Come configurare smartphone e PC. Portale informativo
  • casa
  • Windows 10
  • Hai impiegato troppo tempo per inserire il captcha. Come il fastidioso CAPTCHA si trasforma nel male assoluto

Hai impiegato troppo tempo per inserire il captcha. Come il fastidioso CAPTCHA si trasforma nel male assoluto

07.07.2019 Windows 10

Saluti, cari lettori e ospiti del mio blog. Oggi ti dirò come proteggere la tua risorsa dallo spam ed evitare che si diffonda. Diamo un'occhiata al processo di installazione e utilizzo delle estensioni di verifica sul tuo sito web.

Ogni giorno molti utenti di Internet si imbattono in qualcosa come captcha. Questo articolo parlerà di cos'è un captcha e perché è necessario.

Captcha: che cos'è?

Captchaè un test di verifica generato dal programma che viene utilizzato per determinare chi è l'utente: un bot, che viene utilizzato per inviare messaggi di spam, o una persona (dall'inglese Captcha). Nella maggior parte dei casi, si tratta di un'immagine con un insieme di lettere distorto. Accanto all'immagine c'è un campo in cui deve inserire i caratteri dell'immagine. Recentemente vengono spesso utilizzati altri tipi di captcha. Deve scegliere un'immagine adatta tra diverse offerte o mettere un segno di spunta in un determinato punto dello schermo.

Il suo scopo principale è proteggere alcune sezioni della risorsa dai robot scritti per l'analisi e lo spamming. Il fatto è che ora tutti i sistemi di posta pubblicitaria sono già automatizzati e le persone che inviano spam non hanno bisogno di registrare i propri account.

Il captcha è molto utile per i proprietari di risorse, poiché lo spam può essere rimosso solo in questo modo. Se non fosse per la protezione sotto forma di introduzione della verifica del codice, sui portali e sui forum più popolari ci sarebbero molti bot che inviano messaggi di spam.

Come utilizzare Google captcha sul tuo sito web

Google offre un servizio gratuito chiamato Google reCAPTCHA, che fornisce protezione captcha per varie forme di immissione di dati.

Come installare captcha sulla tua risorsa? Per utilizzare questo servizio sul tuo forum, devi eseguire una serie di azioni, che verranno discusse di seguito:

  • È necessario accedere a un account Google esistente o registrarne uno nuovo;
  • Successivamente, devi andare alla pagina del servizio reCAPTCHA e inserire l'indirizzo del tuo portale nel campo visualizzato. Successivamente, fare clic sul pulsante “Registrazione”, dopodiché si aprirà una pagina con le chiavi generate;
  • Se hai qualche conoscenza di programmazione, puoi eseguire tu stesso l'integrazione di reCAPTCHA. Altrimenti è necessario utilizzare plugin appositi che necessitano di essere installati e attivati;
  • La fase successiva è la configurazione: per fare ciò, nel menu laterale del pannello di amministrazione è necessario fare clic sul plug-in installato, dopodiché compaiono i moduli che devono essere compilati con le chiavi API;
  • Per chi utilizza reCAPTCHA sono disponibili le seguenti impostazioni: la possibilità di attivare e disattivare la digitazione del captcha durante l'autorizzazione e la registrazione, modificare la combinazione di colori, modificare la lingua di digitazione.

Allegherò un video sulla configurazione di questo componente sul mio sito web:

Esempi di estensioni per l'installazione di captcha

Oggi esistono numerosi plugin captca per il sistema WordPress. Molti degli strumenti più popolari in questa categoria meritano un'attenzione speciale. Ciascuno di questi plugin ha una prospettiva concettuale diversa e presenta numerosi vantaggi.

Captcha

Questo è uno dei plugin più popolari, poiché è semplice e immediato da usare, non contiene nulla di superfluo. Utilizzando circuiti logici efficienti, il plugin può proteggere completamente il tuo portale dallo spam. I suoi principali vantaggi sono:

  • Pienamente compatibile con ContactForm;
  • Facilità di installazione;
  • Possibilità di utilizzo della visualizzazione digitale, verbale o mista.

codice captcha

Il plugin può aggiungere protezione a qualsiasi modulo sulla risorsa. Il testo che devi inserire viene visualizzato come lettere e numeri blu barrati, che proteggono da vari programmi di riconoscimento. Grazie a ciò, lo spam non appare quasi mai sulle risorse su cui è installato questo plugin. È abbastanza facile per gli artisti riconoscere il codice. Il plugin ha molte impostazioni: l'amministratore può selezionare il numero di caratteri nel captcha e anche quali moduli visualizzarlo. Principali vantaggi:

  • Velocità di installazione;
  • Leggibilità del testo;
  • Il plugin è difficile da aggirare per i programmi di riconoscimento del testo.

WP-reCAPTCHA

Questo plugin è uno dei più popolari perché fornisce la migliore protezione, ma in alcuni casi non tutti gli artisti saranno in grado di inserire il codice corretto la prima volta. Gli amministratori possono modificare il design della finestra captcha e posizionarla in qualsiasi forma. I principali vantaggi sono i seguenti:

  • La migliore protezione per i bot dei lotti;
  • Supporto multilingue;
  • Capacità di ascoltare il codice.

CAPTCHA davvero semplice

Si distingue per la facilità di installazione e configurazione. Inizialmente, questo portale è stato creato come modulo aggiuntivo per il plug-in Modulo di contatto. Tutti i captcha che compaiono durante la compilazione dei moduli vengono salvati in una cartella temporanea e pesano diversi kilobyte. Tra i vantaggi ci sono:

  • Una seria barriera per i bot;
  • Facilità di riconoscimento del testo;
  • Supporta più lingue.

CAPTCHA sicuro

Il plugin differisce in quanto utilizza codice scritto a mano, il che complica notevolmente il lavoro dei programmi di decrittazione per l'hacking. Per gli artisti, anche un captcha di questo tipo sarà piuttosto difficile. Per installare questo plugin, devi registrarti sul sito web dello sviluppatore e ricevere chiavi speciali.

Come guadagnare con captcha

Guadagnare con captcha è uno dei modi più semplici e facili per guadagnare su Internet, perché all'utente non sono richieste competenze professionali. Il pagamento per un captcha è piuttosto basso. Se dedichi diverse ore al giorno a questo, puoi guadagnare una discreta quantità di denaro inserendo i captcha. Tra l'ampia varietà di siti per guadagnare captcha, possiamo evidenziare i 5 migliori. Pagano di più e c'è la garanzia che il tuo lavoro verrà pagato.

RuCaptcha

RuCaptcha è il sito più popolare per fare soldi su RuNet. Il servizio risolve i problemi relativi alla decodifica di varie immagini utilizzate da varie risorse per proteggersi dai programmi, liberando il webmaster dal lavoro monotono. Il prezzo minimo per captcha è 0,01 rubli.

Una delle caratteristiche principali è che di notte il prezzo del lavoro raddoppia. Inoltre, se l'esecutore ha una valutazione elevata, troverà captcha con un valore più alto. È necessario inserire i caratteri con cautela poiché il servizio non tollera errori. Ai primi errori l'utente verrà avvisato; agli errori successivi l'account potrebbe essere bloccato per un certo periodo, da alcuni minuti a due giorni. Rispetto ad altri servizi per guadagnare soldi, RuCaptcha presenta i seguenti vantaggi:

  • Comoda interfaccia esterna;
  • Il pagamento del denaro guadagnato è possibile tramite tali sistemi di pagamento: Yandex.Money, WebMoney, OKPAY;
  • Per l'inserimento di captcha complessi, l'utente può ricevere denaro aggiuntivo;
  • Possibilità di selezionare captcha solo in russo o inglese;
  • RuCaptcha viene costantemente migliorato.

2Captcha

2Captcha è un portale in lingua inglese per guadagnare con captcha, uno dei primi ad apparire in questo settore. L'aspetto è decorato nello stesso stile di Yak e RuCaptcha. Diverse centinaia di migliaia di utenti lavorano costantemente sul sito. L'algoritmo di lavoro è il seguente: l'utente accede al sistema, dopodiché il webmaster gli invia un'attività. Se sono presenti più artisti, l'attività viene inviata a colui che attende più a lungo. Il costo di 1000 captcha inseriti parte da 35 centesimi, e può arrivare a 80 centesimi per l'inserimento di captcha più complessi.

2Captcha è un sito collaudato dove non ci sono mai ritardi nel pagamento dei soldi. Il costo minimo di prelievo è $ 0,5. I prelievi possono essere effettuati su WebMoney, PayPal, nonché su carte bancarie Visa e MasterCard.

Megatipi

Questo portale è stato creato relativamente di recente, ma in breve tempo è diventato uno dei più popolari. Il portale è straniero, quindi l'interfaccia è interamente in inglese. A differenza di altri siti, su questo gli utenti possono guadagnare denaro riconoscendo i captcha audio. Il sito ha anche un sistema di referral abbastanza ben implementato, che consente a un artista con un gran numero di referral di ricevere buoni dividendi. Per registrare un account su Megatypers è necessario inserire un codice di invito. La tariffa per un captcha può arrivare fino a $ 0,01. L'importo minimo di prelievo è $ 3. Il denaro viene pagato ogni lunedì.

Kolotibablo

Questo servizio è il primo tra i siti specializzati nell'inserimento di captcha. Nel tempo è stato ammodernato e ora ha un design molto carino. I captcha sono disponibili sia in cirillico che in latino. In media, il costo di 1000 captcha è di $ 0,7. Per attività più complesse puoi guadagnare fino a 1,5 USD. e. Il pagamento viene effettuato su Yandex.Money, Qiwi Wallet, Paypal, Payza con un importo minimo di 1 dollaro.

Antigate

Antigate è un portale popolare sulla RuNet che funzionalmente è molto simile a Kolotibablo. Per un captcha inserito, l'esecutore riceve 0,02 rubli o più. Antigate ha un programma di affiliazione che prevede un pagamento del 10% per gli artisti invitati al sistema. Il prelievo dei fondi guadagnati viene effettuato tramite il sistema di pagamento WebMoney. I prelievi partono da $ 2.

Utilizza questi metodi e non perdere lo spam nella tua risorsa e, se hai tempo libero, non dimenticare di guadagnare denaro extra. Ti auguro il meglio -))).

Ho deciso di prendermi una breve pausa dalla pubblicazione di questo framework PHP e passare a qualcos'altro come "ricreazione attiva".

Ho deciso quindi di parlarvi di un meccanismo di difesa informatica molto comune che consente di prevenire numerosi attacchi automatizzati ai siti Web e che oggi viene utilizzato fino a 320 milioni di volte al giorno.

Non riesci a indovinare di cosa parleremo?

Tutto quanto sopra riguarda i CAPTCHA, che probabilmente il 90% di tutti gli utenti di Internet ha visto e utilizzato, ma sfortunatamente non tutti sanno a fondo cos'è un captcha e quali problemi consente di risolvere.

Cos'è il captcha?

Nei motori di ricerca, ogni giorno molte persone inseriscono la query “traduzione CAPTCHA”. Tuttavia, non troverai la risposta corretta a questa domanda né in questo né in altri articoli simili.

CAPTCHA non è solo un termine appositamente inventato, ma un'abbreviazione delle parole Test di Turing pubblico completamente automatizzato per distinguere computer e esseri umani, che letteralmente significa "un test di Turing pubblico completamente automatizzato per riconoscere computer e persone". Pertanto, è corretto scrivere questa parola in maiuscolo.

Nel segmento di Internet di lingua russa viene spesso chiamato “captcha”, perché Questo è più o meno il modo in cui si pronuncia il CAPTCHA in russo. Le lettere maiuscole vengono omesse, motivo per cui la storia della parola “captcha” potrebbe essere nuova per alcuni lettori, ma aiuta a tracciare la connessione logica tra essa e il “test di Turing automatizzato”.

Penso che la decodifica dell'abbreviazione stessa spieghi perfettamente cos'è un CAPTCHA. L'unica ambiguità potrebbe essere il test di Turing... Se pensi che a questo punto ti appesantirò con un mucchio di formule e definizioni, allora ti sbagli :)

Ti dirò qualche parola a riguardo nel modo più chiaro possibile per allargare i tuoi orizzonti, altrimenti potresti imbatterti in una parola in un cruciverba e non saprai di cosa si tratta :)

C'era una volta (precisamente all'inizio del XX secolo) un matematico inglese di nome Alan Turing. La personalità, tra l'altro, è abbastanza conosciuta in circoli ristretti, che ha inventato molte cose buone, per le quali hanno persino iniziato a girare film su di lui (questo è esattamente il ragazzo interpretato da Benedict Cumberbatch nel film "The Gioco d’imitazione”).

Così un giorno gli venne in mente il pensiero “può una macchina pensare?”. Poiché Alan Turing non era una persona stupida, come avrai notato, il risultato dei suoi pensieri è stato un test, il cui scopo è proprio determinare quale degli interlocutori è una persona e quale è un computer.

Il test fu descritto per la prima volta nel 1950 e prese il nome dal suo creatore, da cui è noto fino ad oggi: il test di Turing.

Il classico test di Turing avviene quando una persona (un giudice) comunica con un computer e una persona reale tramite messaggi di testo. Se il giudice non riesce a determinare “xy da xy”, cioè Quale degli interlocutori è un essere umano e quale è un computer, si ritiene che la macchina abbia superato il test.

Ma è sbagliato pensare che sia molto semplice e facile esporre un computer :)

Vengono utilizzati vari trucchi per confondere il giudice. Prima di tutto, il formato testuale della comunicazione stessa, in modo che una persona non possa riconoscere una macchina dalla sua voce o da altri segni, e il computer possa dimostrare la sua intelligenza, e non la capacità di riconoscere il linguaggio umano (sebbene, a giudicare dalle condizioni odierne video con i robot, per questi ragazzi presto non ci saranno problemi né con il primo né con il secondo).

Inoltre, i messaggi della persona e del computer vengono inviati agli stessi intervalli in modo che il giudice non possa trovare il computer in base alla velocità della sua risposta.

Ma, nonostante tutti questi trucchi, già nel 1966 (wow, "già" - 16 anni dopo!) apparve un programma per computer con il nome poetico ELIZA, in grado di superare questo test. Molte persone intelligenti dubitano ancora che l'esperimento con Eliza debba essere considerato un test di Turing o meno, ma resta il fatto che il pezzo di hardware è riuscito a confondere le persone.

Quindi CAPTCHA è un moderno test di Turing che aiuta a eliminare automaticamente i robot dalle persone. Solo l’algoritmo informatico funge da giudice. Per questo motivo, il captcha viene talvolta chiamato test di Turing inverso.

E se non superi questo test, con le tue azioni dici che non sei diverso da un robot senz'anima, e talvolta anche più stupido quando quest'ultimo è riuscito a superarlo :)

Inoltre, in alcuni casi, con un certo numero di tentativi falliti, puoi comunque essere bannato tramite l'indirizzo IP sul sito. Spero che questo ti motiverà a essere più responsabile quando inserirai il captcha la prossima volta :)

A proposito, nonostante il test di Turing stesso sia stato inventato nel 1950, il CAPTCHA è un fenomeno abbastanza giovane. Invenzioni simili al moderno captcha sono apparse relativamente di recente - nel 1997, e il termine stesso è stato coniato nel 2003.

Penso che ora tu capisca cos'è il captcha, come è apparso e quando. L’unica domanda è “Perché?” È una bella domanda, quindi non aspetterò troppo a lungo per rispondere :)

La domanda sorge spontanea: perché è stato necessario utilizzare il CAPTCHA per determinare chi ha visitato il sito: una persona o un robot?

Il fatto è che i robot nel mondo di Internet sono speciali programmi automatizzati che non sempre vengono creati per apportare benefici. Potrebbe trattarsi della diffusione di spam o addirittura dell'hacking di una risorsa.

A proposito, anche se provi a indovinare automaticamente le password o a inviare spam a siti non protetti, puoi causare loro gravi danni, creando un grande carico sul server, che causerà l'interruzione del funzionamento del sito.

Pertanto, lo scopo più importante del captcha è garantire la sicurezza del sito bloccando gli attacchi ed eseguendo azioni automatiche utilizzando vari programmi dannosi.

Un'altra risposta alla domanda sul perché sia ​​necessario il CAPTCHA è il riconoscimento dei libri scansionati e di altre pubblicazioni stampate. Come?

Se tu stesso hai mai provato a digitalizzare libri da solo utilizzando Adobe FineReader o un programma simile (non so te, ma durante i miei anni da studente lo facevo spesso quando scrivevo saggi e corsi 🙂), allora sai che il riconoscimento è lontano dal 100%.

Questo nonostante il fatto che la maggior parte dei libri venga stampata con caratteri di stampa standard. Per i manoscritti il ​​riconoscimento da parte dei programmi è praticamente nullo.

Quindi, i creatori di CAPTCHA (in particolare, i creatori di Google reCAPTCHA sono stati i primi a utilizzare questo meccanismo per questo scopo) hanno deciso di sfruttare questa circostanza. Hanno composto parole che non sono state riconosciute dal programma, che sono state poi visualizzate come immagini captcha chiedendo a persone reali di inserire ciò che vedevano.

In questo modo è stato raccolto un database di opzioni per decodificare parole difficili da riconoscere e allo stesso tempo gli utenti hanno dimostrato di essere persone reali, perché erano in grado di riconoscere ciò che vedevano, il che ci distingue dai robot. Per quanto mi riguarda, è geniale, come tutto il resto su Google, in senso stretto :)

L'unico punto che personalmente non mi è chiaro in tutta questa storia è come hanno fatto le persone a superare il captcha con caratteri difficili da riconoscere, se per questi possono esserci anche più possibili risposte corrette? Google, naturalmente, non svelerà i suoi segreti.

Ma se sviluppassi personalmente questo meccanismo per il riconoscimento del testo da parte degli utenti che utilizzano captcha, selezionerei una versione più o meno simile a ciò che è mostrato nell'immagine, in modo che sia possibile verificare la risposta dell'utente.

Oppure semplicemente conterebbe l'opzione inserita dall'utente come opzione di risposta e chiederebbe consapevolmente all'utente di inserire nuovamente il captcha con una sequenza di caratteri più leggibile per cui esiste una risposta, in modo che l'utente non pensi di averlo veniva ingannato e non avrebbe aumentato il numero di tentativi errati, per i quali a volte venivano bannati.

A proposito, mi piace molto di più la seconda opzione, perché... con il suo aiuto puoi raccogliere un database delle risposte corrette degli utenti, avendo circa 10 captcha già pronti con le risposte in input. Il resto verrà raccolto automaticamente. Tutto ciò di cui abbiamo bisogno è analizzare ed elaborare le risposte degli utenti.

Grazie a tutto quanto sopra, i creatori di reCAPTCHA stanno promuovendo il loro progetto con lo slogan "Stop allo spam - leggi libri!" E devo dire che funziona :)

Secondo le informazioni ufficiali del creatore di reCAPTCHA, Louis von Ahn, il suo captcha viene utilizzato fino a 100 milioni di volte al giorno, il che significa che vengono letti circa 2,5 milioni di libri all'anno.

Google ha acquisito reCAPTCHA nel 2009 e ha iniziato a utilizzarlo per digitalizzare un archivio di giornali del New York Times dal 1851 ad oggi e libri di Google Libri fino al 2011. Nel 2012, quando queste risorse furono esaurite, Google iniziò a riconoscere i numeri degli edifici e le immagini da Google Maps e Google Street Views, un altro compito che può essere risolto utilizzando captcha.

Perché all'improvviso ho deciso di parlare in modo selettivo di Google reCAPTCHA? Sì, perché è un prodotto Google, considerato il generatore di diversi standard nel campo del web, della sicurezza informatica e altri ambiti. Pertanto, reCAPTCHA è lo standard captcha non ufficiale di oggi: è semplice :)

Pertanto, apparirà più di una volta nel testo di questo articolo.

Tipi di captcha

Il captcha si basa sul principio sopra descritto: creare un compito che una persona possa gestire, ma un programma no.

Di norma, il compito scelto non è molto difficile, quindi la maggior parte delle persone può affrontarlo. Dopotutto, lo scopo del captcha non è determinare l'intelligenza dell'utente, ma semplicemente la sua capacità di riconoscere ciò che vede, sente e pensa.

Tuttavia, non mi sorprenderebbe che su qualche forum di matematica si possa trovare un captcha sotto forma di equazione differenziale o qualche problema del test di Eysenck (e sempre cronometrato) con l'obiettivo di eliminare le persone con un QI basso :)

Inizialmente, per raggiungere questo obiettivo, il CAPTCHA era una stringa di lettere, numeri e altri simboli distorti che venivano fatti passare appositamente attraverso vari filtri antirumore, ruotati e distorti. Ma nel corso del tempo sono comparsi altri tipi di CAPTCHA che isolano i robot dalle persone che svolgono altre attività.

1. Captcha grafico

Come già accennato, il tipo più antico di captcha. Si tratta di un'immagine con una sequenza di caratteri distorti (lettere, numeri e caratteri speciali).

La stringa di testo specificata viene implementata sotto forma di immagine, in cui le lettere vengono inclinate, barrate e all'immagine vengono applicati vari filtri di colore e rumore. Tutto quello che devi fare per risolvere il captcha in questo caso è inserire i caratteri mostrati nell'immagine in un campo speciale sotto forma di testo.

È ancora utilizzato con successo da risorse come Yandex e Vkontakte.

Io stesso sono rimasto sorpreso da una versione così bella di Yandex captcha, che mi sono imbattuto proprio mentre scrivevo questo articolo :)

2. Captcha logico

In questo caso, il captcha verifica la presenza di logica nella persona che lo supera, e quindi la capacità di pensare utilizzando compiti diversi.

Può essere:

  • esempi aritmetici (ad esempio, 2+3=?);
  • compiti di selezionare alcuni oggetti tra quelli proposti (trovare una donna tra tutte le fotografie, un uomo con la mano alzata, animali, automobili, ecc.);
  • specificando una cifra specifica da una sequenza di numeri (ad esempio, selezionare la terza cifra dal numero 2312145);
  • scegliere una parola che inizia con una determinata lettera (ad esempio, è necessario scegliere una parola che inizia con “c” tra “Chewing gum, board, chair”);
  • Scrivi il numero dell'immagine in lettere e viceversa.

Il captcha logico più interessante che ho visto è il CAPTCHA di Facebook, che richiede di selezionare il nome del tuo amico nella foto. Sembra questo:

3. Captcha comportamentale

In questo caso l'utente è tenuto a compiere una determinata azione per dimostrare di non essere un robot.

Può essere qualsiasi cosa. A cominciare dalla banale casella accanto alla casella “Accetto i termini dell'accordo”, che molti di voi hanno visto e che, di fatto, è anche un captcha. E per finire con qualcosa di più sofisticato :)

Tra gli esempi più comuni di captcha comportamentale ci sono i seguenti:

  • spostare il cursore in una determinata posizione;
  • Ruota l'immagine in una posizione specificata (verticale, orizzontale).

In precedenza, il captcha comportamentale e logico utilizzato contemporaneamente per compilare un'immagine da frammenti (il cosiddetto puzzle captcha, perché funzionava su questo principio) era ancora molto popolare.

Ma il captcha comportamentale più interessante che ho incontrato è un captcha specializzato in ingegneria radio, che può essere completato solo da esperti di ingegneria radio. Ma c'è un incentivo per iscriversi alla Facoltà di Ingegneria Radio e studiare per 5 anni all'università :)

4. Captcha sonoro

Tutte le opzioni CAPTCHA di cui sopra non rappresentano alcuna difficoltà per gli utenti reali del sito web, perché... Per risolverli è sufficiente la percezione visiva umana, che i programmi informatici non hanno.

Ma qui sorge la domanda: che dire degli utenti di PC ipovedenti o addirittura dei non vedenti? È proprio per questa categoria di persone che è stato creato il captcha audio.

A dire il vero, personalmente non capisco bene come un cieco possa arrivare anche solo al pulsante per attivare il captcha audio e vedere dove inserire i caratteri, ma almeno potrà completarlo, come sostengono gli sviluppatori .

Probabilmente tutti lo hanno visto su Google reCAPTCHA.

Ad essere sincero, non ho mai visto un captcha audio indipendente. Forse è disponibile su alcune risorse per non vedenti, ma non sono un visitatore frequente lì.

Per questo motivo ho inserito questo tipo di CAPTCHA alla fine della lista.

Per quanto riguarda l'ormai popolare Google reCAPTCHA, se lo studiassi attentamente, potresti vedere che non appartiene a nessun tipo specifico di captcha, ma è combinato.

Nella prima versione di reCAPTCHA combinava un captcha grafico e audio e dal 2015, quando è apparso noCAPTCHA reCAPTCHA, è diventato un captcha comportamentale, logico e audio allo stesso tempo. Quelli. ha un ulteriore grado di protezione.

Dove puoi trovare il captcha sul sito?

Come abbiamo già scoperto, il CAPTCHA viene utilizzato sui siti Web per identificare i robot e impedire le loro azioni. Pertanto, per determinare dove viene utilizzato il captcha, è necessario creare un elenco delle azioni che i robot eseguono più spesso sui siti web.

Tra loro:

  1. Invio di spam sotto forma di commenti con collegamenti ad altre risorse.
  2. Registrazione degli utenti per eseguire varie azioni con l'obiettivo di hackerare il sito e inviare nuovamente spam.
  3. Selezione di una password per accedere al sito con l'account di un utente esistente.
  4. Mi piace, amici, visualizzazioni, download e altre azioni fraudolente per le quali puoi ricevere denaro per guadagnare denaro senza eseguire alcuna azione.
  5. Robot parser che rubano il contenuto del sito web. Ora puoi essere bannato dai motori di ricerca per queste cose, ma penso che alcuni negozi online lo facciano ancora.

Di conseguenza, il captcha viene installato per impedire l'esecuzione automatica di azioni specifiche e quindi molto spesso il captcha può essere trovato nei seguenti posti:

  1. Modulo di registrazione sul sito.
  2. Modulo di autorizzazione sulla risorsa.
  3. Modulo commenti.
  4. Modulo per il recupero della password.
  5. Modulo per scaricare file.

A volte viene visualizzato un CAPTCHA quando esegui un'azione troppo spesso (come aggiungere amici, fare clic su un annuncio, ecc.).

Ma nella maggior parte dei casi, come avrai notato, il captcha è ancora un elemento obbligatorio di vari moduli web attraverso i quali l'utente interagisce con il sito. Se sei interessato, ti consiglio di leggere l'articolo al link, che, oltre a una descrizione del principio di funzionamento, contiene 2 esempi funzionanti di installazione di un captcha su un sito con le tue mani.

Questo conclude l’articolo di oggi su cos’è un captcha. In esso, ho cercato di raccontarti cos'è il CAPTCHA nel linguaggio più comprensibile e accessibile, e abbiamo anche parlato del perché è necessario e di quali tipi di captcha si possono trovare oggi.

Nelle seguenti pubblicazioni ti dirò come funziona captcha, considererò il processo di installazione di reCAPTCHA su un sito Web e come svilupparlo da zero, nonché informazioni per webmaster e utenti ordinari senza un sito Web e conoscenze speciali.

Condividi la tua opinione nei commenti sotto l'articolo e non dimenticare di iscriverti agli aggiornamenti del progetto per rimanere informato sull'uscita di nuovi articoli.

E per dessert, porto alla vostra attenzione un video che mi ha ispirato a scrivere questo articolo e parla in modo sufficientemente dettagliato di captcha e, in particolare, di Google reCAPTCHA.

Fai scorta di popcorn e divertiti a guardare.

Ciao, cari lettori del sito blog! Un altro concetto che quasi tutti gli utenti di Internet prima o poi incontrano e che vorrei presentarvi è il captcha. Penso che molti, al momento della registrazione o dell'accesso ai siti web (e non solo) dovessero già compilare una colonna aggiuntiva.

Per completare con successo il processo, di solito è necessario inserire numeri, lettere o anche parole intere, raffigurate nell'immagine immediatamente offerta, nella maggior parte dei casi in forma distorta (usando la sfocatura, applicando vari tipi di effetti, ecc.).

Tali puzzle unici possono essere qualsiasi cosa. Ad esempio, è probabile che ti venga chiesto di inserire il risultato di una semplice operazione aritmetica o di disporre le immagini in un determinato ordine trascinandole.

Cos'è il captcha e i tipi di protezione contro lo spam automatizzato

Tutti questi compiti e test ingegnosi che richiedono l'esecuzione di azioni inerenti a una persona vengono creati, ovviamente, per una ragione, ma perseguono un obiettivo specifico. Quale? Di questo si parlerà più avanti in questa pubblicazione.

Allora, proviamo a mettere subito le cose in chiaro. La parola in lingua russa “captcha” deriva dalla complessa abbreviazione inglese CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), che nella traduzione completa in russo significa “un test di Turing pubblico completamente automatizzato per riconoscere computer e persone”.

Perché è stato progettato questo test? Il fatto è che tra questi non ce ne sono del tutto (o addirittura per niente) legali, una parte importante della quale è l'invio di spam (), che è un vero disastro per gli utenti del World Wide Web.

Per arricchirsi, gli spammer utilizzano al massimo tutti i mezzi disponibili. A questo scopo si registrano in massa su varie risorse, inclusi forum e social network. Ad esempio, in RuNet il sito VKontakte è particolarmente popolare a questo proposito (e i dettagli su questo social network).

Tuttavia, non puoi trovare molto da questo manualmente, come hai capito. Pertanto, i rappresentanti di questo software contingente utilizzano tutte le loro forze e usalo per impostare l'invio automatico di spam. E questo è un calicò completamente diverso. Dopotutto, il programma (robot) può funzionare senza dormire o riposare e quindi presenta un vantaggio innegabile.

Ecco come una valanga di messaggi spam si abbatte sugli utenti. Questo metodo è particolarmente fastidioso per coloro che utilizzano Internet in modo professionale, ad esempio i webmaster.

I proprietari di siti web (esistenti su Internet) sanno in prima persona quanto i prodotti degli spammer possano irritare e turbare. A proposito, alla fine dell'articolo ti consiglierò, secondo me, lo strumento anti-spam più ottimale al momento che puoi utilizzare sul tuo sito web.

Pertanto, è abbastanza logico che sia apparso uno strumento protettivo sotto forma di un test di Turing chiamato captcha (prima o poi questo doveva accadere), il cui nobile obiettivo è bruciare sul nascere l'attività di spam impunita con un ferro rovente.

Naturalmente ci sono cambiamenti positivi derivanti dall’uso del CAPTCHA, tuttavia il risultato non è così roseo come ci si potrebbe aspettare. La vita non si ferma e quindi ci sono costantemente messaggi sullo sviluppo di nuovi software in grado di aggirare qualsiasi captcha. La domanda crea offerta, perché gli spammer non si arrenderanno e abbandoneranno la loro “miniera d’oro”.

Vengono invece migliorati anche i meccanismi di varie forme di CAPTCHA, di cui parleremo più avanti. Questo mi ricorda il confronto tra armi di attacco e di difesa, che va avanti da diversi secoli.

Ad esempio, in risposta all'uso di lance, asce e frecce, fu inventata l'armatura, fu inventata l'armatura contro i proiettili, quindi un proiettile perforante e così via. Il nostro mondo generalmente si sviluppa in gran parte grazie alla lotta degli opposti.

Quali tipi di captcha esistono?

Bene, ok, lasciamo per ora le massime filosofiche e mettiamoci al lavoro. Quindi, abbiamo stabilito cos'è un CAPTCHA, che funge da strumento molto efficace contro lo spam automatizzato. Ma quanto è efficace? Molto dipende dalla professionalità e dalle qualifiche degli sviluppatori web, nonché dagli algoritmi software che utilizzano.

Dopotutto, l'essenza stessa del captcha è rendere il più difficile possibile per la macchina l'esecuzione di un test che una persona comune dovrebbe essere in grado di superare facilmente. Sfortunatamente, a causa dell’eterno confronto esistente sopra menzionato, un rapporto così ideale è difficile da raggiungere in un lungo periodo di tempo.

Molto spesso gli utenti sputano, costretti a passare attraverso un captcha che a volte è difficile da risolvere. Indovina cosa farà un utente normale quando vedrà qualcosa del genere:

Esatto, lascerà una risorsa del genere, poiché su Internet c'è sempre un'alternativa. Pertanto, quando si utilizzano questi tipi di CAPTCHA, gli stessi proprietari dei siti web soffrono, poiché i tassi di conversione diminuiscono, il traffico diminuisce e potenziali abbonati e clienti vengono persi.

Quindi, sapendo a cosa serve questa protezione anti-spam, possiamo formulare le condizioni di base che dovrebbero costituire la base per la creazione captcha perfetto(l'ideale, come sappiamo, è irraggiungibile nella vita reale, ma dobbiamo tendere a raggiungerlo):

  • sviluppare un test che chiunque possa affrontare in un periodo di tempo minimo e che sia assolutamente inaccessibile a un bot;
  • ridurre al minimo l'immissione di dati;
  • tenendo conto degli interessi degli utenti con disabilità fisiche (ad esempio, implementando il supporto audio per i non vedenti).

Puoi facilmente valutare da solo quali captcha hai incontrato su Internet soddisfano meglio le caratteristiche di cui sopra. Bene, ora è il momento di familiarizzare con i tipi di test principali e più popolari oggi, implementati in uno o nell'altro captcha:

1. Immissione di testo sotto forma di lettere, numeri, parole o frasi:


Il problema con questa tipologia è che i caratteri di testo troppo distorti renderanno difficile l'inserimento non solo per i bot, ma anche per i comuni mortali come te e me.

2. Azioni con immagini. Ad esempio, scegliendo le immagini (immagini) adatte tra diverse proposte che soddisfino determinati criteri. Diciamo che per risolvere il captcha riportato nell'esempio qui sotto, dovresti selezionare tutte le immagini in cui è presente l'erba:

Questo tipo di input è più complesso per i programmi perché implica l'analisi delle immagini. E questo rappresenta per loro un serio ostacolo, anche se recentemente gli sviluppatori anti-captcha hanno fatto un passo avanti per eliminare questa lacuna.

Ciò include anche compilare un'immagine completa da parti disparate, che è la capacità intrinseca umana di pensare logico e analitico. Spostando i dettagli con il mouse nei posti giusti, otteniamo l'immagine desiderata (in questo caso, un volto umano):


Ancora una volta, risolvere un problema del genere non è un ostacolo insormontabile per un utente vivente, ma porta comunque via tempo prezioso, che da sempre vale oro.

3. Applicazione operazioni aritmetiche o matematiche per inserire il CAPTCHA:


anche qui è importante non esagerare e non costringere l'utente a “sgualcire il cervello” inutilmente, come nell'esempio mostrato nel quinto screenshot qui sopra.

4. ReCAPTCHA. Questo tipo di test di Turing è più attraente per un'ampia gamma di utenti, poiché tiene conto degli interessi delle persone con disabilità (vedi l'elenco delle condizioni per raggiungere il "captcha ideale" situato qualche paragrafo sopra), offrendo, insieme a un'opzione visiva, riproduzione audio del testo situato nell'immagine:

ReCAPTCHA è abbastanza affidabile e ha un elevato grado di protezione contro gli spammer, quindi è stato utilizzato per molto tempo su molte risorse Web di grandi dimensioni, inclusa la pagina di registrazione di Google. È vero, l'esempio sopra non ha del tutto successo, poiché in questa forma il testo raffigurato è troppo distorto ed è difficile da riprodurre per una persona comune.

Quindi è necessario selezionare un'altra immagine utilizzando il pulsante di aggiornamento (freccia circolare) oppure utilizzare la riproduzione vocale (audio) (icona dell'altoparlante).

In questa forma, ovviamente, il captcha è più attraente e non provoca un evidente rifiuto.

Insieme al leader della ricerca mondiale vale la pena menzionare Yandex, che è il suo principale concorrente nell'Internet russo () e utilizza anche una protezione originale contro gli spammer (YaCAPTCHA), dove può essere offerta una parola in codice o un semplice insieme di lettere in cirillico:

Naturalmente i tipi di captcha che ho presentato qui rappresentano solo una piccola parte della loro intera diversità. Inoltre, li ho classificati in base a quelle caratteristiche che mostrano variabilità. Puoi fare lo stesso tu stesso identificando altre caratteristiche fondamentali in base alle quali è possibile effettuare la classificazione.

Coloro che preferiscono i materiali video alle informazioni di testo, possono guardare un video molto popolare sui vari tipi di captcha:

");">

Inserimento di un captcha e valutazione delle possibilità di aggirarlo

Quindi, abbiamo stabilito cosa significa captcha. Questo non è altro che un mezzo di protezione abbastanza efficace contro lo spam automatizzato. E se vedi davanti a te una frase come "inserisci il captcha", allora devi risolvere un semplice enigma, la cui soluzione conferma che sei una persona vivente, garantendo così l'accesso al sistema.

Il segreto è che gli utenti RuNet visitano spesso siti stranieri, dove in una forma o nell'altra si possono trovare anche CAPTCHA. Sarebbe quindi utile fornire una traduzione di alcune espressioni che potrebbero comparire nei messaggi che accompagnano la compilazione del codice.

Ad esempio, su alcune risorse, se inserisci caratteri errati e viene visualizzato l'errore, è probabile che vedrai qualcosa di simile a questo:

"Test Captcha fallito" tradotto dall’inglese al russo significa “test captcha fallito”. Possono essere presenti anche le seguenti espressioni (la loro traduzione in russo è sul lato destro):

  • "Errore CAPTCHA, riprova" - errore durante l'inserimento del captcha, riprova;
  • “per favore completa correttamente il CAPTCHA” - compila correttamente il captcha.

In questo caso, devi solo riprovare.

Poi arriva la domanda: come bypassare il captcha o addirittura rimuoverlo, e cosa è necessario fare per questo? Dirò subito che non sarà possibile farlo completamente. Ho già accennato nell’articolo di oggi che esiste una lotta continua tra i creatori di software in grado di riconoscere caratteri complessi e, di fatto, gli autori di vari tipi di test software.

In questa fase nessuno ha ottenuto un vantaggio decisivo, tuttavia, in futuro, penso che la parità esistente rimarrà con alcuni cambiamenti in una direzione o nell’altra. Ciò si spiega con l'interesse di entrambe le parti (sia i proprietari delle risorse Internet, che cercano di proteggersi dal bombardamento di messaggi di spam, sia gli spammer, che non vogliono perdere un redditizio mezzo di arricchimento).

Pertanto, lo spam, ovviamente, passa, soprattutto quando si utilizzano i più moderni software a pagamento. Ma l'efficacia anche dei migliori programmi automatici è lontana dall'essere al cento per cento, il che è dimostrato anche dal fatto che prosperano i servizi online (anti-captcha), dove i captcha vengono riconosciuti da persone reali, naturalmente, a pagamento.

In questo caso l’efficienza tende al massimo per ovvi motivi. Tuttavia, se hai bisogno di un riconoscimento captcha di massa, dovresti essere preparato al fatto che ti separerai da parte dei tuoi sudati guadagni. Devi pagare per tutto in questa vita.

D'altra parte, puoi guadagnare con tali servizi se ti registri come dipendente. Il più popolare e, forse, . Il denaro che riceverai lì non sarà molto grande, è piuttosto un'ulteriore fonte di reddito.

Bisogna tenere presente che questo lavoro non richiede competenze o conoscenze particolari; chiunque abbia una semplice connessione Internet può farlo. E la manodopera non qualificata non è molto apprezzata per impostazione predefinita. Ma se non ti piace, puoi sempre abbandonare questa idea.

La soluzione ottimale per i siti Web è installare reCAPTCHA

Ebbene, alla fine della pubblicazione, non posso fare a meno di toccare la questione dell'utilizzo del captcha più efficace sul mio sito web o blog. Dopotutto, tutti i webmaster conoscono in prima persona il "fascino" di comunicare con gli spammer.

Forse è stato in questa fase che è apparso un rimedio piuttosto produttivo sotto forma di l'ultima versione di reCAPTCHA(citato poco sopra), già utilizzato dai principali servizi mondiali, tra cui, ovviamente, Google. La differenza rispetto alla vecchia versione è che l'utente deve solo selezionare la casella di fronte alla scritta “Non sono un robot”:

Ho anche installato reCAPTCHA su alcuni dei miei progetti online. Questo strumento antispam non è ancora disponibile sul sito per il semplice motivo che in generale sono soddisfatto del lavoro, che è adatto alla mia struttura dei commenti.

Ma puoi installare facilmente reCAPTCHA, ad esempio, sul tuo blog WordPress per filtrare gli stessi commenti con il nobile obiettivo di rendere la vita più facile ai tuoi visitatori. In conclusione, un altro super video

Ebbene, nei casi in cui non è possibile evitare un captcha in modo programmatico, il CAPTCHA viene inserito manualmente utilizzando il lavoro di persone reali che inviano questi dati all'aggressore o risolvono il captcha in tempo reale grazie alle API.

Quindi, abbiamo scoperto gli strumenti e le motivazioni degli hacker. Diamo ora un'occhiata ai metodi più comuni per aggirare il CAPTCHA, ordinandoli in due gruppi: quelli possibili a causa di errori del programmatore durante l'implementazione del CAPTCHA e quelli per i quali vengono utilizzate le moderne tecnologie.

Cominciamo in ordine, e cercherò di metterli in ordine crescente di complessità di protezione contro di essi, iniziando da quelli più primitivi e finendo con quelli per i quali non sono ancora stati inventati metodi di protezione.

Per creare intrigo, dirò che al momento ce ne sono tre.

Bypassare il captcha a causa di errori di implementazione

Se chiedi ai creatori delle proprie implementazioni CAPTCHA come aggirare il captcha, ti diranno almeno diversi modi. Ma la cosa più interessante è che loro stessi a volte lasciano finestre e porte nelle loro creazioni per l'hacking.

Ciò accade spesso a causa del fattore umano, o piuttosto della normale disattenzione durante lo sviluppo e della mancanza di accuratezza nel testare la sicurezza dei captcha.

Ma a volte c'è anche l'inesperienza, a causa della quale il programmatore semplicemente non era a conoscenza di alcuni metodi per aggirare il captcha al momento dello sviluppo.

Come ho promesso, in questa sezione esaminerò quelli più comuni e i modi per proteggersi da essi. E iniziamo, come promesso, con la cosa più primitiva.

Bypassare il captcha con una serie fissa di attività

Agli albori dei captcha, i captcha autoprodotti erano molto popolari come mezzo per combattere i bot, perché tutti volevano provare la nuova tecnologia e, di conseguenza, i captcha sono stati inventati da tutti coloro che non erano troppo pigri.

Nel caso dell'utilizzo di captcha autoprodotti, nella cui implementazione gli sviluppatori hanno deciso di non preoccuparsi di un ampio database di immagini, domande o altri tipi di attività, per un attacco automatico mirato a un sito con tale CAPTCHA, basta è necessario trovare le risposte manualmente.

Quelli. andiamo su un sito di questo tipo, selezioniamo le risposte, compiliamo un database di attività e soluzioni corrette e scriviamo un bot per attacchi di forza bruta che selezionerà le opzioni adatte.

Ma, fortunatamente, non potrai incontrare molte di queste situazioni nel mondo moderno, perché... Da allora la sicurezza informatica ha raggiunto un livello di tutto rispetto e nessuno sta creando tali primitivi.

E se esistono persone del genere, imparano molto rapidamente dai propri errori quando perdono il controllo del proprio sito o dei clienti che sono stati violati a causa di tali creazioni.

Protezione: non creare mai captcha con una serie di attività le cui soluzioni possono essere selezionate manualmente. Se per risolvere un captcha è necessario risolvere un esempio matematico o inserire caratteri da un'immagine, le attività e le risposte ad esse dovrebbero essere generate automaticamente.

Un altro modo per proteggersi da tale immissione automatica del captcha è modificare il nome del campo del modulo in cui deve essere inserita la risposta. Se il nome del campo, ad esempio, è sempre “captcha”, sarà più facile per un utente malintenzionato violare tale captcha. Il suo programma robot invierà semplicemente una richiesta allo script del server specificato nell'attributo HTML "azione" del modulo, contenente il valore captcha richiesto.

Se in questa situazione il nome del campo captcha è sempre lo stesso, l'hacker utilizzerà semplicemente il database dei nomi più comuni dei campi captcha, che puoi compilare tu stesso studiando vari siti o scaricare già pronto su siti specializzati risorse (non le elencherò per promuovere l'hacking).

Se il nome del campo, come l'attività captcha stessa, viene generato sul server, nessun database dei nomi captcha sarà di aiuto. Per utilizzare un nome di campo dinamico, in pratica il captcha viene generato da uno script ed elaborato da un altro.

In questo caso, l'implementazione del captcha presenta una sfumatura significativa: lo script che elabora la correttezza della sua voce dovrà in qualche modo trasmettere il nome del campo captcha. Questo viene spesso fatto utilizzando un modulo di input nascosto, attributi di dati o passandoli tramite cookie o una sessione.

Il punto chiave è che non puoi passare il nome direttamente, cioè il campo captcha si chiama “captcha_mysite” e il campo nascosto contiene il valore “captcha_mysite” o “site”. Deve essere crittografato e la decrittografia deve avvenire utilizzando lo stesso algoritmo della crittografia.

Poiché l'algoritmo di crittografia verrà memorizzato sul server, un utente malintenzionato non sarà in grado di riconoscerlo facilmente (a meno che non riesca ad accedere al contenuto dello script del server).

A proposito, è sufficiente utilizzare una sequenza casuale di caratteri al posto del nome del campo, che è molto facile da ottenere in PHP utilizzando la funzione uniqid().

Bypassare il captcha utilizzando le sessioni

Se l'implementazione di un captcha implica la memorizzazione della risposta corretta in una sessione e la sessione non viene creata di nuovo dopo l'inserimento di ogni captcha, gli aggressori possono scoprire l'identificatore della sessione e scoprire il valore crittografato del CAPTCHA.

Pertanto, possono facilmente selezionare un algoritmo di crittografia e utilizzarlo per ulteriori attacchi di forza bruta automatizzati utilizzando i bot.

Inoltre, se nel codice per verificare la risposta dell'utente sul server il programmatore non controlla il vuoto della variabile di sessione in cui viene trasmessa la risposta dell'utente, allora l'hacker può utilizzare un identificatore di sessione inesistente per il quale la variabile semplicemente non esiste.

A causa di questa omissione, tali captcha possono essere risolti inserendo ID di sessione inesistenti e valori captcha vuoti.

Protezione: Non importa quanto si vorrebbe rinunciare all'utilizzo delle sessioni per trasferire i valori dei captcha, questo è un prezzo molto alto da pagare per garantire la sicurezza dei captcha dagli hacker. Pertanto, le sessioni, i valori delle loro variabili e identificatori devono semplicemente essere attentamente protetti in modo che un hacker non possa utilizzare le informazioni in esse memorizzate.

Vale anche la pena eseguire tutti i controlli banali ma necessari delle variabili per l'esistenza e la vacuità dei loro valori.

Cracking di un captcha a causa di informazioni segrete nel codice cliente

A volte i captcha sono realizzati in modo tale che quando si trasferiscono i valori dell'utente al server, viene utilizzata la crittografia utilizzando il cosiddetto "salt", ad es. aggiungendo un ID di sessione, un valore IP o altri dati univoci al valore CAPTCHA. Spesso può trattarsi di una semplice sequenza casuale di simboli.

E la condizione principale per risolvere un captcha è che il valore CAPTCHA crittografato inserito dall'utente corrisponda al suo valore corretto, che è stato generato all'apertura della pagina e registrato in una sessione o altro archivio per l'ulteriore trasmissione al server.

La coincidenza di questi valori indicherà molto probabilmente che l'utente è una persona reale che ha inserito il captcha generato durante una sessione di comunicazione, al termine della quale lo ha risolto e dallo stesso computer su cui ha visto per la prima volta il captcha.

Se questi valori univoci non corrispondono, molto probabilmente il captcha è stato inserito automaticamente dal robot.

Questo meccanismo per proteggere il sito dai bot è ben congegnato, ma a volte questi valori segreti generati sono presenti nel codice HTML della pagina, da dove possono essere facilmente letti. Pertanto, puoi configurare la loro lettura automatica utilizzando programmi e la stessa immissione automatica quando passi un captcha.

Protezione: Quando implementi un CAPTCHA da solo, devi tenere in considerazione questa falla di sicurezza, e se per risolvere un captcha devi prendere in considerazione il valore di qualche identificatore univoco, allora devi assicurarti che non sia menzionato neanche in nel JS o nel codice HTML visualizzabile nel browser.

Devi anche ricreare l'ID di sessione e generare altri valori univoci (incluso il CAPTCHA stesso, se possibile) dopo ogni tentativo di inserire il captcha, il che ti salverà o almeno renderà più difficile per gli hacker hackerare il sito selezionando automaticamente il valore corretto.

Un altro mezzo di protezione è, se possibile, bloccare le azioni tramite IP e numero di tentativi.

Come bypassare il captcha senza cambiare IP

L'attacco di forza bruta è un modo efficace per aggirare il captcha non solo quando viene implementato con una serie fissa di attività e relative soluzioni.

Un altro errore nell'implementazione del CAPTCHA, che lo rende vulnerabile agli attacchi automatizzati, è la mancanza di limiti di tempo per la risoluzione di un captcha e di numero di tentativi.

In questo caso sarà possibile aggirare il captcha utilizzando un apposito programma che raccoglierà un database di domande o selezionerà le risposte dall'elenco disponibile. Inoltre, tutto ciò avverrà in modo automatico grazie ai moderni metodi di machine learning e agli sviluppi nel campo dell’intelligenza artificiale, che hanno fatto un grande passo avanti negli ultimi anni.

Protezione: Quando si implementa un captcha veramente sicuro, è necessario limitare il tempo di risposta e il numero di tentativi di risolvere il captcha da un IP per bloccare gli attacchi di forza bruta da parte dei robot.

Ad esempio, se sono trascorsi meno di 2 secondi tra la generazione di un captcha e la risposta dell'utente, considera tale utente un robot e visualizza un messaggio corrispondente sullo schermo. Il testo del messaggio dovrebbe contenere istruzioni per gli utenti reali affinché l'inserimento non debba essere effettuato così rapidamente (nel caso in cui la persona sia fisicamente in grado di inserire la risposta più velocemente).

Se si tratta davvero di una persona, adotterà le misure appropriate e, se si tratta di un robot, continuerà a tentare di aggirare il captcha.

Tali tentativi dovrebbero essere considerati errati, con il loro numero registrato nella variabile di sessione e ulteriori azioni bloccate per gli utenti dal loro IP. Sarebbe anche una buona idea che questi indirizzi bloccati inviassero un messaggio per contattare l'amministratore invece di un captcha se l'utente bloccato fosse una persona reale.

E un altro modo efficace per combattere i bot è introdurre limiti su determinate azioni sul sito. Ad esempio, una registrazione da un IP. La cosa principale qui è non esagerare e non raggiungere i limiti del numero di commenti per un utente unico.

Ma in realtà queste misure non serviranno a molto grazie all’esistenza dei server proxy.

Bypassare il captcha utilizzando un proxy

Anche in situazioni in cui si verifica ancora il blocco di un gran numero di tentativi di risolvere un captcha tramite IP, questa misura non fornisce una protezione al 100% dai robot.

Tutto ciò è dovuto ai server proxy e ai programmi di anonimizzazione che funzionano sulla base, noti forse a tutti gli scolari moderni che sono alla ricerca di modi per aggirare il controllo genitoriale e bloccare siti proibiti.

Gli anonimizzatori consentono di nascondere i dati del computer durante l'utilizzo del sito, compreso il prezioso indirizzo IP, tramite il quale il client può essere identificato e bloccato.

Lo schema è semplice: l'utente si collega a un server proxy, dove i suoi dati vengono crittografati o sostituiti con altri (ad esempio, gli potrebbe essere assegnato un indirizzo IP di un altro Paese), quindi viene effettuata una richiesta al sito di destinazione a cui il client vuole connettersi.

Pertanto, un utente malintenzionato può facilmente aggirare tutti i blocchi IP e selezionare la soluzione corretta per il captcha per tutto il tempo necessario.

E su alcuni siti in cui il captcha appare solo quando si esegue un gran numero di azioni identiche (ad esempio, in VK quando si aggiunge un numero elevato di amici), potrebbe non apparire affatto se ogni azione viene eseguita da un nuovo IP e con timeout tra i tentativi di risolvere il captcha, in modo che il comportamento del bot sia simile al comportamento di una persona reale.

Questo metodo è stato utilizzato mezzo secolo fa quando si scrivevano i primi programmi per superare il test di Turing, la cui implementazione è il CAPTCHA.

I principi descritti, tra l'altro, vengono utilizzati da tutti i programmi attualmente conosciuti per l'inserimento automatico del captcha. Per modificare l'indirizzo IP di connessione a un sito, utilizzano database gratuiti e commerciali di server proxy, che non sono difficili da ottenere se si dispone di Internet.

Protezione: Sfortunatamente, non c'è modo di proteggersi dall'hacking captcha tracciando gli aggressori tramite IP, grazie alla presenza di anonimizzatori e database PROXY aperti.

L'unica speranza è che gli stessi server PROXY possano imporre restrizioni sul numero di IP utilizzati da un utente e sul numero di connessioni da ciascuno di essi.

Per questo motivo, non dovresti abbandonare del tutto la verifica IP. Grazie alle tue precauzioni che proteggono dal captcha bypass, prima o poi riuscirai a bloccare l'hacker a un livello o all'altro.

E la conclusione più corretta in questa situazione sarebbe quella di utilizzare, oltre a questo metodo di protezione contro l'hacking captcha, altri che aiutano a smascherare l'hacker in un altro modo.

Inserimento automatico del captcha utilizzando gli emulatori di azioni

Se per completare un CAPTCHA devi eseguire una determinata azione (fare clic su un pulsante, spostare un cursore, ecc.), puoi anche aggirare il captcha in questa situazione emulando l'azione necessaria (fare clic su un determinato elemento di controllo o altra azione ).

L'unico problema che un hacker può affrontare in questa situazione è come trovare il controllo desiderato sul sito a livello di codice.

Il modo più semplice per farlo è tramite le sue coordinate o posizione rispetto ad alcuni elementi statici della risorsa.

Protezione: Per proteggersi dall'inserimento automatico del captcha in questo caso, è necessario modificare costantemente la posizione dell'elemento di controllo che consente di risolvere il CAPTCHA. Quelli. Se su tre persone è necessario scegliere solo quella la cui mano è alzata, in nessun caso dovrebbe essere posizionata costantemente nello stesso posto.

Ebbene, nei casi di altre implementazioni captcha, quando ciò non è possibile (ad esempio per un pulsante di download o il campo “Non sono un robot”, che può avere una sola risposta corretta), è necessario utilizzare altri metodi di protezione che può impedire ai robot di risolvere automaticamente il captcha.

Come bypassare il captcha utilizzando l'alta tecnologia

Abbiamo esaminato i punti deboli delle implementazioni CAPTCHA, che sono buchi di sicurezza e sono i più comuni nella pratica. Tuttavia, nella pratica, anche i captcha più impeccabili a volte non sono in grado di proteggere la risorsa che li utilizza dagli attacchi degli hacker.

Questi casi di captcha hacking sono una conseguenza diretta del progresso moderno e del livello di sviluppo della tecnologia informatica, che, come sappiamo, non viene sempre utilizzata per buoni scopi.

Quindi, come evitare il captcha utilizzando la tecnologia moderna?

Bypassare il captcha utilizzando l'OCR

L'OCR (riconoscimento ottico dei caratteri) è una tecnologia per il riconoscimento del testo stampato o dattiloscritto per il suo ulteriore utilizzo in formato elettronico. Il software più noto che implementa questa tecnologia è Adobe FineReader.

Viene utilizzato con successo nella creazione di programmi di immissione automatica di captcha che riconoscono e risolvono con successo captcha grafici, per completare i quali è necessario inserire la sequenza di caratteri mostrata nell'immagine.

Gli hacker, ovviamente, non usano Adobe FineReader (anche se potrebbero essercene alcuni 🙂), ma scrivono script speciali che, utilizzando varie librerie già pronte per lavorare con le immagini o sfruttando le capacità del linguaggio per lavorare con la grafica, riconoscono captcha e produrre una sequenza di caratteri, raffigurata su di essa.

Ho trovato un numero sufficiente di esempi di tali script su Internet. Il principio del loro lavoro era il seguente:

  • pulire l'immagine utilizzata nei CAPTCHA grafici da vari rumori;
  • suddividere la stringa visualizzata in singoli caratteri;
  • confronto di ciascuno di essi con un'immagine preparata (campione).

Sono stati preparati campioni grafici tenendo conto dei diversi font e delle possibili distorsioni (inclinazioni, rotazioni, ecc.).

Come avrai intuito, la cosa più importante è compilare un database di immagini di simboli in varie varianti, con le quali verranno poi confrontati i simboli captcha.

Protezione: infatti, per confondere i programmi OCR, vengono utilizzati fastidiosi rumori e distorsioni dei caratteri nelle immagini, per cui il testo a volte risulta difficile da comprendere anche per una persona. Ma anche nel caso dei robot funziona bene, per cui gli algoritmi OCR non possono fornire un risultato accurato al 100%, il che ha un effetto positivo sulla sicurezza del captcha e dei siti che lo utilizzano.

Se decidi di utilizzare captcha grafici, per i quali devi inserire i caratteri mostrati nell'immagine, devi seguire i seguenti consigli:

  1. I simboli su CAPTCHA diversi devono avere coordinate diverse.
  2. Se utilizzi effetti di rumore per creare uno sfondo, il suo colore deve corrispondere al colore dei caratteri, altrimenti lo sfondo può essere facilmente rimosso evidenziando i caratteri per il riconoscimento.
  3. La distanza tra i personaggi dovrebbe essere minima. Puoi anche sovrapporli uno sopra l'altro, ma solo senza fanatismo, in modo che gli utenti reali possano riconoscerli.
  4. Utilizzare caratteri diversi per rendere difficile la scelta di quello giusto per il riconoscimento.
  5. Distorci i personaggi in ogni modo possibile, cambia il loro stile e spessore.
  6. Utilizza librerie speciali che ti consentono di modificare i caratteri in modo tale che sarà impossibile selezionare un carattere per il riconoscimento del software. Un esempio di tale soluzione è un captcha del creatore della risorsa captcha.ru, che viene generato utilizzando l'algoritmo di distorsione dei simboli a forma di onda dell'autore.

Tutte queste misure consentono di complicare il riconoscimento dei captcha grafici per i sistemi OCR e di ridurre il numero di voci captcha automatiche.

Come passare un captcha utilizzando le reti neurali

Se l'OCR è una tecnologia piuttosto vecchia (i primi dispositivi brevettati erano conosciuti all'inizio del XX secolo), le reti neurali artificiali (ANN) sono apparse solo nella seconda metà del secolo precedente (50 anni sono un'età significativa per le tecnologie: )).

Sono gli algoritmi ANN alla base dell'intelligenza artificiale (AI), il cui obiettivo è creare programmi e dispositivi dotati di funzioni creative, ad es. creazione dell'uomo fatto dall'uomo.

Al momento, l'intelligenza artificiale è in costante sviluppo e ogni giorno compaiono nuove invenzioni che hanno proprietà mai viste prima.

All'ultima conferenza sulle reti neurali a cui ho partecipato, è stato riferito che Google, che è attivamente coinvolta negli sviluppi in questo settore, ha già annunciato servizi cloud pubblici basati su ANN.

Usandoli puoi:

  • riconoscere gli oggetti nelle fotografie (dal sesso della persona raffigurata e dalla marca dei suoi jeans a a quale gioco appartiene l'immagine analizzata, con tutta la sua tavolozza di colori, il nome del luogo e cosa sta succedendo in esso);
  • controllare i dispositivi con voce e gesti;
  • scrivere annotazioni per i video in base a ciò che accade nel video, ecc.

Naturalmente, con queste funzionalità, creare un programma per l'inserimento automatico del captcha utilizzando i principi ANN non è difficile per le persone esperte.

Uno di questi prodotti è stato sviluppato da Vicarious nel 2014. La rete neurale da lei sviluppata è in grado di riconoscere i captcha nel 90% dei casi (vi ricordo che per risolvere il classico test di Turing, ovvero il CAPTCHA, basta solo l'1% delle risposte corrette).

Protezione: Sfortunatamente, è impossibile proteggersi da questo tipo di attacco. E fortunatamente l'ANN di Vicarious non verrà utilizzata per attacchi mirati volti a bypassare il captcha sui siti web, perché... è troppo costoso per compiti così piccoli (gli stessi produttori affermano che si tratta di un cluster di molti server). Il suo principale campo di applicazione è la risoluzione di vari problemi in medicina e robotica.

E decifrare il captcha con il suo aiuto è solo una dimostrazione delle sue capacità.

Ma il tempo passa, le tecnologie che solo ieri erano costose stanno diventando più economiche e non è lontano il tempo in cui i prodotti ANN si diffonderanno. Pertanto, è del tutto possibile che in futuro appariranno robot per l'inserimento automatico dei captcha, dotati di intelligenza artificiale.

Bypassare il captcha utilizzando i servizi pubblici

Con lo sviluppo dei sistemi OCR e AI, la complessità dei captcha grafici è diventata sempre più complessa, il che ha consentito agli sviluppatori di compiere enormi sforzi durante l'implementazione. Ma si sono comunque rivelati inutili, perché... non fornivano una protezione al 100% per i siti contro gli attacchi automatizzati.

Pertanto, mi sembra, Google ha preso la strada giusta e ha deciso di inventare semplicemente un nuovo standard noCAPTCHA, abbandonando l'inserimento manuale dei caratteri dalle immagini.

Durante lo sviluppo di reCAPTCHA noCAPTCHA, abbiamo utilizzato l'esperienza nella lotta ai robot nell'era della nascita del captcha e gli sviluppi moderni nel campo dell'intelligenza artificiale, che ci consente di garantire il giusto livello di sicurezza del sito, ma anche di non rendere la vita troppo difficile per gli utenti di Internet.

Ma, nonostante il fatto che questo standard sia apparso di recente, nel 2015, è già stato trovato un modo per risolverlo automaticamente. E non sta nell’uso dell’intelligenza artificiale.

Tutto è molto più banale: per passare Google reCAPTCHA, devi solo utilizzare i servizi di riconoscimento vocale e di immagini di Google.

È improbabile che il riconoscimento delle immagini nel caso di reCAPTCHA v2 (lo stesso noCAPTCHA) sia d'aiuto, perché per le attività grafiche, è necessario selezionare le immagini che contengono gli oggetti necessari e non inserire i simboli raffigurati, come avveniva nella versione precedente.

Ma i servizi del servizio di riconoscimento vocale di Google, che è una delle conquiste di Google nel campo dell'intelligenza artificiale, menzionato nel precedente metodo per aggirare il captcha, saranno molto utili. Poiché il servizio fornisce un'API, creare un'applicazione basata su di essa non è difficile.

Protezione: Sfortunatamente, in questa situazione, come nella precedente, in cui venivano utilizzate le ANN per aggirare il captcha, non sarà possibile proteggersi dal captcha bypass. L'unico punto positivo ancora una volta è la relativa disponibilità di servizi adeguati, perché... Google ti offre solo una prova di $ 300 per usarli.

Dopo il loro completamento, i servizi vengono pagati. Ma è improbabile che questo costituisca un ostacolo per gli hacker, perché... Possono guadagnare ancora di più dagli attacchi che utilizzano l’inserimento automatico del captcha.

Quindi, nel caso in cui si utilizzino servizi di riconoscimento vocale e di immagini per decifrare il captcha, l'unica speranza rimane è la vigilanza dell'amministrazione, che può bloccare l'account se scopre che viene utilizzato esclusivamente per gli scopi descritti.

Come superare un captcha utilizzando il lavoro umano

Per completare l'elenco dei modi per aggirare il captcha, ho deciso di prenderne in considerazione uno che non rientra in nessuna delle categorie sopra elencate.

Non si basa sullo sfruttamento delle vulnerabilità delle implementazioni CAPTCHA e sull’uso delle moderne tecnologie, ma si basa sul naturale desiderio umano di guadagnare denaro.

E allo stesso tempo, questo metodo aiuta a decifrare un captcha di qualsiasi complessità nel 100% dei casi e, inoltre, a farlo senza troppi sforzi finanziari, fisici e morali.

Stiamo parlando di uno dei metodi moderni per fare soldi, che, tra l'altro, è apparso nel periodo in cui il CAPTCHA è diventato difficile da riconoscere a livello di programmazione.

La sua essenza è che viene creato un servizio speciale che presumibilmente consente alle persone di guadagnare denaro (per lo più piccoli, che potrebbero essere sufficienti solo per indiani o scolari che cercano un modo per ottenere denaro) risolvendo manualmente i captcha.

E chiunque abbia bisogno delle loro soluzioni può fornire questi captcha.

Fondamentalmente si tratta di hacker che utilizzano le risposte di utenti reali per i propri scopi egoistici:

  • automazione dei guadagni;
  • invio di spam;
  • acquistare biglietti e beni nei negozi online per una rivendita più costosa;
  • hacking di siti web, ecc.

Per rendere il processo più comodo, i servizi mettono a disposizione anche un'API, grazie alla quale è possibile compilare il captcha online. Quelli. l'utente inserisce un captcha tramite il servizio, e in questo momento la sua risposta viene utilizzata per confermare l'acquisto online.

Molti artigiani nel campo della programmazione, tra l'altro, possono utilizzare il lavoro umano in modo assolutamente gratuito. Ad esempio, è così che si guadagnano da vivere i proprietari di siti porno, servizi di condivisione di file, torrent e altre risorse dubbie che forniscono servizi gratuiti.

Presumibilmente forniscono agli utenti contenuti preziosi gratuitamente, richiedendoci di confermare che sei una persona e non un robot, con l'aiuto del quale gli aggressori utilizzano i loro prodotti per i propri scopi.

Naturalmente non ci pensiamo a lungo, perché... avere l'opportunità di scaricare un film tanto atteso in qualità HD in modo assolutamente gratuito selezionando una casella nella casella "Non sono un robot" è solo una sciocchezza. Nel frattempo, la tua azione API viene utilizzata per bypassare il captcha su un altro sito di terze parti.

Da qui la morale: ricordatevi sempre che il formaggio gratis è solo in una trappola per topi e niente è gratis.

Protezione: Sfortunatamente, oggi questo è il metodo più efficace per aggirare il captcha, contro il quale non esiste alcun mezzo di protezione. E ciò non accadrà finché coloro che vogliono guadagnare qualche soldo con il duro lavoro e gli amanti dei contenuti gratuiti non se ne saranno andati, cioè molto probabilmente mai.

Bypassare il captcha - conclusioni

Mentre scrivo questo articolo, sono giunto alla conclusione che il captcha, nonostante l'ottima idea con cui è stato concepito, ovvero la protezione dei siti dai robot, ha cessato da tempo di svolgere le sue funzioni.

Se riesci ancora a proteggerti dai bypass automatici dei captcha che utilizzano i punti deboli nelle implementazioni dei CAPTCHA eliminando tutti i problemi con la loro sicurezza, allora è semplicemente impossibile proteggerti dall'inserimento di captcha da parte di utenti reali per denaro.

L’unica cosa che redime in tutta questa situazione è che pagano cifre ridicole per questo tipo di lavoro e poche persone accettano di farlo, quindi la portata degli attacchi informatici che utilizzano l’immissione automatica del captcha non è così catastrofica come potrebbe essere.

Inoltre, i metodi "invincibili" per aggirare il captcha includono le tecnologie di intelligenza artificiale, che si sono sviluppate attivamente negli ultimi anni.

Allo stesso tempo, per rendere la vita più difficile agli hacker, i captcha vengono costantemente “gonfiati” con nuove funzionalità, il che rende il loro completamento un compito difficile e noioso anche per gli utenti reali del sito.

Ricorda lo stesso reCAPTCHA di Google: seleziona la casella, se a Google non è piaciuto qualcosa, seleziona le immagini necessarie (a proposito, ho ancora problemi con i segnali stradali, perché posso completare un'attività del genere da qualche parte in 5 tentativi). È molto complicato lasciare un commento o registrarsi al sito? È più facile trovare un'altra risorsa...

Ma, nonostante queste precauzioni, il captcha attualmente non può essere definito un modo ideale per proteggersi dai robot, per cui molte persone lo criticano e cercano di cercare alternative.

Allo stesso tempo, il fatto che il CAPTCHA continui ad essere utilizzato come tecnologia di sicurezza informatica e venga costantemente sviluppato, anche da parte di Google, che non investirà denaro in progetti dubbi, suggerisce che questa tecnologia esisterà per molto tempo.

Pertanto, quando si sviluppano e supportano siti esistenti che utilizzano captcha, è necessario utilizzare attivamente le raccomandazioni delineate per rendere la vita il più difficile possibile agli hacker che vogliono hackerare il loro software.

I migliori articoli sull'argomento

Copia di file e cartelle
Copia di file e cartelle
Diversi modi per eseguire il prompt dei comandi come amministratore in Windows
Diversi modi per eseguire il prompt dei comandi come amministratore in Windows
Comando RUNAS: esecuzione di un'applicazione come un altro utente Windows
Comando RUNAS: esecuzione di un'applicazione come un altro utente Windows
Categorie:
© 2023 bumotors.ru. Come configurare smartphone e PC. Portale informativo.