Варианты реализации CAPTCHA и способы ее защиты от автораспознавания

АБВГДЕЁЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯ

ABCDEFGHIJKLMNOPQRSTUVWXYZ0-9

CAPTCHA – полностью автоматизированный публичный тест Тьюринга (от английского Completely Automated Public Turing test to tell Computers and Humans Apart). Является торговой маркой Университета Карнеги-Меллона. Его сотрудники разработали программный тест, позволяющий определить, человеком или компьютером является пользователь.

Как термин используется с 2000 года. В Рунете часто употребляется транскрипция «капча» – универсальный, отфильтровывающий заполнение ботом полей формы ввода тест. Его цель – предложить простую для пользователя, но сложную для решения компьютером задачу. При раскрутке сайта CAPTCHA используется для защиты ресурса от спама в комментариях, автоматической регистрации и т.д.

Реализация

Встречаются следующие варианты капчи:

• графические. Пользователь должен ввести число, текст или другие символы, изображенные на картинке в искаженной форме, с добавлением полупрозрачности или шума;
• звуковые. Основываются на распознавании речи. Нередко используются для пользователей с нарушением зрения;
• Например, из терминов «ключевое слово», «табуретка», «мета-тег» и «HTTP» необходимо выбрать слово, не имеющее отношения к поисковой оптимизации сайта;
• образные. Пользователь должен распознать образ объекта;
• видео капчи. Символы и фон изображения находятся в движении.

Защита от автораспознавания капчи

Для эффективного продвижения сайта оптимизатор принимает превентивные меры для предотвращения распознавания капчи ботом.

1. Уязвимости. Если CAPTCHA вызывается скриптом вида `img scr=»/captcha.php?code=5555″`, бот считает URL и введет ответ 5555.
2. Угадывание. В случае небольшого числа вариантов ответа бот попытается угадать правильный. К примеру, если задача поставлена – из 10 изображений отметить птиц, то существует всего 2¹⁰ = 1024 ответа. Это означает, что один автоматический запрос из 1024 пройдет капчу.
3. Автоматическое распознавание. Разработаны программы, например, PWNtcha, которые распознают конкретные реализации капчи. Многие из них с вероятностью в 99% могут обойти «слабую» CAPTCHA, если в изображении используется фиксированное положение элементов, шрифт, размытия по Гауссу, символы легко отделены друг от друга или от фона (посредством цветового ключа), отсутствуют искажения и т.д.

Существуют и другие способы пройти капчу, не распознавая изображение:

• бот повторно использует идентификаторы сессии;
• восстанавливает изображенные символы по информации, которая содержится на странице;
• собирает базу данных под различные символы капчи, выдаваемые генератором псевдослучайных чисел.

Другие термины на букву «C»

CMSCookieCopylancerCPACPCCPLCPMCPOCPSCPVCRMCS YazzleCSSCTR, CTB, CTI, VTR

Все термины SEO-Википедии

Теги термина

Веб-разработкаВнутренняя оптимизация

(Рейтинг: 5, Голосов: 6)

Находи клиентов. Быстрее!

Работаем по будням с 9:30 до 18:30. Заявки, отправленные в выходные, обрабатываем в первый рабочий день до 10:30.

Приложи файл или ТЗ

Нажимая кнопку, ты разрешаешь обработку персональных данных и соглашаешься с политикой конфиденциальности.

Работаем по будням с 9:30 до 18:30. Заявки, отправленные в выходные, обрабатываем в первый рабочий день до 10:30.

Нажимая кнопку, ты разрешаешь обработку персональных данных и соглашаешься с политикой конфиденциальности.

наверх

Капча: что это такое?

Оглавление

1. Что такое капча?
2. Для чего нужна капча
3. org/ListItem»> Виды капчи
4. Как обходить капчу?
5. Как установить капчу на сайт?
6. Как заработать на капче?

Капча стала проблемой для многих создателей программного обеспечения сразу же после своей разработки и запуска. Её сложно обойти, не говоря уже о том, что даже пройти капчу вручную зачастую не так просто. Она отрывает пользователей от поиска и потребления контента, заставляя совершать нудные рутинные действия.

Кажется, что в капче нет ничего хорошего и полезного, напротив, она существенно увеличивает путь, который приходится проходить аудитории ради удовлетворения потребностей в качественной информации. Но в действительности её используют с иной целью.

Что такое капча?

Капча или captcha – это специализированный инструмент, который предлагает пользователям решить простую задачу для дальнейшего просмотра сайта. Она представляет собой защитный код, всплывающий в новом окне. Капча позволяет определить, кем является посетитель сайта: человеком или ботом. В этом и заключается её основное назначение. 

Для чего нужна капча

Капча имеет ценность только для владельцев сайтов. С точки зрения посетителей, она только добавляет неудобств и не приносит никакой пользы. Защитный код позволяет отсеять нежелательный трафик в виде ботов, способных нанести вред ресурсу.

В качестве примеров злонамеренных действий автоматизированных алгоритмов можно рассмотреть следующие:

1. Рассылка спама. Боты в большинстве случаев занимаются массовыми публикациями рекламных сообщений в личной переписке, комментариях и отзывах. Если вы занимаетесь развитием крупного проекта, наличие спама на страницах попросту недопустимо. Он снизит лояльность вашей аудитории и станет сигналом для поисковых систем, который говорит о том, что вы не занимаетесь модерацией.

2. DDoS-атаки. Ещё один вариант использования ботов. Он предполагает направление тысяч или даже миллионов запросов, которые заполоняют собой все вычислительные мощности сервера и приводят к остановке его работы. В первую очередь капча была разработана для защиты от посягательств недоброжелателей на аппаратные возможности владельцев коммерческих проектов.

3. Защита от брутфорсинга. Так называют попытки вручную подобрать активные логины и пароли. Автоматизированные алгоритмы вполне в силах совершать бесконечные попытки сопоставить логин и пароль до тех пор, пока не найдётся подходящая комбинация. Конечно, это создаёт множественные обращения к серверу, но они носят иной характер, в сравнении с DDoS-атаками. И тем не менее они являются крайне нежелательными, потому что могут привести к потере вашими посетителями конфиденциальной информации. 

4. Защита от перехватов товара. А это уже массовая проблема интернет-магазинов. Алгоритмы могут выкупать ту или иную позицию в тот момент, когда реальный посетитель собирается приобрести продукт. Это один из инструментов недобросовестной конкуренции. Но он достаточно просто пресекается введением в процесс покупки капчи во время любых акций и распродаж.

5. Защита от выкачивания сайта. Так называемый парсинг позволяет полностью скопировать содержимое вашего сайта. Широко известны случаи, когда люди копировали коммерчески успешные проекты, размещали их на собственных доменах и умудрялись оказывается в органической выдаче выше оригинальных ресурсов. К сожалению, возможности капчи по борьбе с парсингом весьма ограничены и не позволяют добиваться стопроцентного результата.  

Виды капчи

На сегодняшний день в Глобальной сети популярностью пользуются несколько видов капч, которые отличаются друг от друга не только внешним видом, но и способ прохождения.

1. Ввод набора символов, изображённых на картинке. В своей самой лёгкой итерации, эта капча предложит вам комбинацию цифр или простое слово. Более сложные коды включают в себя различные регистры и неоднородный фон, который усложняет процесс восприятия символов. Некоторых успехов достиг вариант капчи с двумя словами, каждое из которых представлено отдельным изображением. 

2. Выбор картинок по ключевым элементам. Чаще всего такие капчи предлагают таблицы из девяти изображений, среди которых требуется найти гидранты, светофоры или часы. Главная проблема графических кодов заключается в том, что если человек не заметит частичное присутствие нужного элемента на изображении, всё придётся начинать сначала.

3. Математические задачи. Как правило, это простейшие действия с однозначными цифрами, с которыми должны справляться все пользователи, независимо от уровня образования. 

4. Пазл. Несколько фрагментов нужно переместить на изображение капчи. Если пазл сложен верно, пользователь можете продолжить взаимодействовать с сайтом. 

5. Подтверждение действия или так называемая reCaptcha. Самый простой вариант капчи, который оказывает минимальное влияние на качество пользовательского опыта при посещении сайта. От вас требуется просто поставить галочку, подтверждающую тот факт, что вы не робот. На это отводится довольно мало времени, поэтому затягивать не стоит. 

Автоматические алгоритмы не могут преодолеть подобные препятствия, а значит ваш сайт будут посещать только живые люди, просмотры и клики которых имеют реальную ценность.

Тогда как действия бота приводят лишь к снижению индекса качества вашего сайта. Поисковые системы прекрасно понимают разницу в поведенческих факторах ботов и обычных пользователей. 

Как обходить капчу?

Сегодня многие пользователи полагают, что искусственный интеллект или OpenAI в лице GPT-4 сможет автоматизировать процесс прохождения капчи в промышленных масштабах. Однако когда сами разработчики попробовали провести эксперимент, поставив боту подобную задачу, он поступил весьма нестандартно: чат-бот отправился на биржу фриланса и запросил помощи у живого исполнителя, которому предложил минимальную оплату за прохождение капчи. Интересно то, что пользователь даже уточнил, является ли его заказчик ботом, на что GPR-4 уверенно сказал «нет» и даже представился в качестве пожилого человека, у которого серьёзные проблемы со зрением (ему физически сложно пройти капчу). 

Тот факт, что чат-бот не смог самостоятельно справиться с поставленной задачей, говорит о том, что преодолеть защитный код он ещё не в состоянии. Правда опасения вызывает его умение легко и убедительно врать о своей природе, и таким образом преодолевать те препятствия, которые ограничиваются его внутренними алгоритмами. 

Разработчик Сэм Альтман также обеспокоен подобным положением дел. Его тревожит чрезмерно стремительное развитие технологии и потенциальная опасность, которую может представлять его разработка в будущем. Он считает, что любые рукотворные ограничения, которые могут быть встроены в мышление бота, будут легко нивелированы опытными пользователями, которым алгоритм попадёт в руки. 

Поэтому необходимо разработать и внедрить в алгоритм GPT-4 специфический подход к оценке и выполнению поставленных задач. Дабы он не превратился в инструмент искоренения Глобальной сети в таком виде, которую мы знаем в настоящий момент. 

Как установить капчу на сайт?

Как правило, капчу на сайт устанавливают через стороннее приложение или бесплатные сервисы, предоставляемые всеми крупными поисковыми системами. В большинстве случаев это обычные плагины, доступные во внутренних библиотеках всех популярных CMS. В качестве примера можно привести наиболее распространённое решение:

Google reCAPTCHA. Перейдя по ссылке в соответствующий раздел поисковой системы Google, вы можете получить готовый код для интеграции в тело вашего сайта. От вас потребуется авторизация внутри поисковика и заполнение формы, содержащей в себе название и URL-адрес сайта, а также специализированный ключ, подтверждающий ваши права собственности на него. 

Статистически порядка 98% всех владельцев сайтов в Глобальной сети, в случае необходимости интеграции капчи, используют именно сервис Google. В первую очередь это обусловлено её эффективностью. Именно Гугл считается лидером в области защиты информации. 

У reCAPTCHA есть и прямой конкурент – hCAPTHCA. Этот сервис ориентирован на конфиденциальность информации клиентов, то есть ваших посетителей. Он не собирает и не хранит сведения о поведенческих факторах и особенностях аудитории ресурса, на котором установлено программное обеспечение.  

Существует и отечественные разработки в области капчи. В частности, одну из них представляет Яндекс. Его инструмент называется SmartCAPTCHA. Он работает по классическому алгоритму и предлагает посетителям сайта распознать текст на изображении. Однако многие владельцы популярных проектов считают подобный подход к реализации капчи излишне требовательным к действиям со стороны аудитории. Что в любом случае приводит к снижению её активности и лояльности. 

Как заработать на капче?

Многие биржи фриланса предлагают свою помощь в преодолении сложных капч. Для этого на них даже создаются специализированные разделы, на которых заказчики могут найти исполнителей.

Если вы хотите попробовать на этом заработать, можете просто зарегистрироваться, например на бирже Advego. Выбрать для себя соответствующий род деятельности и нажать на кнопку «Получить капчу». Исполнителю предложат изображения с текстом. При этом набирать придётся всё, включая знаки препинания и специальные символы, такие как проценты, доллары, звёздочки и тому подобные. Каждое слово отделяется пробелом, независимо от того, находится оно на отдельной картинке или входит в состав сложной капчи из сочетания нескольких слов. 

Доход от разгадывания капчи тяжело назвать существенным. В среднем, начинающий исполнитель справляется примерно с тремя сотнями изображений в час, что позволяет рассчитывать на два или три доллара за один рабочий день. Поэтому по итогам месяца за свои ежедневные труды вы едва ли получите сто долларов. 

Помните о том, что стоимость ваших услуг во-многом будет зависеть от успешности решённых капч. Важно поддерживать процент правильных ответов ну уровне выше 90%. Иначе, и без того низкие расценки, опустят ещё сильнее.

Документация по DSpace 7.x — Документация по DSpace 7.x

• Создано Тимом Донохью, последнее изменение: 23 июня 2023 г.

Содержание:

• Введение
  • Примечания к выпуску
  • Обзор функций
  • Обзор технологий
• Установка DSpace
  • 7.0-7.1 Установка внешнего интерфейса
• Обновление DSpace
  • Миграция DSpace на новый сервер
• Использование DSpace
  • Аутентификация и авторизация
  • Проверка CAPTCHA
  • Настраиваемые объекты
  • Система курирования
  • Экспорт контента и метаданных
  • Загрузка контента и метаданных
  • Элементы и метаданные
  • Управление иерархией сообщества
  • Интеграция ORCID
  • Профили исследователей 900 04
  • Статистика и показатели
  • Пользовательский интерфейс
• Системное администрирование
  • Резервное копирование и восстановление AIP
  • Цели и параметры Ant
  • Операции командной строки
  • Поддержка реестра Handle. Net
  • Медиафильтры для преобразования содержимого DSpace
  • Настройка производительности DSpace
  • Пинг или проверка работоспособности конечных точек для подтверждения работоспособности служб DSpace
  • Запланированные задачи через Cron
  • Оптимизация поисковой системы Информация
  • Проверка контрольных сумм битовых потоков
• DSpace Разработка
  • Расширенная настройка
  • REST API
  • REST API v6 (устаревший)
  • Задачи курирования
  • Средства разработки, предоставляемые DSpace
  • Услуги для поддержки альтернативных идентификаторов
  • Пакетная обработка
  • Рабочий процесс
• Справочник по DSpace
  • Конфигурация Ссылка
  • Определения состояния элемента DSpace
  • Каталоги и файлы
  • Метаданные и битовый поток Реестры форматов
  • Архитектура
  • История
• Изучение DSpace
  • Управление сообществами и коллекциями
  • Управление содержимым (элементом)
  • DSpace 7 Быстрый старт
  • Боковая панель управления
  • Меню
  • Управление реестром
  • Запрос копии
  • Расширенный поиск
  • Действия отправителя
  • Управление пользователями

DSpace 7. 6:

• Интерфейс (пользовательский интерфейс):
  https://github.com/DSpace/dspace-angular/releases/tag/dspace-7.6
• Сервер (REST API):
  https://github.com/DSpace/dspace/releases/tag/dspace-7.6
• PDF-копия документов: DSpace-Manual.pdf

Прошлые выпуски (v6.x или ниже) доступны по адресу GitHub от DSpace.

Весь исходный код является открытым исходным кодом (под лицензией BSD), и его можно найти в нашем внешнем репозитории GitHub и внутреннем репозитории GitHub.

• Настройка пользовательского интерфейса

  14 июля 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Поддержка реестра Handle.Net

  11 июля 2023 г. • обновлено Паскалем-Николя Беккером • просмотреть изменение

• Установка DSpace

  06 июля 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Справочник по конфигурации

  05 июля 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Миграция DSpace на новый сервер

  05 июля 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Функциональный обзор

  05 июля 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Примечания к выпуску

  29 июня 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Обновление DSpace

  29 июня 2023 г. • обновлено Тимом Донохью • вид изменения

• DSpace Статистика Google Analytics

  29 июня 2023 г. • прокомментировал Bram Luyten (Atmire)

• Справочник по конфигурации

  28 июня 2023 г. • обновлено Аланом Ортом • просмотреть изменение

• DSpace 7.x Documentation

  23 июня 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Изменения в версии 7.x

  23 июня 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Пользовательский интерфейс отправки

  23 июня 2023 г. • обновлено Тимом Донохью • изменение просмотра

• Настраиваемые объекты

  23 июня 2023 г. • обновлено Тимом Донохью • просмотреть изменение

• Обзор

  23 июня 2023 г. • обновлено Тимом Донохью • просмотреть изменение

Показать больше

• Нет ярлыков

Обзор

Инструменты для работы с содержимым

Весь контент на LYRASIS Wiki находится под лицензией CC BY (Attribution) , если не указано иное.

Почему до сих пор используются CAPTCHA?

Успех вашего онлайн-бизнеса зависит от способности ваших клиентов правильно распознавать пешеходные переходы или светофоры.

Я, конечно же, имею в виду CAPTCHA, онлайн-инструмент безопасности, который просит конечных пользователей доказать, что они люди, распознавая определенные элементы на различных изображениях. К сожалению, этот процесс далеко не надежный, и в наши дни киберпреступники могут легко обойти его.

Другая проблема с CAPTCHA заключается в том, как они влияют на коэффициент конверсии. Еще в 2009 году компании жаловались на эту технологию, говоря, что она несовершенна, сложна и отталкивает некоторых клиентов от совершения покупки.

Итак, если он не предлагает той защиты, которая была когда-то, а его главное достижение за последние 12 лет заключается в том, что он замедляет процесс покупки, мы должны спросить себя: почему CAPTCHA все еще актуальна?

Откуда взялась CAPTCHA?

Согласно Википедии, CAPTCHA «…была придумана в 2003 году Луисом фон Аном, Мануэлем Блюмом, Николасом Дж. Хоппером и Джоном Лэнгфордом. Самый распространенный тип CAPTCHA (отображаемый как версия 1.0) был впервые изобретен в 1997 году двумя группами, работавшими параллельно».

В настоящее время существует более двадцати поставщиков, предоставляющих CAPTCHA, а reCAPTCHA от Google используется на более чем 6 миллионах веб-сайтов.

Эта технология существует уже некоторое время и хорошо укоренилась как обычная часть ведения бизнеса в Интернете. По данным BuiltWith, более трети из 100 000 лучших веб-сайтов используют CAPTCHA. Компании считают, что должны использовать его, и потребители (несколько неохотно) принимают его. Должно ли это быть так? Разве не должен быть другой способ доказать человечность пользователей и обнаружить ботов?

CAPTCHA еще работает?

В общем, конечно. Они служат шлюзом, не позволяя обычным ботам и мошенникам получить доступ к веб-сайту.

Но в то время как технологии атак развивались, CAPTCHA не поспевают за временем. Несмотря на то, что они были улучшены, чтобы быть менее инвазивными (и не требуют постоянной идентификации светофоров или пешеходных переходов), они по-прежнему создают трения и их легко обойти.

Сегодняшним операторам ботов доступно множество инструментов; Существуют как технологии, основанные на искусственном интеллекте, которые могут обойти CAPTCHA, так и подходы ручного труда, которые могут сделать всю работу за них. Эти инструменты широко доступны по низкой цене (или вообще бесплатно) с быстрым поиском в Интернете. Даже люди без технического образования могут легко найти бота для обхода CAPTCHA, не говоря уже о боте, который поможет им прыгать по очереди и покупать желаемые товары с ограниченным тиражом раньше других потребителей.

Теперь, если кто-то может это сделать, подумайте о том, что могут сделать хорошо финансируемые, хорошо укомплектованные преступные организации. У них есть деньги, люди и технологические ноу-хау, чтобы обойти любое представленное им решение безопасности, и они могут легко сделать это в масштабе.

Суть в том, что типы мошенничества и злоупотреблений, которые вы хотите предотвратить, просто не остановить с помощью CAPTCHA. Все, что вы будете делать, — это расстраивать лояльного покупателя, который пропустил угол пешеходного перехода и должен просмотреть еще одну серию изображений, чтобы доказать, что он не бот.

Как боты обходят CAPTCHA

Наиболее распространенный способ обхода CAPTCHA для ботов — это недорогой аутсорсинг ручного труда на так называемой «ферме CAPTCHA» (по сути, это цифровая потогонная мастерская). В Интернете доступны API, плагины для браузера и другие методы, которые позволяют операторам ботов легко подключаться к группе, предоставляющей эту услугу.

Компания 2CAPTCHA, например, отдает свою работу на аутсорсинг в странах с развивающейся экономикой и взимает с операторов ботов менее 1 доллара за каждую 1000 решенных CAPTCHA. На самом деле, предлагать такие услуги становится еще выгоднее.

Это работает следующим образом: бот пытается получить доступ к веб-сайту для покупки товаров и получает CAPTCHA, чтобы доказать, что запрос исходит от человека. Затем бот использует ключ API для отправки данных на ферму CAPTCHA. Затем работник фермы решает CAPTCHA от имени бота и отправляет токен авторизации обратно боту. Затем бот отправляет токен авторизации на веб-сайт, и веб-сайт разрешает запрос бота на доступ, как если бы он был законным пользователем.

Теперь, когда CAPTCHA обойдена, оператор бота может легко покупать товары или совершать мошенничество. Операторы ботов могут делать это в больших масштабах, обходясь им всего в копейки на доллар за каждую совершенную покупку. Когда вы говорите о товарах с высоким спросом, таких как эксклюзивные кроссовки, графические карты или консоли PS5, размер прибыли огромен.

Если не светофор, то что?

Будь то неэффективная технология CAPTCHA или нереалистичная идея, например, заставить каждого пользователя покупать собственный ключ безопасности, очевидно, что со стороны бизнеса просто необходимо приложить больше усилий для выявления и защиты от ботов. Предотвращение ботов должно быть частью требований базового уровня для обеспечения безопасности онлайн-бизнеса.

Частично проблема заключается в том, что CAPTCHA кажется простым решением проблемы, поддерживаемым многими громкими именами в технологической индустрии. Это приводит к тому, что большинство онлайн-компаний считают, что внедрить это нормально, считают, что это работает, и смотрят в другую сторону, когда им говорят, что это не так.