Бот для рукапча: программа для работы на рукапче.

3. Зачем нужна антикапча в Instagram

5. Расход денег на антикапчу

Это касается расходов на антикапчу в инстаграме, все зависит от скорости выполняемых действий вашим сервисом. Чем чаще выполняются действия, тем чаще инстаграм думает, что вы бот и дает вам капчу. Поэтому ставить максимальные и рандомные задержки между заданиями не только экономно, но и безопасно.

Самые распространенные сервисы это «антикапча» и «рукапча»

Если вы используете автоматические сервисы для продвижения в инстаграме, однозначно стоит. Ну а если вы выполняете все действия вручную, тогда это бессмысленно.

4. Стоит ли использовать антикапчу в Instagram?

Тест Google reCAPTCHA обманут искусственным интеллектом

CAPTCHA — это тесты, которые веб-сайты используют для борьбы с ботами, предлагая посетителям веб-сайтов доказать, что они люди, прежде чем продолжить.Ведущей системой является reCAPTCHA от Google, которая ранее просила посетителей веб-сайтов доказывать свою человечность, проверяя слова, отсканированные с книг, или фотографии уличных знаков. Это было заменено поведенческим анализом, требующим от людей просто поставить галочку в поле с надписью «Я не робот».

Подобные системы уже были взломаны. Действительно, CAPTCHA, основанные на тексте и изображениях, так часто взламываются, что исследователи из Китая и Университета Ланкастера окрестили свою статью о генеративных состязательных сетях «еще одним решателем текстовых CAPTCHA».Доступная аудиоверсия даже была нацелена на использование инструментов преобразования речи в текст для прослушивания аудиоклипов и загрузки ответа.

Но все стало сложнее в конце прошлого года, когда Google представил reCAPTCHA без CAPTCHA. Вместо того, чтобы извлекать искаженный текст или уличные знаки или даже отмечать галочкой поле, указывающее, что посетитель веб-сайта не является роботом, версия 3 reCAPTCHA анализирует ряд сигналов, давая оценку от нуля до единицы. Более низкие оценки с большей вероятностью будут у ботов, а более высокие — у людей.

Это ранжирование происходит полностью в фоновом режиме; вообще нет человеческого взаимодействия. Google не объяснил, что входит в оценку « бот или нет » — неудивительно, поскольку хакеры обязательно воспользуются этой информацией — но, похоже, она включает используемый браузер, IP-адрес и то, вошли ли они в систему. аккаунт Google. В конце концов, если Google знает, что это вы, он знает, что вы не бот.

Эта система еще не была взломана, несмотря на заявление авторов недавней статьи «Взлом Google reCAPTCHA v3 с использованием обучения с подкреплением».Вместо этого Мохамед Акрут из Университета Торонто и его соавторы сосредоточились на обмане вторичной системы с помощью машинного обучения. Невидимой системой подсчета очков не злоупотребляют, но, тем не менее, они утверждают, что могут пройти reCAPTCHA v3.

В reCAPTCHA v3 веб-сайты устанавливают свой собственный порог оценки того, что они хотят считать ботом или нет. Если посетитель попадает ниже этого порога в заданный момент, например, когда он вводит обзор или данные для входа, у веб-сайта есть два варианта, говорит Акроут.Первый — немедленно показать страницу, на которой посетитель назван ботом, что немного неудобно, если система неправильная и это человек; Представьте, что вы продвигаетесь через онлайн-покупку, чтобы страница, на которую вы смотрите, внезапно исчезла, а вам из ниоткуда показалось обвинение «Вы бот». «Это плохая практика с точки зрения пользовательского опыта», — говорит Акроут.

Вместо этого, по словам Акроута, многие сайты предпочитают вести переговоры немного более любезно. Если посетитель веб-сайта опускается ниже порога «бот или нет», на сайте отображается страница со старым стилем флажка «Я не робот», позволяя людям лучше понять, почему их покупки в Интернете или что-то еще было прервано, и давая им шанс доказать свою человечность. «Большинство программистов, которых я знаю, добавляют флажки, потому что не знают, как выбрать время, когда они спросят v3 о его убеждениях». Под этим он подразумевает, что версия 3 имеет постоянный счет; веб-сайты могут получить к нему доступ в любое время. Сделайте это наугад, и сайт внезапно перестанет работать.

И именно в эту брешь наносят удар Акрут и его коллеги-исследователи. Флажок «Я не робот» был введен в версии 2 reCAPTCHA, который анализирует поведение, включая движения мыши, для обнаружения ботов.Исследователи создали автоматизированную систему, которая может обмануть эту часть reCAPTCHA.

Он не обращается напрямую к невидимой оценке версии 3, но к анализу движения мыши, впервые введенному в версии 2, но из-за того, как система реализована на некоторых веб-сайтах, не нужно вводить в заблуждение новую систему. Другими словами, они нашли другой способ обойти reCAPTCHA с использованием ИИ, но он не такой грандиозный, как обещали.

Это не убеждает Нан Цзяна из Университета Борнмута, который не участвовал в этом исследовании.«Теоретически любую схему CAPTCHA, основанную исключительно на изучении поведения пользователя, можно взломать с помощью специализированных алгоритмов машинного обучения, поскольку такие алгоритмы можно легко использовать для имитации реального взаимодействия пользователя со страницей», — отмечает он. «Однако Google ReCAPTCHA… сочетает в себе другие технологии, чтобы предсказать, насколько клиенту можно доверять, а затем попытаться внести этого клиента в белый список. Как только вы попадете в белый список, все, что вы сделаете, все равно позволит вам пройти тест».

Акрут и его коллеги-исследователи обманывают одну часть reCAPTCHA, используя тип машинного обучения, называемый обучением с подкреплением, при котором программный агент пытается найти наилучший возможный путь, поощряемый вознаграждением за каждый шаг в правильном направлении.Их система размещает сетку квадратов на странице, перемещая мышь по диагонали через сетку к кнопке «Я не робот». Учитывая положительное подкрепление, если оно было успешным, и отрицательное, если нет, система изучает правильные способы передвижения, чтобы убедить reCAPTCHA в том, что мышь находится под контролем. Газета утверждает, что работает с точностью 97,4%. На момент публикации Google не ответил на запрос о комментарии по поводу статьи.

Но Джейсон Полакис, доцент кафедры информатики в Университете Иллинойса, взломавший reCAPTCHA версии 2, отмечает, что v3 reCAPTCHA — это не только работа, описанная в статье.«Атака, которую пытается продемонстрировать эта статья, просто переходит от случайной начальной точки на странице к флажку», — говорит он. «Это очень конкретное и ограниченное подмножество взаимодействий, которые пользователь будет иметь с реальной страницей на практике (например, заполнение форм, взаимодействие с несколькими элементами страницы, перемещение по более сложным шаблонам и т. Д.)».

Он добавляет: «Если Google также улучшит использование более продвинутых методов, таких как снятие отпечатков пальцев с браузера / устройства (признаки которого мы обнаружили, когда мы провели обширный углубленный анализ и взлом ReCaptcha v2), атака будет даже на практике сложнее. «

Акроут согласен с тем, что атака на основе движения мыши имеет ограничения, но они немного говорят о том, как работает reCAPTCHA v3.» Если вы подключены к своей учетной записи Google с обычного IP-адреса, то система в большинстве случаев вернется что вы человек «, — говорит он. Подключайтесь через TOR или прокси-сервер, и чаще всего о вас будут сообщать как о боте.

Знание того, что помогает заставить систему reCAPTCHA показывать» Я есть не «робот», если соответствующий веб-сайт настроен для нее по умолчанию.Акроут заявляет, что атака требует нейтрального отношения к Google — так что не входите в учетные записи, но и не входите через прокси-сервер или используя инструменты управления браузером, такие как Selenium. «Это как если бы я прошу систему перейти прямо ко второй [странице], просто чтобы получить обнаружение массового движения», — говорит он.

Akrout добавляет, что есть простые способы, которыми Google может защитить reCAPTCHA от этого метода, в частности, отслеживание количества времени, которое пользователь тратит на нажатие кнопки. «Агент тратит больше времени, чем люди, чтобы установить флажок», — отметил он.«Любой всегда может оставить reCaptcha работающим в фоновом режиме без какого-либо взаимодействия», — добавляет Акроут, оставляя его атаку неработающей.

Шуджун Ли, профессор кибербезопасности в Кентском университете, ранее проектировал свои собственные системы для взлома более ранних версий reCAPTCHA, но не участвовал в этом проекте. Он говорит, что работа выглядит технически надежной, но добавил, что Google сможет легко обновить свою систему, чтобы избежать предлагаемой атаки. «Остается неясным, в какой степени предлагаемую атаку можно переобучить, чтобы наверстать упущенное», — сказал он.«Потенциально более надежным подходом будет сбор ответов реальных пользователей на reCAPTCHA и построение модели машинного обучения для имитации таких ответов, которую можно легко переобучить и которая будет гарантированно работать, если reCAPTCHA не станет непригодным для использования обычными пользователями-людьми».

Действительно, есть много других способов взломать эти системы, отмечает Ли. Хотя эта конкретная атака может быть ограничена, тот факт, что reCAPTCHA продолжит становиться жертвой систем искусственного интеллекта, не является неожиданностью.«Не было новостей о том, что CAPTCHA поддаются взлому. Последние достижения в области искусственного интеллекта значительно улучшили показатели успешности автоматических атак», — добавил Ли. «В принципе, CAPTCHA как технология оказалась неспособной противостоять продвинутым атакам». Это конкретное исследование, возможно, не поможет взломать reCAPTCHA v3, но это только начало.

Еще больше интересных историй из WIRED

— Заботитесь о конфиденциальности в Интернете? Затем смени свой номер телефона

— В Facebook наблюдается всплеск хитрой рекламы о Brexit

— Внутри уязвимой славы дочерних звезд ASMR на YouTube

— Я пытался скрыть своего ребенка от Facebook и Google

— Как SoftBank стал самой влиятельной технологической компанией

Получайте WIRED Weekly, чтобы быть в курсе самых важных, интересных и необычных историй WIRED за последние семь дней. Это сделка раз в неделю, так что не беспокойтесь о том, что мы забьем ваш почтовый ящик.

, введя свой адрес электронной почты, вы соглашаетесь с нашей политикой конфиденциальности

Спасибо. Вы успешно подписались на нашу рассылку новостей. Вы скоро услышите от нас.

Извините, вы ввели неверный адрес электронной почты. Обновите страницу и попробуйте еще раз.

— новый способ остановить ботов

Удобный пользовательский интерфейс

Более точное обнаружение ботов с помощью «действий»

Борьба с ботами по-своему

Короче говоря, reCAPTCHA v3 помогает защитить ваши сайты без трений пользователей и дает вам больше возможностей решать, что делать в рискованных ситуациях. Как всегда, мы работаем каждый день, чтобы опережать злоумышленникам и сделать Интернет простым и безопасным в использовании (кроме ботов).

Готовы начать работу с reCAPTCHA v3? Посетите наш сайт разработчика Больше подробностей.

Автор: Вэй Лю, менеджер по продуктам Google

У нового reCaptcha Google есть темная сторона

Мы все пытались войти на веб-сайт или отправить форму, только чтобы застрять, щелкая светофоры, витрины магазинов или мосты в отчаянной попытке окончательно убедить компьютер, что мы на самом деле я не бот.

На протяжении многих лет это был один из основных способов, с помощью которых reCaptcha — детектор интернет-ботов Google — определял, является ли пользователь ботом или нет. Но прошлой осенью Google запустил новую версию инструмента с целью полностью избавиться от раздражающего взаимодействия с пользователем. Теперь, когда вы вводите форму на веб-сайте, который использует reCaptcha V3, вы не увидите флажка «Я не робот» и вам не придется доказывать, что вы знаете, как выглядит кошка. Вместо этого вы вообще ничего не увидите.

«Это удобнее для пользователей. Каждый провалил Captcha », — говорит Сай Хормаи, руководитель отдела разработки продуктов reCaptcha в Google. Вместо этого Google анализирует способы навигации пользователей по веб-сайту и присваивает им оценку риска в зависимости от того, насколько злонамеренно их поведение. Хормаи не поделится, какие сигналы использует Google для определения этих оценок, потому что, по его словам, это упростит мошенникам подражание доброжелательным пользователям, но он считает, что эта новая версия reCaptcha делает эту задачу невероятно сложной для ботов или фермеров, выращивающих капчи — людей, которые заплатили крошечные суммы, чтобы взломать Captcha в Интернете — чтобы обмануть систему Google.

«Вы должны понимать, каким должно быть поведение на сайте, и достаточно хорошо имитировать это, чтобы обмануть нас», — говорит он. «Это действительно сложная проблема по сравнению с общей проблемой« Притворись, что я человек »». Затем администраторы веб-сайтов получают доступ к оценкам рисков своих посетителей и могут решить, как с ними справиться: например, если пользователь с попытки входа в систему с высоким уровнем риска, веб-сайт может установить правила, чтобы попросить их ввести дополнительную информацию для проверки с помощью двухфакторной аутентификации.Как сказал Хормаи, «в худшем случае у нас есть небольшие неудобства для законных пользователей, но если есть злоумышленник, мы предотвратим кражу вашей учетной записи».

Согласно веб-сайту технической статистики Built With, более 650 000 веб-сайтов уже используют reCaptcha v3; В целом reCaptcha используют не менее 4,5 миллионов веб-сайтов, в том числе 25% из 10 000 лучших сайтов. Google также сейчас тестирует корпоративную версию reCaptcha v3, где Google создает настраиваемую reCaptcha для предприятий, которые ищут более подробные данные об уровнях риска пользователей, чтобы защитить алгоритмы своего сайта от злонамеренных пользователей и ботов.

Но эта новая система, основанная на оценке риска, имеет серьезный компромисс: конфиденциальность пользователей.

По словам двух исследователей безопасности, которые изучали reCaptcha, один из способов, которым Google определяет, являетесь ли вы злоумышленником, — это то, установлен ли у вас файл cookie Google в вашем браузере. Это тот же файл cookie, который позволяет вам открывать новые вкладки в вашем браузере и вам не нужно каждый раз повторно входить в свою учетную запись Google. Но, по словам Мохамеда Акроута, аспиранта по информатике из Университета Торонто, который изучал reCaptcha, похоже, что Google также использует свои файлы cookie, чтобы определить, является ли кто-то человеком в тестах reCaptcha v3.Акроут написал в апрельской статье о том, как симуляции reCaptcha v3, которые выполнялись в браузере с подключенной учетной записью Google, получали более низкие оценки риска, чем браузеры без подключенной учетной записи Google. «Если у вас есть аккаунт Google, скорее всего, вы человек», — говорит он. Google не ответил на вопросы о роли файлов cookie Google в reCaptcha.

Используя reCaptcha v3, консультант по технологиям Маркос Перона и тесты Akrout обнаружили, что их оценки reCaptcha всегда были низким риском, когда они посещали тестовый веб-сайт в браузере, где они уже вошли в учетную запись Google.С другой стороны, если они перешли на тестовый веб-сайт из частного браузера, такого как Tor или VPN, их оценки были высоки.

[Изображение: любезно предоставлено Google] Чтобы эта система оценки рисков работала точно, администраторы веб-сайтов должны встраивать код reCaptcha v3 на всех страниц своего веб-сайта, а не только в формы или страницы входа в систему. Затем reCaptcha со временем узнает, как обычно действуют пользователи их веб-сайта, помогая алгоритму машинного обучения, лежащему в его основе, генерировать более точные оценки рисков.Поскольку reCaptcha v3, вероятно, будет на каждой странице веб-сайта, если вы вошли в свою учетную запись Google, есть вероятность, что Google получает данные о каждой отдельной веб-странице, на которую вы переходите, которая встроена с reCaptcha v3 — и многие из них не будут визуальными. указание на сайте, что это происходит, помимо небольшого логотипа reCaptcha, спрятанного в углу.

Khormaee никоим образом не рассматривает способ, которым Google использует данные для reCaptcha, и вместо этого отсылает Fast Company к условиям обслуживания Google, ссылка на которые находится под логотипом reCaptcha на большинстве сайтов.Однако нигде в условиях обслуживания не упоминается reCaptcha. После того, как эта история была опубликована, Google обратился к нам, чтобы сказать, что API reCaptcha отправляет информацию об оборудовании и программном обеспечении, включая данные об устройствах и приложениях, обратно в Google для анализа и что эта служба используется только для борьбы со спамом и злоупотреблениями.

Google поощряет администраторов сайтов размещать reCaptcha на всех своих сайтах, а затем делиться полученными оценками риска с этими администраторами — это здорово для безопасности, считает Перона, потому что, по его словам, это «дает владельцам сайтов больше контроля и прозрачности над тем, что происходит». потенциальные атаки мошенников и ботов, и система будет давать администраторам более точные оценки, чем если бы reCaptcha использовала только данные с одной веб-страницы для анализа поведения пользователей.Но есть компромисс. «Это имеет смысл и делает его более удобным для пользователя, но также дает Google больше данных», — говорит он. Google не разъясняет, что он делает с данными о поведении пользователей, которые он собирает с помощью reCaptcha, только то, что он используется для улучшения reCaptcha и общих целей безопасности.

Этот вид сбора данных на основе файлов cookie происходит в другом месте в Интернете. Гигантские компании используют его как способ оценки того, куда направляются их пользователи при просмотре веб-страниц, что затем может быть связано с предоставлением более адресной рекламы.Например, файл cookie reCaptcha от Google следует той же логике, что и кнопка «Мне нравится» в Facebook, когда он встроен в другие веб-сайты: он дает этому сайту некоторые функции социальных сетей, но также позволяет Facebook узнать, что вы там находитесь. Ранее Google заявлял, что данные, полученные с помощью reCaptcha, не используются для таргетинга рекламы или анализа интересов и предпочтений пользователей. После публикации этой истории Google заявил, что информация, собранная с помощью reCaptcha, не будет использоваться Google для персонализированной рекламы.

Перона рассматривает использование Google reCaptcha как «захват земли в Интернете», который усиливает влияние Google в Интернете. Он считает, что reCaptcha похожа в этом на другие продукты Google, такие как Accelerated Mobile Pages (AMP), программа, ускоряющая загрузку страниц новостных сайтов на мобильных устройствах, но вызвала некоторую обеспокоенность издателей по поводу того, отвлекает ли Google веб-трафик от новостей. места. То же самое и с Google Chrome, который Washington Post недавно назвал «программным обеспечением для наблюдения» (я среди тех, кто отказался от Chrome для Firefox).

«Это всегда палка о двух концах», — говорит Перона. «Вы получаете что-то, но вы также даете Google немного больше контроля над всем в Интернете». Выигрыш — безопасность и лучший пользовательский интерфейс, но конфиденциальность может пострадать.

Google не обращал внимания на возможные проблемы с конфиденциальностью и настаивал на том, что использование reCaptcha v3 является вопросом корпоративной ответственности. Он рассматривает reCaptcha v3 как способ обеспечить безопасный и удобный онлайн-опыт. «Google так глубоко интегрирован с Интернетом», — говорит Хормаи.«Мы хотим сделать все возможное, чтобы защитить его».

Google reCAPTCHA v3 находит ботов без взаимодействия с пользователем

Google запускает новую систему reCAPTCHA, которая способна обнаруживать вредоносный или оскорбительный трафик на сайтах без какого-либо взаимодействия с пользователями.

Как и другие системы CAPTCHA, reCAPTCHA v3 предназначена для предотвращения взаимодействия ботов, злоумышленников или других типов злонамеренного трафика с защищенным сайтом. Первоначальная reCAPTCHA была классической конструкцией, в которой пользователь должен был прочитать текст в искаженной форме, а затем ввести его в поле. Вторая итерация обычно включала пользователя, щелкающего поле или выполняющего какое-либо другое действие, и все во имя доказательства того, что он был человеком, а не ботом.

Обе эти системы работают относительно хорошо, но они требуют положительного взаимодействия с пользователем и могут раздражать и замедлять работу пользователей на сайте. Система reCAPTCHA v3 — это попытка Google исключить взаимодействие с пользователем из уравнения, используя множество различных сигналов в фоновом режиме, которые в совокупности дают владельцам сайтов оценку, позволяющую оценить вероятность того, что пользователь станет ботом.

«Теперь, с reCAPTCHA v3, мы кардинально меняем способ тестирования сайтов на действия человека и бота, возвращая оценку, чтобы показать, насколько подозрительно взаимодействие, и устраняя необходимость отвлекать пользователей от проблем. reCAPTCHA v3 выполняет адаптивный анализ рисков в фоновом режиме, чтобы предупредить вас о подозрительном трафике, позволяя пользователям-людям без проблем пользоваться вашим сайтом », — сказал Вей Лю, менеджер по продукту Google.

Злоумышленники, спамеры и другие субъекты угроз разработали различные тактики для обхода CAPTCHA на протяжении многих лет и продолжают обновлять их по мере развития защиты.Существуют инструменты, разработанные специально для того, чтобы позволить злоумышленникам победить системы CAPTCHA, и аналитики Flashpoint недавно увидели обсуждения на форумах blackhat SEO пары таких инструментов, которые предлагаются для продажи.

«Первый инструмент, похоже, представляет собой украденную копию программного обеспечения для маркетинга в социальных сетях, которое автоматизирует добавление друзей, а второй — это тип программного обеспечения для SEO, которое часто используется злоумышленниками для рассылки спама на форумах и в разделах комментариев. Второй инструмент утверждает, что может «декодировать» более 400 типов CAPTCHA в своей форме по умолчанию и якобы может декодировать еще больше типов с использованием отдельно продаваемого плагина », — сказал Ян В.Грей и Тим Лихи из Flashpoint сказали в недавнем анализе.

«reCAPTCHA v3 выполняет адаптивный анализ рисков в фоновом режиме, чтобы предупредить вас о подозрительном трафике».

Наш хитрый искусственный интеллект может победить технологию защиты от ботов Google, говорят юниты • The Register

Video Американские ученые утверждают, что они разработали систему машинного обучения, которая может превзойти систему обнаружения ботов reCAPTCHA от Google.

Созданный для того, чтобы не позволять автоматическим скриптам выполнять такие действия, как создание учетных записей или массовая покупка билетов в Интернете, reCAPTCHA v2 представляет изображение или серию изображений и предлагает пользователям сети щелкнуть по частям, содержащим определенный объект, например автомобиль. или светофор.Это должно побеждать ботов, поскольку в идеале они должны терпеть неудачу в этих простых задачах, тогда как люди должны иметь возможность легко пройти.

Команда из Университета Луизианы в Лафайетте, однако, считает, что их приложение ImageBreaker [PDF] способно пройти онлайн-тесты распознавания изображений reCAPTCHA v2 с успехом 92,4% и в среднем 14,86 секунды на каждый раз. бот-вызов. Когда система работает в автономном режиме для решения проблем с изображениями, она может разгадывать визуальные загадки еще быстрее, 5.Нам сказали, что 27 секунд с точностью 95%.

Ниже показано видео, как это работает:

YouTube видео

«Это показывает, что реализация reCaptcha v2 не соответствует его девизу, потому что мы обнаруживаем, что наш бот может также решать капчи с динамическими изображениями даже лучше, чем человеческий труд», — пояснила команда в документе, предоставленном The Register в конце прошлого месяца.

Это не первый раз, когда умники показывают, как можно обойти широко используемую систему Google «будь человеком». Ранее в этом году специалисты из Университета Мэриленда показали, как можно помешать звуковой версии средства защиты от ботов, а предыдущие усилия продемонстрировали, что фильтр на основе изображений может быть побежден с помощью программного обеспечения для глубокого обучения.

Команда из Луизианы, однако, пошла дальше, выполнив всю атаку онлайн и на лету, вместо того, чтобы загружать изображения и решать задачу офлайн.По сути, в этом разница между предположением о том, что систему reCAPTCHA v2 можно обыграть с помощью ИИ, и активной демонстрацией того, как можно обыграть проверочный фильтр. Это означает, что веб-сайты, использующие версию второй технологии Google, могут быть наводнены ботами, если это академическое исследование работает так, как заявлено, и является оружием.

Чтобы победить систему, команда построила три разных модуля атаки, каждый из которых выполняет свою задачу. Первый модуль получает само изображение, а также тип задачи — например, на какой объект нужно щелкнуть — и каков макет сетки.

Второй модуль выполняет задачу фактической идентификации объектов на изображении. Модуль, использующий код машинного обучения, выдает массив JSON с именем объекта, оценкой достоверности и номерами сетки, которые нужно щелкнуть, чтобы решить головоломку. Наконец, третий модуль выполняет задачу фактической отправки ответов, проверки успешного выполнения задачи и остановки, если это так.

Ученые, которые сообщают о своих выводах в Google, утверждают, что в их системе используется фундаментальный недостаток дизайна в reCAPTCHA v2, который облегчает ботам решение головоломок с изображениями.

«Мы утверждаем, что существенный недостаток заключается в том, что дизайн reCaptcha v2 меняет обычную проблему распознавания объектов на проблему проверки категории объекта. Это сводит сложную проблему к более легкой», — пишут они. «Например, он дает категорию объекта и просит бота проверить, содержат ли сетки этот объект. Дизайн снижает уровень сложности задачи, которую должен решить бот».

Команда надеется, что их работа может быть использована Google для усиления reCAPTCHA v2 против автоматизации.

«Как только такой критический механизм безопасности сломан, боты могут получить доступ к сервисам, которые им не разрешены», — пояснила команда. «По этой причине крайне важно, чтобы капча была безопасной и надежной».

Статья под названием «Боты работают лучше, чем люди: онлайн-система для взлома системы reCaptcha v2 на основе изображений Google» была написана студентами из Университета Луизианы имраном Хоссеном, Ячжоу Ту, Фазл Рабби и Назмулем Исламом вместе с ассистентом профессор Сиали Хэй и профессор китайского университета Цзяотун Хуэй Цао.Их работы, насколько нам известно, еще не опубликованы в журналах.

Представитель Google недоступен для немедленных комментариев. Как бы то ни было, существует третья версия reCaptcha, которая предназначена для идентификации и остановки ботов на основе их активности, а не для того, чтобы бросать им вызовы, хотя некоторые боффины заявляют, что могут обойти [PDF] эту фильтрацию. ®

Безболезненно для людей, болезненно для ботов!

Многие компании, включая Gmail, Yahoo, Rediffmail и т. Д.предлагаем бесплатные услуги электронной почты. Однако, используя это, и боты, и люди создают тысячи бесплатных учетных записей электронной почты каждый день. Это создавало множество хаоса в Интернете.

Но с появлением CAPTCHA в настоящее время пользователям Интернета необходимо заполнить CAPTCHA, прежде чем они смогут получить бесплатную учетную запись электронной почты. Однако среди этих интернет-пользователей CAPTCHA запрограммирована так, чтобы ее не читали боты и другие машины. Таким образом, это предотвращает неправильное использование бесплатных услуг.

Мы также заметили, что хакеры используют программы для создания онлайн-опросов в пользу определенного мнения, партии или голосования.Несмотря на то, что IP-адреса записываются, чтобы люди не могли проголосовать более одного раза. Однако с помощью ботов эту политику легко обойти. Таким образом, онлайн-опросы становятся ненадежными.

Если мы реализуем коды CAPTCHA в таких опросах, боты не смогут решать головоломки, и опросы получают правильные голоса.

Что такое капча и зачем она нам нужна?

Большинство приложений в настоящее время отображают поле капчи или CAPTCHA каждый раз, когда вы пытаетесь войти во что-то или пишете комментарий к любому сообщению в Интернете.Что же это за странные загадки и почему они так популярны?

CAPTCHA или полностью автоматизированный общедоступный тест Тьюринга для различения компьютеров и людей — это умный способ идентифицировать людей и ботов.

У Google также есть технология CAPTCHA, разработанная для предотвращения автоматического доступа, взлома, злоупотреблений, и она обеспечивает защиту от ботов. Самостоятельная методика анализа рисков идентифицирует пользователя как человека или как бот.

Captcha запускается с отсканированного текста, чисел и нескольких математических уравнений.

Переходите к невидимой reCAPTCHA?

Invisible reCAPTCHA — новая система Google. Эта новая система использует фотографии из Google Street View в дополнение к тексту и числам. Кроме того, Google реализовал программу, предлагающую пользователю выбрать связанные изображения из сетки из девяти изображений. С помощью reCAPTCHA Google реализовал поведенческий анализ взаимодействия пользователя в браузере с помощью CAPTCHA. Он может оценить поведение пользователя перед отображением изображений Captcha.

Давайте узнаем, как реализовать reCAPTCHA:

1. Зарегистрируйтесь в Google для реализации reCAPTCHA.

2. После успешного завершения регистрации можно добавить владельцев и установить параметры безопасности.

3. После регистрации на сайте отображаются два ключа.

• Ключ сайта — используется в HTML-коде.
• Секретный ключ — помогает Google идентифицировать запрашивающий сайт.

4. Интеграция в коде:

Включите указанный ниже тег скрипта в файл HTML

Добавьте тег div с классом ‘g-recaptcha ’ и предоставленным ниже ключом сайта

(b) Интеграция на стороне сервера:

Используйте приведенный ниже код подтверждения при отправке формы:

5. После отладки веб-сайта на экране отображается нижеуказанный заполнитель, добавленный на HTML-страницу.

После установки флажка на основе расчетов поведенческого анализа Google предлагает пользователю выбрать следующую сетку изображений:

После подтверждения выбора мы можем получить ответ на отправку формы в атрибуте «g-recaptcha-response».

При реализации проекта мы выявили следующие шаблоны поведенческого анализа:

• Капча, которую мы реализуем, — это Nocaptcha / Invisible Recaptcha, и всплывающее окно выбора изображения может появляться не всегда. Он основан на логике поведения. Следовательно, он запрашивает выбор изображений вручную только в том случае, если он подозревает нечеловеческую деятельность.

• Captcha создает файлы cookie каждый раз, когда они проверяются на машине. Итак, браузер создает историю просмотров и обращается с вами как с человеком.У ботов обычно нет истории просмотров.

• Если вы вошли в систему с соответствующей учетной записью Google, капча снова может быть пропущена.

• Мы можем видеть большую разницу между поведением человека и бота. Человек будет прокручивать вверх или вниз, и ему потребуется некоторое время, прежде чем на самом деле поставить галочку в поле «Я не робот». Он / она никогда не щелкает по флажку, как только страница загружается.

1. Если капча загружается в iframe, нам сложно поиграть с ее стилем.

Ниже приведен стиль CSS, который можно попробовать.

2. Уязвимость при тестировании на проникновение:

Ключ, который мы использовали выше на этапе реализации 4 (а), ведет к уязвимости веб-сайта.

Чтобы избежать этого, добавьте функцию JavaScript для привязки ключа сайта к загрузке документа вместо того, чтобы сделать его доступным для чтения на экране.

Подводя итог, можно сказать, что CAPTCHA или Captcha — это сильный пользовательский фильтр, отделяющий людей от ботов.С появлением ботов для глубокого обучения CAPTCHA не может напрямую предотвращать взлом или другие подобные злонамеренные действия в Интернете. Он может просто создать барьер для ботов, которые пытаются получить доступ к Интернету, чтобы манипулировать его услугами.

Короче говоря, это снижает нечеловеческую активность в Интернете.

Как блокировать спамеров и ботов с помощью форм reCAPTCHA

Интернет, каким мы его знаем, — это благословение и проклятие.

С его помощью компании удалось связать с еще большим количеством людей и помочь компаниям-разработчикам программного обеспечения разработать решения, позволяющие автоматизировать трудоемкие задачи.

Хакеры и спамеры, однако, используют обширные просторы Интернета для анонимного запуска вредоносных программ, которые могут красть информацию и бомбардировать вас нежелательными сообщениями, при этом скрывая свои следы.

Эта угроза может быть особенно проблематичной, когда вы используете инструменты сбора данных, такие как онлайн-формы и опросы, которые широко доступны для заполнения людьми.

Добавление reCAPTCHA в ваши формы предотвратит проникновение злонамеренных спам-ботов в вашу учетную запись JotForm и связанный с ней почтовый ящик.Что еще более важно, эта тонкая функция безопасности позволяет респондентам знать, что их информация безопасна и с меньшей вероятностью будет скомпрометирована спамерами.

Думайте об этом как о охраннике, который позволяет людям получить доступ к зданию, когда они могут предоставить действительные учетные данные, такие как идентификационный значок или предварительно установленный код.

reCAPTCHA аналогичным образом позволяет людям отправлять форму после решения задачи, которая доказывает, что они реальный человек, а не вредоносное ПО.

Google Invisible reCAPTCHA выводит эту функцию безопасности на новый уровень, работая незаметно во время заполнения формы и представляя проблему проверки человеком только в случае обнаружения действий, подобных ботам.

Концепция reCAPTCHA может показаться простой, но за кулисами многое происходит, чтобы ваши онлайн-инструменты сбора данных были защищены от спамеров и их арсенала надоедливых ботов.

Мы поможем вам быстро освоиться, ответив на несколько вопросов, которые могут прийти вам в голову:

• В чем разница между reCAPTCHA, ReCAPTCHA без CAPTCHA и Google Invisible reCAPTCHA?
• Как работает reCAPTCHA?

Начнем с того, что сама концепция возникла еще в 2000 году, когда она была известна только как CAPTCHA, аббревиатура от полностью автоматизированного общедоступного теста Тьюринга, позволяющего различать компьютеры и людей.

В то время Yahoo использовала программу, которая требовала от людей ввода букв, цифр или слов, которые появлялись на искаженном изображении. Это было эффективно, потому что боты не могли прочитать информацию, пройти проверку и успешно зарегистрировать учетную запись электронной почты.

Луис фон Ан, разработавший CAPTCHA для Yahoo, позже основал компанию под названием reCAPTCHA.

Google приобрел reCAPTCHA в 2009 году и предпринял шаги для улучшения службы безопасности, поскольку боты становятся еще более сложными.Усилия Google привели к двум последующим итерациям reCAPTCHA: ReCAPTCHA No CAPTCHA и Google Invisible reCAPTCHA.

• Нет CAPTCHA reCAPTCHA просит людей подтвердить, что они не бот, установив флажок. Если служба безопасности обнаруживает поведение, подобное ботам, появляется проблема с просьбой выбрать изображения, соответствующие определенным критериям.

• Google Invisible reCAPTCHA — это более незаметная версия NoCAPTCHA reCAPTCHA, которая работает в фоновом режиме, пока люди вводят свою информацию. Поскольку есть возможность скрыть флажок «Я не робот», большинство людей даже не узнает, что служба безопасности работает над тем, чтобы определить, человек они или бот. Независимо от того, является ли флажок невидимым, вызов проверки человеком появится только в том случае, если служба безопасности обнаружит необычное поведение, действия или действия, подобные ботам. Это означает, что большинство людей могут заниматься своими делами, делиться информацией или делать запросы, даже не замечая или не взаимодействуя со службой безопасности.

Google обычно молчит о том, что происходит под капотом, но дает некоторые общие сведения о том, как работает reCAPTCHA.

По мере заполнения онлайн-формы система reCAPTCHA, вероятно, анализирует ряд переменных, таких как доступ к веб-странице, то, что пользователь ранее просматривал в Интернете, и перемещения курсора на веб-странице, чтобы взвесить, присутствует реальный человек или бот.

При обнаружении подозрительной активности задача проверки личности в виде сетки — с изображениями размером от 9 до 16 квадратов — подтверждает, заполняется ли форма реальным человеком или нет.Во многих случаях людей просят выбрать только те изображения, на которых есть определенные объекты.

Затем результаты сравниваются с выбором, сделанным другими людьми, которые взяли на себя такую ​​же задачу с изображением. Если все совпадает, те люди, которые решили проблему с имиджем, могут пройти и заняться своими делами.

Эта задача эффективна, потому что ботам все еще трудно выбирать объекты с изображений и сопоставлять их с конкретными письменными описаниями.

В отличие от NoCAPTCHA reCAPTCHA, Google Invisible reCAPTCHA генерирует оценку на основе оценки риска безопасности, которая варьируется от 0 для злонамеренного трафика до 1 для хорошего трафика веб-сайта.

Компании, которые подписываются на сервис reCAPTCHA Google и размещают его на своем веб-сайте, могут не только анализировать эти результаты, но и принимать индивидуальные меры безопасности, когда баллы достигают определенного порога. Это означает, что вы можете, например, потребовать двухфакторную аутентификацию или подтверждение электронной почты для доступа к онлайн-аккаунту.

Спамеры могут вызвать огромную головную боль у компаний, которым приходится фильтровать нежелательные и часто анонимные сообщения, отправленные спам-ботами.Во многих случаях компании тратят тысячи долларов и выделяют часы работы не только на устранение неполадок, но и на внедрение новых мер безопасности.

Мы привыкли запирать двери и окна и включать сигнализацию перед выходом, чтобы не допустить проникновения злоумышленников в наши дома или предприятия.

Почему бы не защитить ваши формы от злонамеренных спамеров, которые могут нанести ущерб вашему почтовому ящику, отвлечь драгоценное время от важной работы и, в конечном итоге, навредить вашему бизнесу?

Вы уже используете пароли и контрольные вопросы для защиты своих учетных записей в Интернете, но что вы используете для защиты своих инструментов сбора данных?

No CAPTCHA Технология reCAPTCHA добавляет важный уровень безопасности к вашим формам, не создавая хлопот для людей, которым нужно связаться с вами.