Pozdrav, dragi čitaoci blog stranice. Doslovno malo vremena želim da posvetim relativno novoj captcha od Google-a (najavljena je prije otprilike godinu dana), koja je zamijenila staru i konfuznu. Ranije je vjerovatno nekoliko zdravih blogera moglo staviti zamisao Google-a na svoju web stranicu ili blog - bilo je vrlo turobno rješavati zagonetke slova koje su tamo ponuđene. Izgubljena je sva pogodnost komentarisanja.
Zapravo, u to daleko vrijeme, još uvijek sam koristio savršeno ispravan . Da biste ga prošli, samo ste morali staviti označite polje "Ja nisam robot" i sve (od svih mogućih). Ako polje za potvrdu nije označeno, onda je poruka pala u korpu na WordPress admin panelu ili kada je korpa onemogućena (kao u mom slučaju), jednostavno nije dodana u bazu podataka. Idealna opcija, po mom mišljenju, jer nije stvarala neke posebne neugodnosti komentatoru.
Onda je ovaj dodatak prestao da radi, i ja sam ga uspešno koristio oko šest meseci, ali je i ovaj metod prestao da radi nakon ažuriranja WordPress-a na verziju 4.4. Za to vrijeme sam isprobao nekoliko dodataka koji su filtrirali neželjenu poštu na osnovu analize adresata i sadržaja (Antispam Bee i CleanTalk). Prvi je dosta zbunio (spam nije spam, ali ne-spam je spam), a drugi, suprotno očekivanjima, nije smanjio, već povećao opterećenje servera (a i plaćeno).
Generalno, odlučio sam da se vratim na dokazanu metodu - instalacija najjednostavnijih postojećih captcha. DCaptcha više ne radi, ali gigantski Google je ozbiljno pojednostavio svoj prvobitno monstruozni reCAPTCHA i sveo cijelu provjeru na samo “Ja nisam robot” checkbox. Nažalost, previše sam glup da shvatim kako da povežem ovu stvar sa sajtom bez dodatka (iako sam to pokušao), pa sam morao da koristim usluge dodatka No CAPTCHA reCAPTCHA. Ali prvo stvari.
Tehnike ublažavanja neželjene pošte i zašto reCAPTCHA?
Kao što verovatno znate neželjena pošta može biti ručna i automatska. Od prvog se možete zaštititi samo tako što ćete uključiti obaveznu moderaciju svih dolaznih poruka prije nego što ih objavite na blogu - tada se sigurno neće probiti nikakav "rotkvica".
Ali ručna neželjena pošta obično je malen mlaz u poređenju sa punom rekom autospama. Ovo posljednje može proizvesti, na primjer, Khrumer u jednostavno fantastičnim količinama. Mene lično više ne nervira čak ni činjenica da nekoliko stotina neželjenih komentara dnevno dođe na moj WordPress admin panel, već činjenica da su monstruozno dugački i da se umorite od skrolovanja do dugmeta „Izbriši“. Općenito, ovaj problem je stvaran i sve relevantniji što je vaš blog popularniji.
Nema smisla baviti se ručnim spamom (zbog propasti ove borbe i zbog njenog neznatnog obima), ali nešto treba učiniti u vezi sa autospamom. Kao da postoji dva glavna pristupa:
- Filtrirajte komentare koji su već dodani u WordPress bazu podataka za neželjenu/ne-spam i gurnite ih u odgovarajuće foldere. Nažalost, dodaci koji rade na ovom principu daju mnogo brakova i samo brisanje Spam foldera bez pregleda njegovog sadržaja neće raditi ako ne želite da izgubite desetine zaista vrijednih komentara koje šalju aktivni čitaoci vašeg bloga.
- Priložite dodatnu ček formu za dodavanje komentara ko tačno ostavlja ovu poruku - živa osoba ili bot. Zadatak utvrđivanja ove razlike naziva se Turingov test i rješava se u velikoj većini slučajeva pomoću takozvane captcha (izvedene od CAPTCHA, što je skraćenica za skup pametnih riječi). Glavni problem sa ovom metodom borbe protiv neželjene pošte je to što komentatore opterećujete rješavanjem “rebusa” (captcha), što ih može obeshrabriti čak i od bilo kakve želje da nastave s pokušajima da ostave poruku.
Međutim, captcha je, kao što je već spomenuto, prilično jednostavna. Google je napravio veliki korak u ovom pravcu i sada njegova nova reCAPTCHA samo primjer jednostavnosti i elegancije za ogromnu većinu korisnika koji dolaze na vašu stranicu (iako se od malog broja njih ipak može tražiti da unesu znakove sa slike ako algoritam sumnja u njegovu humanost).
Ovako će izgledati Google reCaptcha za 99,9% posjetitelja vaše web stranice:
Pa, i ovako, u slučaju više sile (ako je algoritam, nakon provođenja desetak testova za čovječanstvo, još uvijek zbunjen):
O snazi ove zaštite može se suditi po tome što na servisima za prepoznavanje captcha (ili) uzimaju duplo više novca za recaptcha. Veoma retka cifra.
Pa, kao da je izbor napravljen - potrebno ga je provesti.
Registracija stranice u reCAPTCHA i instaliranje na vaš blog
Registracija je jednostavno naznaka imena i imena domene vaše web stranice, gdje planirate koristiti upravo ovu captcha:
Nakon toga, bićete odvedeni na admin panel reCAPTCHA servisa za vašu stranicu (vjerovatno ima smisla dodati je u markere pretraživača). S vremenom će se tamo prikazati statistika o radu ove captcha, ali za sada je najvažnija stvar koju ovdje možemo naučiti je samo iste ključeve, bez koje "ja nisam robot" neće raditi:
U nastavku su upute za instalaciju. Sve je jasno u oblasti "Integracija na strani klijenta", ali jednostavno instaliranje gornjeg koda na naznačena mesta nije dovoljno. Captcha će biti prikazana, ali neželjena pošta neće biti filtrirana. U oblasti „Integracija na strani servera“, ne razumem baš ništa. Glupa sam zbog ovoga.
Stoga je odluka donesena koristite dodatak za integraciju reCAPTCHA u WordPress, srećom, postoji mnogo opcija za takve dodatke (čitaj). Istina, tri od njih nisu radile za mene (captcha se nije pojavila u oblasti za komentare). Nakon nekoliko neuspješnih pokušaja, morao sam se obratiti pametnim ljudima za rješenje, gdje sam primijećen i naknadno uspješno instaliran plug-in zamršenog naziva (kao što je ne-uljano ulje) -.
Postavljanje i rad dodatka No CAPTCHA reCAPTCHA u WordPress-u
Pa, zapravo, idite na WordPress admin panel, izaberite "Plugins" - "Add New" sa lijevog menija, unesite No CAPTCHA reCAPTCHA u polje za pretragu i instalirajte. Ne zaboravite da ga aktivirate, a zatim idite na njegova podešavanja na uobičajen način (na dnu lijevog menija naći ćete novu stavku "Bez CAPTCHA reCAPTCHA").
Zapravo, ovdje je od svih postavki najvažnije, opet, unos ključeva dobijenih malo iznad na reCAPTCHA web stranici:
Nakon pohranjivanja ovih promjena, dodatak odmah zalaže se za vaše komentare od spamera.
I ne samo komentari. U postavkama možete zaštitite WordPress formular za prijavu administratora ovom captcha:
Čak iu postavkama možete zamijeniti svijetlu shemu boja recaptcha tamnom, i ili pustiti captcha da sama pogodi jezik korisnika, ili ga podesiti na silu.
Zapravo, sve. Još nisam forsirao keš resetovanje u WordPress-u (ažurirao sam samo članke na koje Hrumer tradicionalno nije ravnodušan), tako da se reCAPTCHA ne prikazuje na svim stranicama. Do sada nije bilo pritužbi na rad.
Sretno ti! Vidimo se uskoro na stranicama bloga
Više videa možete pogledati ako odete na");">
Možda ste zainteresovani
Kako se riješiti neželjene pošte WordPress-ovih komentara za 5 minuta (bez Captcha, bez dodataka) Nedostaje lijevi meni u WordPress administratoru nakon ažuriranja Gdje preuzeti WordPress - samo sa službene stranice wordpress.org 
Kako ući u WordPress admin panel, kao i promijeniti administratorsku prijavu i lozinku date prilikom instaliranja motora Kako onemogućiti komentare u WordPress-u za pojedinačne članke ili cijeli blog, kao i ukloniti ili obrnuto uključiti ih u predložak
Danas mnoge stranice koristite captcha za zaštitušto nervira većinu korisnika. Ponekad nije jasno zašto je captcha za male komercijalne stranice, jer uzrokuje odbijanje i smanjuje nivo prometa na resursu. Ne zaboravite i na captcha koje se prikazuju prilikom slanja poruka ili komentiranja objava vaših prijatelja na društvenim mrežama.
- Šta je captcha
- Kako zaobići captcha na web stranici?
- Kako zaraditi na captcha
Problem je u tome što je upotreba takve zaštite popularna: to je neobičan primjer plagijata u online prostoru. Ali ima dobrih vijesti: postoje načini da se zaobiđe captcha.
Šta je captcha
Tipičan captcha je unos iskrivljenih brojeva. Postoje i druge vrste captcha.
To uključuje:
- kombinacija slova i brojeva u kodu, prijem i ruskog i engleskog;
- aritmetička operacija, najčešće elementarna, ali ponekad prilično složena. Obično se složene captcha postavljaju na ozbiljne resurse.
- slike. Ovdje je sve jednostavno, pred vama je slika na pogrešnoj lokaciji. Pritiskom na dugme postavljate ga u ispravan položaj.
- slike u kojima je potrebno odabrati određenu grupu objekata prema jednoj zajedničkoj osobini.
Što je captcha složenija, to je stranica ili drugi resurs bolje zaštićen. Možete isključiti captcha: sada ćemo razmotriti kako točno.
Kako zaobići captcha na web stranici?
Malo je vjerovatno da ćete uspjeti izbjeći pojavu captcha, ali je sasvim moguće osigurati da ga ne morate unijeti.
Da biste to učinili, samo trebate preuzeti program koji će dešifrirati kodove umjesto vas, registrirati se tamo i početi ih koristiti.
Postoji različite vrste programa- za ručno i automatsko prepoznavanje captcha. Najpopularniji su Rucaptcha i Antigate. Nisu besplatni, ali cijena prepoznavanja captcha je prilično mala - od 18 rubalja za 1000 captcha na Rucaptcha i od 0,7 dolara za 1000 slika na Antigateu. Za običnog korisnika ovaj paket će trajati dugo vremena.
Programi za automatsko prepoznavanje captcha su skuplji. Na primjer, cijena najjeftinijeg paketa CapMonster 2 je 37 dolara. Ali takvi programi nisu dizajnirani za običnog korisnika, već za one koji aktivno šalju poštu na mnoge adrese, jer su u stanju prepoznati nekoliko milijuna captcha dnevno.
Kada se program instalira i pokrene, od vas se više neće tražiti da dokazujete da niste robot - program će prepoznati captcha.
Moramo odati počast programerima - takvi programi uvelike pojednostavljuju naše živote. S druge strane, očigledno je da vas captcha neće spasiti od pravih robota, ali može iscrpiti živce običnih korisnika interneta.
Pogledajte video - Kako omogućiti prepoznavanje captcha kroz antigate, rucaptcha, captcha24, captchabot na DelphiXE5
Kako zaobići captcha koristeći dinamičku IP adresu
Postoji još jedan efikasan način da se riješite captcha - naručite dinamičku IP adresu. Obično se ova usluga plaća, a njena cijena ovisi o tarifama provajdera. Nakon toga postavite najbržu automatsku promjenu adrese u postavkama (na primjer, svake sekunde)
Ova metoda će vas zajamčeno spasiti od dosadne captcha - što znači da nećete morati razdraženo uzdahnuti svaki put kada program odluči provjeriti vas za ljudskost.
Ako se captcha pojavljuje prečesto, morate saznati zašto se to događa? Ima smisla da korisnici Google Chromea provjere ekstenzije. Na primjer, ako onemogućite AdBlock ekstenziju za blokiranje oglasa ili dodatak RDS bar, najvjerovatnije se captcha više neće pojavljivati.
Kako zaraditi na captcha
Ako vas nimalo ne nervira unos captcha, onda možete i vi zaradite na tome. Da biste to učinili, morate pronaći uslugu u kojoj želite raditi kao "captcha maker" i proći proces registracije na stranici. Odmah nakon toga možete početi sa radom. Što više captcha ispunite, više novca ćete dobiti. Teško je smisliti lakši način da zaradite novac na internetu. Na Rucaptcha, stopa je od 1 do 10 kopejki za prepoznavanje jedne slike.
Ako vas zanima tema zarađivanja novca na internetu, ovdje ćete pronaći sve najrelevantnije informacije. 50 najboljih načina da zaradite novac na internetu
Pa, u slučajevima kada je nemoguće programski izbjeći captcha, CAPTCHA se unosi ručno koristeći rad stvarnih ljudi koji te podatke šalju napadaču ili rješavaju captcha u realnom vremenu zahvaljujući API-ju.
Dakle, razriješeni alati i motivi hakera. Pogledajmo sada najčešće načine zaobilaženja captcha, razvrstavajući ih u dvije grupe: one koji su mogući zbog grešaka programera prilikom implementacije CAPTCHA i one za koje se koriste moderne tehnologije.
Počnimo redom, a ja ću pokušati da ih rasporedim po sve većoj složenosti zaštite od njih, počevši od najprimitivnijih i završavajući s onima od kojih još nisu smislili načine zaštite.
Da napravim intrigu, reći ću da ih trenutno ima čak tri.
Captcha bypass zbog grešaka u implementaciji
Ako pitate kreatore njihovih vlastitih implementacija CAPTCHA o tome kako zaobići captcha, oni će vam reći barem nekoliko načina. Ali, najzanimljivije je to što i sami ponekad ostavljaju prozore i vrata u svojim kreacijama da ih razbiju.
To se često dešava zbog greške ljudskog faktora, odnosno uobičajene nepažnje tokom razvoja i nedovoljne temeljitosti prilikom testiranja sigurnosti captcha.
Ali, ponekad postoji i neiskustvo, zbog čega programer jednostavno nije znao za neke načine da zaobiđe captcha u vrijeme razvoja.
Kao što sam obećao, u ovom dijelu ću razmotriti one najčešće, kao i načine zaštite od njih. I počnimo, kao što smo obećali, sa samim primitivom.
Zaobiđite captcha sa fiksnim skupom zadataka
U zoru pojave captcha kao sredstva za borbu protiv botova, samostalno pisane captcha bile su vrlo popularne, jer. svi su htjeli isprobati novu tehnologiju, i kao rezultat, captcha su izmislili svi i svi.
U slučaju korištenja samostalno pisanih captcha, tokom čije implementacije su programeri odlučili da se ne zamaraju velikom bazom slika, pitanja ili drugih vrsta zadataka, za ciljani automatski napad na web lokaciju s takvom CAPTCHA, jednostavno morate saznati odgovore u ručnom načinu rada.
One. idemo na takvu stranicu, biramo odgovore, sastavljamo bazu podataka sa zadacima i ispravnim rješenjima i pišemo bota za napade grubom silom koji će odabrati odgovarajuće opcije.
Ali, srećom, u savremenom svijetu neće biti moguće sresti mnogo takvih situacija, jer. sajber sigurnost je od tada dostigla vrlo solidan nivo i niko ne stvara takve primitive.
A ako postoje takvi ljudi, onda vrlo brzo uče na svojim greškama kada izgube kontrolu nad svojim sajtom ili kupcima koji su hakovani zbog ovakvih kreacija.
zaštita: nikada ne kreirajte captcha sa skupom zadataka, čija se rješenja mogu odabrati ručno. Ako da biste riješili captcha morate riješiti matematički primjer ili unijeti znakove sa slike, tada bi se zadaci i odgovori na njih trebali generirati automatski.
Drugi način zaštite od takvog automatskog unosa captcha je promjena naziva polja obrasca u koje treba unijeti odgovor. Ako će naziv polja, na primjer, uvijek biti “captcha”, tada će napadaču biti lakše da provali takvu captcha. Njegov bot će samo poslati zahtjev serverskoj skripti navedenoj u HTML "action" atributu obrasca, koji sadrži potrebnu vrijednost captcha.
Ako je u ovoj situaciji naziv captcha polja stalno isti, tada će haker jednostavno koristiti bazu podataka najčešćih naziva captcha polja, koju možete sami kreirati proučavajući različite web stranice ili je preuzeti gotovu sa specijaliziranih resursa ( Neću ih nabrajati da promoviraju hakovanje).
Ako će se ime polja, kao i sam zadatak za prosljeđivanje captcha, generirati na serveru, onda nikakva baza captcha imena neće pomoći. Da bi se koristilo dinamičko ime polja, u praksi se captcha generiše od strane jedne skripte, a obrađuje druga.
U ovom slučaju, implementacija captcha ima jednu značajnu nijansu: skripta koja obrađuje ispravnost svog unosa morat će nekako proći ime polja captcha. To se najčešće radi korištenjem skrivenog unosa obrasca, atributa podataka ili njihovim prosljeđivanjem kroz kolačiće ili sesiju.
Ključna stvar je da ne možete direktno proslijediti ime, tj. captcha polje se zove "captcha_mysite", a skriveno polje je postavljeno na "captcha_mysite" ili "site". Mora biti šifriran, a dešifriranje se mora dogoditi koristeći isti algoritam kao i šifriranje.
Budući da će algoritam šifriranja biti pohranjen na serveru, napadač neće moći tek tako saznati (osim ako ne dobije pristup sadržaju serverske skripte).
Inače, dovoljno je koristiti nasumični niz znakova umjesto naziva polja, što je vrlo lako dobiti u PHP-u pomoću funkcije uniqid ().
Zaobiđite captcha koristeći sesije
Ako implementacija captcha uključuje pohranjivanje ispravnog odgovora u sesiji, a sesija se ne kreira ponovo nakon svakog unosa captcha, tada napadači mogu saznati ID sesije i saznati šifriranu CAPTCHA vrijednost.
Dakle, oni mogu lako da pokupe algoritam za šifrovanje i da ga koriste za dalje automatizovane napade grubom silom koristeći botove.
Također, ako u kodu za provjeru odgovora korisnika na serveru programer ne provjeri prazninu varijable sesije u kojoj se prenosi odgovor korisnika, tada haker može koristiti nepostojeći identifikator sesije, za koji varijabla jednostavno neće postojati. 
Zbog ovog propusta, takve captcha se mogu proslijediti ubacivanjem nepostojećih ID-ova sesije i praznih captcha vrijednosti.
zaštita: Koliko god bismo željeli prestati koristiti sesije za prosljeđivanje captcha vrijednosti, to je velika cijena koju treba platiti kako bismo zaštitili captcha od hakova. Stoga sesije, vrijednosti njihovih varijabli i identifikatora samo treba pažljivo zaštititi kako haker ne bi mogao koristiti informacije pohranjene u njima.
Također vrijedi napraviti sve banalne, ali takve neophodne provjere varijabli postojanja i praznine njihovih vrijednosti.
Probijanje captcha zbog tajnih informacija u kodu klijenta
Ponekad se captcha izrađuju na način da prilikom prijenosa korisničkih vrijednosti na server koriste enkripciju pomoću takozvane "soli", tj. dodavanje ID-a sesije, IP vrijednosti ili drugih jedinstvenih podataka u CAPTCHA vrijednost. Često to može biti jednostavan nasumični niz znakova.
A glavni uslov za rešavanje captcha je da šifrovana CAPTCHA vrednost koju je uneo korisnik odgovara njenoj ispravnoj vrednosti, koja je generisana kada je stranica otvorena i upisana u sesiju ili drugu memoriju za dalji prenos na server.
Podudarnost ovih vrijednosti će najvjerovatnije ukazati da je korisnik stvarna osoba koja je unela captcha generiranu tokom komunikacijske sesije, na čijem je kraju riješio i sa istog kompjutera na kojem je prvi put vidio captcha.
Ako se ove jedinstvene vrijednosti ne podudaraju, tada je, najvjerojatnije, robot automatski unio captcha.
Ovaj mehanizam za zaštitu stranice od botova je dobro osmišljen, ali ponekad su ove tajne generirane vrijednosti prisutne u HTML kodu stranice, odakle se mogu lako pročitati. Stoga možete konfigurirati njihovo automatsko čitanje uz pomoć programa i istog automatskog unosa prilikom prolaska captcha.
zaštita: kada sami implementirate CAPTCHA, morate uzeti u obzir ovu sigurnosnu rupu i, ako trebate uzeti u obzir vrijednost nekog jedinstvenog identifikatora za rješavanje captcha, onda morate biti sigurni da se ne spominje ni u JS-u ili u HTML kodu koji se može vidjeti u pretraživaču.
Također morate regenerirati ID sesije i generirati druge jedinstvene vrijednosti (uključujući i samu CAPTCHA, ako je moguće) nakon svakog pokušaja unosa captcha, što će vas uštedjeti ili barem otežati hakerima da hakuju stranicu tako što automatski bira tačnu vrijednost.
Drugi način zaštite je, ako je moguće, blokiranje akcija po IP-u i broju pokušaja.
Kako zaobići captcha bez promjene IP adrese
Brute force napad je efikasan način da se zaobiđe captcha ne samo u slučajevima kada se implementira sa fiksnim skupom zadataka i njihovim rješenjima.
Još jedna greška u implementaciji CAPTCHA, koja ga čini ranjivim na automatske napade, je nedostatak vremenskih ograničenja za rješavanje captcha i broja pokušaja.
U tom slučaju bit će moguće zaobići captcha pomoću posebnog programa koji će prikupiti bazu podataka ili odabrati odgovore s postojeće liste. Štaviše, sve će to biti urađeno automatski zahvaljujući savremenim metodama mašinskog učenja i razvoju u oblasti veštačke inteligencije, koji su poslednjih godina napravili veliki korak napred.
zaštita: kada implementirate zaista sigurnu captcha, morate ograničiti vrijeme za odgovor i broj pokušaja rješavanja captcha s jedne IP adrese kako biste blokirali napade grube sile od strane robota.
Na primjer, ako je između generiranja captcha i odgovora korisnika prošlo manje od 2 sekunde, tada takvog korisnika smatrajte robotom i prikažite odgovarajuću poruku na ekranu. Tekst poruke treba da sadrži uputstva stvarnim korisnicima da unos ne treba vršiti tako brzo (u slučaju da je osoba fizički bila u mogućnosti da brže unese odgovor).
Ako je to zaista bila osoba, onda će poduzeti odgovarajuće mjere, a ako se radilo o robotu, nastavit će pokušavati zaobići captcha.
Takve pokušaje treba smatrati netačnim s fiksiranjem njihovog broja u varijabli sesije i blokiranjem daljih radnji za korisnike putem njihove IP adrese. Također bi bilo korisno da takve blokirane adrese izdaju poruku umjesto captcha da kontaktiraju administratora ako je blokirani korisnik stvarna osoba.
I još jedan efikasan način da se nosite sa botovima je uvođenje ograničenja za određene radnje na sajtu. Na primjer, jedna registracija sa jedne IP adrese. Ovdje je glavna stvar ne flertovati i ne dostići granice u broju komentara za jednog jedinstvenog korisnika.
Ali, istina, ove mjere neće puno pomoći zbog postojanja proxy servera.
Zaobiđite captcha pomoću proxyja
Čak iu situacijama kada blokiranje velikog broja pokušaja rješavanja captcha putem IP-a i dalje dolazi, ovaj događaj ne pruža 100% zaštitu od robota.
Za sve je kriv proxy server i programi anonimizatora koji rade na njihovoj osnovi, a koji su poznati, možda, svakom modernom studentu koji traži načine da zaobiđe roditeljsku kontrolu i blokira zabranjene stranice. 
Anonimizatori vam omogućavaju da sakrijete računarske podatke prilikom korišćenja sajta, uključujući željenu IP adresu, pomoću koje se klijent može izračunati i blokirati.
Shema je jednostavna: korisnik se povezuje na proxy server, gdje su njegovi podaci šifrirani ili lažirani od strane drugih (na primjer, može vam biti dodijeljena IP adresa druge zemlje), a zatim se šalje zahtjev ciljnoj stranici na koju klijent želi da se poveže.
Tako će napadač lako zaobići sve vaše IP blokove i odabrati ispravno captcha rješenje onoliko dugo koliko mu je potrebno.
A na nekim web-lokacijama na kojima se captcha pojavljuje samo prilikom izvođenja velikog broja identičnih radnji (na primjer, na VK-u kada dodajete veliki broj prijatelja), možda se uopće neće pojaviti ako se svaka radnja izvodi s nove IP adrese i podliježe isteku vremena između pokušaja rješavanja captcha, tako da je ponašanje bota slično ponašanju stvarne osobe.
Ova metoda je korištena prije pola stoljeća pri pisanju prvih programa kako bi se položio Turingov test, čija je implementacija CAPTCHA.
Opisani principi, inače, koriste svi trenutno poznati programi za automatski unos captcha. Za promjenu IP adrese konekcije na stranicu koriste besplatne i komercijalne baze podataka proxy servera, do kojih, ako je internet dostupan, neće biti teško doći.
zaštita: nažalost, zahvaljujući prisutnosti anonimizatora i otvorenih PROXY baza podataka, nećete se moći zaštititi od captcha hakovanja praćenjem uljeza putem IP-a.
Jedina nada je da sami PROXY serveri mogu nametnuti ograničenja na broj IP-ova koje koristi jedan korisnik i broj konekcija sa svakog od njih.
Iz tog razloga, uopće ne biste trebali odbijati provjeru IP-a. Zahvaljujući vašim mjerama opreza protiv zaobilaženja captcha, bit će moguće prije ili kasnije blokirati hakera na jednom ili drugom nivou.
A najispravniji zaključak u ovoj situaciji bi bio da se, pored ove metode zaštite od captcha hakovanja, koriste i drugi koji pomažu da se haker razotkrije na drugačiji način.
Automatski unos captcha pomoću emulatora akcije
Ako za prolazak CAPTCHA-e morate izvršiti određenu radnju (pritiskom na dugme, pomicanjem klizača itd.), onda možete i zaobići captcha u ovoj situaciji simulacijom potrebne radnje (klikom na određenu kontrolu ili drugu radnju) .
Jedini problem sa kojim se haker može suočiti u ovoj situaciji je kako programski pronaći željenu kontrolu na stranici.
Najlakši način da to učinite je pomoću njegovih koordinata ili položaja u odnosu na neke statičke elemente resursa.
zaštita: kako biste se u ovom slučaju zaštitili od automatskog unosa captcha, morate stalno mijenjati poziciju kontrole koja vam omogućava da riješite CAPTCHA. One. ako od tri čovječuljčića treba izabrati samo onog sa podignutom rukom, ni u kom slučaju ga ne treba stalno postavljati na isto mjesto.
Pa, u slučajevima drugih implementacija captcha, kada to nije moguće (na primjer, za dugme za preuzimanje ili polje "Ja nisam robot" koje može imati samo jedan tačan odgovor), potrebno je koristiti drugu zaštitu metode koje mogu spriječiti robote da automatski rješavaju captcha.
Kako zaobići captcha koristeći visoku tehnologiju
Razmotrili smo slabe tačke implementacije CAPTCHA, koje su sigurnosne rupe i koje su najčešće u praksi. Međutim, u praksi, čak i najbesprijekornije captcha ponekad nisu u stanju zaštititi resurs koji ih koristi od hakerskih napada.
Ovi slučajevi captcha hakovanja su direktan rezultat savremenog napretka i stepena razvoja kompjuterskih tehnologija, koje se, kao što znate, ne koriste uvijek u dobre svrhe.
Dakle, kako izbjeći captcha uz pomoć modernih tehnologija?
Zaobiđite captcha pomoću OCR-a
OCR (Optical Character Recognition - optičko prepoznavanje znakova) je tehnologija za prepoznavanje štampanog ili kucanog teksta za dalju upotrebu u elektronskom formatu. Najpoznatiji softver koji implementira ovu tehnologiju je Adobe FineReader.
Uspješno se koristi pri kreiranju programa za automatski unos captcha koji uspješno prepoznaju i rješavaju grafičke captcha, za prolaz kojih je potrebno unijeti niz znakova prikazanih na slici. 
Hakeri, naravno, ne koriste Adobe FineReader (iako ih možda ima 🙂), već pišu posebne skripte koje, koristeći razne gotove biblioteke za rad sa slikama ili koristeći mogućnosti jezika za rad sa grafikom, prepoznaju captcha i izdati niz znakova, prikazan na njemu.
Na internetu sam pronašao dovoljan broj primjera takvih skripti. Princip njihovog rada bio je sljedeći:
- čišćenje slike koja se koristi u grafičkim CAPTCHA od raznih šuma;
- razdvajanje prikazanog niza na zasebne znakove;
- poređenje svakog od njih sa pripremljenom slikom (uzorkom).
Grafički uzorci su pripremljeni uzimajući u obzir različite fontove i moguća izobličenja (nagibi, okreti, itd.).
Kao što ste možda pretpostavili, najvažnije je sastaviti bazu podataka slika znakova u različitim varijacijama, s kojima će se zatim uporediti captcha znakovi.
zaštita: zapravo, kako bi se zbunili OCR programi, koriste se svi dosadni šumovi i izobličenja znakova na slikama, zbog kojih je tekst ponekad teško razaznati čak i za osobu. Ali, u slučaju robota, to također dobro funkcionira, zbog čega OCR algoritmi ne mogu dati 100% tačan rezultat, što pozitivno utječe na sigurnost captcha i stranica koje ga koriste.
Ako se odlučite koristiti grafičke captcha, za koje trebate unijeti znakove prikazane na slici, tada morate slijediti sljedeće preporuke:
- Znakovi na različitim CAPTCHA-ima moraju imati različite koordinate.
- Ako koristite bilo kakve efekte buke za kreiranje pozadine, tada njena boja mora odgovarati boji znakova, inače se pozadina može lako ukloniti isticanjem znakova za prepoznavanje.
- Razmak između znakova trebao bi biti minimalan. Možete ih čak i preklopiti jedan na drugi, ali samo bez fanatizma, tako da ih pravi korisnici mogu prepoznati.
- Koristite različite fontove kako biste otežali odabir pravog za prepoznavanje.
- Iskrivite likove na sve moguće načine, promijenite njihov stil i debljinu.
- Koristite posebne biblioteke koje vam omogućavaju da promijenite znakove na takav način da će biti nemoguće odabrati font za njihovo softversko prepoznavanje. Primjer takvog rješenja je captcha od kreatora captcha.ru resursa, koji je generiran korištenjem autorskog algoritma za valovito izobličenje karaktera.
Sve ove mjere omogućavaju kompliciranje prepoznavanja grafičkih captcha za OCR sisteme i smanjenje broja automatskih captcha unosa.
Kako proći captcha koristeći neuronske mreže
Ako je OCR prilično stara tehnologija (prvi patentirani uređaji bili su poznati početkom 20. stoljeća), onda su se umjetne neuronske mreže (ANN) pojavile tek u drugoj polovini prošlog stoljeća (za tehnologije je 50 godina značajna starost). 🙂).
Upravo su ANN algoritmi koji su u osnovi umjetne inteligencije (AI), čija je svrha stvaranje programa i uređaja koji imaju kreativne funkcije, tj. stvaranje čovjeka koji je napravio čovjek.
U ovom trenutku, AI se stalno razvija, i svakim danom postoji sve više izuma koji imaju svojstva koja do sada nisu viđena.
Na posljednjoj konferenciji o neuronskim mrežama, kojoj sam prisustvovao, objavljeno je da je Google, koji se aktivno bavi razvojem u ovoj oblasti, već najavio javne usluge u oblaku zasnovane na ANN-ovima.
Uz njihovu pomoć možete:
- prepoznaju objekte na fotografijama (od spola prikazane osobe i marke njegovih farmerki kojoj igri pripada analizirana slika, sa svom svojom paletom boja, nazivom lokacije i onim što se na njoj dešava);
- upravljanje uređajima glasom i pokretima;
- pisati komentare na video na osnovu onoga što se dešava u videu itd.
Naravno, sa ovim mogućnostima, stvaranje programa za automatski unos captcha koristeći principe ANN-a nije teško za upućene ljude.
Jedan takav proizvod razvio je Vicarious 2014. godine. Neuronska mreža koju je razvila sposobna je prepoznati captcha u 90% slučajeva (da vas podsjetim da je samo 1% tačnih odgovora potrebno za rješavanje klasičnog Turingovog testa, a to je CAPTCHA).
zaštita: Nažalost, nemoguće je odbraniti se od ove vrste napada. I srećom, Vicariousov ANN neće se koristiti za ciljane napade kako bi se zaobišli captcha na web stranicama. preskup je za tako male zadatke (sami proizvođači kažu da se radi o klasteru velikog broja servera). Njegovo glavno područje primjene je rješavanje raznih problema u medicini i robotici.
A razbijanje captcha uz njegovu pomoć samo je demonstracija mogućnosti.
Ali vrijeme prolazi, tehnologije koje su juče bile skupe postaju sve jeftinije, a vrijeme kada će ANN proizvodi postati široko rasprostranjeni nije daleko. Stoga je sasvim moguće da će u budućnosti postojati botovi za automatski unos captcha, opremljeni umjetnom inteligencijom.
Zaobiđite captcha koristeći javne usluge
Kako su OCR i AI sistemi evoluirali, složenost grafičkih captcha postajala je sve složenija, što je omogućilo njihovim programerima da ulože ogromne napore u implementaciji. Ali ipak su se ispostavile kao uzaludne, jer. nisu pružili 100% zaštitu sajtova od automatizovanih napada.
Stoga je Google otišao, čini mi se, pravim putem i odlučio jednostavno izmisliti novi noCAPTCHA standard, odbijajući ručno unositi znakove sa slika. 
Prilikom razvoja reCAPTCHA noCAPTCHA koristili smo iskustvo borbe protiv robota u eri rađanja captcha i modernog razvoja u oblasti veštačke inteligencije, što nam omogućava da obezbedimo odgovarajući nivo bezbednosti sajta, ali u isto vreme nije mnogo komplikovano. život korisnika interneta.
No, unatoč činjenici da se ovaj standard pojavio sasvim nedavno, 2015. godine, već je pronađen način da se on automatski riješi. I to je daleko od upotrebe vještačke inteligencije.
Sve je mnogo banalnije - da biste položili Google reCAPTCHA, dovoljno je koristiti Google vlastite usluge za prepoznavanje slike i govora.
Malo je vjerovatno da će prepoznavanje slike u slučaju reCAPTCHA v2 (ista noCAPTCHA) pomoći, jer. za grafičke zadatke potrebno je odabrati slike koje sadrže potrebne objekte, a ne unositi prikazane znakove, kao što je bio slučaj u prethodnoj verziji.
Ali usluge Google Speech Recognition servisa, koje je jedno od Googleovih dostignuća na polju umjetne inteligencije, koje su spomenute u prethodnoj metodi zaobilaženja captcha, bit će vrlo korisne. Budući da usluga pruža API, nije teško kreirati aplikaciju na osnovu njega.
zaštita: Nažalost, u ovoj situaciji, kao iu prethodnoj, gdje su ANN korišteni za zaobilaženje captcha, nećete se moći zaštititi od zaobilaženja captcha. Jedina pozitivna stvar je opet relativna dostupnost odgovarajućih usluga, kao Google daje samo 300 USD testa za njihovo korištenje.
Nakon njihovog završetka usluge se plaćaju. Ali, za hakere, malo je vjerovatno da će to biti prepreka, jer. na napadima koji koriste automatski captcha unos, mogu zaraditi još više.
Dakle, u slučaju korištenja servisa za prepoznavanje govora i slika za razbijanje captcha-a, jedina nada ostaje za budnost njihove administracije, koja može blokirati račun ako utvrdi da se koristi isključivo u opisane svrhe.
Kako proći captcha koristeći ljudski rad
Na kraju liste načina da zaobiđete captcha, odlučio sam razmotriti onaj koji se ne uklapa ni u jednu od gore navedenih kategorija.
Ne zasniva se na korištenju ranjivosti u implementaciji CAPTCHA i korištenju modernih tehnologija, već se zasniva na prirodnoj ljudskoj želji za zaradom.
A u isto vrijeme, ova metoda pomaže razbiti captcha bilo koje složenosti u 100% slučajeva i, štoviše, učiniti to bez puno financijskih, fizičkih i moralnih napora.
Riječ je o jednom od modernih načina izvlačenja novca - koji se, inače, pojavio otprilike u vrijeme kada je CAPTCHA postalo teško programski prepoznati.
Njegova suština leži u činjenici da se stvara poseban servis koji navodno omogućava ljudima da zarađuju novac (uglavnom mali, što može biti dovoljno samo za Indijance ili školarce koji traže bilo kakav način da dođu do novca) ručnim rješavanjem captcha.
I svako kome su potrebna njihova rješenja može pružiti ove captcha.
U osnovi, ovo su hakeri koji koriste odgovore stvarnih korisnika u svoje sebične svrhe:
- automatizacija zarade;
- slanje neželjene pošte;
- kupovina karata i robe u online trgovinama za skuplju preprodaju;
- hakerske stranice itd.
Za praktičniji proces, usluge čak pružaju API, zahvaljujući kojem se captcha može ispuniti na mreži. One. korisnik unese captcha putem servisa, a u ovom trenutku njegov odgovor se koristi za potvrdu kupovine putem interneta.
Mnogi majstori u oblasti programiranja, inače, mogu koristiti ljudski rad apsolutno besplatno. Na primjer, ovako zarađuju za život vlasnici porno sajtova, hostinga datoteka, torrenta i drugih sumnjivih resursa koji pružaju besplatne usluge.
Korisnicima navodno besplatno daju vrijedan sadržaj, zahtijevajući od nas da potvrdimo da ste osoba, a ne robot, uz pomoć kojeg napadači koriste njihove proizvode u svoje svrhe.
Naravno, ne razmišljamo dugo, jer dobiti priliku da preuzmete dugo očekivani film u HD kvaliteti apsolutno besplatno za stavljanje neke vrste kvačice u polje "Ja nisam robot" je samo sitnica. U međuvremenu, vaša API radnja se koristi za zaobilaženje captcha na drugom web mjestu treće strane.
Otuda i moral: uvijek zapamtite da je besplatni sir samo u mišolovci i ništa nije besplatno.
zaštita: nažalost, danas je ovo najefikasnija metoda zaobilaženja captcha, od koje ne postoje sredstva zaštite. I neće biti dok se ne prebace oni koji žele da zarade mukom i ljubitelji besplatnih sadržaja, odnosno, najvjerovatnije - nikad.
Captcha bypass - zaključci
U toku pisanja ovog članka došao sam do zaključka da captcha, unatoč odličnoj ideji s kojom je zamišljen, a to je zaštita stranica od robota, odavno više ne ispunjava svoje funkcije.
Ako se i dalje možete zaštititi od automatskih zaobilaženja captcha koji koriste slabosti u implementaciji CAPTCHA tako što ćete eliminirati sve probleme s njihovom sigurnošću, onda je jednostavno nemoguće zaštititi se od unosa captcha od strane stvarnih korisnika za novac. 
U cijeloj ovoj situaciji jedino spašava to što se za ovakav posao plaća smiješan novac i malo tko na to pristaje, pa razmjeri sajber napada korištenjem automatskog unosa captcha nisu toliko katastrofalni koliko bi mogli biti.
Također, "nepobjedivi" načini zaobilaženja captcha uključuju tehnologije umjetne inteligencije, koje se aktivno razvijaju posljednjih godina.
Istovremeno, kako bi se zakomplikovao život hakera, captcha se stalno "napumpava" novom funkcionalnošću, zbog čega njihov prolazak postaje težak i zamoran zadatak čak i za stvarne korisnike stranice.
Prisjetite se istog Google reCAPTCHA: označite kućicu ako se Google-u nešto nije svidjelo, odaberite i potrebne slike (usput, još uvijek imam problema sa putokazima, jer takav zadatak mogu završiti negdje sa 5 pokušaja). Nije li velika gužva oko ostavljanja komentara ili registracije na stranici? Lakše je pronaći drugi resurs...
No, uprkos ovim mjerama opreza, captcha se trenutno ne može nazvati besprijekornim načinom zaštite od robota, zbog čega je mnogi kritiziraju i pokušavaju tražiti alternative za nju.
Istovremeno, činjenica da se CAPTCHA i dalje koristi kao tehnologija cyber odbrane i da se stalno razvija, uključujući i Google, koji neće ulagati novac u sumnjive projekte, sugerira da će ova tehnologija postojati još dugo.
Stoga je pri razvoju i održavanju postojećih stranica koje koriste captcha potrebno aktivno koristiti navedene preporuke kako bi se hakerima što više otežao život za njihovo hakovanje softvera.
I ne zaboravite podijeliti svoje mišljenje o postojećim načinima zaobilaženja captcha i mjerama zaštite od njih u komentarima ispod članka 🙂
P.S.: ako vam je potrebna web stranica ili trebate napraviti izmjene na postojećoj, a nemate vremena i želje za to, mogu vam ponuditi svoje usluge.
Preko 5 godina iskustva profesionalni razvoj web stranica. Radite sa PHP, opencart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, Reaguj, Ugaoni i druge tehnologije za web razvoj.
Iskustvo u razvoju projekata na različitim nivoima: odredišne stranice, korporativne web stranice, Online kupovina, CRM, portali. Uključujući podršku i razvoj Projekti visokog opterećenja. Svoje prijave šaljite e-poštom [email protected].
CAPTCHA: ljudi protiv kompjutera
Na nekim web stranicama možete primijetiti da ne možete nastaviti obavljati bilo kakvu radnju ili naručiti sve dok ne otkrijete skup nerazumljivih slova i slika. Nakon što pažljivo pregledate neke valovite linije, dešifrujete napisane riječi i unesete ispravnu frazu (riječi ili brojeve) u prazno polje, možete nastaviti sa svojim radnjama na stranici. Ovaj proces je osmišljen kako bi se osiguralo da stranica može potvrditi da ste zapravo - osoba koja pregledava stranicu.
Takav test se zove CAPTCHA(Potpuno automatizirani javni Turingov test za razlikovanje ljudi i kompjutera) i koristi se na cijelom Internetu. Web stranica za prodaju karata Ticketmaster je odličan primjer upotrebe CAPTCHA: bez takvog testa, "robot" bi potencijalno mogao kupiti milione karata za koncert ili događaj i zatim ih preprodati po višoj cijeni.
Naravno, zahtjev da svaki put kada želimo nešto da uradimo razmrsi nerazumljivo napisanu kombinaciju slova i brojeva je pomalo neugodan. I potrebno je dodatno vrijeme. Svaki put kada trebate završiti CAPTCHA test, gubite otprilike 10 sekundi svog života. Zbog toga je CAPTCHA stekla lošu reputaciju među korisnicima interneta, unatoč činjenici da je stvorena upravo da bi osigurala našu sigurnost.
CAPTCHA ometa sajber kriminalce
Louis Von Ahn, jedan od kreatora CAPTCHA, nastavlja da razvija ovaj test u okviru Google-a, njegovog novog programera. Ovaj projekat je oživljen u reCAPTCHA, proširenju Captcha testa koji uzima riječi sa skeniranih stranica starih knjiga (riječi koje je kompjuter teže prepoznati). Dok štitimo našu sigurnost, projekat istovremeno pomaže “ digitalizovati tekstove, komentarisati slike i izgraditi skupove podataka za mašinsko učenje“…sada se barem tih 10 dragocjenih sekundi koristi za nešto više vrijedno.
Sjajno je što pomažemo u digitalizaciji knjiga, ali kada je u pitanju internetska sigurnost, ali da li je CAPTCHA efikasan?
Prelako je zaobići Google CAPTCHA
Trio istraživača sa Univerziteta Kolumbija (Njujork) je dokazao kako je lako zaobići neke CAPTCHA. Takvi programi hakerima znatno otežavaju korištenje programiranih botova za automatsko i masovno prikupljanje adresa e-pošte, koje se zatim koriste za spam kampanje. Ali nisu potpuno pouzdani. Takvi procesi se mogu automatizirati, a kao rezultat toga, računari mogu proći reCAPTCHA testove jednako efikasno kao i mi.
Vrlo često na internetu možete čuti riječ kao što je captcha. Neki korisnici se žale da ne mogu unijeti captcha, a mi ne razumijemo ni o čemu pričaju. Nakon što pročitate ovaj članak, znat ćete šta je captcha.
Zapravo, čak i ne znajući šta znači riječ captcha, svako od nas se s njom susreće cijelo vrijeme. captcha je sigurnosni kod u obliku slike. Najčešće na web lokacijama trebate unijeti captcha prilikom registracije, slanjem komentara. Ili, na primjer, ako izvršimo nekoliko sličnih radnji na društvenoj mreži Vkontakte, od nas će se tražiti da unesemo captcha.
Nakon što smo shvatili šta je captcha, odgovorimo na sljedeće pitanje, zašto vam treba captcha? Ako je captcha mjera zaštite, od koga ili čega onda štiti? Kao što znamo, na Internetu već postoji veliki broj programa za različite namjene. Neki od ovih programa pomažu u automatizaciji različitih radnji na web stranicama. Na primjer: ostavite neželjene komentare na web lokacijama, dodajte prijatelje na Vkontakte, brzo promovirajte twitter nalog.
U stvari, možete automatizirati gotovo svaku ljudsku radnju na stranici. Ali programi još nisu naučili čitati tekst sa slika i zato su mnoge stranice počele koristiti captcha, uključujući i ovu. Ako želite ostaviti komentar na ovaj članak, morat ćete unijeti captcha, na sreću vrlo lako. Odnosno, captcha je potrebna kako bi se stranica zaštitila od slanja raznih neželjenih programa.
Vrste captcha
Captcha su veoma raznolike. Pogledajmo najpopularnije vrste captcha:
Postoji mnogo više varijanti captcha, ali smo razmotrili one najčešće koje se danas najčešće mogu naći na stranicama.
Da li captcha pomaže u zaštiti od neželjene pošte?
Na pitanje da li captcha pomaže u zaštiti od neželjene pošte, odgovor je nedvosmislen - captcha pomaže i višestruko smanjuje količinu neželjene pošte na stranicama. Međutim, ne 100%. Sada postoje stranice na kojima ljudi ručno rješavaju captcha i za to bivaju plaćeni. Program treba samo da im pošalje captcha sliku i dobije spreman odgovor.
To ne znači da je captcha izgubila na važnosti. Ove usluge se, ručnim prepoznavanjem captcha, plaćaju. Iako je jeftin, ne žele svi platiti za njihovu udobnost i efikasan rad. A od programa koji osoba ne pomaže u rješavanju captcha, dobro pomaže.
A složenost captcha ne igra posebno važnu ulogu. Budući da ako captcha ne može riješiti osoba koja zarađuje unosom captcha, onda vaš ciljni posjetitelj neće moći ući u nju, koji neće moći unijeti captcha da se registruje ili pošalje komentar. A ako pročitate ovaj članak da shvatite da li trebate staviti captcha na svoju web stranicu, svakako je stavite, ali ne jako teško, jer će u ovom slučaju učiniti više štete nego koristi.
Gdje zaraditi unosom captcha?
Ako ste zainteresovani za priliku zaradite unosom captcha, onda možete detaljno saznati o ovom načinu zarade na istoj stranici: stranice za zaradu na captcha.
Ukratko, tada morate odabrati mjesto (stranicu) gdje možete zaraditi na captcha i tamo se registrovati. Zatim će vam biti poslane slike sa captcha i poljem za unos. A za unos captcha-a zaradit ćete novac. Ovo je veoma
