Комментарии 30
Я понимаю, что теперь два разных ресурса, но всё же.
Лоадер на капче классный.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Есть очень хорошая статья о нём — blog.keanulee.com/2014/10/20/the-tale-of-three-spinners.html
И немного упрощённый вариант — codepen.io/dimsemenov/pen/yyBWoR
И немного упрощённый вариант — codepen.io/dimsemenov/pen/yyBWoR
Старый добрый security through obsurity? Непонятно, как долго продержится такая конструкция…
Эти изображения можно скормить тому же Бингу, и он вам сам подберёт к ним тэги в разделе «Related searches». Далее дело техники.
В таком случае предлагается выбрать изображение животного из ряда фотографий.
Кот в центре выделяется, так как расцветка совсем другая. Наверное, его выбирать не надо?
У кота в левом верхнем углу глаза закрыты, а у остальных открыты. Может, это его выбирать не надо?
Или надо просто выбрать всех котов?
Чую, скоро гугл наречет меня роботом.
Трудно представить способ где капча сможет различить нажатие мыши ботом и человеком.
Можно предположить что на первом этапе проверяется траектория движения курсора мыши, в рамках капчи, к месту где пользователь должен поставить галочку.
Программная симуляция такого процесса не является сложной.
Можно предположить что на первом этапе проверяется траектория движения курсора мыши, в рамках капчи, к месту где пользователь должен поставить галочку.
Программная симуляция такого процесса не является сложной.
А есть ещё адепты, вроде меня, часто пользующиеся исключительно клавитурой. Мы будем записаны в роботы? :)
Меня определяет как робота, если использовать провайдера с шаред-IP (когда под 1 IP несколько абонентов). Т.е. берут инфу об IP из своей базы. Аналогичная проблема при поиске в google — с шаред-IP периодически заставляет вводить каптчу.
Видимо будут анализировать поведение и если с одного IP слишком много раз вводится каптча — отнесут к роботам. Т.е. так можно «просрать» IP своего сервака и его занесут в базу ботов, чего не хочется. Можно использовать proxy-сервера, но они, как правило, разделяемые и их ждет та же участь.
Видимо будут анализировать поведение и если с одного IP слишком много раз вводится каптча — отнесут к роботам. Т.е. так можно «просрать» IP своего сервака и его занесут в базу ботов, чего не хочется. Можно использовать proxy-сервера, но они, как правило, разделяемые и их ждет та же участь.
Вполне логично. Но так должно быть уже давно. И думаю чаще всего обход капчи используют в ботнетах.
Не только с шаред. Иногда у гугла плохое настроение и он начинает бить по площадям, в таких случаях он целыми сетями считает за ботов, мне так порой достается, гугл говорит, что рожа ему у сетки ovh не нравится и мы там одни сплошные роботы, требует капчу.
НЛО прилетело и опубликовало эту надпись здесь
На самом деле гугл уже достаточно давно применяет двухфакторный метод.
На первом этапе он отдает сложную капчу (есть даже подозрение, что нерешаемую — любой ответ не подходит) из нечитаемого набора символов.
Но эту капчу юзер не видит — она мгновенно заменяется (вызовом обычного «reload») на другую, нормальную.
Казалось бы — бот достаточно легко может вызвать этот reload и получить нормальную капчу. Однако, для его вызова нужно сначала из одного длинного строкового параметра (приходит вместе с ID исходной капчи) получить другой и отправить вместе с запросом на reload. Проблема в том, что метод получения этого параметра из исходного реализуется в крайне сложном обфусцированном JS, который очень похож на мини-виртуальную машину, «байткодом» для которой и является исходный параметр.
После хотя бы одного корректного reload гугл уже начинает сразу отдавать нормальную капчу при повторных появлениях того же юзера (с теми же куками) на странице.
Полагаю, новая капча от гугла — развитие этой схемы.
На первом этапе он отдает сложную капчу (есть даже подозрение, что нерешаемую — любой ответ не подходит) из нечитаемого набора символов.
Но эту капчу юзер не видит — она мгновенно заменяется (вызовом обычного «reload») на другую, нормальную.
Казалось бы — бот достаточно легко может вызвать этот reload и получить нормальную капчу. Однако, для его вызова нужно сначала из одного длинного строкового параметра (приходит вместе с ID исходной капчи) получить другой и отправить вместе с запросом на reload. Проблема в том, что метод получения этого параметра из исходного реализуется в крайне сложном обфусцированном JS, который очень похож на мини-виртуальную машину, «байткодом» для которой и является исходный параметр.
После хотя бы одного корректного reload гугл уже начинает сразу отдавать нормальную капчу при повторных появлениях того же юзера (с теми же куками) на странице.
Полагаю, новая капча от гугла — развитие этой схемы.
Я не понимаю, в чем проблема обновлять купчу роботом?
Есть хромиум, есть вебкит. Люди давно уже используют штуки вроде phantomjs для тестирования сайтов и реальной эмуляции юзера. За какие-нибудь 100 строк кода очень просто пишется бот/парсер ничем не отличающийся от пользователя.
В данном примере программисту, пишущему автоматическое средство совершенно плевать как и что работает в рекаптче — может человек, может робот.
Есть хромиум, есть вебкит. Люди давно уже используют штуки вроде phantomjs для тестирования сайтов и реальной эмуляции юзера. За какие-нибудь 100 строк кода очень просто пишется бот/парсер ничем не отличающийся от пользователя.
В данном примере программисту, пишущему автоматическое средство совершенно плевать как и что работает в рекаптче — может человек, может робот.
Как я понял, основная суть подхода — в дальнейшем усложнить этот «байткод» для виртуальной машины, чтобы результат зависел от того, на реальном браузере он исполняется, или нет.
Все предпосылки для этого есть.
Возможно, в новой капче это уже сделано.
Все предпосылки для этого есть.
Возможно, в новой капче это уже сделано.
Тот же selenium использует самые настоящие браузеры для запуска тестов. Нет никакой проблемы полностью эмулировать поведение пользователя. Хотя, возможно, «молотить» запросы с бешеной скоростью будет сложновато. Если количество вариантов будет настолько огромным, что невозможно будет заранее сгенерировать базу ответов, то это может затруднить массовые атаки.
Конечно проблемы нет. Но основная задача защиты — УСЛОЖНИТЬ несанкционированный доступ к системе а не сделать её абсолютно непроницаемой.
Только представьте сколько теперь для обхода капчи надо применить ресурсов… и самый дорогой из них — время программиста. Ну, допустим поломают капчу сделают алгоритм обхода капчи… гугл слегка меняет реализацию и 99% таких алгоритмов перестают работать. Снова надо тратить время высококвалифицированного специалиста чтобы выяснить почему оно не работает, и собственно переписать алгоритм. Все это время и небесплатно. И все это на фоне того что если спалят в ботоводстве то вся работа на смарку — начинай сначала, борись с новыми алгоритмами и т.д. я думаю даже что для подозрительных узлов будут использоваться другие алгоритмы — один раз спалился и придется использовать уже другой подход.
Только представьте сколько теперь для обхода капчи надо применить ресурсов… и самый дорогой из них — время программиста. Ну, допустим поломают капчу сделают алгоритм обхода капчи… гугл слегка меняет реализацию и 99% таких алгоритмов перестают работать. Снова надо тратить время высококвалифицированного специалиста чтобы выяснить почему оно не работает, и собственно переписать алгоритм. Все это время и небесплатно. И все это на фоне того что если спалят в ботоводстве то вся работа на смарку — начинай сначала, борись с новыми алгоритмами и т.д. я думаю даже что для подозрительных узлов будут использоваться другие алгоритмы — один раз спалился и придется использовать уже другой подход.
Камрад, phantomjs это простое апи над вебкитом, который и есть настоящий браузер — я это и написал. О чём вы?
Опять котиков-пёсиков сортировать? О нет!
Что ты наделал Гугл, критическая масса котиков в интернете уже близка.
А кто-нибудь издевался над ре-капчей, вводя вместо слова, которое не является собственно капчей, неприличное ругательство?
Коты и собаки — баян же. Уже давно есть провайдер такой капчи, причём сотрудничающий с приютом.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Google анонсировал No-CAPTCHA — новую систему защиты от спамеров