Сервисы распознования капчи

№1 yaCAPTCHA

Это один из самых первых и распространенных видов защиты от спама. Обычно его ставят для регистрации на форумах и сайтах. Для блогов, я бы не советовал его ставить, так как капча довольно таки сложная, и некоторые пользователи просто из-за лени ее распознавать и вводить, просто не захотят оставлять комментарий.

№2 Anti Spam Image

Очень похожая на первый вид капчи, но здесь рядом с картинкой выводится примечание, например «вводить только красные символы», или «вводить только цифры» или «вводить только буквы». Тем самым если у спамеров есть робот, который умеет распознавать символы с картинки, то он логически введет все символы, а не именно те, что требуются в примечании.

№3 SI Captcha Anti-spam

Так же как и первые 2 вида, данный плагин, выводит капчу в виде цифр и букв, но здесь есть возможность прослушать, то что изображено на картинке.

№4 reCAPTCHA

Еще одна разновидность капчи с выводом символов, здесь так же есть возможность воспроизведения символов на картинке. Обычно форма с капчей состоит из двух слов. Этот вид, тоже больше подходит как капча на сайт, где требуется регистрация, чем капча на блог, где нужно просто оставить комментарий.

№5 Simple CAPTCHA

Капча выводит различные символы, их нельзя прослушать, но если они не видны, то нажав на соседнюю кнопочки символы на картинке можно заменить. При этом не обновляя страницу, то есть не теряя написанного комментария в поле.

№6 Math Comment Spam Protection

Здесь на форме с капчей выводятся два числа, но вводить надо не их, а их сумму. Опять же если робот сможет распознать цифры на картинке,то сложить их и вписать в поле их сумму, для робота уже проблематично.

№7 WP-NOTCAPTCHA

Это довольно таки забавная и простая капча для человека, но трудная для робота. Здесь просто надо передвигать ползунок под картинкой так, что бы картинки расположились вертикально.

№8 ImHuman

Тоже довольно таки интересная форма с капчей, и в тоже время очень сложная для роботов. Здесь выводятся несколько картинок, и надо выбрать из них одну, которая написана в примечании.

№9 Checkbot

Этот вид капчи является одним из самых простых и удобных способов защиты от спама. Здесь просто нужно выбрать человечка с поднятой рукой.

№10 Dcaptcha – Я не робот(YA-ne-robot)

Это самая простая капча, для блогов. Здесь, как вы видите, что бы подтвердить то, что вы человек, а не робот, вам просто нужно поставить галочку.

$xhe_host ="127.0.0.1:7011";
 
// The following code is required to properly run XWeb Human Emulator
require("../../Templates/xweb_human_emulator.php");
 
// Переходим на пример капчи на сайте google
$browser->navigate("http://google.ru/sorry");
 
//Распознаем капчу и вводим ваш индивидуальный api_key
echo $captcha = $image->recognize_by_anticaptcha("/sorry/image?id=","C:\Temp\1.jpg","$api_key – это ваш ключ сервиса распознания","http://antigate.com");
 
//Вводим результат капчти в нужное поле
$input->send_keyboard_input_by_name("captcha", "$captcha");
 
// Quit
$app->quit();

humanemulator.info

В поисках идеальной CAPTCHA / Habr

В этой статье я хочу углубиться в поиск идеального решения проблемы растущего количества сгенерированного людьми спама. Мы взглянем на то, как и зачем используется CAPTCHA и ее влияние на юзабилити в поисках ответа на ключевые вопросы: что представляет из себя идеальная CAPTCHA и почему в качестве защиты предпочитают именно ее?

Стремление к человечности

• Массивная реклама;
• Манипулирование онлайновыми системами голосования;
• Создание нечестного превосходства;
• Вандализм или уничтожение целостности, чистоты сайта;
• Публикация неуместных ссылок для повышения рейтингов в поисковых системах;
• Получение доступа к личной информации;
• Распространение вредоносного кода.

Все это приводит к созданию прибыльных ситуаций для спамеров. Автоматизация процесса, очевидно, приводит к сверхчеловеческой скорости и эффективности.

Те, кто управляют сайтами, знают, что это достаточно распространенный бизнес и достаточно серьезная проблема. Akismet, популярная система по отлову спама (чаще всего встречается в виде плагина для WordPress), фиксирует более 18 миллионов спам-комментариев в день, в сумме эта система отловила 20 миллиардов комментариев за все ее историю. Система Mollom, которая создана с тем же предназначением, отлавливает более миллиона спам-комментариев в день, эта же система подсчитала, что более 90% комментариев – спам. Никакие просьбы остановиться не действуют на спамеров, но их жадность может сыграть нам на руку; использование автоматических систем для получения выгоды имеет некоторые слабости.

Знакомство с CAPTCHA

• Блоги и форумы, тонущие под весом спама,
• Учетные записи, созданные под ложным предлогом для неправомерных целей,
• Боты, разрушающие динамику сайта,
• Необходимость в постоянно контроле за качеством контента и опытом пользователей.

Автоматический спам постоянно беспокоит владельцев сайтов, поэтому CAPTCHA выглядит привлекательно как решение этой проблемы… до поры до времени. Время, необходимое для постоянного контроля пользовательского контента несопоставимо со временем, необходимым для введения CAPTCHA на сайте – именно это толкает разработчиков на использование CAPTCHA.

Не секрет то, что CAPTCHA используется практически везде. По статистике проекта reCAPTCHA более 200 миллионов сгенерированных reCAPTCHA проходят проверку ежедневно, в среднем пользователи затрачивают на ввод 10 секунд. Проект Drupal CAPTCHA сообщает о 100 тысячах использований в неделю, при том, что это лишь часть сайтов с этой защитой (речь идет лишь о тех, кто дал добро на отправку отчетов).

CAPTCHA решает проблему в лоб: ее предназначение заключается исключительно в остановке спамеров. Настоящие пользователи, в большинстве случаев, проверку проходят. То есть, в идеале, пользователей эта защита не затрагивает.

К сожалению, это не так. Проблема читаемости CAPTCHA не нова. Организация W3C опубликовала отчет в 2005 году на тему недоступности CAPTCHA, в котором было объявлено, что читаемость CAPTCHA человеком в некоторых системах может достигать лишь 90%. Немногим позже, в 2009 году, Кейси Генри обратил внимание на влияние CAPTCHA на переходы и предположил, что возможные потери клиентов составляют примерно 3%:

Учитывая тот факт, что множество людей рассматривают переходы, как источник доходов, потеря 3.2% клиентов может отразиться на продажах. Как по мне, так лучше вручную перебирать спам, чем терять часть прибыли.

В 2010 году, команда Стэндфордского Университета опубликовала исследование, названное “Насколько хорошо люди справляются с CAPTCHA? Подробная оценка ситуации” (PDF), в котором была дана оценка CAPTCHA на крупнейших сайтах Интернета. Не стало сюрпризом то, что результаты оказались весьма неудовлетворительными, но больше всего поражает тот факт, что в среднем люди тратили 28.4 секунд на решение аудио-CAPTCHA. В исследовании так же уделялось внимание на проблемы людей, у которых английский язык не является родным.

Веб-разработчик Тим Кадлек предвещает смерть CAPTCHA, предоставляя достаточно серьезный аргумент против использования этой защиты:

Спам не является проблемой пользователей, это проблема людей, администрирующих сайт. Это очень высокомерно со стороны администраторов – сваливать такую проблему на плечи пользователей сайта.

Ввод CAPTCHA может казаться абсолютно тривиальной задачей, но исследования (как вышеупомянутый отчет от W3C) показывают, что подобное суждение имеет мало общего с реальным положением дел. И, как сказал Кадлек в своей статье, что же насчет пользователей с проблемным зрением, дислексией и другими заболеваниями, затрагивающими сенсорные функции? Для них это непреодолимое препятствие, это просто нечестно. Именно пользователи инвестируют и задают предназначение сайтам.

Вопрос в том, действительно ли CAPTCHA настолько неприемлема для пользователей, что от нее необходимо отказаться? Возможно, более важный вопрос: существует ли легко читаемая CAPTCHA, которую невозможно взломать? Если ответ отрицательный, то что же является подходящим решением для борьбы со спамом в сети?

Мир CAPTCHA

• Задачей, которую пользователи могут решить в любых условиях, но на решение которой не способен компьютер,
• Задачей, которая решается пользователями в миг, но которая является тяжелой для компьютера,
• Задачей, для решения которой требуется минимум ввода данных,
• Задачей, которая должна быть легко выполнимой для всех пользователей, включая тех, кто страдает специфическими заболеваниями (CAPTCHA должна быть не сложнее обычного веб-серфинга).

Одно из наиболее заметных превосходств человека над компьютером выражается в умении различать визуальные образы и модели. Наиболее популярные CAPTCHA отталкиваются именно от этого факта.
Веб-разработчики перелопатили множество вариантов: простые тесты по определению образов, интерактивные задания, игра в крестики-нолики и математические задачи, с которым пришлось бы изрядно побороться даже математикам. Мы же рассмотрим более адекватные идеи, которые внедряются в Интернете в наше время.

Определение текста

reCAPTCHA была создана в Университете Карнеги-Меллона, доме первопроходцев CAPTCHA и создателей термина (в 2000). Ныне под управлением корпорации Google, проект использует отсканированный текст, который системы оптического распознавания символов (OCR) понять не могут. Это, в теории, предоставляет не взламываемую CAPTCHA, у которой так же есть еще одна «фича» — помощь в оцифровке книг силами пользователей.

Те, кто особенно озабочен проблемой юзабилити, всегда лестно отзывались о reCAPTCHA. К сожалению, в сети чаще всего встречаются абсолютно непонятные или нечитаемые CAPTCHA, предложение пользователям решить невыполнимую задачу не может хорошо отразиться на юзабилити.

Команда проекта reCAPTCHA делает большие усилия для обеспечения аудио-альтернатив для людей с нарушениями зрения, но множество других CAPTCHA этого типа не имеют подобных вспомогательных средств. Как было упомянуто в исследовании Стэндфордского Университета, выполнение аудио-CAPTCHA занимает много времени. В том же исследовании было обращено внимание на проблемы с выполнением CAPTCHA с английскими словами.

Другая попытка улучшить обыкновенную текстовую CAPTCHA представлена в конце 2010 года компанией Solve Media, чье решение заключалось в том, что бы заменить обычный текст рекламой и связанным с ней вопросом.

Solve Media утверждает, что их CAPTCHA может быть выполнена гораздо быстрее, чем любые другие. Не смотря на то, что большинство относится к подобной маркетинговой болтовне скептически, у данного проекта определенно есть потенциал, особенно учитывая то, что у многих мировых брендов название не зависит от локального языка.

Пока текстовая CAPTCHA имеет некоторые недостатки (к примеру, спамеры могут использовать специальное ПО для распознавания текста в изображении и таким образом преодолеть анти-спам защиту), она все таки бесспорно решаема. Этот факт – камень в огород тех, кто не признает подобную защиту.

Логические задачи

Сервис TextCAPTCHA располагает более 180 миллионами вопросов, например:

• Какая буква является шестой в слове «хабрахабр»?
• Как выглядит число пятьдесят восемь тысяч пятьсот семьдесят четыре в виде цифр?
• Какое число из 3, двадцать девять, 70, 46, 65 является наименьшим?

IBM Watson недавно показал миру устрашающе похожую на человеческую возможность обрабатывать текст, и подобная технология может стать повсеместной быстрее, чем мы думаем. Но вместо тревог о том, что логические вопросы могут стать посильными для компьютеров, мы должны использовать эту технологию для анализа пользовательских данных и отделения человеческого контента от сгенерированного компьютером, который в большинстве случаев является спамом. Сервисы вроде SBlam! активно развивают эту идею.

Специфические вопросы о конкретном сайте, такие как «Как называется этот сайт?» и «Какой цвет доминирует на изображении выше?» могут быть лучше вопросов на общую тему. Но с другой стороны, конечно, количество таких вопросов в любом случае будет смотреться ничтожным рядом с 180 миллионами вопросов от TextCAPTCHA.

Наиболее заметная проблема логических вопросов заключается в том, что они не многоязычны, обычно используется английский язык. Создание базы с сотнями миллионов вопросов на всех языках мира – задача непосильная никому. Когда перспективы столь далеки от идеальных, всплывает вопрос: правильным ли решением является CAPTCHA?

Определение изображений

Тот факт, что мы не видим распространенности подобной CAPTCHA, означает, что этот метод не улучшает юзабилити. На самом деле, он ставит под угрозу доступность. Люди с проблемным зрением лишены всякого шанса пройти эту CAPTCHA, а добавление какого-либо текста или описания резко снизит эффективность теста.

В 2009 году Google опубликовал исследование (созданное под руководством Рича Госсвейлера, Марьяма Кемвара и Шумита Балуджа), в котором был обращен взгляд на альтернативные формы этого типа CAPTCHA. Проект предлагал пользователям поправить положения изображений, поворачивая их.

Инновационная идея, я уверен, вы согласитесь. Исследование показало превосходство этой техники над другими в плане легкости прохождения теста человеком. К сожалению, этот метод полностью провален в плане доступности (вспомните о людях с проблемным зрением).

Определение друзей

Мы покажем вам несколько фотографий ваших друзей и попросим вас назвать того, кто на них изображен. Хакеры на другой стороне планеты могут знать ваш пароль, но не могут знать ваших друзей.

То, что делает нововведение Facebook абсолютно отличным от остальных решений, так это то, что эта CAPTCHA отсеивает не только машин, но и вполне себе человечных злоумышленников.
У Facebook определенно есть перспектива внедрить эту CAPTCHA по всему Интернету. С базой в 600 миллионов пользователей и миллионами сайтов, в которые интегрированы модули Facebook, интернет-гигант может использовать метод определения друзей для аутентификации где угодно. Нельзя забывать и про то, что подобный метод куда легче, чем определение текста.

Есть только одна проблема. Действительно ли вы знаете, кто же ваши друзья? Не секрет, что зачастую запросы дружбы – предмет обмена между пользователями для повышение заветной циферки, отражающей количество друзей. Когда этот список полон абсолютно неизвестных вам персон – едва ли вы пройдете этот тест. Какой бы хорошей идея Facebook ни была, она все равно в конечном итоге обречена на провал, потому, что мы люди – мы нарушаем правила.

Интерактивные CAPTCHA

Очевидно, этот вариант не подходит для людей с ограниченными способностями. Более того, разработка скрипта, который автоматически бы переводил ползунок для активации кнопки «Отправить» не должна быть сложной. Более продвинутая версия ползунка используется в комментариях в блоге Adafruit. Четыре разных ползунка должны быть установлены в правильное положение для публикации комментария.

Более продвинутое решение?

Из всех доступных решений, текстовая CAPTCHA (вроде reCAPTCHA) выглядит наиболее привлекательно. Но вопрос все равно остался открытым: зачем мы просим пользователей выполнять задания? Разумеется, мы можем победить спамеров в их же игре используя автоматические системы, которые будут делать за нас всю работу. Итак, мы пришли к тому, что всегда есть определенная проблема, которую решает CAPTCHA.
Не смотря на превосходство компьютерного интеллекта, большинство механизмов, созданных для спама — тупые. Если отправка данных оканчивается провалом (из-за CAPTCHA или же по какой-либо другой причине), то спам-бот пойдет по своему списку сайтов дальше. Джеф Атвуд наглядно показал это в 2006 году в своей статье “Эффективность CAPTCHA”. Не смотря на исследования в области взлома CAPTCHA, большинство спамеров не желает инвестировать в эти исследования или вообще пользоваться средствами взлома. Приличное количество сайтов, доступных для атаки и скорость, с которой эта атака производится означают, что взлом CAPTCHA не входит в интересы большей части спамеров.

Корпорация BBC является одним из самых тщательных исследователей в этой области в Великобритании. Ее требования к доступности не имеют равных, и недавнее исследование систем CAPTCHA в плане доступности пришло к выразительному и минималистическому ответу: «Нет»:

Участники с проблемным зрением ожидали полной доступности от BBC, и мы почувствовали, что использование подобных систем защиты может подмочить нашу репутацию. Пользователи испытывали некоторые проблемы с искаженным текстом. Логические паззлы показались им слишком необычными. Аудио им тоже не понравилось. В общем, пользователи испытывали к CAPTCHA крайне негативные чувства.

Существуют альтернативные решения, которые помогают избежать автоматической отправки данных компьютерами без использования CAPTCHA, и что более важно, вообще без участия пользователя.

Альтернативы CAPTCHA

Автоматическое и ручное определение спама

Переложив на себя ответственность и снятие бремени с пользователей улучшит их мнение о сайте и увеличит их активность. Ручной контроль контента зачастую является жертвой, которую стоит принести.

Метод «Горшочек Меда»

Метод «горшочек с медом» может быть более эффективным, если обфусцировать скрытие поля методами JavaScript или хэшированием данных. Эти методы не непробиваемы, но мы можем рассчитывать на лучшее.
JavaScript может быть использован для заполнения скрытых полей динамически, что может быть проверено скриптом на стороне сервера. Scratchmedia использует подобное решение наряду с CAPTCHA, если JavaScript отключен.
Можно так же использовать дополнительный таймстамп и данные сессии для определения автоматической отправки. Недавнее обсуждение на сайте Stack Overflow представляло из себя огромное количество примеров и идей насчет этого, включая Hashcash, который доступен в виде плагина для WordPress. Урок по созданию такой защиты средствами jQuery описывает похожий метод и включает в себя интересную мысль:

Воры знают, что если у дома есть внешнее освещение, собака во дворе или другие подобные средства защиты – то в этот дом лучше не соваться. Воры ищут большую выручку с минимальными затратами и риском.

Централизация базы пользователей

Эти сервисы стали настолько популярными, что появился Janrain.
Сервис Janrain предоставляет свое собственно решение, базированное на вышеупомянутых Facebook Connect, Sign in with Twitter и иже с ними, для того, что бы сделать сайт доступным из любой социальной сети.

Другие сервисы типа Disqus, позволяют пользователям взаимодействовать с помощью встроенной системой защиты от спама и встроенной авторизацией.
Практически полное отсутствие анонимности заставляет пользователей подумать дважды перед отправкой какого-либо контента. Это так же очень эффективно предотвращает спам; стоит удалить одного пользователя Facebook и все сайты с подключенным Facebook Connect стали огорожены от очередного спамера.

Подобные сервисы, разумеется, провоцируют жаркие споры на тему приватности, защиты личных данных… но это уже тема для другой статьи. В качестве альтернативы CAPTCHA эти сервисы имеют огромный потенциал со своей доступностью и юзабилити.

Фиксирование времени, затраченного пользователем

Идеальная CAPTCHA

Восстание людей

Одно из множества темных искусств в SEO – искусственная генерация ссылок на сайт под предлогом оптимизации. Поисковые системы считают входящие ссылки весомым показателем ценности. Очевидно, этим злоупотребляют, отправляя подобные ссылки на множестве сайтов (форумы и формы для отправки комментариев идеальны для реализации подобных методов). Польза от SEO настолько высока, что автоматический спам и рядом не стоял. Практика привлечения дешевого человеческого труда достаточно распространена. И CAPTCHA не предназначена для подобных вещей.

Мы должны признать необходимость в модерации и определения ботов в фоне, невидимыми методами. CAPTCHA – лучшее временное решение на данный момент и худшее в целом. Либо бороться со спамом вручную, либо просто забыть про интересы пользователей – выбор за вами.

Выводы

Понимание альтернатив (речь идет о тех, где проверка на спам происходит незаметно для пользователя) и встраивание их на сайты – это хороший старт. Это позитивный шаг вперед к улучшению юзабилити и увеличению посещаемости. Если пользователи публикуют контент на вашем сайте, отблагодарите их хорошей защитой от спама:

• Модерация везде, где только возможно
  Не разрешайте размещать определенный контент на сайте, или наоборот, разрешайте его публикацию после прохождения проверки аккаунта. Лучше всего использовать сервисы типа Facebook Connect или Disqus; это будет проще и для вас, и для пользователей.
• Альтернативы CAPTCHA
  Попробуйте использовать метод «горшочек с медом» или любой другой, лишь бы он бы невидимым для пользователей.
• Определение с клиентской стороны
  Это будет работать просто потому, что пока есть обходные пути, спамеры не будут тратить свое время. Взаимодействие с ключевыми словами или мышью может быть использовано для определения, кто вводит данные, человек или машина. Эта защита не должна быть использована как самостоятельная, но она добавит защищенности сайту.
• Определение с серверной стороны
  Разработчики должны обратить внимание на определение спама с серверной стороны для мониторинга пользователей и поиска необычной активности. Специальные сервисы типа Akismet доступны и эффективны, но, как уже было сказано, они не могут подстраиваться под специфику вашего сайта.
• Общественная модерация
  Простая возможность голосовать за контент поможет избавиться от спама.

Абсолютно ясно, учитывая все «за» и «против» CAPTCHA, что будущее за незаметными для пользователя технологиями. На данный момент CAPTCHA должна быть самой крайней мерой.

Оригинал статьи: In Search Of The Perfect CAPTCHA, David Bushell, 03/04/2011.
Перевод довольно вольный, но суть и мысль, передаваемые автором, сохранены. Исключены несколько незначительных фрагментов, каждый с определенной причиной. Например, фрагмент с информацией об изменении алгоритмов Google был удален, так как ссылается на недоступную страницу в блоге Google (404).
Прошу не кидаться ничем нехорошим, мой первый перевод такого объема.

Этот текст распространяется на условиях лицензии «Creative Commons Attribution-NonCommercial-ShareAlike 3.0».
Вы можете копировать, редактировать и использовать не в коммерческих целях этот текст при обязательном указании авторства и сохранении оригинальной лицензии.

habr.com

Определить reCAPTCHA 3 score | AntiCaptcha plugin solver

Тут вы увидите свой текущий reCAPTCHA 3 score по версии Google для данного сайта.
Как показывает практика определяемый score приблизительно одинаковый для всех сайтов.
Это значит, что показанная здесь цифра будет равна для большинства сайтов, на которых стоит reCAPTCHA 3.

Принимаемые значения от: 0.9 до 0.1.
Где 0.9 — вероятный человек, 0.1 — бот.
Значения 0.3 и ниже воспринимаются как очень подозрительная активность, такие пользователи тоже интерпретируются как боты.

Как показывает практика низкий score усложняет и reCAPTCHA 2, т.е. при ее решении выдает много сложных экранов где нужно указать витрины и прочее.

{{ scoreMessage }}

Следующая проверка через {{ countdown }} секунд.

Обновить score сейчас!

Слишком частые проверки score могут ухудшить этот самый score, поэтому автоматический интервал проверки выставлен в 1 минуту. Не рекомендуется часто обновлять свой score.

Кстати, Anti-captcha.com сервис успешно решает reCAPTCHA 3. И наше расширение тоже очень скоро будет ее поддерживать.

А на проекте Колотибабло для заработка за решение капчи, вам хорошо заплатят за высокий Score!

Альтернативный способ проверки Recaptcha v3 score

Пояснение к результатам проверки

Вполне может быть, что результаты проверки score основной и альтернативный координально отличаются. Это значит, что Гугл обращает внимание не только на самого пользователя, но и на контекст, в котором идет проверка. Под контекстом подразумевается и URL и окружающий его HTML. Мы пока не знаем что с этой информацией делать.

antcpt.com

Вы не прошли проверку recaptcha. Как это работает: CAPTCHA

Здравствуйте, уважаемые читатели блога сайт! Очередное понятие, с которым рано или поздно сталкиваются практически все пользователи интернета и с которым я хотел бы вас познакомить, это капча. Думаю, многим при регистрации или авторизации на сайтах (и не только) уже приходилось помимо заполнять дополнительную графу.

Для успешного завершения процесса туда обычно требуется вписать цифры, буквы или даже целые слова, изображенные на предлагаемой тут же картинке в большинстве случаев в искаженном виде (с помощью размытия, применения различного рода эффектов и т.д.).

Подобные своеобразные ребусы могут быть какими угодно. Например, вполне вероятно, что вас попросят внести результат нехитрого арифметического действия либо расположить изображения в определенном порядке путем перетаскивания.

Что такое капча и виды этой защиты против автоматического спама

Все эти хитроумные задачки и тесты, требующие выполнения действий, присущих человеку, создаются, конечно, не просто так, а преследуют определенную цель. Какую же? Об этом и пойдет речь ниже в настоящей публикации.

Итак, попробуем сразу же внести ясность. Русскоязычное слово «капча» происходит от сложной английской аббревиатуры CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), что в полном переводе на русский означает «полностью автоматизированный публичный тест Тьюринга для распознания компьютеров и людей».

Для чего же был сконструирован данный тест? Дело в том, что среди есть не совсем (или даже совсем не) законные, важной составной частью которых является рассылка спама (), являющегося настоящим бедствием для пользователей Всемирной паутины.

Для того, чтобы обогатиться, спамеры используют все доступные средства на полную катушку. С этой целью они в массовом порядке регистрируются на всевозможных ресурсах, включая форумы и социальные сети. Например, в рунете особенно популярен в этом отношении сайт ВКонтакте ( и об этой соцсети подробности).

Однако, вручную таким макаром много не нашаманишь, как вы понимаете. Потому представители этого контингента вовсю используют программное обеспечение и настраивают с его помощью автоматическую рассылку спама . А это уже совсем другой коленкор. Ведь программа (робот) может работать без сна и отдыха, а потому имеет неоспоримое преимущество.

Вот таким образом и обрушивается лавина спамных сообщений на пользователей. Особенно такой метод досаждает тем, кто пользуется интернетом профессионально, скажем тем же вебмастерам.

Владельцы сайтов ( , существующих в сети) знают не понаслышке, насколько продукция спамеров может нервировать и выбивать из колеи. Кстати, в конце статьи я посоветую вам, на мой взгляд, самый оптимальный на данный момент антиспамный инструмент, который вы сможете применить на своем вебсайте.

Посему вполне логично, что появился защитный инструмент в виде теста Тьюринга, именуемого капчей (рано или поздно это должно было случиться), благородная цель которого каленым железом выжечь в зародыше безнаказанную спамерскую деятельность.

Безусловно, положительные сдвиги в результате применения CAPTCHA налицо, однако, результат не такой радужный, как можно было предположить. Жизнь не стоит на месте, а потому постоянно появляются сообщения о разработке нового софта, способного обойти любую капчу. Спрос рождает предложение, ведь спамеры не собираются сдаваться и бросать «золотую жилу».

В противовес совершенствуются и механизмы различных форм CAPTCHA, о которых мы и заведем речь чуть ниже. Это мне напоминает противоборство оружия нападения и защиты, которое продолжается уже несколько веков.

Например, в ответ на применения копий, секир и стрел были изобретены доспехи, против снарядов была придумана броня, а затем бронебойный снаряд, ну и т.д. Наш мир вообще развивается во многом благодаря борьбе противоположностей.

Какие виды капчи бывают

Ну ладно, оставим до поры философские сентенции и перейдем к делу. Итак, мы установили, что такое CAPTCHA, которая служит весьма действенным средством против автоматического спама. Но насколько все же оно эффективно? Многое зависит от профессионализма и квалификации веб-разработчиков, а также используемых ими программных алгоритмов.

Ведь сама суть капчи — максимально затруднить автомату выполнение теста, который обычный человек должен в состоянии легко пройти. К сожалению, такое идеальное соотношение трудно достижимо на протяжении длительного промежутка времени в силу существующего вечного противостояния, упомянутого выше.

Очень часто пользователи плюются, вынужденные проходить порой трудно разрешимую капчу. Вот угадайте, как поступит обычный юзер, увидев нечто подобное:

Правильно, покинет такой ресурс, благо альтернатива в сети всегда есть. Таким образом, при использовании подобных видов CAPTCHA страдают сами владельцы сайтов, у которых снижается конверсия, падает посещаемость, теряются потенциальные подписчики и клиенты.

Итак, зная, для чего используется данная защита от спама, мы можем сформулировать базовые условия, которые должны лечь в основу создания идеальной капчи (идеал, как известно, недостижим в реальной жизни, но к нему надо стремиться):

• разработка теста, с которым любой человек справился бы за минимальный промежуток времени, а боту он бы был абсолютно недоступен;
• сведение к минимуму ввода каких-либо данных;
• учет интересов пользователей с физическими недостатками (например, реализация аудио-сопровождения для слабовидящих).

Вы можете сами без труда оценить, каие капчи из числа встретившихся вам на просторах интернета в наиболь

thesaker.ru

Почему капчи стали такими сложными / Habr

Доказывать, что ты не робот, становится всё сложнее

Эти тесты называются CAPTCHA – акроним от «полностью автоматического публичного теста Тьюринга, предназначенного для различения людей и компьютеров», и когда-то они уже доходили до подобной степени неразборчивости. В начале 2000-х простых изображений с текстом было достаточно, чтобы остановить большинство спам-ботов. Прошло десять лет, и после того, как компания Google купила программу у исследователей из Университета Карнеги-Меллона и использовала её для оцифровки в проекте Google Books, тексты приходилось всё сильнее искажать и скрывать, чтобы обгонять улучшающиеся программы оптического распознавания символов – те самые программы, которые помогали улучшать те самые люди, кому приходилось разгадывать все эти капчи.

Поскольку CAPTCHA – элегантный инструмент для тренировок ИИ, то любой придуманный тест может продержаться лишь некоторое время, что признают и его изобретатели. Со всеми этими исследователями, мошенниками, и простыми людьми, решающими миллиарды задачек на грани возможного для ИИ, в какой-то момент машины просто обязаны были нас обогнать. В 2014-м Google стравила между собой свой лучший алгоритм по разгадыванию самых искажённых текстов и людей: компьютер правильно распознал текст в 99,8% случаев, а люди всего в 33%.

После этого Google перешла на NoCaptcha ReCaptcha, наблюдающую за поведением людей и собирающую их данные, что позволяет некоторым из них пройти дальше просто по клику на кнопке «Я не робот», а другим выдаёт задачи на поиск изображений, которые мы сегодня и наблюдаем. Но машины снова настигают нас. Все эти навесы, которые могут быть или не быть витринами магазинов – это заключительная стадия гонки вооружений людей и машин.

Язон Полакис, профессор информатики в Университете Иллинойса в Чикаго лично отвечает за недавнее усложнение капчи. В 2016-м он опубликовал работу, в которой использовал готовые программы распознавания изображений, включая собственный поиск по изображением от Google, чтобы решать капчи с точностью в 70%. Другие исследователи справлялись с распознаванием аудио капчи от Google при помощи программ по распознаванию речи от самой же компании.

Машинное обучение уже не хуже людей справляется с распознаванием простых текстов, изображений и голоса, говорит Полакис. Алгоритмы, возможно, даже делают это уже лучше: «Мы дошли до момента, когда усложнение задач для софта приводит к тому, что задачи становятся чрезмерно сложными для людей. Нам нужна альтернатива, но чёткого плана пока нет».

Литература по капчам переполнена фальстартами и странными попытками найти что-то кроме текста и изображений, с чем хорошо справляются все люди и плохо справляются машины. Исследователи пробовали предлагать пользователям сортировать изображения людей по выражению лиц, полу и этнической принадлежности (можете представить, как это прошло). Были предложения организовать капчи с викторинами, капчи на основе колыбельных, распространённых в тех местах, где, как предполагается, вырос пользователь. Такие капчи с культурной привязкой нацелены не только на роботов, но и на людей из других стран, решающих капчи за копейки. Люди пытались загнать алгоритмы распознавания изображений в тупик, предлагая пользователю опознать, например, свинью, но при этом рисованную и в солнечных очках. Исследователи изучали такие варианты, как предложить пользователям распознать объекты в мешанине калейдоскопа. В одном из интересных вариантов в 2010-м исследователи предложили использовать капчу для сортировки древних петроглифов – компьютеры плохо справляются с распознаванием скетчей или изображений оленей на стенах пещер.

Недавно были попытки разработать игровые капчи, где пользователю нужно вращать объекты на определённые углы или передвигать кусочки головоломки, причём инструкции по решению капчи давались не в виде текста, а в виде символов, или же подразумевались по контексту игрового поля. Надежда на то, что люди поймут логику загадки, а компьютеры без чётких инструкций споткнутся. Другие исследователи пытались использовать факт наличия у людей тел, и применяли камеры устройств или дополненную реальность для интерактивного подтверждения наличия человека.

Со многими из этих тестов проблема не в том, что роботы слишком умные, а в том, что люди плохо с ними справляются. И дело не в том, что люди тупые; они просто очень сильно различаются по языку, культуре и опыту. Избавившись от всего этого, чтобы сделать тест, который может пройти любой человек без тренировки и долгих размышлений, мы остаёмся с такими грубыми задачами, как распознавание изображений – а это именно то, с чем хорошо справится специально заточенный под это ИИ.

«Тесты ограничены возможностями человека, — говорит Полакис. – Дело не только в физических возможностях – нужно найти что-то межкультурное, межъязыковое. Нужна задача, которая хорошо работает с человеком из Греции, с человеком из Чикаго, с человеком из Южной Африки, Ирана и Австралии одновременно. И она не должна зависеть от культурных нюансов и различий. Нужна задача, с которой хорошо справляется средний человек, она не должно быть ограничено определённой подгруппой людей, и она должна быть трудной для компьютера. Всё это сильно ограничивает выбор вариантов. А ещё это должно быть что-то, с чем люди справляются быстро, и что не сильно раздражает».

Попытки решения этих загадок с размытыми картинками быстро переводят человека на философские рельсы: есть ли какое-то универсальное человеческое качество, которое можно продемонстрировать машине, и которое машина не может имитировать? Что значит – быть человеком?

Может, наша человечность измеряется не тем, как мы выполняем задачи, а тем, как мы ведём себя, продвигаясь сквозь мир – или, в данном случае, сквозь интернет. Игровые капчи, видеокапчи, любые капчи, которые вы сможете придумать, в итоге будут взломаны, говорит Шуман Госмахумдер [Shuman Ghosemajumder], занимавшийся в Google борьбой с автоматизацией кликов, а потом ставший технологическим директором компании по распознаванию роботов Shape Security. Он склоняется в сторону «постоянной авторизации» вместо отдельных тестов – к наблюдению за поведением пользователя и поиску признаков автоматизации. «Реальный человек не очень хорошо контролирует моторику, и не может двигать мышь одинаковым образом много раз во время нескольких взаимодействий, даже если будет пытаться сделать это», — говорит Госмахумдер. Робот будет взаимодействовать со страницей, не двигая мышью, или двигая её очень точно, а в действиях человека будет наблюдаться «энтропия», которую сложно подделать, говорит Госмахумдер.

Собственная команда Google, занимающаяся капчей, работает в сходном направлении. Последняя версия reCaptcha v3, выход которой был объявлен в конце прошлого года, использует «адаптивный анализ рисков» для оценки трафика по подозрительности; владельцы сайтов могут предлагать подозрительным пользователям задачи вроде ввода пароля или двухфакторной авторизации. В Google не сообщают, какие факторы учитываются при оценках, кроме того, что компания оценивает, как выглядит на сайте «хороший трафик», и использует эту информацию для фильтрации «плохого трафика», согласно Сай Кормаи [Cy Khormaee], менеджеру продукта из команды CAPTCHA. Исследователи в области безопасности говорят, что это, вероятно, смесь куков, атрибутов браузера, закономерностей трафика и других факторов. Один недостаток новой модели распознавания роботов состоит в том, что навигация в вебе при попытках минимизации наблюдений за пользователем может стать немного раздражающей, поскольку такие вещи, как VPN и расширения, затрудняющие отслеживание пользователя, могут отметить вас, как подозрительного.

Аарон Маленфант [Aaron Malenfant], ведущий инженер команды CAPTCHA в Google, говорит, что сдвиг в сторону от тестов Тьюринга должен помочь обойти соревнование, которое люди всё время проигрывают. «Чем больше мы будем вкладываться в машинное обучение, тем сложнее эти задачи будут становиться для людей, и, в частности, поэтому мы запустили CAPTCHA V3 – чтобы опередить эту кривую». Маленфант говорит, что через 5-10 лет задачи в капче вообще не будут иметь смысла. Большая часть веба будет зависеть от постоянного скрытого теста Тьюринга, работающего на фоне.

В своей книге «Самый человечный человек» Брайан Кристиан [Brian Christian] принимает участие в тесте Тьюринга в качестве подсадной утки и понимает, что очень сложно доказать свою человечность в беседах. С другой стороны разработчики ботов обнаружили, что эти тесты легко пройти, не притворяясь красноречивым или интеллектуальным собеседником, а отвечая на вопросы при помощи нелогичных шуток, делая опечатки, или, как в случае бота, выигравшего соревнование Тьюринга в 2014-м, заявляя, что ты – 13-летний украинский мальчик, плохо говорящий по-английски. Ведь человеку свойственно ошибаться. Возможно, что такое будущее ждёт и капчу, самый распространённый тест Тьюринга в мире – новая гонка вооружений будет создавать не роботов, превосходящих людей в сортировке изображений и разборе текста, а роботов, делающих ошибки, промахивающихся по кнопкам, отвлекающимся и переключающим вкладки. «Думаю, народ начинает понимать, что есть области применения для симуляции среднего пользователя-человека… или тупых людей», — говорит Госмахумдер.

Капчи могут сохраниться и в этом мире. В 2017-м Amazon зарегистрировала патент на схему, в которой используются оптические иллюзии и логические задачки, с которыми тяжело справляться людям. Этот тест называется «тест Тьюринга через ошибку», и единственный способ пройти его – дать неверный ответ.

habr.com

Увеличить скорость распознавания капч (картинок) при помощи функционала quot;100% распознавание quot;

  Один из заказчиков исследовал нестандартное использование нашего сервиса  и написал по нашей просьбе статью о своём исследовании. Приводим её как есть:

  Недавно рукапча опубликовала статью https://rucaptcha.com/blog/for_webmaster/100percent о том, как работает их “100% распознавание”. Если посмотреть на логику работы этого алгоритма, то можно заметить, что при помощи него можно повышать скорость распознавания, что особенно актуально при работе с решением капч “solvemedia”.

Если поставить в настройках
Минимальное количество попыток = 2
Минимальное количество совпадений = 1
Вот так:
 

то капча будет выдана сразу двум работникам и как только кто-то из них ответит, его ответ сразу же будет отдан нам.
  Для меня важно получить ответ как можно быстрее, поэтому я решил провести тестирование, поможет ли использование “100% распознавания” в ускорении решения капчи и не приведёт ли это к падению качества распознавания

Что проверяем:

  У меня было два предположения, которые я хотел проверить:

1. При увеличении количества работников, решающих капчу средняя скорость распознавания уменьшается, т.к. повышается вероятность попасть на “быстрого” работника.

2. Количество правильных ответов упадёт, т.к. с вероятностью попасть на “быстрого” работника, у нас должна повыситься и вероятность попадения на работника, который ответит “123” и такой ответ он даст быстрее, чем ответ нормального работника.

Методика исследования:
  Мною написан скрипт на PHP, который с таймаутом в 1 секунду засылает картинки из папки и после получения ID капчи начинает каждую секунду запрашивать ответ. После получения ответа скрипт записывает в лог  имя файла, ID капчи, ответ на неё и время за которое она была распознана.

  После этого я 5 раз запускал скрипт с одними и теми же картинками. Первый раз я запустил его с обычными настройками, без “100% распознавания”, второй раз я выставил настройки так, чтобы каждая капча выдавалась двум работника, потом запускал  с настройками чтобы капча выдавалась  3, 4, и 5 работникам.
  После этого я собрал все логи в единую таблицу в EXCEL и  посчитал статистику по каждой пачке.

  Для теста я использовал 100 капч вида “solvemedia”. Выбор в пользу этих капч был сделан из-за того, что сейчас это самая сложная капча, по моему мнению. Примеры этой капчи:

  Для тех, кто хочет провести собственный тест. Ссылка на скрипт и используемые капчи: PHP speedtest RuCaptcha

Результаты:
 Ссылка на xls файл с данными по каждой капче для тех, кто хочет посмотреть исходные данные.
Итоговая статистика получилась такой:

1) Первое предположение, увеличение скорости распознавания:
Подтвердилось!
  При увеличении количества работников, которым выдана капча, уменьшается время распознавания. Для своих задач я определил оптимальную настройку в 3 работника — стоимость распознавания увеличивается лишь в три раза, а скорость распознавания растёт на 32,5%, что очень важно для моих задач

2) Второе предположение: “количество верных ответов упадёт”
Не подтвердилось!
  Возможно, для более точных результатов нужна выборка не менее 1000 капч, т.к. при выборке в 100 капч один неверный ответ даёт отклонение в 1%, но в целом  можно сделать вывод, что количество верных ответов не уменьшается.

3) Не решённых капч становится меньше.
  Дополнительно можно заметить, что количество капч, которые работники отказались решать уменьшилось. Нельзя утверждать, что при настройке “минимум 2 работника решают мои капчи” все 100% Ваших капчу будут решены. Когда я готовился к этому эксперименту, я пробовал засылать совсем уж нерешаемые капчи и их не решали не только при “минимум 2 работника”, но даже и при настройке “минимум 4 работника”. Примеры таких капч:

Комментарии RuCaptcha.com:
  Мы благодарны, что кто-то делает такие тестирования. Это помогает нам развивать сервис и исправлять проблемы, которые были выявлены во время подобных тестов. Например при этом тесте изначально были получены не такие красивые результаты, т.к. в логике раздачи капч работникам была небольшая ошибка, но автор статьи связался с нами и мы оперативно всё исправили.
  Хотим обратить Ваше внимание, что если Вы будете проводить аналогичное тестирование — делайте небольшой таймаут между загрузками капчи. Если вы единовременно загружаете 20 капч с  настройкой “раздать 10 работникам”, то у нас может не оказаться 200 свободных работников в этот момент и тогда первые капчи решатся быстрее, а вот время решения последующих — увеличится. Поэтому просим при загрузке капч делать небольшую паузу.
 

rucaptcha.com

Распознавание капчи (captcha) — Полезное о компьютерах и программах

Тест Тьюринга

Представьте, что вам нужно, используя свой компьютер, купить билеты на концерт. Перед покупкой вам будет предложен тест. Дело в том, что тест нетрудный. Человеку пройти его очень просто. Однако для компьютера это почти неразрешимая задача.

Такой тест называется полностью автоматизированным открытым тестом Тьюринга по распознаванию людей и машин (CAPTCHA, Completely Automated Public Turing Test), он предназначается для того, чтобы определить, с кем ведется диалог, с человеком или машиной. Подобные тесты еще называют подтверждением общения с человеком (Human Interaction Proof, HIP). Вам, наверное, приходилось видеть тесты CAPTCHA на многих WEB сайтах. Наиболее распространены CAPTCHA в виде изображений нескольких искаженных букв. Задача испытуемого состоит в том, чтобы ввести в экранный бланк правильную последовательность распознанных букв. Если введенные символы соответствуют буквам на искаженном изображении, тест считается пройденным.

Для чего нужен такой тест

Почему потребовалось создавать такой тест? Потому, что некоторые люди пытаются обмануть систему, используя слабые места компьютеров, управляющих сайтом. Таких людей немного по сравнению с общим количеством пользователей Интернета, однако их действия могут создать серьезные неудобства миллионам пользователей Всемирной сети и нарушить работу многих WEB сайтов. Например, бесплатная служба работы с электронной почтой может быть атакована множеством запросов на регистрацию со стороны автоматизированной программы. Такая автоматизированная программа может быть частью широкомасштабной акции по отправке писем со спамом миллионам людей. Тест CAPTCHA помогает узнать, является пользователь человеком или компьютерной программой.

Интересно, что создатели тестов CAPTCHA не всегда недовольны, когда эти тесты не выполняют поставленных перед ними задач. Такой удивительный оптимизм объясняется тем, что для обмана этих тестов программисты должны найти способ обучения компьютера прохождению теста. Иначе говоря, каждый случай успешного прохождения машиной теста CAPTCHA — на самом деле свидетельство очередного успеха в разработке искусственного интеллекта.

Начало CAPTCHA

Начало развитию технологии CAPTCHA положил эксперимент, названный тестом Тьюринга. Алан Тьюринг (Alan Turing), которого иногда называют отцом современных технологий обработки данных, предложил этот тест для определения способности машины думать как человек, или ее способности имитировать мыслительные способности человека. Классический тест представляет собой игру в подражание. По условиям игры, опрашивающий задает двум участникам ряд вопросов. Один из участников — машина, другой — человек. Опрашивающий не видит и не слышит участников и не знает, кем является один и другой. Если опрашивающий по ответам не может определить, какой из участников является машиной, то машина успешно проходит тест Тьюринга.

Понятно, что разработчики CAPTCHA должны создать такой тест, который будет легким для человека и невыполнимым для машины. Важно также, чтобы приложение CAPTCHA предоставляло разным пользователям разные тесты. Если в визуальном тесте представлять статическую картинку, одинаковую для всех пользователей, через небольшое время спамер определит форму, расшифрует буквы и запрограммирует приложение на автоматический ввод правильного ответа.

Большинство тестов CAPTCHA, но не все, предусматривают визуальное тестирование. При обработке зрительных образов компьютерам не хватает присущей людям сложности и многосторонности анализа. Человеку намного легче, чем компьютеру, рассмотреть рисунок и выделить на нем определенный образ. Мозг иногда может увидеть образ там, где его нет. Это называют парейдолическими иллюзиями. Вы видели различные фигуры в облаках или лицо на луне? Это ваш мозг пытается ассоциировать случайную информацию с образами и силуэтами.

База тестов CAPTCHA

Однако не все тесты CAPTCHA базируются на зрительных образах. На практике важно иметь альтернативу визуальным тестам CAPTCHA. В противном случае пользователи с определенными нарушениями зрения могут быть лишены возможности пользоваться теми или иными WEB сайтами. Альтернативой визуальному тесту является звуковой тест. В звуковом тесте CAPTCHA пользователю, как правило, называют ряд букв или цифр. Программа без особых проблем позволяет искажать голос диктора и включать в запись фоновый шум. Такие эффекты затрудняют работу программ распознавания голоса.

Другой вариант предполагает создание CAPTCHA, предлагающего читателю разъяснить содержание небольшого кусочка текста. Контекстуальный тест CAPTCHA экзаменует читателя и проверяет уровень его сообразительности. Компьютерные программы могут определять ключевые слова в отрывках текста, однако они плохо подходят для выяснения того, что эти слова в действительности значат.

Использование CAPTCHA

Одно из распространенных применений CAPTCHA — в голосованиях онлайн. Примером того, какие неприятности могут произойти, если специалисты по опросам не будут использовать фильтры при голосовании, может служить один из опросов агентства Slashdot. В 1999 году упомянутое агентство опубликовало результаты опроса, в котором участникам предлагалось указать магистратуру с самой лучшей программой изучения компьютерных наук. Студенты двух университетов — Карнеги-Меллона (Carnegie Mellon) и Массачусетского технологического института — создали автоматизированные программы, называемые ботами (bots), которые многократно голосовали за их учебные заведения. По результатам голосования, эти два заведения получили тысячи голосов, в то время как на остальные приходилось по нескольку сотен. Если возможно создать программу, которая бы принимала участие в опросах и голосованиях, то как вообще можно доверять результатам онлайн голосований? Система CAPTCHA может стать преградой на пути злоупотребления подобными программами.

CAPTCHA часто используют в регистрационных бланках WEB сайтов. Такие почтовые интернет-службы, как Hotmail, Yahoo! Mail или Gmail, предоставляют пользователям возможность бесплатного создания учетной записи абонента электронной почты. Обычно пользователи при создании учетной записи должны предоставлять определенную личную информацию, однако она, как правило, не проверяется. Чтобы избежать применения спамерами ботов и создания сотен учетных записей, с которых рассылался бы спам, в таких сервисах используют системы CAPTCHA.

Скрипты CAPTCHA используются также продавцами билетов через Интернет, такими как TicketMaster. Это позволяет предотвратить массовую скупку спекулянтами билетов на многолюдные события. Если фильтр не использовать, спекулянт, применяя бот, может за секунды разместить заказы на сотни или тысячи билетов. При этом пострадают законопослушные покупатели, поскольку билеты оказываются распроданными в течение нескольких минут после начала продажи. Затем спекулянты пытаются продать билеты по завышенной стоимости. Приложения CAPTCHA не могут полностью предотвратить спекуляции, однако они значительно усложняют их проведение в больших масштабах.

На некоторых WEB сайтах имеются форумы или контактные формы, которые дают возможность посетителям оставлять на сайте свои сообщения или отправлять их непосредственно администраторам сайта. Чтобы предотвратить появление лавины спама, на многих сайтах устанавливают программу CAPTCHA, фильтрующую этот спам. CAPTCHA не может остановить человека, задумавшего оставить ругательное сообщение или оскорбить администратора, но поможет остановить боты, оставляющие сообщения автоматически.

sd-company.su