Редактор Geektimes
941,2
рейтинг
3 декабря 2014 в 18:49

Google анонсировал No-CAPTCHA — новую систему защиты от спамеров


Старая-добрая reCaptcha

Капча (каптча, CAPTCHA) — система защиты от ботов, которая, по замыслу, отделяет зерна от плевел, то есть хороших пользователей от спамеров. Система имеет несколько модификаций, причем большинство разновидностей уже поддалось спамерам, также не сидящим на месте.

Не секрет, что есть и сервисы ручного взлома капчи, где за пару центов (а то и меньше) добровольцы взломают любую капчу, которую смогут разглядеть. Как бы там ни было, но корпорация Google представила новую систему защиты от спамеров и ботов, которая отличается от того, что мы видели до сих пор.

Эта технология двухфакторной (а если разобраться, то и трехфакторной) оценки «качества» пользователя. Первый этап выглядит на удивление просто:



Все дело в том, что специальный скрипт оценивает поведенческий фактор, и если галочку ставит человек, то все ок. Роботы действуют по-другому, поэтому, даже если спамерский скрипт попытается поставить галочку, No-CAPTCHA поймет, что это — не человек.

Правда, сразу отлупа не будет — в Google понимают, что случаются ошибки. Поэтому, если первый этап не пройден, No-CAPTCHA предложит пройти второй этап проверки. Здесь тоже возможны варианты. Первый из них — привычная капча (да, вот такая капча-некапча). Но Google тестирует и обновленный вариант, более дружественный пользователю.

В таком случае предлагается выбрать изображение животного из ряда фотографий.



Что касается поведенческих факторов, уже известно, что будут использовать информацию о времени, проведенной на странице и IP пользователя. Другие критерии оценки не раскрываются, поскольку спамеры быстро создадут робота, который обманывает No-CAPTCHA.



Для работы с новой системой представлен и новый API. Его уже используют Snapchat, WordPress, Humble Bundle. Для того, чтобы использовать систему на своем сайте, стоит заглянуть в FAQ.
marks @marks
карма
170,7
рейтинг 941,2
Редактор Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (30)

  • 0
    Я понимаю, что теперь два разных ресурса, но всё же.
  • +3
    Лоадер на капче классный.
  • +10
    Старый добрый security through obsurity? Непонятно, как долго продержится такая конструкция…
  • +3
    Эти изображения можно скормить тому же Бингу, и он вам сам подберёт к ним тэги в разделе «Related searches». Далее дело техники.
  • +7
    В таком случае предлагается выбрать изображение животного из ряда фотографий.

    Кот в центре выделяется, так как расцветка совсем другая. Наверное, его выбирать не надо?
    У кота в левом верхнем углу глаза закрыты, а у остальных открыты. Может, это его выбирать не надо?
    Или надо просто выбрать всех котов?

    Чую, скоро гугл наречет меня роботом.
    • +2
      А я сразу заметил два варианта — выбрать всех котов, либо выбрать всех животных. Я полуробот?
      • 0
        Еще вариант — выбрать рацион, который подходит («matches») коту. Хотя не уверен по поводу растения, не ботаник…
        • +19
          Вот так и проходит проверка на человека: при таком выборе человек просто нажмет кнопку «Обновить капчу» :D
  • +3
    Трудно представить способ где капча сможет различить нажатие мыши ботом и человеком.
    Можно предположить что на первом этапе проверяется траектория движения курсора мыши, в рамках капчи, к месту где пользователь должен поставить галочку.
    Программная симуляция такого процесса не является сложной.
    • +1
      А есть ещё адепты, вроде меня, часто пользующиеся исключительно клавитурой. Мы будем записаны в роботы? :)
      • +5
        Вероятно да :)
        Вам предстоит часто выделать котов с помощью клавиатуры.
    • 0
      Меня определяет как робота, если использовать провайдера с шаред-IP (когда под 1 IP несколько абонентов). Т.е. берут инфу об IP из своей базы. Аналогичная проблема при поиске в google — с шаред-IP периодически заставляет вводить каптчу.

      Видимо будут анализировать поведение и если с одного IP слишком много раз вводится каптча — отнесут к роботам. Т.е. так можно «просрать» IP своего сервака и его занесут в базу ботов, чего не хочется. Можно использовать proxy-сервера, но они, как правило, разделяемые и их ждет та же участь.
      • 0
        Вполне логично. Но так должно быть уже давно. И думаю чаще всего обход капчи используют в ботнетах.
      • 0
        Не только с шаред. Иногда у гугла плохое настроение и он начинает бить по площадям, в таких случаях он целыми сетями считает за ботов, мне так порой достается, гугл говорит, что рожа ему у сетки ovh не нравится и мы там одни сплошные роботы, требует капчу.
    • 0
      И я уже такую делал в одном из проектов.
  • +2
    На самом деле гугл уже достаточно давно применяет двухфакторный метод.
    На первом этапе он отдает сложную капчу (есть даже подозрение, что нерешаемую — любой ответ не подходит) из нечитаемого набора символов.
    Но эту капчу юзер не видит — она мгновенно заменяется (вызовом обычного «reload») на другую, нормальную.
    Казалось бы — бот достаточно легко может вызвать этот reload и получить нормальную капчу. Однако, для его вызова нужно сначала из одного длинного строкового параметра (приходит вместе с ID исходной капчи) получить другой и отправить вместе с запросом на reload. Проблема в том, что метод получения этого параметра из исходного реализуется в крайне сложном обфусцированном JS, который очень похож на мини-виртуальную машину, «байткодом» для которой и является исходный параметр.

    После хотя бы одного корректного reload гугл уже начинает сразу отдавать нормальную капчу при повторных появлениях того же юзера (с теми же куками) на странице.

    Полагаю, новая капча от гугла — развитие этой схемы.
    • +2
      Я не понимаю, в чем проблема обновлять купчу роботом?
      Есть хромиум, есть вебкит. Люди давно уже используют штуки вроде phantomjs для тестирования сайтов и реальной эмуляции юзера. За какие-нибудь 100 строк кода очень просто пишется бот/парсер ничем не отличающийся от пользователя.
      В данном примере программисту, пишущему автоматическое средство совершенно плевать как и что работает в рекаптче — может человек, может робот.
      • 0
        Как я понял, основная суть подхода — в дальнейшем усложнить этот «байткод» для виртуальной машины, чтобы результат зависел от того, на реальном браузере он исполняется, или нет.
        Все предпосылки для этого есть.
        Возможно, в новой капче это уже сделано.
        • +2
          Тот же selenium использует самые настоящие браузеры для запуска тестов. Нет никакой проблемы полностью эмулировать поведение пользователя. Хотя, возможно, «молотить» запросы с бешеной скоростью будет сложновато. Если количество вариантов будет настолько огромным, что невозможно будет заранее сгенерировать базу ответов, то это может затруднить массовые атаки.
          • 0
            Конечно проблемы нет. Но основная задача защиты — УСЛОЖНИТЬ несанкционированный доступ к системе а не сделать её абсолютно непроницаемой.
            Только представьте сколько теперь для обхода капчи надо применить ресурсов… и самый дорогой из них — время программиста. Ну, допустим поломают капчу сделают алгоритм обхода капчи… гугл слегка меняет реализацию и 99% таких алгоритмов перестают работать. Снова надо тратить время высококвалифицированного специалиста чтобы выяснить почему оно не работает, и собственно переписать алгоритм. Все это время и небесплатно. И все это на фоне того что если спалят в ботоводстве то вся работа на смарку — начинай сначала, борись с новыми алгоритмами и т.д. я думаю даже что для подозрительных узлов будут использоваться другие алгоритмы — один раз спалился и придется использовать уже другой подход.
        • 0
          Камрад, phantomjs это простое апи над вебкитом, который и есть настоящий браузер — я это и написал. О чём вы?
          • 0
            Браузер то настоящий, а вот поведение пользователя в нем эмулировать — проблемнее.
            К тому же, при неизвестных критериях.
  • +1
    Опять котиков-пёсиков сортировать? О нет!
  • 0
    Что ты наделал Гугл, критическая масса котиков в интернете уже близка.
  • –2
    А кто-нибудь издевался над ре-капчей, вводя вместо слова, которое не является собственно капчей, неприличное ругательство?
  • 0
    Коты и собаки — баян же. Уже давно есть провайдер такой капчи, причём сотрудничающий с приютом.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.