Pozdrav, dragi čitatelji bloga. Želio bih posvetiti samo malo vremena relativno novoj captchi od Googlea (najavljena je prije otprilike godinu dana), koja je zamijenila staru i zbunjujuću. Prije je vjerojatno malo zdravih blogera moglo staviti Googleovu zamisao na svoju web stranicu ili blog - bilo je vrlo zamorno rješavati zagonetke sa slovima koje su se tamo nudile. Izgubljena je sva pogodnost komentiranja.
Zapravo, u to daleko vrijeme još sam koristio . Da biste ga prošli samo ste morali staviti označite kućicu "Nisam robot". i sve (od svega mogućeg). Ako potvrdni okvir nije označen, poruka je pala u smeće u administratorskom području WordPressa ili ako je smeće onemogućeno (kao u mom slučaju), jednostavno nije dodana u bazu podataka. Idealna opcija, po mom mišljenju, jer nije stvorila nikakve posebne neugodnosti za komentatora.
Zatim je ovaj dodatak prestao raditi i uspješno sam ga koristio oko šest mjeseci, ali je i ova metoda prestala raditi nakon ažuriranja WordPressa na verziju 4.4. Tijekom tog vremena isprobao sam nekoliko dodataka koji su filtrirali spam na temelju analize primatelja i sadržaja (Antispam Bee i CleanTalk). Prvi je prilično zbunio (spam u ne spam, ali nespam u spam), a drugi, suprotno očekivanjima, nije smanjio, već povećao opterećenje poslužitelja (i to plaćenog).
Općenito, odlučio sam se vratiti na provjerenu metodu - instalacija najjednostavnije postojeće captcha. DCaptcha više ne radi, ali div Google je ozbiljno pojednostavio svoju inicijalno monstruoznu reCAPTCHA-u i sveo ček na isti check box “Nisam robot”. Nažalost, preglup sam da razumijem kako ovu stvar pričvrstiti na stranicu bez dodatka (iako sam pokušao), pa sam morao koristiti usluge No CAPTCHA reCAPTCHA dodatka. Ali prvo o svemu.
Metode za smanjenje neželjene pošte i zašto reCAPTCHA?
Kao što vjerojatno znate, neželjena pošta može biti ručna ili automatska. Od prvog se možete zaštititi samo tako da omogućite obavezno moderiranje svih dolaznih poruka prije objavljivanja na blogu - tada se sigurno neće probiti "rotkvice".
Ali ručni spam, u pravilu, je maleni potočić u usporedbi s punom rijekom automatskog spama. Potonje može generirati, na primjer, Khroomer u jednostavno fantastičnim količinama. Osobno me više iritira čak ni činjenica da nekoliko stotina spam komentara dolazi dnevno u moj WordPress administratorski dio, već činjenica da mogu biti monstruozno dugi i umoriti se od listanja kroz njih do gumba "Izbriši". Općenito, ovaj problem je stvaran i relevantniji što je vaš blog popularniji.
Nema smisla boriti se s manualnim spamom (jer je ta borba osuđena na propast i zbog neznatnog volumena), ali nešto treba učiniti s autospamom. Kao da postoji dva glavna pristupa:
- Filtrirajte komentare koji su već dodani u WordPress bazu podataka za spam/ne-spam i gurnite ih u odgovarajuće mape. Nažalost, dodaci koji rade na ovom principu proizvode mnogo smeća i nećete moći jednostavno isprazniti mapu Spam bez pregledavanja njezinog sadržaja osim ako ne želite izgubiti desetke uistinu vrijednih komentara koje su poslali aktivni čitatelji vašeg bloga.
- Priložite dodatnu potvrdu obrascu za dodavanje komentara kako biste utvrdili tko točno ostavlja ovu poruku - stvarna osoba ili bot. Zadatak utvrđivanja te razlike naziva se Turingov test i rješava se u velikoj većini slučajeva pomoću tzv. captcha (izvedeno od CAPTCHA, što je kratica za skup pametnih riječi). Glavni problem s ovom metodom borbe protiv spama je što komentatore opterećujete rješavanjem "rebusa" (captcha), što ih može obeshrabriti da nastave pokušavati ostaviti poruku.
Međutim, captcha, kao što sam već rekao, može biti vrlo jednostavna. Google je napravio ozbiljan korak u tom smjeru i to sada svoju novu reCAPTCHA jednostavno primjer jednostavnosti i gracioznosti za veliku većinu korisnika koji posjećuju vašu stranicu (iako se od malog broja njih može tražiti da unesu znakove sa slike ako algoritam sumnja u njegovu humanost).
Ovako će izgledati Googleova reCAPTCHA za 99,9% posjetitelja vaše web stranice:
Pa, ovako, u slučaju više sile (ako algoritam i dalje ne uspije nakon desetak testova za ljudskost):
O snazi ove zaštite može se suditi po tome što usluge prepoznavanja captcha (ili) naplaćuju dvostruko više novca za captcha. Vrlo rječit pokazatelj.
Pa, kao da je izbor napravljen, mora se provesti.
Registrirajte svoju stranicu s reCAPTCHA i instalirajte je na svoj blog
Registracija je jednostavno pokazatelj imena i naziva domene vaše web stranice, gdje planirate koristiti upravo ovu captcha:
Nakon toga, bit ćete preusmjereni na administrativnu ploču usluge reCAPTCHA za vašu stranicu (vjerojatno ima smisla dodati je u oznake preglednika). S vremenom će tamo biti prikazana statistika o radu ove captcha, ali za sada najvažnija stvar koju možemo izvući odavde je samo te iste ključeve, bez koje "Nisam robot" neće funkcionirati:
Ispod su upute za instalaciju. U području “Integracija na strani klijenta” sve je jasno, ali jednostavno instaliranje zadanog koda na navedena mjesta nije dovoljno. Prikazat će se captcha, ali neželjena pošta neće biti filtrirana. U području "integracije na strani poslužitelja" ne razumijem baš ništa. Preglup sam za ovo.
Stoga je odlučeno koristite dodatak za integraciju reCAPTCHA u WordPress, srećom, postoji dosta opcija za takve dodatke (pročitajte). Istina, tri od njih mi nisu radila (captcha se nije pojavila u području za dodavanje komentara). Nakon nekoliko neuspješnih pokušaja, morao sam se obratiti pametnim ljudima za rješenje, gdje je uočen dodatak zamršenog naziva (kao ulje, a ne ulje) koji je naknadno uspješno instaliran.
Postavljanje i rad No CAPTCHA reCAPTCHA dodatka u WordPressu
Pa, zapravo, idite na WordPress administratorsko područje, odaberite “Plugins” - “Add new” s lijevog izbornika, unesite No CAPTCHA reCAPTCHA u traku za pretraživanje i instalirajte. Ne zaboravite ga aktivirati, a zatim idite na njegove postavke na uobičajeni način (pri dnu lijevog izbornika pronaći ćete novu stavku "Bez CAPTCHA reCAPTCHA").
Zapravo, od svih postavki, ovdje je najvažnije ponovno unijeti ključeve dobivene malo iznad na web stranici reCAPTCHA:
Nakon spremanja ovih promjena, dodatak odmah brani vaše komentare od spamera.
I ne samo komentare. U postavkama možete zaštitite WordPress obrazac za prijavu administratora ovom captchom:
U postavkama možete zamijeniti svijetlu shemu boja recaptche tamnom, a možete dopustiti captchi da pogodi korisnikov jezik ili je prisilno instalirati.
Zapravo, to je sve. Još nisam prisilio resetiranje predmemorije u WordPressu (ažurirao sam samo one članke prema kojima Khrumer tradicionalno nije ravnodušan), tako da se reCAPTCHA ne prikazuje na svim stranicama. U dosadašnjem radu nisu primijećene nikakve pritužbe.
Sretno ti! Vidimo se uskoro na stranicama bloga
Više videa možete pogledati ako odete na");">
Moglo bi vas zanimati
Kako se riješiti neželjene pošte u WordPress komentarima u 5 minuta (bez captcha i bez dodataka) Lijevi izbornik nestao je u WordPress administratoru nakon ažuriranja Gdje preuzeti WordPress - samo sa službene web stranice wordpress.org 
Kako se prijaviti u administratorsko područje WordPressa, kao i promijeniti administratorsku prijavu i lozinku koju ste dobili prilikom instaliranja motora Kako onemogućiti komentare u WordPressu za pojedinačne članke ili cijeli blog, kao i ukloniti ili obrnuto omogućiti ih u predlošku
Danas mnoge stranice koristite captcha za zaštitu, što živcira većinu korisnika. Ponekad nije jasno zašto mala komercijalna mjesta trebaju captcha, jer uzrokuje odbijanje i smanjuje razinu prometa na resursu. Ne zaboravite i na captcha, koji se prikazuje kada šaljete poruke ili komentirate objave svojih prijatelja na društvenim mrežama.
- Koja vrsta captcha postoji?
- Kako zaobići captcha na web stranici?
- Kako zaraditi na captcha
Problem je što je korištenje takve zaštite popularno: ovo je zanimljiv primjer plagijata u online prostoru. Ali postoje dobre vijesti: postoje načini da se zaobiđe captcha.
Koja vrsta captcha postoji?
Tipična captcha uključuje unos pogrešnih brojeva. Postoje i druge vrste captcha.
To uključuje:
- kombinacija slova i brojeva u kodu, prihvaća i ruski i engleski;
- aritmetička operacija, najčešće elementarna, ali ponekad prilično složena. Obično se složeni captcha postavljaju na ozbiljne resurse.
- Slike. Ovdje je sve jednostavno, pred vama je slika na krivom mjestu. Pritiskom na tipku postavljate ga u pravilan položaj.
- slike u kojima treba istaknuti određenu skupinu predmeta na temelju jedne zajedničke karakteristike.
Što je captcha složenija, to je stranica ili drugi resurs bolje zaštićen. Captcha se može onemogućiti: sada ćemo pogledati kako točno.
Kako zaobići captcha na web stranici?
Malo je vjerojatno da ćete moći izbjeći pojavu captcha, ali sasvim je moguće osigurati da ga ne morate unositi.
Da biste to učinili, samo trebate preuzeti program koji će za vas dešifrirati kodove, tamo se registrirati i početi ih koristiti.
postojati različite vrste programa- za ručno i automatsko prepoznavanje captcha. Najpopularniji su Rucaptcha i Antigate. Nisu besplatni, ali cijena prepoznavanja captcha je prilično mala - od 18 rubalja za 1000 captcha na Rucaptchi i od 0,7 dolara za 1000 slika na Antigateu. Za prosječnog korisnika ovaj paket će dugo trajati.
Programi za automatsko prepoznavanje captcha su skuplji. Primjerice, najjeftiniji paket CapMonster 2 košta 37 dolara. Ali takvi programi nisu dizajnirani za prosječnog korisnika, već za one koji aktivno šalju poštu na mnoge adrese, jer su sposobni prepoznati nekoliko milijuna captcha dnevno.
Kada se program instalira i pusti u rad, više nećete morati dokazivati da niste robot - program će prepoznati captcha.
Moramo odati počast programerima - takvi programi uvelike pojednostavljuju naše živote. S druge strane, očito je da vas captcha neće spasiti od pravih robota, ali može itekako poremetiti živce običnim korisnicima interneta.
Pogledajte video - Kako omogućiti prepoznavanje captcha putem antigate, rucaptcha, captcha24, captchabot na DelphiXE5
Kako zaobići captcha koristeći dinamičku IP adresu
Postoji još jedan učinkovit način da se riješite captcha - naručite dinamičku IP adresu. Ova se usluga obično plaća, a njezina cijena ovisi o cijenama pružatelja usluga. Nakon toga u postavkama postavite najbržu automatsku promjenu adrese (npr. svake sekunde)
Ova će vas metoda zajamčeno spasiti od dosadne captcha - što znači da nećete morati razdraženo uzdahnuti svaki put kad program odluči provjeriti vašu ljudskost.
Ako se captcha pojavljuje prečesto, trebate saznati zašto se to događa? Ima smisla da korisnici preglednika Google Chrome provjeravaju proširenja. Na primjer, ako onemogućite proširenje za blokiranje oglasa AdBlock ili RDS bar dodatak, tada se captcha najvjerojatnije više neće pojavljivati.
Kako zaraditi na captcha
Ako vas nimalo ne živcira unos captche, možete i vi zaraditi na ovome. Da biste to učinili, morate pronaći uslugu u kojoj želite raditi kao "captcha daktilograf" i proći kroz proces registracije na stranici. Odmah nakon toga možete početi s radom. Što više captcha ispunite, više ćete novca dobiti. Teško je zamisliti lakši način zarade na internetu. Na Rucaptchi se cijena kreće od 1 do 10 kopejki za prepoznavanje jedne slike.
Ako vas zanima tema zarađivanja novca na internetu, ovdje ćete pronaći sve najnovije informacije 50 najboljih načina da zaradite novac online
Pa, u slučajevima kada nije moguće izbjeći captcha programski, CAPTCHA se unosi ručno korištenjem rada stvarnih ljudi koji te podatke šalju napadaču ili rješavaju captcha u stvarnom vremenu zahvaljujući API-ju.
Dakle, otkrili smo alate i motive hakera. Pogledajmo sada najčešće metode zaobilaženja CAPTCHA, razvrstavajući ih u dvije skupine: one koje su moguće zbog pogrešaka programera pri implementaciji CAPTCHA i one za koje se koriste moderne tehnologije.
Počnimo redom, a ja ću ih pokušati postaviti redoslijedom sve veće složenosti zaštite od njih, počevši od najprimitivnijih i završavajući s onima za koje metode zaštite još nisu izmišljene.
Da stvorim intrigu, reći ću da ih je trenutno tri.
Zaobilaženje captcha zbog pogrešaka u implementaciji
Ako pitate kreatore njihovih vlastitih CAPTCHA implementacija o tome kako zaobići captcha, reći će vam barem nekoliko načina. Ali najzanimljivije je da oni sami ponekad ostavljaju prozore i vrata u svojim kreacijama za hakiranje.
To se često događa zbog krivnje ljudskog faktora, odnosno obične nepažnje tijekom razvoja i nedostatka temeljitosti pri testiranju sigurnosti captcha.
Ali ponekad postoji i neiskustvo, zbog čega programer jednostavno nije bio svjestan nekih metoda zaobilaženja captcha u vrijeme razvoja.
Kao što sam obećao, u ovom odjeljku ću pogledati one najčešće, kao i načine zaštite od njih. I počnimo, kao što je obećano, s najprimitivnijom stvari.
Zaobilaženje captcha s fiksnim skupom zadataka
U zoru captcha, captcha koju sam napisao bio je vrlo popularan kao sredstvo borbe protiv botova, jer svi su željeli isprobati novu tehnologiju, a kao rezultat toga, captcha su izmislili svi koji nisu bili previše lijeni.
U slučaju korištenja captcha koje sami pišu, pri čijoj implementaciji su programeri odlučili ne zamarati se velikom bazom slika, pitanja ili drugih vrsta zadataka, za ciljani automatski napad na web mjesto s takvim CAPTCHA-om, samo morate ručno pronaći odgovore.
Oni. odemo na takvu stranicu, izaberemo odgovore, sastavimo bazu zadataka i točnih rješenja i napišemo bota za brute force napade koji će odabrati odgovarajuće opcije.
Ali, na sreću, u modernom svijetu nećete se moći susresti s mnogo takvih situacija, jer... kibernetička sigurnost je od tada dosegla vrlo respektabilnu razinu i nitko ne stvara takve primitivce.
A ako i postoje takvi ljudi, oni vrlo brzo uče na svojim greškama kada izgube kontrolu nad svojim stranicama ili klijentima koji su hakirani zbog takvih kreacija.
Zaštita: nikada ne stvarajte captcha sa skupom zadataka čija se rješenja mogu odabrati ručno. Ako za rješavanje captcha trebate riješiti matematički primjer ili unijeti znakove sa slike, tada bi se zadaci i odgovori na njih trebali automatski generirati.
Drugi način zaštite od takvog automatskog unosa captcha je promjena naziva polja obrasca u koje treba unijeti odgovor. Ako je naziv polja, na primjer, uvijek "captcha", tada će napadaču biti lakše probiti takav captcha. Njegov program robota jednostavno će poslati zahtjev poslužiteljskoj skripti navedenoj u HTML "action" atributu obrasca, koji sadrži traženu captcha vrijednost.
Ako je u ovoj situaciji naziv captcha polja cijelo vrijeme isti, tada će haker jednostavno koristiti bazu podataka najčešćih naziva captcha polja, koju možete sami sastaviti dok proučavate različite stranice ili preuzeti gotovu na specijaliziranim resursa (neću ih navoditi radi promicanja hakiranja).
Ako je naziv polja, kao i sam captcha zadatak, generiran na poslužitelju, tada nikakva baza podataka captcha imena neće pomoći. Kako bi se koristio dinamički naziv polja, u praksi captcha generira jedna skripta, a obrađuje druga.
U ovom slučaju, implementacija captcha ima jednu značajnu nijansu: skripta koja obrađuje ispravnost svog unosa morat će nekako proslijediti naziv captcha polja. To se najčešće radi pomoću skrivenog obrasca za unos, atributa podataka ili njihovog prosljeđivanja kroz kolačiće ili sesiju.
Ključna točka je da ne možete proslijediti ime izravno, tj. captcha polje se zove "captcha_mysite", a skriveno polje sadrži vrijednost "captcha_mysite" ili "site". Mora biti šifriran, a dešifriranje se mora izvršiti korištenjem istog algoritma kao kod šifriranja.
Budući da će algoritam enkripcije biti pohranjen na poslužitelju, napadač ga neće moći lako prepoznati (osim ako ne dobije pristup sadržaju skripte poslužitelja).
Usput, umjesto imena polja dovoljno je koristiti nasumični niz znakova, što je vrlo jednostavno dobiti u PHP-u pomoću funkcije uniqid().
Zaobići captcha pomoću sesija
Ako implementacija captcha uključuje pohranu točnog odgovora u sesiji, a sesija se ne kreira iznova nakon svakog unosa captcha, tada napadači mogu saznati identifikator sesije i saznati šifriranu vrijednost CAPTCHA.
Stoga mogu jednostavno odabrati algoritam šifriranja i koristiti ga za daljnje automatizirane brute force napade pomoću botova.
Također, ako u kodu za provjeru odgovora korisnika na poslužitelju programer ne provjeri je li varijabla sesije u kojoj se prenosi odgovor korisnika prazna, tada haker može koristiti identifikator nepostojeće sesije za koji će varijabla jednostavno ne postoji. 
Zbog ovog propusta, takvi captcha se mogu riješiti umetanjem nepostojećih ID-ova sesije i praznih captcha vrijednosti.
Zaštita: Bez obzira koliko se netko želi odreći korištenja sesija za prijenos captcha vrijednosti, ovo je vrlo visoka cijena koju treba platiti za osiguranje sigurnosti captcha od hakiranja. Stoga sesije, vrijednosti njihovih varijabli i identifikatore jednostavno treba pažljivo zaštititi kako haker ne bi mogao koristiti informacije pohranjene u njima.
Također je vrijedno izvršiti sve banalne, ali tako potrebne provjere varijabli za postojanje i prazninu njihovih vrijednosti.
Krekiranje captcha zbog tajnih podataka u kodu klijenta
Ponekad se captcha izrađuje na takav način da se prilikom prijenosa korisničkih vrijednosti na poslužitelj koristi enkripcija pomoću takozvane "soli", tj. dodavanje ID-a sesije, IP vrijednosti ili drugih jedinstvenih podataka u CAPTCHA vrijednost. Često to može biti jednostavan slučajni niz simbola.
A glavni uvjet za rješavanje captcha je da šifrirana CAPTCHA vrijednost koju je unio korisnik odgovara svojoj ispravnoj vrijednosti, koja je generirana prilikom otvaranja stranice i snimljena u sesiji ili drugoj pohrani za daljnji prijenos na poslužitelj.
Podudarnost ovih vrijednosti najvjerojatnije će ukazivati na to da je korisnik stvarna osoba koja je unijela captcha generiranu tijekom komunikacijske sesije, na kraju koje ju je riješio i to s istog računala na kojem je prvi put vidio captcha.
Ako se te jedinstvene vrijednosti ne podudaraju, najvjerojatnije je captcha automatski unio robot.
Ovaj mehanizam za zaštitu stranice od botova je dobro osmišljen, ali ponekad su te tajno generirane vrijednosti prisutne u HTML kodu stranice, odakle se mogu lako pročitati. Stoga možete konfigurirati njihovo automatsko čitanje pomoću programa i isti automatski unos prilikom prolaska captcha.
Zaštita: Kada sami implementirate CAPTCHA, morate uzeti u obzir ovu sigurnosnu rupu, a ako za rješavanje captcha trebate uzeti u obzir vrijednost nekog jedinstvenog identifikatora, onda morate paziti da on nije spomenut ni u JS ili u HTML kodu koji se može vidjeti u pregledniku.
Također morate ponovno stvoriti ID sesije i generirati druge jedinstvene vrijednosti (uključujući samu CAPTCHA, ako je moguće) nakon svakog pokušaja unosa captcha, što će vas spasiti ili barem otežati hakerima da hakiraju stranicu automatski odabire točnu vrijednost.
Drugi način zaštite je, ako je moguće, blokiranje radnji prema IP-u i broju pokušaja.
Kako zaobići captcha bez promjene IP-a
Brute force napad učinkovit je način za zaobilaženje captcha ne samo kada se provodi s fiksnim skupom zadataka i njihovih rješenja.
Još jedna pogreška u implementaciji CAPTCHA-e, koja je čini ranjivom na automatizirane napade, je nepostojanje vremenskih ograničenja za rješavanje captcha-e i broja pokušaja.
U ovom slučaju bit će moguće zaobići captcha pomoću posebnog programa koji će prikupiti bazu podataka pitanja ili odabrati odgovore s dostupnog popisa. Štoviše, sve će se to odvijati automatski zahvaljujući suvremenim metodama strojnog učenja i razvoju na području umjetne inteligencije koji je napravio veliki iskorak posljednjih godina.
Zaštita: Kada implementirate istinski sigurnu captcha, trebate ograničiti vrijeme za odgovor i broj pokušaja rješavanja captcha s jedne IP adrese kako biste blokirali napade robota grubom silom.
Na primjer, ako je prošlo manje od 2 sekunde između generiranja captcha i korisnikova odgovora, tada takvog korisnika smatrajte robotom i na zaslonu mu prikažite odgovarajuću poruku. Tekst poruke treba sadržavati upute stvarnim korisnicima da unos ne treba raditi tako brzo (u slučaju da je osoba fizički bila u mogućnosti brže unijeti odgovor).
Ako je to stvarno bila osoba, tada će poduzeti odgovarajuće mjere, a ako je robot, nastavit će pokušavati zaobići captcha.
Takve pokušaje treba smatrati netočnima, s njihovim brojem zabilježenim u varijabli sesije i blokiranjem daljnjih radnji za korisnike njihovim IP-om. Također bi bilo dobro za takve blokirane adrese izdati poruku za kontakt s administratorom umjesto captcha ako je blokirani korisnik stvarna osoba.
A još jedan učinkovit način borbe protiv botova je uvođenje ograničenja za određene radnje na web mjestu. Na primjer, jedna registracija s jednog IP-a. Ovdje je glavna stvar ne pretjerati i ne doseći ograničenja broja komentara za jednog jedinstvenog korisnika.
No, zapravo, ove mjere neće puno pomoći zahvaljujući postojanju proxy poslužitelja.
Zaobilaženje captcha pomoću proxyja
Čak iu situacijama kada se još uvijek događa blokiranje velikog broja pokušaja rješavanja captcha putem IP-a, ova mjera ne pruža 100% zaštitu od robota.
Sve je to zbog proxy poslužitelja i anonimnih programa koji rade na njihovoj osnovi, a koji su poznati možda svakom modernom učeniku koji traži načine za zaobilaženje roditeljske kontrole i blokiranje zabranjenih stranica. 
Anonimizatori vam omogućuju skrivanje računalnih podataka prilikom korištenja stranice, uključujući dragocjenu IP adresu, pomoću koje se klijent može identificirati i blokirati.
Shema je jednostavna: korisnik se spaja na proxy poslužitelj, gdje se njegovi podaci kriptiraju ili zamjenjuju s drugima (npr. može vam se dodijeliti IP adresa iz druge zemlje), a zatim se uputi zahtjev ciljnoj stranici na koju klijent se želi povezati.
Dakle, napadač može lako zaobići sve vaše IP blokove i birat će ispravno rješenje za captcha onoliko dugo koliko mu je potrebno.
A na nekim web stranicama gdje se captcha pojavljuje samo pri izvođenju velikog broja identičnih radnji (na primjer, u VK pri dodavanju velikog broja prijatelja), možda se uopće neće pojaviti ako se svaka radnja izvodi s novog IP-a i s vremenskim ograničenjima između pokušaja rješavanja captcha, tako da je ponašanje bota slično ponašanju stvarne osobe.
Ova metoda korištena je prije pola stoljeća pri pisanju prvih programa koji su prošli Turingov test, čija je implementacija CAPTCHA.
Usput, opisana načela koriste svi trenutno poznati programi za automatski unos captcha. Za promjenu IP adrese povezivanja na stranicu koriste se besplatnim i komercijalnim bazama podataka proxy poslužitelja, koje nije teško dobiti ako imate internet.
Zaštita: Nažalost, ne postoji način da se zaštitite od captcha hakiranja praćenjem napadača po IP-u, zahvaljujući prisutnosti anonimizatora i otvorenih PROXY baza podataka.
Jedina nada je da sami PROXY poslužitelji mogu nametnuti ograničenja na broj IP adresa koje koristi jedan korisnik i broj veza svakog od njih.
Iz tog razloga ne biste trebali u potpunosti napustiti IP provjeru. Zahvaljujući vašim mjerama opreza koje štite od captcha zaobilaženja, prije ili kasnije moći ćete blokirati hakera na jednoj ili drugoj razini.
I najispravniji zaključak u ovoj situaciji bio bi koristiti, osim ove metode zaštite od captcha hakiranja, druge koje pomažu razotkriti hakera na drugi način.
Automatski unos captcha pomoću emulatora radnji
Ako za dovršetak CAPTCHA trebate izvršiti određenu radnju (klik na gumb, pomicanje klizača itd.), tada također možete zaobići captcha u ovoj situaciji oponašanjem potrebne radnje (klik na određeni kontrolni element ili drugu radnju ).
Jedini problem s kojim se haker može susresti u ovoj situaciji jest kako programski pronaći željenu kontrolu na stranici.
Najlakši način da to učinite je pomoću njegovih koordinata ili položaja u odnosu na neke statične elemente izvora.
Zaštita: Da biste se zaštitili od automatskog unosa captcha u ovom slučaju, morate stalno mijenjati položaj kontrolnog elementa koji vam omogućuje rješavanje CAPTCHA. Oni. Ako od tri osobe trebate odabrati samo onu čija je ruka podignuta, ni u kojem slučaju ne smije biti stalno na istom mjestu.
Pa, u slučajevima drugih implementacija captcha, kada to nije moguće (primjerice, za gumb za preuzimanje ili polje "Ja nisam robot", koje može imati samo jedan točan odgovor), potrebno je koristiti druge metode zaštite koji može spriječiti robote da automatski rješavaju captcha.
Kako zaobići captcha pomoću visoke tehnologije
Pogledali smo slabe točke CAPTCHA implementacija, koje su sigurnosne rupe i najčešće su u praksi. Međutim, u praksi, čak i najbesprijekorniji captcha ponekad ne mogu zaštititi resurs koji ih koristi od hakerskih napada.
Ovakvi slučajevi hakiranja captcha izravna su posljedica modernog napretka i stupnja razvoja računalne tehnologije koja se, kao što znamo, ne koristi uvijek u dobre svrhe.
Dakle, kako izbjeći captcha pomoću moderne tehnologije?
Zaobići captcha pomoću OCR-a
OCR (Optical Character Recognition) je tehnologija za prepoznavanje tiskanog ili tipkanog teksta za njegovu daljnju upotrebu u elektroničkom obliku. Najpoznatiji softver koji implementira ovu tehnologiju je Adobe FineReader.
Uspješno se koristi u kreiranju programa za automatski unos captcha koji uspješno prepoznaju i rješavaju grafičke captcha, za čije dovršenje je potrebno unijeti niz znakova prikazan na slici. 
Hakeri, naravno, ne koriste Adobe FineReader (iako ih možda ima 🙂), ali pišu posebne skripte koje, koristeći razne gotove biblioteke za rad sa slikama ili koristeći mogućnosti jezika za rad s grafikom, prepoznaju captcha i proizvesti niz znakova, prikazan na njemu.
Na internetu sam pronašao dovoljan broj primjera takvih skripti. Princip njihovog rada bio je sljedeći:
- čišćenje slike koja se koristi u grafičkim CAPTCHA od raznih šumova;
- cijepanje prikazanog niza u pojedinačne znakove;
- usporedba svakog od njih s pripremljenom slikom (uzorkom).
Grafički uzorci pripremljeni su uzimajući u obzir različite fontove i moguća izobličenja (nagibi, rotacije itd.).
Kao što možda pretpostavljate, najvažnije je sastaviti bazu slika simbola u raznim varijantama, s kojima će se zatim usporediti captcha simboli.
Zaštita: zapravo, kako bi se zbunili OCR programi, koriste se neugodni šumovi i izobličenja znakova na slikama, zbog kojih je tekst ponekad teško razumljiv čak i osobi. No, u slučaju robota i to dobro funkcionira, zbog čega OCR algoritmi ne mogu dati 100% točan rezultat, što pozitivno utječe na sigurnost captche i stranica koje je koriste.
Ako se odlučite za korištenje grafičkih captcha, za koje morate unijeti znakove prikazane na slici, tada morate slijediti sljedeće preporuke:
- Simboli na različitim CAPTCHA-ama moraju imati različite koordinate.
- Ako koristite bilo kakve efekte buke za stvaranje pozadine, tada njezina boja mora odgovarati boji znakova, inače se pozadina može lako ukloniti isticanjem znakova za prepoznavanje.
- Razmak između znakova trebao bi biti minimalan. Možete ih čak i prekrivati jedne na druge, ali samo bez fanatizma, tako da ih pravi korisnici mogu prepoznati.
- Koristite različite fontove kako biste otežali odabir pravog za prepoznavanje.
- Iskrivite likove na sve moguće načine, promijenite njihov stil i debljinu.
- Koristite posebne biblioteke koje vam omogućuju promjenu znakova na takav način da će biti nemoguće odabrati font za njihovo softversko prepoznavanje. Primjer takvog rješenja je captcha kreatora resursa captcha.ru, koji se generira pomoću autorovog algoritma za izobličenje valovitog simbola.
Sve ove mjere omogućuju kompliciranje prepoznavanja grafičkog captcha za OCR sustave i smanjuju broj automatskih unosa captcha.
Kako prenijeti captcha pomoću neuronskih mreža
Ako je OCR prilično stara tehnologija (prvi patentirani uređaji poznati su početkom 20. stoljeća), onda su se umjetne neuronske mreže (ANN) pojavile tek u drugoj polovici prošlog stoljeća (50 godina je značajna starost za tehnologije: )).
Upravo su ANN algoritmi temelj umjetne inteligencije (AI), čiji je cilj stvaranje programa i uređaja obdarenih kreativnim funkcijama, tj. stvaranje čovjeka stvorenog čovjekom.
Trenutno se umjetna inteligencija neprestano razvija i svaki dan se pojavljuju novi izumi koji imaju do sada neviđena svojstva.
Na posljednjoj konferenciji o neuronskim mrežama na kojoj sam sudjelovao objavljeno je da je Google, koji aktivno sudjeluje u razvoju na ovom području, već najavio usluge javnog oblaka temeljene na ANN-ovima.
Pomoću njih možete:
- prepoznavati objekte na fotografijama (od spola prikazane osobe i marke njezinih traperica do toga kojoj igri pripada analizirana slika, s cjelokupnom paletom boja, nazivom lokacije i onoga što se na njoj događa);
- upravljanje uređajima glasom i gestama;
- pisati komentare za videozapise na temelju onoga što se događa u videozapisu itd.
Naravno, s ovim mogućnostima, stvaranje programa za automatski unos captcha pomoću ANN načela nije teško za upućene ljude.
Jedan takav proizvod razvio je Vicarious 2014. godine. Neuronska mreža koju je razvila sposobna je prepoznati captcha u 90% slučajeva (da vas podsjetim da je za rješavanje klasičnog Turingovog testa, a to je CAPTCHA, potreban samo 1% točnih odgovora).
Zaštita: Nažalost, nemoguće je zaštititi se od ove vrste napada. I srećom, ANN iz Vicariousa neće se koristiti za ciljane napade za zaobilaženje captcha na web stranicama, jer... preskup je za tako male zadatke (sami proizvođači kažu da se radi o klasteru više servera). Njegovo glavno područje primjene je rješavanje raznih problema u medicini i robotici.
A razbijanje captcha uz njegovu pomoć samo je demonstracija njegovih mogućnosti.
Ali vrijeme prolazi, tehnologije koje su još jučer bile skupe postaju sve jeftinije, a nije daleko vrijeme kada će ANN proizvodi postati široko rasprostranjeni. Stoga je sasvim moguće da će u budućnosti postojati botovi za automatski unos captcha, opremljeni umjetnom inteligencijom.
Zaobići captcha koristeći javne usluge
Kako su se OCR i AI sustavi razvijali, složenost grafičkih captcha postajala je sve složenija, što je omogućilo njihovim programerima da ulože ogromne napore tijekom implementacije. No, ipak su se pokazali uzaludnim, jer... nisu pružili 100% zaštitu za stranice od automatiziranih napada.
Stoga je Google krenuo, čini mi se, pravim putem i odlučio jednostavno izmisliti novi noCAPTCHA standard, odustajući od ručnog unosa znakova sa slika. 
Pri razvoju reCAPTCHA noCAPTCHA koristili smo iskustvo borbe s robotima u eri rođenja captcha i modernog razvoja na području umjetne inteligencije, što nam omogućuje da osiguramo odgovarajuću razinu sigurnosti stranice, ali i da ne zagorčavamo život za korisnike interneta.
No, unatoč činjenici da se ovaj standard pojavio relativno nedavno, 2015. godine, već je pronađen način za njegovo automatsko rješavanje. I ne leži u korištenju umjetne inteligencije.
Sve je mnogo banalnije - da biste prošli Google reCAPTCHA, samo trebate koristiti Googleove vlastite usluge prepoznavanja slika i govora.
Malo je vjerojatno da će prepoznavanje slike u slučaju reCAPTCHA v2 (ista noCAPTCHA) pomoći, jer za grafičke zadatke potrebno je odabrati slike koje sadrže potrebne objekte, a ne unositi prikazane simbole, kao što je to bio slučaj u prethodnoj verziji.
Ali usluge usluge Google Speech Recognition, koja je jedno od Googleovih dostignuća u području umjetne inteligencije, a koja je spomenuta u prethodnoj metodi zaobilaženja captcha, bit će vrlo korisne. Budući da usluga pruža API, stvaranje aplikacije na temelju njega nije teško.
Zaštita: Nažalost, u ovoj situaciji, kao i u prethodnoj, gdje su ANN-ovi korišteni za zaobilaženje captcha, neće biti moguće zaštititi od captcha zaobilaženja. Jedina pozitivna točka opet je relativna dostupnost odgovarajućih usluga, jer... Google vam daje probno razdoblje od samo 300 USD za njihovo korištenje.
Nakon njihovog završetka usluge se plaćaju. Ali to vjerojatno neće biti prepreka hakerima, jer... Oni mogu zaraditi još više od napada koji koriste automatski unos captcha.
Dakle, u slučaju korištenja servisa za prepoznavanje govora i slike za probijanje captche, jedina nada ostaje u budnosti njihove administracije koja može blokirati račun ako otkrije da se koristi isključivo u opisane svrhe.
Kako prenijeti captcha koristeći ljudski rad
Kako bih dovršio popis načina za zaobilaženje captcha, odlučio sam razmotriti jedan koji se ne uklapa ni u jednu od gore navedenih kategorija.
Ne temelji se na iskorištavanju ranjivosti CAPTCHA implementacija i korištenju modernih tehnologija, već se temelji na prirodnoj ljudskoj želji za zaradom.
U isto vrijeme, ova metoda pomaže razbiti captcha bilo koje složenosti u 100% slučajeva i, štoviše, učiniti to bez puno financijskih, fizičkih i moralnih napora.
Govorimo o jednoj od modernih metoda zarađivanja novca - koja se, usput rečeno, pojavila otprilike u vrijeme kada je CAPTCHA postalo teško prepoznati programski.
Njegova bit je da se stvara posebna usluga koja navodno omogućuje ljudima da zarade novac (uglavnom mali, koji može biti dovoljan samo za Indijce ili školarce koji traže bilo koji način da dođu do novca) ručnim rješavanjem captcha.
A svatko tko treba njihova rješenja može pružiti ove captcha.
Uglavnom, radi se o hakerima koji odgovore stvarnih korisnika koriste u svoje sebične svrhe:
- automatizacija zarade;
- slanje spama;
- kupnja ulaznica i robe u online trgovinama za skuplju preprodaju;
- hakiranje web stranice itd.
Kako bi proces bio praktičniji, usluge čak pružaju API, zahvaljujući kojem se captcha može dovršiti online. Oni. korisnik unosi captcha kroz uslugu, au tom trenutku njegov odgovor se koristi za potvrdu online kupnje.
Mnogi obrtnici u području programiranja, usput, mogu koristiti ljudski rad apsolutno besplatno. Na primjer, ovako zarađuju vlasnici porno stranica, servisa za dijeljenje datoteka, torrenta i drugih sumnjivih resursa koji pružaju besplatne usluge.
Korisnicima navodno besplatno daju vrijedan sadržaj, tražeći od nas potvrdu da ste osoba, a ne robot, uz pomoć kojeg napadači koriste njihove proizvode za vlastite potrebe.
Naravno, ne razmišljamo dugo, jer... dobiti priliku da potpuno besplatno preuzmete dugo očekivani film u HD kvaliteti tako što ćete označiti neki okvir u polju "Ja nisam robot" samo je sitnica. U međuvremenu, vaša API radnja koristi se za zaobilaženje captcha na drugoj web stranici treće strane.
Stoga moral: uvijek zapamtite da je besplatan sir samo u mišolovci i da ništa nije besplatno.
Zaštita: Nažalost, danas je ovo najučinkovitija metoda zaobilaženja captcha, protiv koje nema načina zaštite. A to se neće dogoditi sve dok ne nestanu oni koji teškom mukom žele zaraditi novčiće i ljubitelji besplatnog sadržaja, odnosno najvjerojatnije nikada.
Zaobilaženje captcha - zaključci
Dok sam pisao ovaj članak, došao sam do zaključka da captcha, unatoč izvrsnoj ideji s kojom je zamišljena, naime zaštiti web stranice od robota, odavno više ne ispunjava svoje funkcije.
Ako se još uvijek možete zaštititi od automatiziranih captcha premosnica koje koriste slabe točke u CAPTCHA implementacijama tako što ćete ukloniti sve probleme s njihovom sigurnošću, onda je jednostavno nemoguće zaštititi se od unosa captcha od strane stvarnih korisnika za novac. 
Jedina spasa u cijeloj ovoj situaciji je to što za ovakav posao plaćaju smiješne svote novca, a malo ljudi to pristaje raditi, pa razmjeri kibernetičkih napada automatskim unosom captcha nisu toliko katastrofalni koliko bi mogli biti.
Također, "nepobjedive" metode zaobilaženja captcha uključuju tehnologije umjetne inteligencije, koje se aktivno razvijaju posljednjih godina.
U isto vrijeme, kako bi hakerima zagorčali život, captcha se konstantno “napumpava” novim funkcionalnostima, što njihovo ispunjavanje čini teškim i zamornim zadatkom čak i za stvarne korisnike stranica.
Zapamtite isti Google reCAPTCHA: označite okvir, ako se Googleu nešto nije svidjelo, odaberite potrebne slike (usput, još uvijek imam problema s prometnim znakovima, jer takav zadatak mogu izvršiti negdje s 5 pokušaja). Je li puno gnjavaže ostaviti komentar ili se registrirati na stranici? Lakše je pronaći drugi izvor...
No, unatoč ovim mjerama opreza, captcha se trenutno ne može nazvati idealnim načinom zaštite od robota, zbog čega je mnogi kritiziraju i pokušavaju tražiti alternative.
Istodobno, činjenica da se CAPTCHA i dalje koristi kao tehnologija kibernetičke sigurnosti i da se neprestano razvija, uključujući i Google koji neće ulagati novac u sumnjive projekte, govori da će ova tehnologija još dugo postojati.
Stoga, prilikom razvoja i podrške postojećim stranicama koje koriste captcha, potrebno je aktivno koristiti navedene preporuke kako bi se hakerima što više otežalo hakiranje njihovog softvera.
I ne zaboravite podijeliti svoje mišljenje o postojećim metodama zaobilaženja captcha i mjerama zaštite od njih u komentarima ispod članka :)
p.s.: ako trebate web stranicu ili trebate napraviti izmjene na postojećoj, ali nemate vremena ili želje za to, mogu ponuditi svoje usluge.
Više od 5 godina iskustva profesionalni razvoj web stranice. Raditi sa PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, Reagirati, Kutni i druge tehnologije web razvoja.
Iskustvo u razvoju projekata na različitim razinama: odredišne stranice, korporativne web stranice, Internet trgovine, CRM, portali. Uključujući podršku i razvoj HighLoad projekti. Pošaljite svoje prijave e-poštom [e-mail zaštićen].
CAPTCHA: ljudi protiv računala
Na nekim web stranicama možda ste primijetili da ne možete nastaviti s izvođenjem radnji ili naručivanjem dok ne riješite skup nerazumljivih slova i slika. Nakon što pažljivo pregledate neke valovite linije, dešifrirate napisane riječi i unesete točnu frazu (riječi ili brojeve) u prazno polje, možete nastaviti s radnjama na web mjestu. Ovaj postupak je namijenjen kako bi stranica mogla potvrditi da vi to doista jeste osoba koja pregledava stranicu.
Ovaj test se zove CAPTCHA(Potpuno automatizirani javni Turingov test za razlikovanje ljudi i računala), a koristi se posvuda na Internetu. Web stranica za prodaju ulaznica Ticketmaster izvrstan je primjer korištenja CAPTCHA: bez takvog testa, "robot" bi potencijalno mogao kupiti milijune ulaznica za koncert ili događaj, a zatim ih preprodavati po višoj cijeni.
Naravno, malo je iritantno kad se od nas traži da odgonetnemo nerazumljivo napisanu kombinaciju slova i brojki svaki put kad želimo nešto učiniti. A to zahtijeva dodatno vrijeme. Svaki put kada trebate proći CAPTCHA test, gubite otprilike 10 sekundi svog života. Zbog toga je CAPTCHA stekla lošu reputaciju među korisnicima interneta, unatoč činjenici da je stvorena upravo kako bi nas zaštitila.
CAPTCHA sprječava cyber kriminalce
Louis Von Ahn, jedan od tvoraca CAPTCHA-e, nastavlja razvijati ovaj test u okviru Googlea, njegovog novog programera. Ovaj je projekt ponovno oživio u reCAPTCHA, proširenju Captcha testa koji uzima riječi sa skeniranih stranica starih knjiga (te je riječi računalu teže prepoznati). Dok štiti našu sigurnost, projekt istovremeno pomaže “ digitalizirati tekstove, slikovne bilješke i izgraditi skupove podataka za strojno učenje“... sada je barem ovih 10 dragocjenih sekundi iskorišteno za nešto vrijednije.
Sjajno je što pomažemo u digitalizaciji knjiga, ali kada je riječ o sigurnosti na internetu, je li CAPTCHA učinkovit?
Google CAPTCHA može se prelako zaobići
Trio istraživača sa Sveučilišta Columbia (New York) dokazao je kako je lako zaobići neke CAPTCHA-e. Takvi programi znatno otežavaju hakerima korištenje programiranih botova za automatsko i masovno prikupljanje adresa e-pošte, koje se zatim koriste za spam kampanje. Ali nisu potpuno pouzdani. Takvi se procesi mogu automatizirati, a kao rezultat toga, računala će moći proći reCAPTCHA testove jednako učinkovito kao vi i ja.
Vrlo često na internetu možete čuti takvu riječ kao captcha. Neki se korisnici žale da ne mogu unijeti captcha, a mi uopće ne možemo razumjeti o čemu govore. Nakon čitanja ovog članka saznat ćete što je captcha.
Zapravo, čak i ne znajući što riječ captcha znači, svatko se od nas stalno susreće s njom. Captcha je sigurnosni kod u obliku slike. Najčešće na web stranicama trebate unijeti captcha tijekom registracije ili slanja komentara. Ili, na primjer, ako izvršimo nekoliko sličnih radnji na društvenoj mreži VKontakte, od nas će se tražiti da unesemo captcha.
Nakon što smo shvatili što je captcha, odgovorimo na sljedeće pitanje: zašto je potreban captcha?? Ako je captcha sigurnosna mjera, od koga ili čega štiti? Kao što znamo, na internetu već postoji mnogo programa za razne namjene. Neki od tih programa pomažu automatizirati razne radnje na web stranicama. Na primjer: ostavljanje spam komentara na web stranicama, dodavanje prijatelja na VKontakte, brzo promoviranje Twitter računa.
Zapravo, možete automatizirati gotovo sve ljudske radnje na web stranici. Ali programi još nisu naučili čitati tekst sa slika i zato su mnoge stranice počele koristiti captcha, uključujući i ovu. Ako želite ostaviti komentar na ovaj članak, morat ćete unijeti captcha, srećom to je vrlo jednostavno. Odnosno, captcha je potrebna kako bi se web mjesto zaštitilo od slanja raznih neželjenih programa.
Vrste captcha
Postoji veliki izbor captcha. Pogledajmo najpopularnije vrste captcha:
Postoji mnogo više vrsta captcha, ali mi smo pogledali one najčešće koje se danas najčešće mogu naći na web stranicama.
Pomaže li captcha u zaštiti od neželjene pošte?
Na pitanje pomaže li captcha u zaštiti od spama, odgovor je jasan - captcha pomaže i višestruko smanjuje količinu spama na stranicama. Međutim, ne 100%. Sada postoje stranice na kojima ljudi ručno rješavaju captcha i za to su plaćeni. Program im samo treba poslati captcha sliku i dobiti spreman odgovor.
To ne znači da je captcha izgubila na važnosti. Ove usluge za ručno prepoznavanje captcha se plaćaju. Iako je jeftin, ne želi svatko platiti za njihovu pogodnost i učinkovit rad. A za programe koji nemaju ljudsku pomoć u rješavanju captcha, dobro pomaže.
A složenost captcha ne igra osobito važnu ulogu. Budući da ako captcha ne može riješiti osoba koja zarađuje unosom captcha, tada vaš ciljni posjetitelj, koji neće moći unijeti captcha da se registrira ili pošalje komentar, neće moći unijeti. A ako čitate ovaj članak kako biste shvatili trebate li instalirati captcha na svoju stranicu, svakako je instalirajte, ali ne jako komplicirano, jer će u ovom slučaju učiniti više štete nego koristi.
Gdje zaraditi unosom captcha?
Ako ste zainteresirani za priliku zaradite novac unosom captcha, tada možete saznati detalje o ovoj metodi zarađivanja novca na istom mjestu: mjesta za zarađivanje novca na captcha.
Ukratko, trebate odabrati mjesto (stranicu) gdje ćete zarađivati na captchi i tamo se registrirati. Zatim će vam biti poslane slike s captcha i poljem za unos. A za unos captcha ćete zaraditi novac. Ovo je vrlo
