Captcha это: Как это работает: CAPTCHA / Хабр

alexxlab

Содержание

Recaptcha: что это такое, как отключить рекапчу и зачем она нужна?

С ReCaptcha сталкивались все пользователи интернета, но не каждый понимает, что это на самом деле. На первый взгляд, это защита от роботов. Но при более глубоком изучении начинаешь понимать, что ReCaptcha несет в себе и другие функции.

В этой статье будем разбираться с вопросом: «ReCaptcha — что это?», а также с видами рекапчи и для чего она нужна на самом деле.

 

ReCaptcha — что это

ReCaptcha — это производная от Captcha. Капча — это искаженный набор чисел, букв и их комбинаций, который легко различает человек, но практически не различает робот. Поэтому главная идея Captcha и ReCaptcha — это защитить ресурс, где они расположены, от нашествия роботов. Поэтому можно смело сказать, что данные меры защиты помогают достичь улучшенных показателей безопасности сайта.

 

История и виды капчи

Первая капча появилась в далеком 2000-м году как первая ступень безопасности от ботов для веб-ресурсов.

На тот момент она произвела фурор и стала первым шагом в развитии технологий-антиботов.

Со временем первая капча претерпела ряд изменений и модернизаций, поэтому стали появляться ее различные новые виды. На сегодняшний день мы имеем несколько распространенных видов капчи, например: 

  1. Графическая. Как правило, это некое изображение с определенной последовательностью сильно искаженных символов. В качестве символов выступают буквы, цифры и специальные знаки.

  2. Логическая. В этот вид включают капчи, в которых просят выбрать из нескольких различных картинок одинаковые по смыслу или подходящие к конкретной тематике. Все хоть раз проходили такую капчу и отмечали картинки, где изображен автобус, собака, автомобиль, светофор и др. Также к этому виду относят капчи, где нужно решить небольшие математические задачки.

  3. Поведенческая. Ставили хоть раз в жизни галочку «Я не робот» — вот это та самая поведенческая капча. Также сюда относят такой вид капчи, когда нужно повернуть изображение до нормального состояния.

  4. Звуковая. Как правило, любая из вышеперечисленных капч может быть звуковой. Если присмотреться, то во многих проходимых капчах есть значок «наушники». Если его нажать, то вам будет представлена звуковая капча, которую нужно будет ввести.

 

Что такое ReCaptcha

ReCaptcha — это отдельная технология, которую разрабатывает и поддерживает компания Google. Она выполняет все ту же функцию, что и другие виды капч, то есть защищает веб-сайты от роботов, но при этом компания Гугл внедрила еще одну «хитрую» функцию — она оцифровывает старые печатные издания (книги, журналы, газеты) руками, а точнее, глазами обычных пользователей и, заметьте, совершенно бесплатно.

Все мы сталкивались с таким видом ReCaptcha, когда нас просят ввести 2 слова, чтобы ее пройти. Как правило, эти слова не самого лучшего качества и довольно плохо различаемые, именно поэтому их предлагают вам. 

 
Как это происходит с технической стороны

С технической стороны происходит так. Допустим, оцифровывается какой-либо старый письменный документ. Для оцифровки применяется искусственный интеллект. Если документ не лучшего качества, то в нем после ИИ останутся слова, которые он не смог разобрать.

Эти слова сканируют и отправляют в ReCaptcha, чтобы их распознали обычные люди. Естественно, обычные люди распознают их лучше, чем искусственный интеллект. После такого распознавания собираются ответы пользователей, и тот вариант, который набрал большинство ответов, считается правильным. Эта информация возвращается искусственному интеллекту в качестве новой порции для обучения. Русское секс видео, русское порно , русский секс.

У вас может возникнуть вопрос: «Если в ReCaptcha 2 слова, а процесс «распознавания» предполагает, что ответ может быть внесен неверно, тогда получается, что можно 2 слова ввести неверно и пройти ReCaptcha?». Дело в том, что одно из двух слов в ReCaptcha уже известно и доказано, а второе вы распознаете. Поэтому, если вы внесете ошибку в 2-х словах, вы ReCaptcha не пройдете. А самое главное — вам не сообщают, какое из слов уже известно, поэтому вы вынуждены оба слова вводить верно.

Google в ReCaptcha не остановились только на распознавании текстов. Они таким же образом распознают и обучают искусственный интеллект распознавать объекты на картинках и даже карты. Встречали ReCaptcha, где вас просят найти автобус, машину или какое-либо животное на картинках? Решая такие ReCaptcha, вы не только проходите проверку на «роботность», но и вносите свою лепту в обучение искусственного интеллекта.

 
ReCaptcha: волшебство

А волшебство заключается вот в чем. Обычные пользователи говорят, что ничего страшного, если, разгадывая ReCaptcha, мы обучаем искусственный интеллект. А необычные пользователи говорят, что с этической стороны это неправильный подход. Потому что обучение ИИ стоит денег. И многие компании платят Гуглу за то, что эта компания помогает их искусственному интеллекту обучаться. Вот и получается, что, проходя ReCaptcha, вы не просто получаете доступ к желанному ресурсу и помогаете обучать ИИ — вы еще и помогаете компании Google заработать на этом денег. То есть, по сути, присутствует бесплатный труд миллионов пользователей, которые сталкиваются с ReCaptcha каждый день.

Но ирония заключается в том, что есть сервисы, которые предлагают заработать денег на решении ReCaptcha от Google. Получаются, что все, кто там работает и зарабатывает копейки, работают не только на сервис, но и на Гугл.

 

Заключение

Несмотря на бесплатный труд, ReCaptcha — это то, что способно защитить ваш ресурс от роботов. Самое главное, что если вас смущает этическая сторона вопроса, то вас никто не заставляет устанавливать ее на свой веб-ресурс. Для этого можно воспользоваться другими вариантами Captcha, благо их в сети очень много и есть из чего выбирать.

Почему на CAPTCHA больше нельзя полагаться

Как правило, если какой-то интерфейс создан для человека, то боту к нему обращаться совершенно незачем. Программы общаются друг с другом через API, так что в подавляющем большинстве случаев бот, пытающийся получить доступ к онлайновому ресурсу или сервису через пользовательский интерфейс, — это попытка эксплуатации механизмов сервиса в интересах каких-либо злоумышленников. Поэтому с такими ботами принято бороться.

Долгие годы чуть ли не единственным инструментом борьбы с ботами-нелегалами была CAPTCHA — механизм, позволяющий определить, человек ли обратился к веб-сервису. Многие сервисы, в том числе онлайновые системы банков, страницы программ лояльности, да и просто любые сайты, на которых есть хоть какой-то личный кабинет, используют ее до сих пор. Но так ли надежна капча?

На панельной дискуссии, посвященной веб-атакам и онлайн-мошенничеству, которая состоялась в ходе RSA Conference 2021, исследователи обсуждали опыт, извлеченный из атак на крупные организации и полученный при изучении образа действий злоумышленников.

Один из докладчиков, Дэн Вудс, в прошлом сотрудник правоохранительных органов, упомянул о достаточно необычном эксперименте. В какой-то момент он притворился соискателем абсолютно любой работы в сети и в результате прошел обучение на сотрудника клик-фермы, которая занималась решением той самой CAPTCHA. Он был поражен объемами работы и нищенской оплатой труда (порядка трех долларов в день), но главным итогом этого эксперимента стал вывод: CAPTCHA больше не нужна.

Что такое клик-ферма

В целом клик-фермы — явление далеко не новое. Они достаточно давно использовались мошенниками для схемы кликфрода, то есть махинаций с бюджетами на рекламу, эффективность которой считается по кликам на баннер или ссылку, а также всевозможного накручивания лайков, просмотров, голосов и любых других показателей, которое нельзя автоматизировать.

Выглядит это очень просто: огромное количество низкооплачиваемых работников кликает по определенной ссылке, перелогинивается, кликает снова и так до бесконечности. Когда-то этой работой занимались боты, но с тех пор как антимошеннические алгоритмы научились распознавать их активность, пришлось подключать настоящих, живых людей.

Так вот, как следует из рассказа Вудса, клик-фермы также поставляют услуги «решения CAPTCHA». То есть боты, которые ведут атаку на какие-либо онлайновые сервисы (чаще всего связанные с финансами), сталкиваются с проверкой и делегируют ее человеку. И это до неприличия дешевая услуга.

Задача сотрудника клик-фермы — как можно быстрее выбрать гидранты, расшифровать надпись, решить уравнение, причинить вред человеку и так далее — в общем, выполнить то задание, которое, по задумке создателей данной капчи, поможет отличить человека от робота.

Возможно, вы видели какую-то вариацию на тему вот такой картинки, которая ходит по Интернету:

Интернет-мем про роботов и CAPTCHA

Так вот, по всей видимости, она перестала быть шуткой.

Так ли вам нужна CAPTCHA?

Разумеется, далеко не все преступники пользуются услугами клик-ферм — некоторые, например, до сих пор пытаются создать искусственный интеллект, способный решить загадку самостоятельно. Казалось бы, имеет смысл продолжать использовать этот механизм как еще один уровень защиты. Но не все так просто.

Пользователи никогда не считали механизм CAPTCHA удобным и комфортным. Он всегда оставлял простор для ошибки — человек может случайно кликнуть не туда, не увидеть все символы, не переключить раскладку клавиатуры. Даже если человек ввел все правильно, он все равно воспринимает капчу как лишнее препятствие, которое негативно влияет на его опыт взаимодействия с информационной системой (UX).

То есть получается, что от злоумышленников CAPTCHA уже не защищает, а вот легитимных клиентов раздражает и отпугивает. Поэтому, вероятно, настала пора отказаться от этого устаревшего механизма.

Альтернативы CAPTCHA

К счастью, CAPTCHA не единственный способ определения того, кто пытается получить доступ к системе — человек или машина. Есть и более современные методы. Например, в арсенале Kaspersky Fraud Prevention имеется технология Advanced Authentication, которая позволяет отказаться от лишних шагов аутентификации и повышает удобство для легитимных пользователей.

Суть технологии заключается в анализе сотен параметров, характеризующих поведение пользователя, пассивных биометрических показателей, данных об устройстве, с которого кто-то пытается аутентифицироваться, об его окружении, и множества иных. Благодаря технологиям машинного обучения Advanced Authentication позволяет принять быстрое верное решение: позволить ли пользователю войти, провести дополнительную верификацию или ограничить его доступ. В том числе технология позволяет точно определить, человек ли обратился к сервису или машина. Подробнее о решении можно узнать вот здесь.

Советы

Продавцы воздуха в онлайн-магазинах

Рассказываем, как мошенники обманывают пользователей известного маркетплейса с помощью поддельной страницы оплаты товара.

Подпишитесь на нашу еженедельную рассылку
  • Email*
  • *
    • Я согласен(а) предоставить мой адрес электронной почты АО “Лаборатория Касперского“, чтобы получать уведомления о новых публикациях на сайте.
      Я могу отозвать свое согласие в любое время, нажав на кнопку “отписаться” в конце любого из писем, отправленных мне по вышеуказанным причинам.

Что такое Google reCAPTCHA? Как получить API ключи и установить капчу?

Взаимодействие с пользователем является важнейшей составляющей в процессе ведения своего сайта. Формы комментирования, формы обратной связи, регистрация и авторизация на сайте, процесс оформления заказа – все это относится к наиболее важным моментам взаимодействия с пользователями.

Основным препятствием на пути эффективного взаимодействия с вашими пользователями есть множество спамных пользователей, фейковых регистраций и ботов, которые постоянно пытаются атаковать ваш сайт. С этими проблемами сталкивается практически каждый сайт в Интернете. Со спам-комментариями можно бороться вручную – например, удалять их самостоятельно. Также можно перечитывать и фильтровать все письма, поступающие из ваших контактных форм. Но все это достаточно сложный процесс. Как, например, бороться с массовыми рассылками? Как предотвратить регистрации на сайте, происходящие в автоматическом режиме? По мере роста вашего сайта это может стать очень изнурительной работой и забирать у вас почти все свободное время.

Вот почему важно принять необходимые меры для борьбы с этим. Наиболее эффективный способ сделать это – использовать лучшее средство против ботов – CAPTCHA и reCAPTCHA.

 

 

Краткий обзор CAPTCHA и reCAPTCHA

CAPTCHA – это аббревиатура от «Полностью автоматизированного публичного теста Тьюринга для различения компьютеров от людей» («Completely Automated Public Turing Test To Tell Computers and Humans Apart»). С помощью этого компьютерного теста можно эффективно определять, кто использует текущую систему – компьютер или человек, то есть выявлять так называемых «ботов».

Простейшие Капчи (CAPTCHA) выглядели так:

 

На сегодняшний день такие Капчи очень легко распознаются и обходятся ботами. Поэтому, возникла насущная необходимость в более надежных Капчах.

reCAPTCHA – это усовершенствованная форма CAPTCHA. Компания Google приобрела технологию CAPTCHA в 2009 году и впоследствии сменила ее название на reCAPTCHA. Первые CAPTCHA требовали от пользователя ввода символов, специально искаженных, полупрозрачных и с наложением шума (помех). Если пользователь правильно вводил в форму указанные символы, тогда его действия на сайте были авторизованы. Технология reCAPTCHA значительно упростила пользователям процесс прохождения теста. В основном, этот процесс заключается в том, чтобы пользователь отметил простой флажок, подтверждающий, что он «Не робот» («I’m not a robot»).

 

Бывает, что этого не достаточно для распознавания человека, тогда пользователю предлагается отобрать определенные объекты на изображении. Например, «Выберите все изображения, где есть пешеходные переходы». Или пожарные гидранты, или дорожные знаки и тому подобное.

Вот пример того, как может выглядеть тест reCAPTCHA:

 

 

reCAPTCHA – это бесплатная и общедоступная услуга антиспама от компании Google. Простота и эффективность API Captcha облегчает владельцам сайтов процесс борьбы со спамом в контактных формах, страницах авторизации (или регистрации) и формах комментирования. Также она помогает бороться с мошенничеством и злоупотреблениями на вашем сайте. С другой стороны, реальные пользователи смогут легко авторизоваться на сайте, делать покупки, просматривать, комментировать ваш контент, а фейковые пользователи будут заблокированы.

 

 

Какие есть варианты reCAPTCHA? Их стоимость

На сегодняшний день Google предлагает 3 версии капч, которые рассчитаны под разные потребности и бюджет:

  • reCAPTCHA Enterprise. Появилась в 2020 году. Эта версия позволяет обеспечивать защиту от мошенничества на всем сайте, не ограничиваясь лишь отдельными страницами. С помощью API ее можно интегрировать в мобильное приложение. Стоимость: устанавливается отдельно, в соответствии с объемом проверок (запросов). Ориентировочная стоимость – 1$ за 1000 запросов.
  • reCAPTCHA v3. Эта версия была представлена ​​в 2018 году. Она интегрирует простую проверку запросов пользователя, не требуя от него никаких действий, анализируя его поведение в фоновом режиме.
    Стоимость    : бесплатно до 1 миллиона запросов (проверок) в месяц (примечание: ограничения могут меняться).
  • reCAPTCHA v2. Это улучшенная версия простых капч, появившаяся в 2012 году, и которая на сегодняшний день остается самой популярной версией капчи. reCAPTCHA v2 проверяет, не является ли пользователь «роботом», с необходимостью выбора отметки «Я не робот» («I’m not a robot»). Примеры этой CAPTCH’и рассмотрены выше. Стоимость: бесплатно до 1 миллиона запросов (проверок) в месяц (примечание: ограничения могут меняться).

 

 

 

Как получить ключи для использования reCAPTCHA API?

Чтобы добавить Google reCAPTCHA на свой сайт, вам понадобятся два ключа API. Для получения этих ключей зайдите на сайт Google reCAPTCHA. Нажмите кнопку Консоль администратора (Admin Console) в верхнем меню главной страницы. Учтите, что для доступа вам понадобится аккаунт Google (если у вас есть почта GMail, значит у вас уже есть такой аккаунт). После авторизации вы увидите страницу «Зарегистрировать новый сайт» (Register a new site).

 

 

На этой странице вам нужно ввести информацию о вашем сайте. Сначала введите имя сайта или любое другое название в разделе «Ярлык». Это название используется для простой идентификации своего сайта.

Затем выберите нужный тип reCAPTCHA: версию 2 (v2), или версию 3 (v3). При выборе второй версии вы увидите три доступных варианта:

  • Флажок «Я не робот» – выполнять проверку запросов с помощью флажка «Я не робот»
  • Невидимый значок reCAPTCHA – выполнять проверку запросов в фоновом режиме
  • reCAPTCHA для Android – выполнять проверку запросов в приложении для Android

 

Для третьей версии проверка запросов выполняется с учетом оценок, в фоновом режиме.

В разделе Домены укажите основной домен вашего сайта (без https, www или порта). Google зарегистрирует указанный домен и все его поддомены. Например, если вы укажете адрес example.com, также будут зарегистрированы и subdomain.example.com. Вы также можете добавить несколько доменов или поддоменов, нажав на значок плюс (+).

В разделе Владельцы будет указано текущий электронный адрес, вы также можете добавить другие электронные адреса.

Затем вам нужно принять Условия использования reCAPTCHA, чтобы добавить сервис на свой сайт.

Также выберите флажок «Отправлять владельцам оповещения», чтобы позволить Google присылать вам электронные письма, если будут выявлены какая-либо неправильная конфигурация или подозрительная активность.

После заполнения формы вы можете нажать кнопку Отправить, чтобы зарегистрировать свой сайт (или сайты).

После сохранения формы Google reCAPTCHA покажет вам сообщение об успехе, а также 2 нужных вам ключа: ключ, который нужно добавить в HTML код вашего сайта, а также секретный ключ, который необходим для обмена данными между сайтом и сервисом reCAPTCHA.

Теперь вы можете использовать эти API ключи на своем сайте.

 

 

Как добавить Google reCAPTCHA на свой сайт?

Теперь, когда у вас есть ключи API сервиса капчи, пора реализовать этот инструмент на своем сайте.

Самый простой способ добавления капчи от Google – это отображение виджета reCAPTCHA в автоматическом режиме (для reCAPTCHA v2). Для этого вам нужно добавить соответствующий скрипт JavaScript api.js на страницу (желательно в секции HEAD) и добавить в нужную форму (комментирования, регистрации и т.д.) дополнительный блок DIV с классом g-recaptcha и атрибутом data-sitekey (значением этого атрибута будет ключ вашего сайта, который вы получили при регистрации выше).

Пример простой реализации reCAPTCHA на своем сайте:

<html>
 <head>
  <title>Простой пример реализации reCAPTCHA на сайте</title>
  <script src="https://www.google. com/recaptcha/api.js" async defer></script>
 </head>
 <body>
  <form action="здесь укажите обработчик вашей формы" method="POST">
   <!-- другие элементы формы -->
   <div data-sitekey="ключ API для вашего сайта"></div>
   <input type="submit" value="Отправить">
  </form>
 </body>
</html>

 

 

Сохраните свою HTML форму (со своими данными) и на вашем сайте будет успешно реализовано Google reCAPTCHA. Примите наши поздравления!

После того, как капча начнет работать, вы также сможете отслеживать статистические данные этого сервиса в инструменте Аналитики Google reCAPTCH’и.

 

 

 

Подведение итогов

Ежедневно владельцам сайтов приходится бороться с постоянно растущим количеством спама, ботов, фейковых аккаунтов и тому подобного. Эта борьба отнимает много сил и времени. И она может длиться бесконечно.

Одним из лучших способов автоматической борьбы с этими атаками спаммеров является использование сервиса reCAPTCHA от Google, который идентифицирует ботов и блокирует их, а реальным пользователям позволяет совершать авторизованные действия на сайте.

Кроме того, установить и активировать этот сервис очень просто, и вы можете сделать это менее чем за один час, и реализовать на своем сайте эффективное антиспам программное обеспечение.

На этом наша инструкция о том, что такое reCAPTCHA, как получить API ключи для нее, и как ее реализовать на своем сайте подходит к концу. Надеемся, что эта инструкция помогла в разъяснении того, что такое Google reCAPTCHA, и упростила вам процесс самостоятельного добавления reCAPTCHA в любую форму на вашем сайте. Если вы столкнулись с какой-то проблемой по данному вопросу, пожалуйста, не стесняйтесь использовать форму комментирования ниже.

Если вы хотите узнать о внедрении Google reCAPTCHA на сайте WordPress, по ссылке вы найдете детальную инструкцию.

Спасибо, что читаете нас!

 

 

Теги: Google, HTML5, Web

  • 3197