к аккаунту раза четыре неправильно наберёшь, в поиске пока не видел ни разу, узнал о капче в поиске только из комментариев тут :)
Исчерпание адресного пространства IPv4, отчего у некоторых провайдеров иногда (а у некоторых достаточно часто) выдаются пользователям серые ip. Или как у ростелекома. Вроде ip выдаётся белый, но ощущение, что до этого через него выходила группа пользователей с серыми адресами. Пару недель сам получал серые ip от того же ростелекома.
1-2 доллара за 1000 капч на антигейте. Я не знаю что за жители дна этим занимаются, но они всегда наготове :)
Что за бред. Боты это проблема сайта, а не пользователей, рекапчи быть должно как можно меньше
Правда? А какие антиботовские решения вы знаете, кроме капчи?
От спама в комментах, например. (Регистрация не в счет. так как без капчи тоже обходится ботами)
От спама в комментах, например. (Регистрация не в счет. так как без капчи тоже обходится ботами)
Я некоторые время для антиспама на своем сайте wmsn.biz использовал платную регистрацию, просто купить код активации аккаунта на plati.ru за 1 $ ))) Вполне норм работало как антиспам. Сейчас правда поставил рекапчу, зато бесплатно.
Не так давно нерабочая из за блокировок рекапча на сайте СПСР на страничке с формой обращений чуть меня без дорогой посылки не оставила. Так что к рекапче должен быть дежурный, кто ее отключит в случае проблем. ;)
Мне всегда казалось что за отдельную плату владелец ресурса может включить отдельный скрытый режим «изнасилуй пользователя морально», когда тебе вылазит бесконечное количество повторений(лично дважды разгадывал по 20-25 рекапч, первый раз было интересно что за глюк, а второй раз(так же случайно случившийся) вживую показывал знакомому). При этом с этого же IP, в этом же браузере, в этот же день на других ресурсах до и после этих случаев просто ставил галочку.
У гугла есть Invisible reCAPTCHA, для таких как ты
То есть примечание вы не читали?
Да ладно, один раз рекапчу при РЕГИСТРАЦИИ нового пользователя?
Только вот 1к рекапч разгадывают за 2 бакса, а для пользователя рекапча выглядит вот так
i.imgur.com/AFFcdpR.jpg
i.imgur.com/AFFcdpR.jpg
Скоро рекапча дойдет до такого
А нельзя где-нибудь заплатить эти 2 бакса, чтобы следующие тысячу раз рекапча не показывалась?
Может лучше капчу от Coinhive? ;)
Считаю, что автору оригинала все таки стоило взять парнишку на работу. Как ни крути, а в новых проектах(а я уверен, такие еще будут) безопасность уже будет важнее, а он бы мог быть как раз нужен… Ну или в конце концов взять контактную информацию, на всякий случай :)
Habrahabr превратился в twitter или я не догоняю?
Интересно, а кому на кого бы они иск подали? На айпи адрес? Сперва скорее всего пришлось бы его поймать за руку, а если через прокси или цепочку прокси сидит. Такие люди обычно зная, что делают что-то плохое, стараются себя обезопасить
возможно, он тоже читает хабр) еще не все потеряно.
Ещё в декабре написал об этой проблеме в поддержку Pingdom. Сказали, «спасибо, посмотрим», но кажется, они не видят ничего плохого в этом, поскольку в данный момент всё ещё можно майнить у них со скоростью ~30H/s. Помню, тогда я проверил и другие сервисы, но только Google предусмотрел защиту от майнинга.
Многие малосодержательные информационные сообщения походят часто просто на косвенную массовую рекламу криптовалют и майнинга
В оригинале стилистика сообщений «я» и «он» немного отличались. В частности, «он» не использовал больших букв. По-моему, от приведения их к одному стилю в переводе оно немного потеря́ло.
Но вы сами виноватыВсе, что нужно знать про менталитет скрипткидди-майнеров.
Ну менталитет конечто так себе, но ведь в чем то он прав. У них на сайте в бесплатном аккаунте 100 скриншотов в месяц. Чтобы устраивать такие пики нужно регистрировать по 1000-3000 аккаунтов. Банальная проверка и ограничение по IP при регистрации уже снизила бы проблему в разы, капча для бесплатного аккаунта тоже, ограничения на скрины одной и той же страницы с одного аккаунта, более гибкие механизмы по выявлению групп аккаунтов, вариантов навалом и базовые но достаточно эффективные реализуются от пары часов до пары дней.
Это в этот раз их безопасно для майнинга использвали, а так с такими возможностями могут их как этакий миниботнет использовать, для миниддоса например, 100 запросов в секунду достаточно чтобы уложить многие сайты не заморачивающиеся высокии нагрузками, и потом будут в суде защищаться что это не они.
Имхо, все же в таких системах, которые можно использовать для обращения к другим ресурсам, безопастность должна быть одной из ключевых забот.
Это в этот раз их безопасно для майнинга использвали, а так с такими возможностями могут их как этакий миниботнет использовать, для миниддоса например, 100 запросов в секунду достаточно чтобы уложить многие сайты не заморачивающиеся высокии нагрузками, и потом будут в суде защищаться что это не они.
Имхо, все же в таких системах, которые можно использовать для обращения к другим ресурсам, безопастность должна быть одной из ключевых забот.
Ожидал что в конце разговора вы пойдете вместе пить пиво =)
Сталкивался с подобной ситуацией. Хакер через бота регистрировал аккаунты на нашем сайте, получал за это баллы по бонусной программе и намеревался использовать их для получения внушительной скидки на покупку техники. Мы быстро нашли аномальный аккаунт, куда стекались все бонусы, но решили понаблюдать, что будет дальше т.к все заказы обрабатывались вручную. В итоге, когда заказ был совершен, хакер позвонил, чтобы обговорить условия доставки, сотрудники колл-центра перевели звонок на меня и я пояснил, что мы не можем продать ему желаемый товар с такой скидкой, но пригласил приехать к нам в офис, чтобы познакомится и получить небольшой презент за найденную уязвимость. В конечном итоге парень все таки переборол страх и приехал (хоть и взяв жену для подстраховку), ну а закончилось все знатной пьянкой с пиццей и байками за жизнь =)
ничего не утверждаю, но все это очень напоминает фейковые переписки из мессенджеров, которые так часто встречаются на развлекательных сайтах.
ох уж эти мамкины хацкеры!
Интереса ради проверил топ30 выдачи по запросу website screenshot в лоб — скармливая вебмайнер на своём сайте. Итого:
всего ~20 туловин рабочих
пытаются майнить 6 тулов
только на двух реально майнится (либо сами ставят задержку на рендер, либо дают её поставить юзеру)
первая под cloudflare, вторая сыпет пятисотки на запрос демо, но раз из трёх таки майнит
Это пробы прям вот без ковыряния, так то наверняка в каждой можно регать триал-акки и обходить лимиты другими способами, но профит как по мне маловат будет (:
всего ~20 туловин рабочих
пытаются майнить 6 тулов
только на двух реально майнится (либо сами ставят задержку на рендер, либо дают её поставить юзеру)
первая под cloudflare, вторая сыпет пятисотки на запрос демо, но раз из трёх таки майнит
Это пробы прям вот без ковыряния, так то наверняка в каждой можно регать триал-акки и обходить лимиты другими способами, но профит как по мне маловат будет (:
Проводил такой же эксперимент на паре площадок, для максимальной эффективности отдавал часть страницы с скриптом для майнинга, а потом потихоньку вливал по байту раз в 10 секунд.
Некоторые скидывали по timeout только после 3 минут.
Учитывая малую экономическую эффективность такого майнинга, малые мощности таких площадок и то как быстро засекаются такие атаки, то все предприятие не стоит выеденного яйца. Только for fun.
Также я протестировал другие типы площадок, с них тоже можно было извлекать «PROFIT» подобным образом. Если кому будет интересно, то запилю статейку.
Некоторые скидывали по timeout только после 3 минут.
Учитывая малую экономическую эффективность такого майнинга, малые мощности таких площадок и то как быстро засекаются такие атаки, то все предприятие не стоит выеденного яйца. Только for fun.
Также я протестировал другие типы площадок, с них тоже можно было извлекать «PROFIT» подобным образом. Если кому будет интересно, то запилю статейку.
Социальная инженирия наоборот)
Sign up to leave a comment.
Я сделал API для скриншотов сайтов, а какой-то парень начал майнить через него криптовалюту