Что делать если капча не проходит проверку. Что такое капча (captcha) и как заработать на вводе капчи

• Tutorial

Сколько лет существует Хабр - столько лет на нём регулярно появляются посты про очередную капчу - будь то скрипт генерации картинки, новая идея капчи с котиками и тому подобное. Самый свежий пример того, что человек не совсем понимает - как же всё таки должна работать капча (см. текст поста и последние комментарии), но при этом делится своими заблуждениями с сообществом. Складывается ощущение, что капча - это такая terra incognita для большинства разработчиков - как для тех, кто просто прикручивает её к очередной форме в надежде на то, что она будет работать «из коробки», так и для тех кто придумывает капчи вроде тех, на которых надо выбрать картинку с котиком из нескольких фото.

Статья содержит полезную информацию для тех, кто использует капчу на своём сервере, вместо того чтобы довериться стороннему сервису вроде reCaptcha.

А для затравки - если вы считаете, что такая проверка капчи будет работать:
if($_POST["captcha"] == $_SESSION["captcha"]) return true; (пример из практики)
то вы глубоко заблуждаетесь.

Captcha

Согласно своему определению, captcha - это автоматизированный публичный тест Тьюринга (тест который может пройти человек, но не компьютер). В статье я буду рассматривать свойтсва капчи на примере самого распространненого её вида - текста на картинке, хотя почти все написанное одинаково применимо к любому виду капчи.

Два главных свойства капчи

Любая капча должна обладать двумя свойствами, без которых она не будет работать:

Устойчивость к распознаванию - свойство, защищающее капчу от распознавания алгоритмом - например системой распознавания текста. Гарантирует то, что человек сможет прочитать текст на картинке, а компьютер нет.
Антипример: стандартная капча форумов phpBB 2.x таким свойством не обладала - из-за относительной простоты распознавания появились скрипты, которые спамили все подряд форумы вынуждая веб-мастеров менять капчу на более стойкую.

Устойчивость к угадыванию - свойство капчи, не позволяющее угадать её значение за небольшое число попыток (менее 1000). Если набор возможных значений капчи невелик, программе не составит труда угадать её подбором вместо распознавания.
Антипример: арифметическая капча вроде «1+2» (перебор чисел от 1 до 20 в скором времени даст результат).
Антипример: выбрать из нескольких картинок ту, на которой изображён котик.

Проверка капчи

Значение для проверки должно храниться на сервере, а не передаваться вместе с картинкой в браузер. Для сопоставления посетителя и правильного значения капчи необходимо использовать некий ключ, который передаётся вместе с капчей (идентификатор сессии, номер капчи и т.п.)
Антипример: если передавать саму капчу и значение для ее проверки (в том числе зашифрованное), то человеку достаточно один раз распознать такую капчу и далее использовать комбинацию «ответ»-«значение для проверки» в своём скрипте (по ссылке в начале поста как раз такой случай)

Перед проверкой ответа - надо убедиться, что он не пустой. В противном случае, злоумышленник может не загружая картинку или удалив идентификатор текущей сессии, передать пустое значение и пройти капчу, т.к. произойдёт сравнение двух пустых строк (в PHP несуществующее значение равно пустой строке).
Антипример: уже упомянутый мной код if($_POST["captcha"] == $_SESSION["captcha"]) return true;
Причем этот код был написан опытным программистом.

После проверки, сохраненное значение капчи необходимо удалить. Если не сделать этого, злоумышленник сможет использовать данное значение снова неограниченное число раз. Да, при обновлении страницы с формой обновляется и капча (либо при генерации формы, либо при генерации картинки), вот только скрипт может не загружать форму снова (надо упомянуть, что это не актуально если на сайте используются одноразовые csrf-токены для форм).
Антипример: гипотетическая форма логина, в которой достаточно один раз ввести капчу правильно, и далее подбирать пароль скриптом, избегая перегенерации капчи на сервере.

Пуленепробиваемая капча

Защита от перебора. Если ваша капча устойчива к распознаванию, но не очень устойчива к перебору (например на ней надо прочитать всего 3-4 цифры), желательно ограничить число неправильных ответов «с одного ip» / «для одного логина» / etc. Такие ограничения необходимо проверять ДО проверки самой капчи (то есть даже в случае правильно введенной капчи, при наличии ограничения она не должна считаться пройденной) иначе оно не будет препятствовать перебору.

Защита от DoS. При генерации капчи на своем сервере, надо понимать что это удобный вектор проведения DoS атак (которую, в отличие от DDoS, может устроить любой школьник). Для защиты можно ограничить число генерации капчи для одного ip, кэшированием капч и т.д.

Защита от распознавания. Если вы выбираете капчу, или вдруг собираетесь написать её сами, желательно понимать какая капча более защищена от распознавания. Существуют готовые универсальные скрипты распознавания капчи, работающие по принципу OCR , а в случае если ваш сайт заинтересует спамеров есть риск, что будут использовать / писать скрипт конкретно под вашу капчу. Последнее правда относится больше к сайтам уровня Яндекс или vk, а вот вариант с защитой от банальных OCR желательно предусмотреть.

Защита от антигейтов. Если говорить формально, то капча как тест Тьюринга не обязана защищать вас от антигейтов, так как в этом случае её будет распознавать человек. С практической же точки зрения, этот вопрос весьма актуален и защищаться как-то надо.
Тут нет и не может быть «золотого стандарта» (ибо в таком случае антигейты внедрят его поддержку), поэтому вы вольны дополнять капчу любыми ухищрениями, чтобы сделать её распознавание через антигейт невозможным. Например:
- нестандартная капча (сбор паззла, поворот изображения, клик по области на фото и т.п.);
- кириллическая капча - самое простое решение, но имеет ряд минусов: подходит только для проектов с русскоязычной аудиторией, есть антигейты с поддержкой кириллицы;
- использование виртуальной клавиатуры рядом с капчей для ввода нестандартных символов или фигур (может быть неудобно пользователям мобильных);

Юзабилити

Не просите ввести капчу, если вы уже убедились, что перед вами человек. Тут однако, надо быть осторожным, чтобы форму нельзя было использовать скриптом неограниченное число раз после однократного ввода капчи человеком.
Пример: форма регистрации. Если я где-то регистрируюсь, и забыл ввести поле «почтовый индекс», но правильно ввёл капчу - не надо показывать мне новую. Потратьте 10 минут на то, чтобы сохранить где-то у себя, что вот эту конкретную форму сейчас пытается заполнить живой человек.

Для облегчения распознавания человеком: не используйте в капче одновременно буквы и цифры, не используйте одновременно прописные и строчные буквы, исключите похожие символы.

Отказ от использования капчи

Лучшая капча - отсутствие капчи. Там где можно отказаться от её использования - это надо сделать. Возможно для этого придется реализовать дополнительные лимиты и проверки, но пользователи скажут вам спасибо.
Но тут надо быть очень осторожным. Например: форма регистрации без капчи, с полем email на который приходит письмо с активацией. Без дополнительных средств защиты такую форму могут завалить «левыми» адресами, и ваш сайт включат в черные списки почтовые службы. В таком случае можно обходиться без капчи, но только если у вас есть другой рубеж защиты, вроде лимита по ip.

Кому то информация в этом топике покажется очевидной, но если бы я не сталкивался с примерами непонимания этих простых принципов в жизни, в том числе у опытных коллег-разработчиков, я бы не стал тратить время на написание этого текста.

Приветствую вас, дорогие друзья! Все мы являемся активными пользователями социальных сетей – одни используют их для общения и поиска информации, другие же пытаются использовать эти площадки для заработка . Однако, вне зависимости от того, какие цели преследует каждый из нас, заходя в соцсеть, всем нам так или иначе да приходится сталкиваться с такой неприятной вещью как капча. Согласитесь, иногда этот набор символов настолько мешает работать, что хочется все бросить и просто закрыть браузер. Сегодня мы поговорим о том, как убрать капчу и избавить тем самым себя от необходимости тратить время на расшифровку кодов.

Капча: что это?

Итак, капча – это ни что иное, как специальная картинка, содержащая проверочный код для определения того, кто именно пытается совершить определенное действие в сети, — человек или робот. Чаще всего расшифровать код предлагают в тех случаях, когда происходит многократное выполнение одного и того же запроса на сервисе. К примеру, поисковики вроде Яндекса или Гугла регулярно предлагают нам расшифровать captcha, когда мы задаем им одни и те же вопросы. Нельзя назвать капчу редким гостем и в среде скриптов: парсеров, кликеров, постеров и так далее.

Главная задача captcha – предотвращение автоматического действия роботов . Чтобы отсеять ботов, сервисы предлагают пользователям разгадать код, зашифрованный в витиеватом рисунке. Справиться с поставленной целью способны лишь реальные пользователи, боты, увы, делать это не умеют. Именно поэтому при работе со скриптами капча становится настоящей проблемой, не позволяющей взаимодействовать с большим объемом данных. Однако, не стоит отчаиваться и опускать руки. Всякая проблема разрешима , и ввод captcha – не исключение.

Почему появляется captcha?

Как известно, для того, чтобы избавиться от болезни, нужно знать причину ее возникновения. Это правило работает и в случае с капчей: чтобы избавиться от постоянно всплывающих окон с зашифрованным кодом, нам необходимо понять, почему система так рьяно пытается проверить нас на «человечность».

Все дело в том, что одинаковые действия , выполняемые одно за другим, вызывают у сайтов подозрения. А потому они стремятся отсеять среди них те, что выполняются роботами.

К примеру, ваша попытка разослать своим друзья сообщения, содержащие одну и ту же информацию, расценивается социальной сетью как спам-рассылка. Именно поэтому вконтакте требует от нас выполнить распознавание капчи и подтвердить, что данное действие было выполнено живым человеком. В том случае, если распространение сообщений не прекратится, то система может даже временно заблокировать ваш аккаунт.

Приходится сталкиваться с всплывающими окнами и в тех случаях, когда система защиты соцсети решает проверить, используете ли вы какие-либо запрещенные или продвижения собственной страницы. В данном случае речь идет о специальных софтинах, которые могут производить автоматическую накрутку лайков, рассылку приглашений в друзья и так далее. К числу таких программ относятся и популярные и sobot , которые активно используются для создания популярных сообществ и пабликов. Только представьте себе, какой бы помойкой стал вконтакте, если бы не отсеивал взлом, рекламу и рассылку спама!

Раскрути страницы и паблики VK с помощью Brobot

Учимся убирать captcha

Уверен, что большинство из вас сейчас серьезно озадачились тем, как обойти капчу вконтакте. К сожалению, проигнорировать ввод кода на сегодняшний день невозможно . Технологии, осуществляющие защиту сервиса посредством расшифровки набора символов, — обязательная мера безопасности социальной сети, которую вы не можете скрыть или просто убрать.

Все, что вы можете сделать для того, чтобы сократить частоту встреч с навязчивым кодом, — это предоставить вконтакте максимальную информацию о себе, заполнив соответствующие поля в анкете пользователя. Чем более «человеческой» будет ваша страница, тем реже вам придется производить распознавание captcha. Позаботьтесь о том, чтобы ваша страница в социальной сети была привязана к электронной почте и к реальному номеру мобильного.

Настройка профиля вк

Чтобы обезопасить себя от возможного взлома страницы вконтакте, я бы рекомендовал вам посетить вкладку «Безопасность », которая находится в разделе «Мои настройки ». Здесь вы сможете подключить наиболее сильную и надежную систему защиты, в виде смс-кодов подтверждения, приходящих на указанный вами мобильный телефон. Кроме того, хочу обратить ваше внимание на поле «История активности ».

В случае, если ваш аккаунт окажется в руках мошенников, то вы узнаете об этом, проверив «Историю активности ». Если в перечне адресов вы обнаружите сторонние IP и браузеры, которыми вы никогда не пользовались, это значит, что ваш аккаунт был взломан и, вполне вероятно, был использован для спам-рассылки. Чтобы исправить сложившуюся ситуацию, вам следует «Завершить все сеансы » кроме текущего, в котором вы находитесь, а затем изменить пароль доступа к своему профилю.

Что же касается того, как убрать капчу совсем, то здесь вам не остается ничего другого как разгадать зашифрованный набор символом и ввести его в специальное поле, расположенное рядом с картинкой. Согласитесь, что далеко не всегда у нас есть возможность в режиме реального времени распознавать captcha. Особенно проблематично это в случаях, когда мы запускаем скрипт и выполняем работу большими объемами. Как только поисковики заметят множественные запросы, мы тут же начнем разбираться с капчами, выскакивающими снова и снова.

Такая проблема очень близка вебмастерам и тем, кто ведет активную работу с постерами, спамерами и прочими автоматизированными программами. Чтобы избавиться от назойливых кодов, которые мешают вашей работе, вы можете воспользоваться помощью сервисов распознавания капч.

Популярные сервисы автоматического распознавания капчи

Сегодня в интернете можно найти множество сайтов, которые предлагают свои услуги по вводу капчи за деньги. Одними из наиболее популярных в сегменте рунета являются сервисы rucaptcha и anti-captcha. Предлагаю более детально разобрать каждый из них:

1. anti-captcha – многие знают этот сайт как антигейт капча. Сервис стабильно работает на протяжении целых 10 лет. Здесь за автоввод капчи приходится платить в долларах . Каждая тысяча разгаданных кодов обойдется вам в 40 центов. О том, как работать с этим сайтом, узнаете немного позже
2. rucaptcha – популярный сервис, где разгадывание капчи производится вручную. С его помощью вы можете обеспечить автоматический ввод капчи на своих проектах. Чтобы это сделать, необходимо иметь специальный ключ, который будет поступать через сервис к реальным людям, работающим на сайте, для его последующего распознавания. Стоимость такой услуги составляет всего-навсего 40 рублей за каждую разгаданную тысячу картинок. Принцип работы сервиса довольно прост: реальные люди регистрируются на сайте и обеспечивают себя . То есть, в течение суток на сайт приходят все новые и новые заказы на расшифровку кодов, а обычные пользователи интернета разгадывают их и получают за это денежное вознаграждение

Используй топовый сервис anti-captcha

Расшифровываем капчи с anti-captcha.com: инструкция по работе с сервисом

Чтобы раз и навсегда избавить себя от надоедливых всплывающих картинок с зашифрованными символами, просто воспользуйтесь следующей инструкцией по работе с сервисом анти-капчи:

В каких случаях не обойтись без ключей обхода капчи?

Многие пользователи запрещенных программ наивно полагают, что им не нужно пользоваться сервисами для распознавания капчи. Тем не менее, существует ряд программ, эксплуатация который будет просто невозможной без распознавания captcha. К числу таковых можно смело отнести:

Как можно заработать на распознавании captcha?

Многим новичкам интересно, насколько реально заработать на вводе капчи. Могу сказать, что здесь все зависит от того, сколько времени будет уделяться расшифровке кодов. По большому счету, работу на сервисах антикапчи нельзя назвать основным видом деятельности. Даже если вы весь день проведете за компьютером, будете непрерывно расшифровывать одну капчу за другой, то максимум, что вам удастся заработать, — это 2-3 доллара. Согласитесь, это совсем не те деньги, на которые вы сможете прожить целый месяц. Однако, вы вполне можете использовать эту деятельность в качестве подработки . Тех денег, что вы заработаете, вполне хватит для оплаты интернета или пополнения счета мобильного.

Беспроигрышным вариантом увеличения заработка на сайтах по распознаванию капчи станет участие в партнерских программах сервисов. Если вы имеете опыт в продвижении реферальных ссылок, то вы вполне можете сделать площадки антикапчи источником получения пассивного дохода . Все, что от вас требуется, - привлечь к работе на сервисах новых пользователей, которые будут расшифровывать коды, и получать свои реферские отчисления. Более детальную информацию о том, как происходит заработок на партнерских программах, вы можете узнать в моей отдельной статье.

+1 На рассмотрении

Если форма запроса в поддержке содержит капчу гугл, а в настройках капчи в магазине включен скрытый режим, форма не работает (пишет ошибку "Это поле обязательное", хотя все поля заполнены.Для временного исправления ситуации...

Капча не отображается

Обнаружил, что при использовании расширения PHP ImageMagick не работает капча в форме обратной связи {$wa->block("site.send_email_form")}. Как только переключился на GD, то капча заработала. Это у меня что-то не так или все же лучше...

Есть решение

Пишет Капча введена неверноСтандартная капча выдает тоже самоеПробовал чистить кэш браузера и удалял содержимое папки wa-cache не дало результатовhttp://fluxor.ru/signup/

Обратитесь к разработчику вашей темы дизайна. В исходном коде страницы капча запрашивается дважды, второй раз по кнопке Обратная связь в низу страницы. Там ее не видно, но в исходном коде она есть.

Есть решение

Добавляю капчу в форме потоке (модуль Поддержка), а она не выводится на сайте на стоковом шаблоне..

Есть решение

Добрый день!Некоторое время назад заметил, что капча на сайте работает неправильно. Какой бы код не вводил в это поле (верный код и не верный), капча не проходит проверку.... и...

{$wa->storage(["captcha", $wa->app()], "")}зачем такие танцы с бубнами?)) можно просто не вставлять {$wa->captcha()} в форму.проблема может быть если Вы пытаетесь использовать несколько капч на странице - решение попадалось на форуме...может плагин...а может кеш..гадать можно долго:)

Есть решение

В связи с последним обновлением до версии 1.8.4.225, в котором решались какие-то вопросы с reCAPTCHA и последующим быстрым обновлением до версии 1.8.5.226 возникла следующая проблема. Если включить в магазине в Настройках -> Оформление заказа показ...

А тем временем выкатили обновку. Надеюсь, что ничего нового не поломалось. Поставлю пока на тестовый хостинг. :)))

+1 Исправлено

При добавлении отзыва с настроенной невидимой капчей от Google при первом сабмите формы капча проходит, но если в форме были ошибки (не заполнены поля), то при отправке формы второй и последующий раз, капча не проходит...

+1

И что бы не происходило - ввод ЛЮБОГО кода капчи ВСЕГДА неправильный.