ReCaptcha V3 — способ автоматического решения с получением высокого score

ReCaptcha V3

  Мы уже больше трёх недель занимаемся ReCaptcha V3 и сегодня мы готовы показать Вам наши результаты.

Для начала немного вводной информации:
  Как Вы знаете, ReCaptcha V3 не просит что-либо решить, а лишь даёт сайту информацию о качестве пользователя, который её проходил. И, что особенно важно, у одного пользователя для разных сайтов будет разная оценка. Оценка, которую выдаёт google.com пользователю находится в пределах от 0.1 до 0.9
Мы провели серию экспериментов и выяснили, что если пользователь на каком-либо сайте получает 0.1, то с вероятностью в 90% он такую же оценку получит и на остальных сайтах.

Как устроено решение от RuCaptcha.com:
  Каждому работнику мы даём тестовую капчу и смотрим его score. Когда от заказчика приходит капча с требованием минимального score, то капчу мы выдаём только работникам, score которых подходит под заданный параметр. 80-90% полученных  решений в итоге имеют нужный score на том сайте, где Вы проходите ReCaptcha V3

Как загрузить капчу V3:
Загрузить капчу можно вот таким запросом:
 

http://rucaptcha.com/in.php?key=APIKEY&method=userrecaptcha&googlekey=googlekey&pageurl=https://site.com/page.html&version=v3&action=verify&min_score=0.5

Загрузка капчи аналогична  загрузке ReCaptchaV2, но добавляются новые параметры:

version=v3
указывает что это рекапча третьей версии

action=verify
указывает как именно называется action на проходимой странице

min_score=0.3
указывает какой минимальный min_score должен будет получить ответ
 

Цена:
На время тестирования цену поставили такую же как и на ReCaptcha V2

Возврат средств за неработающие токены:

  Тут всё сложнее. Когда заказчик жалуется на обычную графическую капчу, то мы можем решить её ещё раз и понять правильно ли она была решена или нет.
Когда заказчик жалуется на решение ReCaptcha V2, то мы можем посчитать статистику по жалобам на работников, вычислить работника который косячит и вернуть средства за все решения, которые он предоставил всем заказчикам.
  А вот с ReCaptcha V3 ответы одного работника для двух разных сайтов могут быть разными. Для одного сайта у него рейтинг будет 0.1, а для другого 0.5
Что мы делаем:
Помимо стандартной жалобы reportbad
http://rucaptcha.com/res.php?key=YOUR_API_KEY&action=reportbad&id=CAPTCHA_ID
Которую нужно отправлять, если сайт не принял токен, появляется параметр, указывающий что ответ работника подошёл: reportgood
http://rucaptcha.com/res.php?key=YOUR_API_KEY&action=reportgood&id=CAPTCHA_ID
При отправке его, мы добавим работника на некоторое время в WhiteList для Вашего аккаунта и изначально Ваши капчи будут получать работники из Вашего whitelist
  В будущем, скорее всего, мы будем делать возвраты за reportbad только при условии что заказчик шлёт reportgood.
В данный момент возвратов за reportbad нет, но в будущем будут, наверное.

Какой min_score лучше запрашивать?
  Сейчас min_score бывает только трёх вариантов: 0.1, 0.3 и 0.9. Те сайты, которые уже используют ReCaptcha V3 и которые мы протестировали — принимают не только 0.9, но и 0.3; score=0.1 никто из протестированных не принимает. Поэтому мы советуем изначально запрашивать 0.3 и только если более 50% токенов не подходит — тогда запрашивать 0.9. Стоит отметить, что работников, имеющих score 0.3  в два раза больше, чем работников со score 0.9

Гугл Капча Сервис Рекапчи для сайта – Сергей Арсентьев

Гугл Капча помогает бороться со спамом. Все знают, что рекапча — это простая и бесплатная защита от спама. То есть если на ваш сайт или магазин вдруг стали приходить фейковые обращения, заказы и письма, то прежде всего стоит убедиться, что капча для сайта включена и работает.

Традиционно на данный момент все настраивают именно Google Recaptcha (произносится как «Гугл Рекапча»).

Она бесплатная, простая и всем знакомая.

Поэтому ее и будем использовать для установки на сайт.
Я работаю с WordPress и Opencart, и сейчас рассмотрю процесс установки рекаптчи именно в этих системах.

Первые шаги

Идем сюда https://www.google.com/recaptcha/admin
Если еще нет аккаунта Google — придется создать его.

Далее вам предложат выбрать что поставить: Recaptcha v3 или Recaptcha v2

Ставьте v3 (капчу третьей версии) — она удобнее для ваших пользователей, в ней не требуется вообще ставить традиционную галочку или кликать по картинкам.

Такая капча не видна для 99% «порядочных» пользователей, а появляется только для тех, кого Гугл посчитает роботом.

Это очень удобно.
Можно отправлять любые формы и не заморачиваться с каптчей.
А вот спам-боты уже столкнутся с защитой.

Кстати, похоже работает и Recaptcha v2 — в режиме «Невидимая рекаптча», но Recaptcha v3 более продвинутая и по заверениям многих владельцев сайта удаляет больше спама, но работает на везде, например, в Opencart 2 и 3 из коробки она не работает.

Recaptcha v2

Recaptcha v3

Настройки

Итак, выбрали ReCaptcha V3, как-то сверху обозвали свой проект (например, «Гугл Капча 3» или «Мой сайт») и затем вводите свой домен, на который устанавливается каптча.

Если у вас много доменов, то можно, конечно, внутри нашлепать их много в одной капче. Но по моему опыту чем больше напихано разных доменов внутрь одного набора ключей, тем выше вероятность появления капчи, поэтому я рекомендую для каждого домена создавать свой набор ключей.

Внизу переходим далее по кнопке и видим ключи, которые нужно добавить на сайт.

Отсюда их надо будет копировать на сайт.
Можете и сразу себе куда-нибудь скопировать, если не хотите потом возвращаться в настройки.

Жмем «Открыть настройки» и выбираем еще флажок «Разрешить использование Гугл капчи на AMP страницах»

, может пригодится, если будете использовать формы в AMP (как ускорить сайт с AMP в 10 раз).

Далее остается добавить ключи на сайт и подождать до 20-30 минут на обновление данных на стороне Google, если сразу капча не подтянулась.

Добавление ключей капчи в WordPress

99% всех шаблонов на WordPress содержит поля, куда можно добавить ключи гугловской капчи.

Чаще всего это:

1. Плагин Contact Form или Wp Forms.
2. Собственные настройки шаблона.

Contact Form

Смотрим слева в панели админа — есть плагин Contact Form или нет.
А, вот он!

Жмем на «Интеграция» и видим удобные поля для размещения ключей.

Вставляем по очереди каждый ключ и сохраняем.

Всё готово.
Теперь во всех формах, которые работают с помощью плагина Contact Form, будет автоматическая невидимая капча.

В WP Forms всё аналогично.

Собственные настройки шаблона

Если нет плагина форм типа Contact Form или подобного, то уточните у разработчика шаблона или сайта: «Куда мне ввести ключе гугл капчи» и вам подскажут.

Вот, например, как это может добавляться в настройках темы:

Добавляете ключи в соответствующие поля и каптча готова к использованию.

Добавление ключей капчи в Opencart

Тут еще проще, потому что добавление гугловской капчи версии 2 поддерживается на уровне самого движка, не нужны ни специальные темы, ни сторонние модули.

Важно!
Google Recaptcha ver 3 — не работает на Opencart.
Если введете ключи от нее в стандартные поля, то увидите ошибку «неверный ключ домена«.
Возможно, в будущих версиях подружат новую каптчу и опенкарт, а сейчас надо ставить только рекапчу версии 2.

Открываем, например, админку Opencart 3  и ищем слева меню «Расширения», а в нем еще раз подпункт «расширения» — и там в выпадающем списке находим «Капча».

Там внутри будет Google Recaptcha и Basic Captcha.
Нам нужна именно гугловская — если это расширение не активно — активируем его.

Теперь переходим внутри (синяя кнопка редактировать) и вводим ключи. Сохраняем.

Убедитесь что напротив Google Recaptcha есть слово «по умолчанию». Это значит, что будет использоваться именно эта капча.

Если нету этого слова, то открывайте основные «Настройки» магазина.

И на вкладке опции — в самом низу выберете Google Recaptcha вот так:

Сохраните.
На всякий случай сбросьте кэш, иногда бывает, что настройки магазина кэшируются.

Обычно или сразу, или через несколько минут Google Recaptcha вступает в действие.

Как понять что капча работает:

Гугл Капча 2 версия: появляется знакомое поле для флажка «я не робот». Можно также использовать невидимую каптчу.
Гугл капча 3 версия: изначально невидимая, но появляется справа внизу плавающий стикер, который имеет смысл отдельно скрыть через css, чтобы не маячил.

Возможные проблемы

Основные трудности, которые я встречал при установке гугловской капчи.

«Неверный ключ домена»
Значит не правильно прописаны ключи.
Или не те, что надо. Или не всё скопировалось. Или не в те поля.
Или просто надо подождать минут 20.
Или вы всё-таки забили на то, что я написал ранее, и всунули Рекаптчу 3 в Opencart

«Гугл Капча 2 версии часто появляются картинки»
Если вы решили поставить привычную вторую версию рекапчти, иногда можно заметить, что после клика на привычный флажок «Я не робот» вдруг появляются невнятные картинки из серии «найди светофор» или «найди все мосты» и т.п.

В этом случае Google Recaptcha считает, что вы и ваши посетители очень похожи на роботов и предлагает усложненное задание. Это ухудшает конверсии (не забываем 5 простых способов повысить конверсии), поэтому при настройке второй версии каптчи лучше изначально выбрать уровень безопасности как «простой». Это делается в настройках рекаптчи простым перетягиванием ползунка.

В версии 3 такой настройки в Google нет, там уровень безопасности от 0 до 1 определяют сами плагины и модули, если в них встроен такой функционал (в WordPress в плагине WP Forms я его встречал, в Opencart не видел).

«Recaptcha не работает»
Установили капчу, а спам всё равно валится? Скорее всего, есть где-то форма, в которую разработчик сайта забыл поставить рекаптчу.
Чаще всего, это происходит в магазинах Opencart, потому что форм много: регистрация, быстрый заказ, обратный звонок, нашли дешевле и т.п. Банально программист мог забыть куда-то что-то дописать.

Как еще вариант, всё таки слишком простые уровни безопасности для каптчи, перетяните ползунок вправо.
Ну и еще как вариант — попробуйте другую версию рекаптчи. Была вторая — поставьте третью. И наоборот. В одном аккаунте Google можно делать много отдельных капч для разных сайтов.

Если ничего не помогло — то на кворк обратитесь, вам за 500р поставят капчу с гарантией результата.

Выводы и итоги

Избавиться от спама можно и нужно, причем бесплатно.
Я включал в 30+ магазинах и сайтах Google ReCaptcha как версии V2 так и V3 — результат очень хороший. Спам или пропадал совсем или уменьшался до каких-то эпизодических случаев.

Из минуса Гугл Капчи 3 версии можно отметить, что справа начинает болтаться спойлер — бейдж от Google, в котором расписаны условия конфиденциальности.

Вот так:

Чтобы его отключить можно добавить в CSS сайта строчку:

.grecaptcha-badge {display: none !important;}

Обычно это легко можно сделать.
В тех готовых решениях, что я предлагаю, впрочем, это уже настроено.

В результате блок визуально не отображается на сайте и не отвлекает посетителей от ценного контента

Успехов в бизнесе!

ReCAPTCHA — это… Что такое ReCAPTCHA?

ReCAPTCHA

Логотип reCAPTCHA

reCAPTCHA — это система для защиты веб-сайтов от интернет-ботов (спам-ботов), основанная на тесте Тьюринга и призванная оградить веб-ресурсы от автоматических алгоритмов и программ путём генерации случайного текста и вывода его в виде искажённого изображения, которое необходимо расшифровать и в виде текста ввести в поле ввода. Считается, что программы не могут распознать сильно искажённое монохромное изображение.

Принцип работы

В отличие от традиционных систем распознавания пользователя как человека, путём введения определённого набора символов и цифр, система ReCAPTCHA предлагает пользователю ввести два слова. Одно из этих слов уже распознано и известно системе, другое слово системе неизвестно и не может быть распознано программой распознавания текста. Проверка ввода осуществляется по тому слову, которое известно системе. Неизвестное системе слово, введённое пользователем, сохраняется и используется в качестве возможного варианта распознания. Конечное распознание слова определяется путём вычисления наиболее часто используемого слова для ввода. Система ReCAPTCHA широко используется такими сервисами как Facebook, TicketMaster, Twitter, Bash.org.ru и StumbleUpon, что позволяет использовать полученные результаты для распознания различной литературы, предназначенной для оцифровки. Эффективность подобного метода достаточно высока, поскольку системе предоставляется множество распознанных вариантов.

Ссылки

См. также

ReCAPTCHA — Википедия. Что такое ReCAPTCHA

Логотип reCAPTCHA.

reCAPTCHA — система, разработанная в университете Карнеги — Меллон для защиты веб-сайтов от интернет-ботов и одновременной помощи в оцифровке текстов книг. Является продолжением проекта CAPTCHA^[1]. В сентябре 2009 года reCAPTCHA была приобретена компанией Google. На начало 2011 года reCAPTCHA осуществляла оцифровку архивов газеты «The New York Times» и книг, доступных в Google Book Search.

Весной 2012 года Google запустил эксперимент по распознаванию изображений из Google Maps и Google Street View с помощью сервиса ReCAPTCHA^[2]. По состоянию на июль 2013 года, в сервисе ReCAPTCHA продолжают предлагаться для распознавания фрагменты снимков из Google Street View; как правило, это фрагменты, на которых изображены номера зданий. Таким образом, первоначальный девиз ReCAPTCHA — Stop Spam, Read Books — сегодня имеет мало общего с тем, для каких целей на самом деле используется эта система.

В самом начале 2015 года ReCAPTCHA была обновлена. Теперь пользователю предлагают просто поставить галочку в чекбоксе, после нажатия на чекбокс пользователю могут предложить выбрать все картинки, которые попадают под заранее установленные условия например, выбрать все торты.

Принцип работы

В отличие от традиционных систем распознавания пользователя как человека путём введения определённого набора символов и цифр, система reCAPTCHA предлагает пользователю ввести два слова. Одно из них уже распознано и известно системе, второе слово системе неизвестно и она не способна его распознать программой распознавания текста. Второе слово берется из источника, требующего распознавания (например, книги). Проверка и прохождение «капчи» осуществляется по тому слову, которое известно системе. Неизвестное второе слово вводить не обязательно. Второе слово, введённое пользователем, сохраняется в системе и используется в качестве возможного варианта распознавания. Окончательное распознавание слова производится путём выбора слова, наиболее часто используемого для ввода. Система reCAPTCHA предоставляет пользователям изображения для распознавания и собирает результаты, после чего передает их организаторам оцифровки материалов^[1].

Влияние

Система широко используется такими сайтами, как Facebook, TicketMaster (англ.)русск., Twitter, StumbleUpon, Steam (10 января 2015), «Живой журнал» и примерно 350 000 других сайтов. В день оцифровывается примерно 100 миллионов слов, что может давать примерно 2,5 миллиона книг в год. Количество отдельных людей, которые помогли оцифровать как минимум одно слово из книги, оценивается в 750 миллионов человек^[1]. Эффективность подобного метода достаточно высока, поскольку системе предоставляется несколько распознанных вариантов.

Поскольку слова выводятся в случайном порядке, то неизбежно возникают курьёзные сочетания слов. Это породило интернет-мем «inglip», когда люди делают снимок экрана двух слов, предоставленных системой reCAPTCHA и дорисовывают курьёзные рисунки^[1].

В адрес графической версии reCAPTCHA появились шутки наподобие «найди вьетконговца» (на картинке — сплошные джунгли).

Критика

Пользователи вынуждены вводить в два раза больше текста, чем требуется для данной формы теста Тьюринга, не получая за это никакого вознаграждения. Доход от использованного распознанного текста остаётся корпорации Google. Требуется работа JavaScript и в случае использования устаревшего браузера, посетителю навязывается обновление на барузер Google.

Тем не менее, держатели сайтов вправе оставить за собой выбор способа защиты от ботов.

Помимо этого, reCAPTCHA подвергается критике пользователей из-за того, что картинки с трудом распознаются даже человеком. Возможны проблемы с неопределённостью вопроса, например: необходимо отметить автобусы, а на изображение троллейбус; выбор витрин может быть не очевиден, если показан застеклённый вход в здание.

Пользователь не обязан вводить оба слова. Одно из них не проверяется, узнать его довольно легко: в разное время проверяемое слово «зашумлялось» двойным контуром, линиями и геометрическими искажениями. К тому же в непроверяемое слово иногда попадаются знаки препинания, текст на других языках, математические формулы и т. п. Также у непроверяемого слова возможна инверсия цветов фона и букв.

С непроверяемым словом тоже есть проблемы — сложное слово, оторванное от контекста, может быть опознано неверно. Например, иногда опознавали как Internet^[3].

При слишком частых запросах CAPTCH’и с одного IP адреса reCAPTCHA становится почти нечитаемой, что сильно осложняет её ввод при использовании программного обеспечения Tor (так как частота запроса капчи с выходных узлов тора намного больше, чем с обычного пользовательского IP). Кроме того, в подобных случаях оба слова, предлагаемых пользователю для распознавания, являются проверяемыми, то есть, reCAPTCHA начинает действовать как любая другая система для защиты от ботов. Однако после очередного обновления алгоритма в reCaptcha, заход на сайт стал затруднительным для многих пользователей, так, если человек зайдёт на сайт и начнёт разгадывать антибот, то она будет слишком медленной, но даже после того как он решит данную задачу правильно, антибот система не зачтёт его ответ и попросит выбрать снова верные картинки, которые опять будут обновляться очень медленно, в итоге пользователь может потратить некоторое время (от нескольких минут) на решение данной проблемы. Также появилось блокирование доступа к разгадыванию капчи с определённого ip адреса, что делает невозможным использования её при входе на сайт, и хотя с динамическим ip адресом можно назначить себе новый путём переподключения, статический ip не сможет быть использован.

Примечания

Ссылки