Ciao cari lettori del sito blog. Letteralmente voglio dedicare un po' di tempo a un captcha relativamente nuovo di Google (è stato annunciato circa un anno fa), che ha sostituito quello vecchio e confuso. In precedenza, probabilmente pochi blogger che avevano in mente potevano mettere il frutto di Google sul loro sito Web o blog: era troppo triste per risolvere i puzzle di lettere offerti lì. Tutta la comodità di commentare è stata persa.
In realtà, a quel tempo lontano, ne usavo ancora uno perfettamente funzionante. Per passarlo, dovevi solo mettere un segno di spunta nella casella "Non sono un robot" e tutto (di tutto il possibile). Se la casella di controllo non è stata selezionata, il messaggio è caduto nel carrello nel pannello di amministrazione di WordPress o quando il carrello è stato disabilitato (come nel mio caso), semplicemente non è stato aggiunto al database. L'opzione ideale, secondo me, perché non ha creato particolari inconvenienti per il commentatore.
Quindi questo plugin ha smesso di funzionare e l'ho usato con successo per circa sei mesi, ma anche questo metodo ha smesso di funzionare dopo aver aggiornato WordPress alla versione 4.4. Durante questo periodo, ho provato un paio di plugin che filtrano lo spam in base all'analisi del destinatario e del contenuto (Antispam Bee e CleanTalk). Il primo era piuttosto confuso (lo spam non è spam, ma il non spam è spam) e il secondo, contrariamente alle aspettative, non ha ridotto, ma ha aumentato il carico sul server (e persino pagato).
In generale, ho deciso di tornare al metodo collaudato - installazione del più semplice captcha esistente... DCaptcha non funziona più, ma il gigante Google ha seriamente semplificato il suo reCAPTCHA inizialmente mostruoso e ridotto l'intero controllo alla stessa casella di controllo "Non sono un robot". Purtroppo sono troppo stupido per capire come collegare questa cosa a un sito senza plugin (anche se ci ho provato), quindi ho dovuto utilizzare i servizi del plugin No CAPTCHA reCAPTCHA. Ma prima le cose principali.
Metodi di riduzione del carico di spam e perché reCAPTCHA?
Come probabilmente sai lo spam può essere manuale o automatico... Puoi proteggerti dal primo solo attivando la moderazione obbligatoria di tutti i messaggi in arrivo prima di pubblicarli sul blog, quindi di sicuro nessun "ravanello" sfonda.
Ma lo spam manuale, di regola, è un filo fragile rispetto al fiume in piena dell'auto spam. Quest'ultimo può essere generato, ad esempio, da Hrumer in volumi fantastici. Personalmente, sono più infastidito nemmeno dal fatto che diverse centinaia di commenti spam giungano nella mia area di amministrazione di WordPress al giorno, ma che possono essere mostruosamente lunghi e ti stanchi di scorrere fino al pulsante "Elimina". In generale, questo problema è reale e più rilevante è il tuo blog più popolare.
Non ha senso combattere lo spam manuale (a causa del destino di questa lotta e per il suo volume insignificante), ma è necessario fare qualcosa con lo spam automatico. C'è, per così dire due approcci principali:
- Filtra i commenti già aggiunti al database di WordPress per spam/non spam e inseriscili nelle cartelle appropriate. Sfortunatamente, i plugin che funzionano su questo principio danno molti rifiuti e semplicemente non sarai in grado di svuotare la cartella "Spam" senza visualizzarne il contenuto se non vuoi perdere decine di commenti davvero preziosi inviati da lettori attivi del tuo blog.
- Allega un segno di spunta aggiuntivo al modulo per aggiungere un commento su chi lascia esattamente questo messaggio: una persona dal vivo o un bot. Il compito di identificare questa differenza è chiamato test di Turing e viene risolto nella stragrande maggioranza dei casi utilizzando il cosiddetto captcha (derivato da CAPTCHA, che è l'abbreviazione di un insieme di parole intelligenti). Il problema principale di questo metodo di lotta allo spam è che infastidisci i commentatori risolvendo i "rebus" (captcha), che possono scoraggiarli dal continuare a provare a lasciare un messaggio.
Tuttavia, i captcha, come ho detto, sono abbastanza semplici. Google ha fatto un passo importante in questa direzione e ora il suo nuovo reCAPTCHA solo un esempio di semplicità e grazia per la stragrande maggioranza degli utenti che sono venuti sul tuo sito (sebbene a un piccolo numero di essi possa ancora essere chiesto di inserire caratteri dall'immagine se l'algoritmo ha dubbi sulla sua umanità).
Ecco come reCaptcha di Google cercherà il 99,9% dei visitatori del tuo sito web:
Bene, così, in caso di forza maggiore (se l'algoritmo, dopo aver condotto una dozzina di test per l'umanità, diventa comunque confuso):
La durata di questa protezione può essere giudicata dal fatto che i servizi per il riconoscimento del captcha (o) addebitano il doppio del denaro per un riepilogo. Un indicatore molto significativo.
Bene, come se la scelta fosse fatta, devi implementarla.
Registrare un sito in reCAPTCHA e installarlo sul tuo blog
La registrazione è semplicemente un'indicazione del nome e del nome di dominio del tuo sito, dove prevedi di utilizzare questo stesso captcha:
Successivamente, verrai indirizzato al pannello di amministrazione del servizio reCAPTCHA per il tuo sito (probabilmente ha senso aggiungerlo ai segnalibri del browser). Nel tempo, lì verranno visualizzate le statistiche sul funzionamento di questo captcha, ma per ora la cosa più importante che possiamo imparare da qui è solo quelle stesse chiavi, senza il quale "Non sono un robot" non funzionerà:
Di seguito sono riportate le istruzioni di installazione. Nell'area "Integrazione lato client" tutto è chiaro, ma la semplice installazione del codice fornito nei luoghi specificati non è sufficiente. Verrà visualizzato il captcha, ma lo spam non verrà filtrato. Nell'area di "Integrazione lato server" non capisco proprio nulla. Sono stupido per questo.
Quindi la decisione è stata presa usa un plugin per integrare reCAPTCHA in WordPress Fortunatamente, ci sono molte opzioni per tali plugin (leggi). È vero, tre di loro non hanno funzionato per me (il captcha non è apparso nell'area per l'aggiunta di commenti). Dopo diversi tentativi falliti, ho dovuto rivolgermi a persone intelligenti per una soluzione, dove sono stato notato e successivamente installato con successo un plug-in con un nome intricato (come l'olio non è olio) -.
Configurazione e funzionamento del plugin No CAPTCHA reCAPTCHA in WordPress
Bene, infatti, vai al pannello di amministrazione di WordPress, seleziona "Plugin" - "Aggiungi nuovo" dal menu di sinistra, inserisci No CAPTCHA reCAPTCHA nella casella di ricerca e installa. Non dimenticare di attivarlo, quindi vai alle sue impostazioni nel solito modo (in fondo al menu a sinistra troverai una nuova voce "No CAPTCHA reCAPTCHA").
In realtà, qui di tutte le impostazioni, la più importante è, ancora una volta, inserire le chiavi ottenute appena sopra nel sito Web di reCAPTCHA:
Dopo aver salvato queste modifiche, il plug-in verrà eseguito immediatamente difende i tuoi commenti dagli spammer.
E non solo commenti. Nelle impostazioni puoi proteggi con questo captcha e il modulo di accesso dell'amministratore di WordPress:
Anche nelle impostazioni, puoi sostituire lo schema di colori chiaro del recaptcha con uno scuro e anche consentire al captcha di indovinare la lingua dell'utente da solo o installarlo forzatamente.
In realtà, questo è tutto. Non ho ancora resettato forzatamente la cache in WordPress (ho aggiornato solo quegli articoli a cui Hrumer tradizionalmente non è indifferente), quindi reCAPTCHA non viene visualizzato su tutte le pagine. Finora, non sono state notate lamentele nel lavoro.
Buona fortuna a te! A presto sulle pagine del sito blog
puoi guardare più video andando su");">
Potresti essere interessato
Come sbarazzarsi dello spam nei commenti di WordPress in 5 minuti (senza captcha e senza plugin) Menu sinistro mancante nell'area di amministrazione di WordPress dopo l'aggiornamento Dove scaricare WordPress - solo dal sito ufficiale wordpress.org 
Come accedere all'area di amministrazione di WordPress e modificare il login e la password dell'amministratore forniti durante l'installazione del motore Come disabilitare i commenti in WordPress per singoli articoli o per l'intero blog, nonché rimuoverli o viceversa, abilitarli nel modello
Molti siti oggi usa captcha per protezione che infastidisce la maggior parte degli utenti. A volte non è chiaro perché il captcha sia per piccoli siti commerciali, perché provoca il rifiuto e riduce il livello di traffico sulla risorsa. Non dimenticare anche i captcha, che vengono visualizzati quando si inviano messaggi o si commentano i post dei tuoi amici sui social network.
- Che cos'è il captcha?
- Come bypassare il captcha sul sito?
- Come guadagnare con i captcha
Il problema è che l'uso di tale protezione è popolare: questo è un esempio interessante di plagio nello spazio online. Ma c'è anche una buona notizia: ci sono modi per aggirare il captcha.
Che cos'è il captcha?
Il tipico captcha è l'input di numeri distorti. Esistono anche altri tipi di captcha.
Questi includono:
- una combinazione di lettere e numeri nel codice, la ricezione sia del russo che dell'inglese;
- operazione aritmetica, il più delle volte elementare, ma a volte piuttosto complessa. Di solito i captcha complessi vengono inseriti su risorse serie.
- immagini. Tutto è semplice qui, davanti a te c'è un'immagine nella posizione sbagliata. Premendo il pulsante, lo si imposta nella posizione corretta.
- immagini in cui è necessario evidenziare un determinato gruppo di oggetti in base a una caratteristica comune.
Più il captcha è complesso, meglio è protetto il sito o altra risorsa.Puoi disabilitare il captcha: come esattamente, lo considereremo ora.
Come bypassare il captcha sul sito?
È improbabile che sia possibile evitare la comparsa di captcha, ma farlo in modo da non doverlo inserire è del tutto possibile.
Per fare ciò, devi solo scaricare un programma che decrittograferà i codici per te, registrarti lì e iniziare a usarli.
esiste diversi tipi di programmi- per il riconoscimento captcha manuale e automatico. I più popolari sono Rucaptcha e Antigate. Non sono gratuiti, ma il prezzo del riconoscimento captcha è piuttosto basso: da 18 rubli per 1000 captcha su Rucaptcha e da $ 0,7 per 1000 immagini su Antigate. Per un utente normale, un tale pacchetto sarà sufficiente per molto tempo.
I programmi per il riconoscimento automatico del captcha sono più costosi. Ad esempio, il pacchetto CapMonster 2 più economico costa $ 37. Ma tali programmi non sono progettati per un utente normale, ma per coloro che inviano attivamente messaggi a molti indirizzi, perché sono in grado di riconoscere diversi milioni di captcha al giorno.
Una volta installato e avviato il programma, non sarà più necessario dimostrare di non essere un robot: il programma riconoscerà il captcha.
Dobbiamo rendere omaggio agli sviluppatori: tali programmi semplificano notevolmente la nostra vita. D'altra parte, è ovvio che captcha non ti salverà dai veri robot, ma potrebbe esaurire i nervi dei normali utenti di Internet.
Guarda il video - Come abilitare il riconoscimento captcha tramite antigate, rucaptcha, captcha24, captchabot su DelphiXE5
Come bypassare il captcha utilizzando un indirizzo IP dinamico
C'è un altro modo efficace per sbarazzarsi di captcha: ordinare un indirizzo IP dinamico. Di solito questo servizio è a pagamento e il suo costo dipende dalle tariffe del provider. Successivamente, imposta la modifica automatica dell'indirizzo più veloce nelle impostazioni (ad esempio, ogni secondo)
Questo metodo è garantito per salvarti dal fastidioso captcha, il che significa che non dovrai sospirare irritato ogni volta che il programma decide di metterti alla prova per l'umanità.
Se il captcha appare troppo spesso, devi scoprire perché sta succedendo? Ha senso che gli utenti di Google Chrome controllino le estensioni. Ad esempio, se disattivi l'estensione di blocco degli annunci AdBlock o il plug-in della barra RDS, molto probabilmente il captcha non verrà più visualizzato.
Come guadagnare con i captcha
Se non sei affatto infastidito inserendo captcha, puoi farlo anche tu fare soldi su di esso... Per fare ciò, è necessario trovare un servizio in cui si desidera lavorare come "compositore captcha" e completare il processo di registrazione sul sito. Subito dopo, puoi iniziare a lavorare. Più scrivi captcha, più soldi ottieni. È difficile pensare a un modo più semplice per fare soldi su Internet. Su Rucaptcha, la velocità va da 1 a 10 copechi per il riconoscimento di un'immagine.
Se sei interessato al tema del fare soldi su Internet, qui troverai tutte le informazioni più rilevanti 50 modi migliori per fare soldi online
Ebbene, nei casi in cui è impossibile evitare programmaticamente il captcha, il CAPTCHA viene inserito manualmente utilizzando il lavoro di persone reali che inviano questi dati all'attaccante o risolvono il captcha in tempo reale grazie all'API.
Quindi, gli strumenti e le motivazioni degli hacker sono stati risolti. Diamo ora un'occhiata ai modi più comuni per aggirare CAPTCHA, ordinandoli in due gruppi: quelli che sono possibili a causa di errori dei programmatori nell'implementazione di CAPTCHA e quelli per i quali vengono utilizzate le moderne tecnologie.
Cominciamo con ordine, e cercherò di disporli in ordine crescente della complessità della protezione contro di loro, iniziando da quelli più primitivi e finendo con quelli contro i quali non sono stati ancora inventati metodi di protezione.
Per creare intrigo, dirò che ce ne sono tre al momento.
Bypassa captcha a causa di errori di implementazione
Se chiedi ai creatori delle tue implementazioni CAPTCHA su come aggirare il captcha, ti diranno almeno diversi modi. Ma la cosa più interessante è che loro stessi a volte lasciano finestre e porte nelle loro creazioni per romperle.
Questo accade spesso per colpa del fattore umano, ovvero della solita disattenzione durante lo sviluppo e dell'insufficiente accuratezza nel testare la sicurezza dei captcha.
Ma a volte si verifica anche l'inesperienza, a causa della quale il programmatore semplicemente non conosceva alcuni metodi per aggirare il captcha al momento dello sviluppo.
Come promesso, in questa sezione prenderò in considerazione i più comuni, nonché i modi per proteggersi da essi. E cominciamo, come promesso, dalla primitiva stessa.
Bypassa captcha con una serie fissa di attività
All'alba dell'emergere di captcha come mezzo per combattere i robot, i captcha auto-scritti erano molto popolari, perché tutti volevano provare la nuova tecnologia e, di conseguenza, i captcha furono inventati da tutti quanti.
Nel caso dell'utilizzo di captcha scritti da sé, nella cui implementazione gli sviluppatori hanno deciso di non preoccuparsi di un ampio database di immagini, domande o altri tipi di attività, per un attacco automatico mirato a un sito con un tale CAPTCHA, è sufficiente bisogno di trovare le risposte in modalità manuale.
Quelli. andiamo su un sito del genere, selezioniamo le risposte, componiamo un database di attività e soluzioni corrette e scriviamo un bot per attacchi di forza bruta che selezionerà le opzioni appropriate.
Ma, fortunatamente, non ci sono molte situazioni del genere nel mondo moderno, perché Da allora la sicurezza informatica ha raggiunto un livello molto solido e nessuno è coinvolto nella creazione di tali primitive.
E se ci sono persone del genere, imparano molto rapidamente dai loro errori quando perdono il controllo sul loro sito Web o sui clienti che sono stati violati a causa di tali creazioni.
Protezione: non creare mai captcha con una serie di problemi, soluzioni a cui puoi raccogliere manualmente. Se per risolvere un captcha è necessario risolvere qualsiasi esempio matematico o inserire simboli dall'immagine, le attività e le risposte dovrebbero essere generate automaticamente.
Un altro modo per proteggersi da tale input captcha automatico è cambiare il nome del campo modulo in cui deve essere inserita la risposta. Se il nome del campo, ad esempio, sarà sempre "captcha", sarà più facile per un utente malintenzionato decifrare tale captcha. Il suo programma robot invierà solo una richiesta allo script del server specificato nell'attributo HTML "action" del modulo, contenente il valore captcha richiesto.
Se in questa situazione il nome del campo captcha è sempre lo stesso, l'hacker utilizzerà semplicemente la base dei nomi più comuni dei campi captcha, che possono essere compilati indipendentemente quando si studiano vari siti o scaricati già pronti da risorse specializzate (non le elencherò per promuovere l'hacking).
Se il nome del campo, così come l'attività per passare il captcha stesso, verrà generato sul server, nessuna base di nomi captcha sarà di aiuto. Per utilizzare un nome di campo dinamico, in pratica, il captcha viene generato da uno script ed elaborato da un altro.
In questo caso, l'implementazione del captcha ha una sfumatura significativa: lo script che elabora la correttezza del suo input dovrà trasferire in qualche modo il nome del campo captcha. Questo viene spesso fatto utilizzando input di moduli nascosti, attributi di dati o passandoli attraverso i cookie o una sessione.
Il punto chiave è che non puoi passare direttamente il nome, ovvero il campo captcha si chiama "captcha_mysite" e il campo nascosto contiene il valore "captcha_mysite" o "site". Deve essere crittografato e la decrittografia deve essere eseguita utilizzando lo stesso algoritmo della crittografia.
Poiché l'algoritmo di crittografia verrà archiviato sul server, un utente malintenzionato non può semplicemente riconoscerlo (solo se non ottiene l'accesso ai contenuti dello script del server).
A proposito, è sufficiente utilizzare una sequenza casuale di caratteri al posto del nome del campo, che è molto facile da ottenere in PHP utilizzando la funzione uniqid().
Bypassare il captcha usando le sessioni
Se l'implementazione del captcha implica la memorizzazione della risposta corretta nella sessione e la sessione non viene ricreata dopo ogni input del captcha, gli aggressori possono scoprire l'identificatore di sessione e scoprire il valore CAPTCHA crittografato.
Pertanto, possono facilmente selezionare un algoritmo di crittografia e utilizzarlo per ulteriori attacchi di forza bruta automatizzati utilizzando i bot.
Inoltre, se nel codice per il controllo della risposta dell'utente sul server, il programmatore non verifica il vuoto della variabile di sessione in cui viene trasmessa la risposta dell'utente, l'hacker può utilizzare un identificatore di sessione inesistente, per il quale la variabile semplicemente non esisterà. 
A causa di questa omissione, tali captcha possono essere passati spostando ID di sessione inesistenti e valori captcha vuoti.
Protezione: non importa quanto si vorrebbe abbandonare l'uso delle sessioni per la trasmissione dei valori captcha, questo è un prezzo molto alto per garantire la sicurezza del captcha dall'hacking. Pertanto, le sessioni, i valori delle loro variabili e identificatori devono semplicemente essere protetti con cura in modo che un hacker non possa utilizzare le informazioni memorizzate in esse.
Vale anche la pena fare tutti i controlli banali, ma così necessari, delle variabili per l'esistenza e la vacuità dei loro valori.
Hacking captcha a causa di informazioni segrete nel codice client
A volte i captcha sono realizzati in modo tale che durante il trasferimento dei valori dell'utente al server, utilizzino la crittografia utilizzando il cosiddetto "sale", ad es. aggiungendo ID sessione, valore IP o altri dati univoci al valore CAPTCHA. Spesso può trattarsi di una semplice sequenza casuale di caratteri.
E la condizione principale per risolvere il captcha è la coincidenza del valore CAPTCHA crittografato inserito dall'utente con il suo valore corretto, che è stato generato quando la pagina è stata aperta e registrata nella sessione o altra memoria per un'ulteriore trasmissione al server.
La coincidenza di questi valori molto probabilmente indicherà che l'utente è una persona reale che ha inserito il captcha generato durante la sessione di comunicazione, al termine della quale lo ha risolto e dallo stesso computer su cui ha visto per la prima volta il captcha.
Se questi valori univoci non corrispondono, molto probabilmente il captcha è stato inserito automaticamente dal robot.
Questo meccanismo per proteggere il sito dai bot è ben congegnato, ma a volte questi valori generati segreti sono presenti nel codice HTML della pagina, da dove possono essere facilmente letti. Pertanto, è possibile configurare la loro lettura automatica utilizzando programmi e lo stesso input automatico quando si passa un captcha.
Protezione: Quando implementi un CAPTCHA, devi prendere in considerazione questa falla di sicurezza e, se devi prendere in considerazione il valore di un identificatore univoco per risolvere il captcha, devi assicurarti che non sia menzionato né in JS o in codice HTML che può essere visualizzato in un browser.
Devi anche ricreare l'ID di sessione e generare altri valori univoci (incluso il CAPTCHA stesso, se possibile) dopo ogni tentativo di inserire un CAPTCHA, che ti salverà, o almeno complicherà il compito degli hacker di hackerare il sito selezionando automaticamente il valore corretto.
Un altro mezzo di protezione è, se possibile, bloccare le azioni per IP e il numero di tentativi.
Come bypassare captcha senza cambiare IP
Un attacco di forza bruta è un modo efficace per aggirare il captcha, non solo nei casi della sua implementazione con un insieme fisso di attività e le loro soluzioni.
Un altro errore nell'implementazione di CAPTCHA, che lo rende vulnerabile agli attacchi automatici, è la mancanza di limiti di tempo per la risoluzione di CAPTCHA e il numero di tentativi.
In questo caso sarà possibile bypassare il captcha utilizzando un apposito programma che raccoglierà un database di domande o selezionerà le risposte dall'elenco disponibile. Inoltre, tutto questo avverrà in automatico grazie ai moderni metodi di machine learning e agli sviluppi nel campo dell'intelligenza artificiale, che hanno fatto un grande passo avanti negli ultimi anni.
Protezione: quando si implementa un captcha veramente sicuro, è necessario limitare il tempo di risposta e il numero di tentativi per risolvere il captcha da un IP per bloccare gli attacchi di forza bruta dei robot.
Ad esempio, se sono trascorsi meno di 2 secondi tra la generazione del captcha e la risposta dell'utente, considerare tale utente come un robot e visualizzare il messaggio corrispondente sullo schermo. Il testo del messaggio dovrebbe contenere istruzioni per gli utenti reali affinché l'inserimento non debba essere effettuato così rapidamente (nel caso in cui la persona fosse fisicamente in grado di inserire la risposta più velocemente).
Se fosse davvero un umano, prenderà le misure appropriate e, se si tratta di un robot, continuerà a tentare di aggirare il captcha.
Tali tentativi sono da considerarsi errati, fissando il loro numero nella variabile di sessione e bloccando ulteriori azioni per gli utenti tramite il loro IP. Non sarà superfluo che tali indirizzi bloccati emettano invece di captcha un messaggio per contattare l'amministratore se l'utente bloccato era una persona reale.
E un altro modo efficace per combattere i bot è imporre limiti a determinate azioni sul sito. Ad esempio, una registrazione da un IP. La cosa principale qui è non flirtare e non raggiungere i limiti sul numero di commenti per un utente unico.
Ma a dire il vero, queste misure non aiuteranno molto grazie all'esistenza di server proxy.
Bypassare il captcha usando un proxy
Anche in situazioni in cui un numero elevato di tentativi di risoluzione del captcha tramite IP è ancora bloccato, questo evento non fornisce una protezione al 100% dai robot.
È tutta colpa dei server proxy e dei programmi anonymizer che funzionano sulla loro base, che sono noti, forse, a tutti gli studenti moderni che cercano modi per aggirare il controllo genitori e bloccare i siti vietati. 
Gli anonimizzatori consentono di nascondere i dati del computer durante l'utilizzo del sito, compreso l'ambito indirizzo IP, presso il quale è possibile calcolare e bloccare il client.
Lo schema è semplice: un utente si connette a un server proxy, dove i suoi dati vengono crittografati o sostituiti da altri (ad esempio, potrebbe essere assegnato un indirizzo IP di un altro paese), quindi viene effettuata una richiesta al sito di destinazione a cui il cliente vuole connettersi.
Pertanto, un utente malintenzionato può facilmente aggirare tutti i tuoi blocchi IP e selezionare la soluzione captcha corretta per tutto il tempo necessario.
E su alcuni siti in cui captcha appare solo quando viene eseguito un gran numero delle stesse azioni (ad esempio, in VK quando viene aggiunto un gran numero di amici), potrebbe non apparire affatto se ogni azione viene eseguita da un nuovo IP e osservando i timeout tra i tentativi di risolvere il captcha, in modo che il comportamento del bot sia simile al comportamento di una persona reale.
Questo metodo è stato utilizzato mezzo secolo fa durante la scrittura dei primi programmi per superare il test di Turing, la cui implementazione è CAPTCHA.
I principi descritti, tra l'altro, sono utilizzati da tutti i programmi attualmente noti per l'input automatico del captcha. Per modificare l'indirizzo IP di connessione al sito, utilizzano database di server proxy gratuiti e commerciali, che, con la presenza di Internet, non saranno difficili da ottenere.
Protezione: Purtroppo, grazie alla presenza di anonymizer e database PROXY aperti, non sarà possibile proteggersi dall'hacking captcha tracciando i cybercriminali tramite IP.
L'unica speranza è che i server PROXY stessi possano imporre restrizioni sul numero di IP utilizzati da un utente e sul numero di connessioni da ciascuno di essi.
Per questo motivo, non dovresti saltare del tutto il controllo IP. Grazie alle tue precauzioni contro il captcha bypass, sarà possibile, prima o poi, bloccare l'hacker in un modo o nell'altro.
E la conclusione più corretta in questa situazione sarebbe quella di utilizzare, oltre a questo metodo di protezione dall'hacking captcha, altri che aiutano a esporre l'hacker in un modo diverso.
Input Captcha automaticamente utilizzando gli emulatori di azioni
Se, per superare il CAPTCHA, è necessario eseguire una determinata azione (clic su un pulsante, spostamento del cursore, ecc.), è anche possibile ignorare il captcha in questa situazione simulando l'azione necessaria (cliccando su un determinato elemento di controllo o altra azione).
L'unico problema che un hacker può affrontare in questa situazione è come trovare il controllo richiesto sul sito in modo programmatico.
Il modo più semplice per farlo è tramite le sue coordinate o posizione rispetto ad alcuni elementi statici della risorsa.
Protezione: per proteggersi dall'input automatico del captcha, in questo caso, è necessario modificare costantemente la posizione del controllo che consente di risolvere il CAPTCHA. Quelli. se delle tre persone è necessario scegliere solo quella con la mano alzata, in nessun caso deve essere collocata costantemente nello stesso posto.
Ebbene, nei casi di altre implementazioni CAPTCHA, quando ciò è impossibile (ad esempio, per il pulsante di download o per il campo "Non sono un robot", che può avere una sola risposta corretta), è necessario utilizzare altri metodi di protezione che può impedire ai robot di risolvere automaticamente il CAPTCHA.
Come bypassare il captcha usando le alte tecnologie
Abbiamo coperto i punti deboli delle implementazioni CAPTCHA, che sono buchi di sicurezza e sono i più comuni nella pratica. Tuttavia, in pratica, anche i captcha più impeccabili a volte non sono in grado di proteggere la risorsa che li utilizza dagli attacchi degli hacker.
Questi casi di hacking di captcha sono una conseguenza diretta del progresso moderno e del livello di sviluppo delle tecnologie informatiche, che, come sai, non sono sempre utilizzate per buoni scopi.
Quindi, come evitare il captcha con la tecnologia moderna?
Bypassa captcha con OCR
OCR (Optical Character Recognition) è una tecnologia per il riconoscimento di testo stampato o dattiloscritto per un ulteriore utilizzo in formato elettronico. Il software più famoso che implementa questa tecnologia è Adobe FineReader.
Viene utilizzato con successo durante la creazione di programmi di input captcha automatici che riconoscono e risolvono correttamente captcha grafici, per i quali è necessario inserire la sequenza di caratteri mostrata nell'immagine. 
Gli hacker, ovviamente, non usano Adobe FineReader (anche se potrebbero esserci dei 🙂), ma scrivono script speciali che, utilizzando varie librerie già pronte per lavorare con le immagini o utilizzando le capacità del linguaggio per lavorare con la grafica, riconoscono il captcha e distribuisci una sequenza di caratteri, raffigurata su di essa.
Su Internet ho trovato un numero sufficiente di esempi di tali script. Il principio del loro lavoro era il seguente:
- cancellare l'immagine utilizzata nei CAPTCHA grafici da vari rumori;
- dividere la riga visualizzata in caratteri separati;
- confronto di ciascuno di essi con un'immagine preparata (campione).
I campioni grafici sono stati preparati tenendo conto dei diversi caratteri e delle possibili distorsioni (inclinazione, rotazioni, ecc.).
Come avrai intuito, la cosa più importante è compilare un database di immagini di simboli in varie varianti, con cui i simboli captcha verranno confrontati in seguito.
Protezione: infatti, per confondere i programmi OCR, vengono utilizzati tutti i fastidiosi rumori e le distorsioni dei caratteri nelle immagini, a causa dei quali il testo a volte è difficile da analizzare anche per una persona. Ma, nel caso dei robot, anche questo funziona bene, per cui gli algoritmi OCR non possono fornire un risultato accurato al 100%, il che ha un effetto positivo sulla sicurezza del captcha e dei siti che lo utilizzano.
Se decidi di utilizzare captcha grafici, per il cui passaggio è necessario inserire i caratteri mostrati nell'immagine, è necessario seguire i seguenti consigli:
- I caratteri su CAPTCHA diversi devono avere coordinate diverse.
- Se usi qualche tipo di effetto rumore per creare uno sfondo, il suo colore deve corrispondere al colore dei caratteri, altrimenti lo sfondo può essere facilmente rimosso evidenziando i caratteri per il riconoscimento.
- La distanza tra i caratteri dovrebbe essere minima. Puoi anche sovrapporli uno sopra l'altro, ma solo senza fanatismo, in modo che gli utenti reali possano riconoscerli.
- Usa caratteri diversi per rendere difficile trovare quello giusto per il riconoscimento.
- Distorcere i simboli in ogni modo possibile, cambiarne lo stile e lo spessore.
- Utilizzare librerie speciali che consentono di modificare i caratteri in modo tale che sia impossibile selezionare un carattere per il riconoscimento del programma. Un esempio di tale soluzione è un captcha del creatore della risorsa captcha.ru, che viene generato utilizzando l'algoritmo di distorsione del carattere simile a un'onda dell'autore.
Tutte queste misure consentono di complicare il riconoscimento dei captcha grafici per i sistemi OCR e di ridurre il numero di input automatici del captcha.
Come passare un captcha usando le reti neurali
Se l'OCR è una tecnologia piuttosto vecchia (i primi dispositivi brevettati sono noti all'inizio del XX secolo), le reti neurali artificiali (ANN) sono apparse solo nella seconda metà del secolo precedente (per le tecnologie, 50 anni è un'età significativa ).
Sono gli algoritmi ANN che stanno alla base dell'intelligenza artificiale (AI), il cui scopo è creare programmi e dispositivi dotati di funzioni creative, ad es. creazione di una persona fatta dall'uomo.
Al momento, l'intelligenza artificiale è in continua evoluzione e ogni giorno compaiono sempre più invenzioni che hanno proprietà inedite.
All'ultima conferenza sulle reti neurali, a cui ho partecipato, è stato riferito che Google, che sta sviluppando attivamente in questo settore, ha già annunciato servizi di cloud pubblico basati su ANN.
Con il loro aiuto puoi:
- riconoscere gli oggetti nelle fotografie (dal sesso della persona ritratta e dalla marca dei suoi jeans a quale gioco appartiene l'immagine analizzata, con tutta la sua tavolozza di colori, il nome del luogo e cosa sta succedendo su di esso);
- dispositivi di controllo con voce e gesti;
- scrivere annotazioni video in base a ciò che sta accadendo nel video, ecc.
Naturalmente, date le possibilità, creare un programma per l'input automatico di captcha utilizzando i principi ANN non è difficile per le persone esperte.
Uno di questi prodotti è stato sviluppato da Vicarious nel 2014. La rete neurale da lei sviluppata è in grado di riconoscere i captcha nel 90% dei casi (ricordiamo che per risolvere il classico test di Turing, che è CAPTCHA, basta solo l'1% delle risposte corrette).
Protezione: Sfortunatamente, è impossibile difendersi da questo tipo di attacco. E fortunatamente, Vicarious ANN non verrà utilizzato per attacchi mirati per aggirare il captcha sui siti Web, poiché è troppo costoso per compiti così piccoli (gli stessi produttori dicono che è un cluster di molti server). Il suo principale campo di applicazione è la risoluzione di vari problemi della medicina e della robotica.
L'hacking di un captcha con il suo aiuto è solo una dimostrazione delle possibilità.
Ma il tempo passa, le tecnologie che ieri erano costose stanno diventando più economiche e non è lontano il tempo in cui i prodotti ANN diventeranno onnipresenti. Pertanto, è del tutto possibile che in futuro ci saranno bot per l'input automatico di captcha, dotati di intelligenza artificiale.
Bypassare il captcha utilizzando i servizi pubblici
Con lo sviluppo dei sistemi OCR e AI, le misure di complicazione dei captcha grafici sono diventate sempre più complesse, il che ha permesso ai loro sviluppatori di compiere enormi sforzi nell'implementazione. Ma lo stesso, si sono rivelati vani, tk. non hanno fornito una protezione al 100% dei siti contro gli attacchi automatici.
Pertanto, Google ha seguito, come mi sembra, la strada giusta e ha deciso di inventare semplicemente un nuovo standard noCAPTCHA, rifiutandosi di inserire manualmente i caratteri dalle immagini. 
Durante lo sviluppo di reCAPTCHA noCAPTCHA, sono stati utilizzati l'esperienza dei robot da combattimento nell'era dell'inizio del captcha e gli sviluppi moderni nel campo dell'intelligenza artificiale, che consente di garantire il corretto livello di sicurezza del sito, ma anche di non complicare notevolmente la vita degli utenti di Internet .
Ma, nonostante il fatto che questo standard sia apparso abbastanza di recente, nel 2015 è già stato trovato un modo per risolverlo automaticamente. E non si tratta dell'uso dell'intelligenza artificiale.
Tutto è molto più comune: per passare Google reCAPTCHA, è sufficiente utilizzare i servizi di riconoscimento vocale e di immagine di Google.
È improbabile che il riconoscimento delle immagini nel caso di reCAPTCHA v2 (lo stesso noCAPTCHA) aiuti, perché per le attività grafiche, è necessario selezionare le immagini su cui sono presenti gli oggetti necessari e non inserire i caratteri raffigurati, come nel caso della versione precedente.
Ma i servizi del servizio di riconoscimento vocale di Google, che è uno dei risultati di Google nel campo dell'intelligenza artificiale, menzionati nel precedente metodo per aggirare il captcha, saranno molto utili. Poiché il servizio fornisce un'API, non è difficile creare un'applicazione basata su di essa.
Protezione: sfortunatamente, in questa situazione, come nella precedente, in cui ANN è stata utilizzata per bypassare il captcha, non sarà possibile proteggersi dal bypass del captcha. L'unico punto positivo è ancora la relativa disponibilità di servizi adeguati, poiché Google offre solo un test di $ 300 per usarli.
Dopo il loro completamento, i servizi vengono pagati. Ma, per gli hacker, è improbabile che questo sia un ostacolo, dal momento che possono guadagnare ancora di più sugli attacchi che utilizzano l'input automatico del captcha.
Quindi, nel caso di utilizzo di servizi di riconoscimento vocale e di immagini per hackerare captcha, la speranza rimane solo sulla vigilanza della loro amministrazione, che può bloccare l'account se scopre che è utilizzato esclusivamente per gli scopi descritti.
Come passare il captcha usando il lavoro umano
Alla fine dell'elenco dei modi per aggirare il captcha, ho deciso di considerare non adatto a nessuna delle categorie sopra elencate.
Non si basa sullo sfruttamento delle vulnerabilità nelle implementazioni CAPTCHA e sull'uso delle moderne tecnologie, ma si basa sul naturale desiderio umano di fare soldi.
E allo stesso tempo, questo metodo aiuta a decifrare un captcha di qualsiasi complessità nel 100% dei casi e, inoltre, a farlo senza particolari sforzi finanziari, fisici e morali.
Stiamo parlando di uno dei metodi moderni per fare soldi - che, tra l'altro, è apparso nel periodo in cui il CAPTCHA è diventato difficile da riconoscere a livello di programmazione.
La sua essenza sta nel fatto che viene creato un servizio speciale che presumibilmente consente alle persone di fare soldi (per lo più piccoli, che potrebbero essere sufficienti solo per indiani o scolari che cercano qualsiasi modo per ottenere denaro) risolvendo manualmente i captcha.
Chiunque abbia bisogno delle loro soluzioni può fornire questi captcha.
Fondamentalmente, questi sono hacker che usano le risposte di utenti reali per i propri scopi egoistici:
- automazione dei guadagni;
- invio di spam;
- acquistare biglietti e merci nei negozi online per una rivendita più costosa;
- siti di hacking, ecc.
Per un processo più conveniente, i servizi forniscono anche un'API, grazie alla quale il passaggio del captcha può essere effettuato online. Quelli. l'utente inserisce un captcha tramite il servizio, e in questo momento la sua risposta viene utilizzata per confermare l'acquisto online.
Molti esperti nel campo della programmazione, tra l'altro, possono utilizzare il lavoro umano in modo assolutamente gratuito. Ad esempio, è così che si guadagnano da vivere i proprietari di siti porno, condivisione di file, torrent e altre risorse dubbie che forniscono servizi gratuiti.
Presumibilmente gratuitamente, forniscono agli utenti contenuti di valore, chiedendoci una sciocchezza: per confermare che sei un essere umano e non un robot, con l'aiuto del quale i criminali informatici utilizzano i loro prodotti per i propri scopi.
Naturalmente, non pensiamo per molto tempo, tk. avere l'opportunità di scaricare il film tanto atteso in qualità HD assolutamente gratuito per aver messo una sorta di assegno nel campo "Non sono un robot" è solo una sciocchezza. Nel frattempo, la tua azione API viene utilizzata per aggirare il captcha su un altro sito di terze parti.
Da qui la morale: ricordatevi sempre che il formaggio gratis è solo in una trappola per topi e niente è gratis.
Protezione: purtroppo oggi questo è il metodo più efficace per aggirare il captcha, dal quale non esistono rimedi. E non lo sarà fino a quando coloro che vogliono guadagnare un centesimo con il duro lavoro e gli amanti dei contenuti gratuiti, cioè, molto probabilmente, non finiranno mai.
Bypass captcha - conclusioni
Durante la stesura di questo articolo, sono giunto alla conclusione che captcha, nonostante l'eccellente idea con cui è stato concepito, vale a dire la protezione dei siti dai robot, ha cessato da tempo di svolgere le sue funzioni.
Se riesci ancora a proteggerti dall'elusione automatizzata dei captcha che sfruttano i punti deboli nelle implementazioni CAPTCHA eliminando tutti i problemi con la loro sicurezza, allora è semplicemente impossibile proteggersi dall'input di captcha da parte di utenti reali per denaro. 
In tutta questa situazione, l'unica cosa che ci salva è che pagano soldi ridicoli per questo tipo di lavoro e poche persone sono d'accordo, quindi la portata degli attacchi informatici che utilizzano l'input automatico del captcha non è così catastrofica come potrebbe essere.
Inoltre, le tecnologie di intelligenza artificiale, che si sono sviluppate attivamente negli ultimi anni, sono tra i metodi "invincibili" per aggirare il captcha.
Allo stesso tempo, per complicare la vita degli hacker, i captcha vengono costantemente "gonfiati" con nuove funzionalità, per cui il loro passaggio diventa un compito difficile e noioso anche per gli utenti reali del sito.
Ricorda lo stesso Google reCAPTCHA: seleziona la casella, se a Google non è piaciuto qualcosa, seleziona le immagini necessarie (con i segnali stradali, a proposito, ho ancora problemi, perché posso svolgere un'attività del genere da qualche parte con 5 tentativi). È molto complicato lasciare un commento o registrarsi al sito? È più facile trovare un'altra risorsa...
Ma, nonostante queste precauzioni, il captcha al momento non può essere definito un modo impeccabile di proteggersi dai robot, per i quali molti lo criticano e cercano di cercare alternative ad esso.
Allo stesso tempo, il fatto che CAPTCHA continui ad essere utilizzato come tecnologia di difesa informatica ed è in continua evoluzione, anche da parte di Google, che non investirà denaro in progetti dubbi, suggerisce che questa tecnologia esisterà ancora per molto tempo.
Pertanto, durante lo sviluppo e la manutenzione di siti esistenti che utilizzano captcha, è necessario utilizzare attivamente le raccomandazioni delineate per rendere la vita il più difficile possibile agli hacker per hackerarli in modo programmatico.
E non dimenticare di condividere i tuoi pensieri sui metodi esistenti per aggirare il captcha e le misure di protezione nei loro confronti nei commenti sotto l'articolo 🙂
P.S.: se hai bisogno di un sito o devi apportare modifiche a uno esistente, ma non c'è tempo e voglia per questo, posso offrirti i miei servizi.
Più di 5 anni di esperienza sviluppo di siti web professionali. Lavora con il PHP, carrello aperto, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, Reagire, Angolare e altre tecnologie di sviluppo web.
Esperienza nello sviluppo di progetti di vari livelli: pagine di destinazione, siti aziendali, Negozi online, CRM, portali... Compreso supporto e sviluppo Progetti ad alto carico... Invia le tue candidature via e-mail [e-mail protetta].
CAPTCHA: persone contro computer
Su alcuni siti web, potresti aver notato che non puoi continuare a eseguire alcuna azione o effettuare un ordine finché non hai risolto una serie di lettere e immagini incomprensibili. Dopo aver esaminato attentamente eventuali linee ondulate, decifrato le parole scritte e inserito la frase corretta (parole o numeri) nel campo vuoto, puoi continuare le tue azioni sul sito. Questo processo ha lo scopo di garantire che il sito possa verificare che in effetti tu - la persona che sta visualizzando il sito.
Questo test si chiama CAPTCHA(Test di Turing pubblico completamente automatizzato per distinguere gli esseri umani e i computer) ed è utilizzato in tutta Internet. Il sito di biglietteria Ticketmaster è un ottimo esempio dell'utilizzo dei CAPTCHA: senza tale test, un “robot” potrebbe potenzialmente acquistare milioni di biglietti per un concerto o un evento e poi rivenderli a un prezzo più alto.
Certo, l'esigenza di risolvere una combinazione di lettere e numeri scritta in modo incomprensibile ogni volta che vogliamo fare qualcosa è un po' fastidiosa. E questo richiede più tempo. Ogni volta che devi fare un test CAPTCHA, trascorri circa 10 secondi della tua vita. Questo è il motivo per cui CAPTCHA si è guadagnato una cattiva reputazione tra gli utenti di Internet, nonostante sia stato creato proprio per garantire la nostra sicurezza.
CAPTCHA previene i criminali informatici
Luis Von Ahn, uno dei creatori del CAPTCHA, continua a sviluppare questo test già nell'ambito di Google, il suo nuovo sviluppatore. Questo progetto è stato ripreso in reCAPTCHA, un'estensione del test Captcha, che prende parole da pagine scansionate di vecchi libri (queste parole sono più difficili da riconoscere per un computer). Tutelando la nostra sicurezza, il progetto aiuta anche “ digitalizzare testi, annotazioni di immagini e creare set di dati per l'apprendimento automatico“…Ora almeno quei 10 preziosi secondi vengono usati per qualcosa di più utile.
È fantastico che aiutiamo a digitalizzare i libri, ma quando si tratta di sicurezza in Internet, ma CAPTCHA è efficace?
Google CAPTCHA può essere aggirato troppo facilmente
Un trio di ricercatori della Columbia University (New York) ha dimostrato quanto è facile bypassare alcuni CAPTCHA... Tali programmi rendono molto più difficile per gli hacker utilizzare bot programmati per raccogliere automaticamente e in modo massiccio indirizzi e-mail, che vengono quindi utilizzati per campagne di spam. Ma non sono completamente affidabili. Tali processi possono essere automatizzati e, di conseguenza, i computer saranno in grado di superare i test reCAPTCHA con la stessa efficienza di te e di me.
Molto spesso su Internet puoi sentire una parola come captcha. Alcuni utenti si lamentano di non poter inserire captcha e non riusciamo nemmeno a capire di cosa stiano parlando. Dopo aver letto questo articolo lo scoprirai cos'è il captcha?.
Infatti, anche senza sapere cosa significhi la parola captcha, ognuno di noi la incontra continuamente. captchaè un codice di sicurezza sotto forma di immagine. Molto spesso, sui siti è necessario inserire un captcha durante la registrazione, inviando un commento. Oppure, ad esempio, se eseguiamo più azioni dello stesso tipo sul social network Vkontakte, ci verrà chiesto di inserire un captcha.
Avendo capito cos'è un captcha, rispondiamo alla prossima domanda, perché ho bisogno di un captcha?? Se captcha è una misura di sicurezza, allora chi o cosa protegge? Come sappiamo, ci sono già molti programmi per vari scopi su Internet. Alcuni di questi programmi aiutano ad automatizzare varie azioni sui siti web. Ad esempio: lascia commenti spam sui siti, aggiungi amici Vkontakte, promuovi rapidamente un account Twitter.
In effetti, puoi automatizzare quasi tutte le azioni umane sul sito. Ma i programmi non hanno ancora imparato a leggere il testo dalle immagini, ed è per questo che hanno iniziato a utilizzare captcha su molti siti, incluso questo. Se vuoi lasciare un commento su questo articolo, allora dovrai inserire un captcha, fortunatamente molto facile. Cioè, il captcha è necessario per proteggere il sito dall'invio di vari programmi di spam.
Tipi di captcha
Ci sono una varietà di captcha. Diamo un'occhiata ai più popolari tipi di captcha:
Esistono molte altre varietà di captcha, ma abbiamo esaminato i più comuni che si possono trovare più spesso sui siti oggi.
Captcha aiuta nella protezione dallo spam?
Alla domanda se captcha aiuta a proteggere dallo spam, la risposta è inequivocabile: captcha aiuta e riduce notevolmente la quantità di spam sui siti web. Tuttavia, non al 100%. Ora ci sono siti in cui le persone risolvono manualmente i captcha e vengono pagate per questo. Il programma deve solo inviare loro l'immagine captcha e ottenere una risposta pronta.
Ciò non significa che il captcha abbia perso la sua rilevanza. Questi servizi, per il riconoscimento captcha manuale, sono a pagamento. Sebbene sia poco costoso, non tutti vogliono pagare per la loro convenienza ed efficienza. E dai programmi che una persona non aiuta a risolvere il captcha, aiuta bene.
E la complessità del captcha non gioca un ruolo particolarmente importante. Poiché se un captcha non può essere risolto da una persona che guadagna inserendo un captcha, allora il tuo visitatore target non sarà in grado di inserirlo, che non sarà in grado di inserire un captcha per registrarsi o inviare un commento. E se leggi questo articolo per capire se devi inserire un captcha sul tuo sito, assicurati di metterlo, ma non è molto difficile, poiché in questo caso farà più male che bene.
Dove guadagnare con l'input captcha?
Se sei interessato all'opportunità fare soldi con l'input captcha, quindi puoi scoprire in dettaglio questo metodo per fare soldi sullo stesso sito: siti per fare soldi su captcha.
In poche parole, devi scegliere un luogo (sito) dove guadagnare con captcha e registrarti lì. Quindi ti verranno inviate immagini con captcha e un campo di input. E inserendo i captcha guadagnerai denaro. Questo è molto
