Qu'est-ce qu'un capcha ? Comment saisir ou supprimer un captcha ? UnCAPTCHA : utiliser les services Google pour contourner Google reCAPTCHA Comment contourner le captcha à l'aide de l'injection SQL

Si vous utilisez Internet plus ou moins activement dans votre travail quotidien, vous connaissez probablement une chose aussi désagréable que le captcha. Parfois, cela interfère tellement avec le travail que les gens arrêtent souvent de visiter les sites dont les propriétaires y accordent trop d'attention.

Ce que c'est?

Au fait, qu'est-ce que le captcha ? Imaginez que vous vous êtes connecté à un service d'hébergement de fichiers populaire. Pour télécharger un fichier en mode gratuit, vous devrez entrer un certain jeu de caractères (souvent dépourvus de sens) dans un champ spécial, qui devrait être repris de l'image ci-contre.

La tâche est compliquée par le fait que ces symboles sont parfois totalement indéchiffrables, car volontairement rendus illisibles.

Pourquoi est-ce?

Après avoir traité de ce qu'est le captcha, il serait bon de parler de son objectif spécifique. Pourquoi faut-il clôturer un tel jardin, compliquant l'envoi de commentaires ou le téléchargement de fichiers ?

Oui, il y avait des moments où personne ne connaissait du tout le captcha. Elle est apparue relativement récemment. C'est arrivé au même moment où de nombreux bots ont proliféré sur le Runet, à l'aide desquels des citoyens entreprenants ont laissé des publicités dans les commentaires, téléchargé des fichiers gratuitement et fait d'autres outrages.

Bien sûr, les administrateurs ont gardé l'ordre sur de nombreuses ressources, mais dans la plupart des services de blogs, la charge sur eux s'est avérée telle qu'ils ont tout simplement cessé de faire face. C'est alors que les utilisateurs ont découvert ce qu'est le captcha ! La rencontre s'est avérée assez désagréable.

Pour être précis, la technologie elle-même a été créée à l'origine en 2000. Initialement, il ne visait qu'à déterminer «l'humanité» de votre interlocuteur sur Internet: alors pas un seul programme pour captcha (pour sa reconnaissance, plus précisément) n'a été simplement créé.

Quel est son inconvénient ?

Si vous lisez attentivement la première partie de l'article, vous pouvez deviner vous-même la plupart des facteurs négatifs liés à l'utilisation de captcha. Premièrement, la plupart des utilisateurs fonctionnent par impulsion. En termes simples, lorsque vous voyez un article intéressant dans le même LiveJournal, vous souhaitez immédiatement le commenter.

Mais vous êtes face à un captcha indigeste, et la plupart des symboles sont tellement illisibles que cela peut prendre plus d'une journée pour les résoudre. Que pensez-vous, l'utilisateur sera-t-il engagé dans une tâche aussi ingrate?

Bien sûr que non! Il ira simplement sur un autre site. Ainsi, si vous essayez de protéger votre ressource de ceux qui aiment laisser du spam dans les commentaires, nous vous conseillons de ne pas être trop zélé.

Si vous vous laissez trop emporter par le captcha, vous perdrez rapidement de nombreux utilisateurs actifs. Pas d'utilisateurs - pas d'argent provenant de la publicité. De plus, la plupart des ressources normales reconnaissent automatiquement le spam dans les commentaires, il n'y a donc souvent aucun intérêt à une protection supplémentaire.

On peut dire à peu près la même chose des sites de partage de fichiers. Bien sûr, vous pouvez comprendre leurs créateurs : en proposant à chacun de télécharger gratuitement les informations qui les intéressent, ils rateront tout simplement le profit.

Mais vous pouvez regarder la même situation de l'autre côté : si un site vous offre la possibilité d'obtenir un fichier gratuitement, il gagnera facilement une audience énorme, qui récupérera rapidement tous les frais en attirant les annonceurs. Soit dit en passant, c'est ainsi que fonctionne l'iFolder domestique, dont les créateurs ne peuvent pas exactement se plaindre de la pauvreté.

Ainsi, même du point de vue de la rentabilité, l'idée du captcha ne semble pas si attrayante.

Ce qu'il faut faire?

Et comment supprimer le captcha, est-il vraiment possible de le faire du tout ? Ici, la situation est plutôt ambiguë. Le fait est que sur de nombreux sites qui utilisent ce type de protection anti-spam, tous les utilisateurs ne peuvent pas lire le captcha la première fois, sans parler de certaines applications.

Des variations simples peuvent être reconnues à l'aide du petit utilitaire Screenshot Reader, qui fait partie du progiciel ABBYY FineReader. Mais il ne lit que les formes les plus simples de captcha, que tout utilisateur normal peut facilement reconnaître. De plus, le processus lui-même ne peut pas être automatisé, car pour la reconnaissance, il est nécessaire de sélectionner manuellement la plage qui vous intéresse.

Entrez le capcha

Si vous n'avez pas beaucoup de choix, alors vous devrez faire cette tâche ingrate manuellement. Quels conseils peut-on donner ? Tout d'abord, essayez de le faire rapidement : de nombreux sites ont un compteur qui réinitialise la valeur si vous ne pouvez pas la saisir en quelques minutes.

De plus, des fautes d'orthographe se produisent souvent lorsque JavaScript est désactivé dans votre navigateur. N'oubliez pas non plus le besoin de cookies, car ils aideront le site à vous "reconnaître", en éliminant le passage constant d'une protection gênante.

Enfin, faites attention à ce qui est écrit sur page d'accueil placer. En règle générale, le captcha d'un site est décrit en détail dans une note explicative ou un article séparé. Un bon exemple est le service de partage de fichiers Rapidshare, qui a introduit à un moment donné un captcha unique.

Ses personnages se distinguaient facilement et aucune technologie de flou ou de polarisation n'a été utilisée pour empêcher les programmes de la reconnaître. Quel était le secret ?

Et cela consistait dans le fait que les chats étaient assis sur les lettres et les chiffres qui devaient être saisis dans le champ correspondant. Combien de paroles peu flatteuses ont été dites à la fois aux créateurs d'un tel système ! Au final, il a été abandonné sous la pression de la communauté des utilisateurs.

Nous achetons "l'antidote"

Une autre option consiste à contacter un programmeur normal (ou un groupe, ce qui est encore mieux) pour faire un utilitaire de reconnaissance captcha sur un site particulier. Hélas, il n'y a pas de solutions universelles, ne serait-ce que parce que la protection est unique sur chaque ressource. Certaines solutions standard sont très rares.

Les développements du CMS Bitrix sont particulièrement intéressants dans cette veine, qui distribue des programmes vraiment efficaces qui gèrent le captcha sur les sites les plus populaires. Les développeurs affirment que l'efficacité de leur création est inférieure à 95 %. Selon le type de protection, sa complexité et le site spécifique, développer des méthodes pour le protéger peut vous coûter quelques milliers de dollars, voire plus.

De plus, certaines ressources ont une protection si sophistiquée qu'il n'est pas facile pour une personne de la démêler !

Est-il possible de gagner sur son apport ?

Les débutants sont souvent intéressés à savoir s'il est possible de gagner de l'argent en saisissant des caractères de sécurité. Et ce n'est pas surprenant, car Internet regorge d'annonces concernant le recrutement de groupes de personnes qui recevront de l'argent en effectuant une reconnaissance captcha. Est-ce que ça vaut le coup de s'impliquer ?

À notre avis (peut-être assez subjectif), cela ne vaut pas la peine de faire ce métier. Vous passerez une énorme quantité de nerfs, d'efforts et de trafic. Et le paiement d'un tel «argent facile» est tout simplement incroyable: après être resté assis toute la journée près de l'ordinateur, avec une persévérance maniaque à taper captcha, vous gagnerez au maximum quelques dollars. En as-tu besoin? Probablement pas.

Prise universelle

Si nous parlons de services d'hébergement de fichiers, alors dans le cas d'un téléchargement régulier de fichiers par vous, le seul moyen fiable de sortir de la situation est d'acheter un compte payant. En règle générale, son coût est tout à fait adéquat. En achetant un tel abonnement, vous pourrez télécharger n'importe quelle quantité d'informations rapidement et sans inconvénient.

Comment supprimer le captcha de votre blog ?

Nous espérons que vous avez tiré les bonnes conclusions en lisant la majeure partie de notre article. Par conséquent, nous examinerons comment supprimer l'entrée captcha sur le service populaire Blogger du service bien connu.Ce n'est pas difficile à faire et vous apporterez beaucoup de joie aux visiteurs de votre site.

Tout d'abord, rendez-vous dans l'"Editeur" de votre page. Sélectionnez "Paramètres" dans la colonne de gauche. Il a une section "Messages et commentaires". Dans le champ "Utiliser la vérification des mots", définissez la valeur sur "non", après quoi le captcha ne sera plus requis lors de la saisie des messages.

Que dois-je faire si je ne peux pas le saisir correctement ?

Il arrive que le programme de saisie de captcha ou le site lui-même (si vous saisissez les valeurs manuellement) donne constamment une erreur. Quelle pourrait être la raison?

Tout d'abord, vous devez vous calmer. En règle générale, il y a une flèche incurvée sur le côté droit de tout captcha. En cliquant dessus, vous mettrez à jour le jeu de caractères que vous devez saisir pour accéder au site. En l'utilisant, vous pouvez modifier un ensemble complètement illisible. Malheureusement, l'illisibilité des lettres est très courante. Ainsi, parfois, la différence entre les lettres "Q" et "G" est complètement indiscernable.

Enfin, sur de nombreux sites, vous pouvez éviter la saisie de caractères de sécurité en vous inscrivant simplement dessus. Essayez également cette méthode.

C'est ce qu'est un captcha !

CAPTCHA : les gens contre les ordinateurs

Sur certains sites Web, vous remarquerez peut-être que vous ne pouvez pas continuer à effectuer une action ou à passer une commande tant que vous n'avez pas démêlé un ensemble de lettres et d'images incompréhensibles. Après avoir examiné attentivement certaines lignes ondulées, déchiffré les mots écrits et saisi la phrase correcte (mots ou chiffres) dans le champ vide, vous pouvez poursuivre vos actions sur le site. Ce processus est conçu pour s'assurer que le site peut vérifier que vous êtes en fait - personne naviguant sur le site.

Un tel test est appelé CAPTCHA(Completely Automated Public Turing Test to Tell Humans and Computers Apart) et il est utilisé partout sur Internet. Le site de billetterie Ticketmaster est un excellent exemple d'utilisation du CAPTCHA : sans un tel test, un "robot" pourrait potentiellement acheter des millions de billets pour un concert ou un événement, puis les revendre à un prix plus élevé.

Bien sûr, l'obligation de deviner la combinaison écrite incompréhensible de lettres et de chiffres chaque fois que nous voulons faire quelque chose est un peu ennuyeuse. Et cela prend du temps supplémentaire. Chaque fois que vous devez passer un test CAPTCHA, vous perdez environ 10 secondes de votre vie. C'est pourquoi CAPTCHA a acquis une mauvaise réputation auprès des internautes, malgré le fait qu'il a été créé précisément pour assurer notre sécurité.

CAPTCHA entrave les cybercriminels

Louis Von Ahn, l'un des créateurs de CAPTCHA, continue de développer ce test dans le cadre de Google, son nouveau développeur. Ce projet a été relancé dans reCAPTCHA, une extension du test Captcha qui prend des mots à partir de pages numérisées de vieux livres (mots plus difficiles à reconnaître pour un ordinateur). Tout en protégeant notre sécurité, le projet aide simultanément « numériser des textes, annoter des images et créer des ensembles de données pour l'apprentissage automatique« … maintenant, au moins ces 10 précieuses secondes sont utilisées pour quelque chose de plus valable.

C'est formidable que nous aidions à numériser des livres, mais en ce qui concerne la sécurité sur Internet, mais CAPTCHA est-il efficace ?

Il est trop facile de contourner Google CAPTCHA

Un trio de chercheurs de l'université de Columbia (New York) a prouvé comme il est facile de contourner certains CAPTCHA. De tels programmes rendent beaucoup plus difficile pour les pirates d'utiliser des bots programmés pour collecter des adresses automatiquement et en masse. E-mail, qui sont ensuite utilisés pour les campagnes de spam. Mais ils ne sont pas totalement fiables. Ces processus peuvent être automatisés et, par conséquent, les ordinateurs peuvent réussir les tests reCAPTCHA aussi efficacement que nous.

La technologie Captcha (CAPTCHA) est un test automatisé conçu pour identifier les utilisateurs de machines, sinon les bots.

Son but est de formuler un problème qui est facilement résolu par une personne, mais difficile pour un ordinateur.

Mais, il y a des situations où un script apparemment utile devient trop ennuyeux.

Il y a des spéculations selon lesquelles Google entraîne l'IA de ses drones, grâce aux utilisateurs saisissant captcha avec des images Je ne suis pas un robot.

Comment supprimer le captcha Je ne suis pas un robot

Les raisons de ce comportement peuvent varier, mais vous pouvez toujours essayer de tout réparer - nous effectuons des actions exceptionnelles :

• Déconnectez et reconnectez une connexion Internet active. Redémarrez le routeur ou le modem. Par conséquent, l'adresse IP peut changer.
• Utilisons un service VPN. Ces derniers sont à la fois payants et gratuits. Ils sont fournis sous la forme d'extensions (add-ons) pour les navigateurs et de logiciels installés séparément sur un ordinateur.
• Nous parcourons et extensions installées. Par exemple, la dernière version de Yandex.Browser elle-même désactive les plugins provenant de sources non vérifiées et vérifie périodiquement ceux déjà installés pour les contrefaçons.
• Vérifiez si JavaScript est activé dans le navigateur Web : Paramètres → Afficher paramètres additionnels→ bloquer les données personnelles Paramètres de contenu → section JavaScript.
• N'oublions pas programmes antivirus- peut-être que l'ordinateur est devenu victime d'un botnet, d'où le mécontentement du CAPTCHA sur le trafic généré à cette adresse.

Fait intéressant, des centaines de millions de captchas sont saisis quotidiennement par les internautes. Ce n'est un secret pour personne que tout le monde ne parvient pas à le saisir correctement la première fois.

Bonne journée, amis! Si vous lisez cet article, vous rencontrez également des problèmes avec le recaptcha de Google, qui est utilisé par un nombre croissant de sites, mais de nombreux utilisateurs ne l'aiment pas, mais un nombre croissant d'utilisateurs du site l'utilisent. Pourquoi il est si bon, ses inconvénients et comment s'en sortir, tout cela se trouve dans cet article.

ReCaptcha a été créé pour protéger les sites Web des robots Internet et numériser les textes des livres. Depuis 2009, propriété de Google.

à quel point elle est bonne

Comme indiqué précédemment, les avantages de ce type de captcha sont la protection anti-spam et la numérisation des textes des livres.

quel est son problème

Bien sûr, ce captcha est imparfait et un bot correctement écrit contourne facilement de tels recaptchas.

De plus, de nombreux utilisateurs ont des problèmes avec recaptcha, qu'ils doivent résoudre plusieurs fois. Un peu plus bas, je vous dirai comment je passe les captchas plus vite. La méthode est certes simple, mais peu efficace, mais elle accélère le temps passé à résoudre le captcha.

Qu'est-ce que j'ai remarqué ?

Par exemple, lors de la résolution d'un captcha avec des panneaux de signalisation, parfois il n'y a pas de panneaux de signalisation, puis nous appuyons immédiatement sur sauter. Mais parfois captcha avec des panneaux de signalisation, etc. cela se produit lorsqu'ils sont sélectionnés et que la confirmation le renvoie à un autre captcha. Pourquoi Lors de la résolution, je n'ai rencontré qu'une seule option (si vous écrivez plus dans les commentaires), lorsque vous cliquez sur l'image, le bouton "sauter" est remplacé par "suivant". Si le bouton suivant apparaît, alors vous ne résoudrez pas ce captcha et vous serez transféré au prochain captcha

Il y a plusieurs nuances

comment le passer et petites caractéristiques du passage captcha.

1) Vue ReCaptcha

a) Images qui disparaissent (supprimez toutes les images inutiles)

Ces captchas sont toujours passés. Personnellement, je n'ai jamais eu de problèmes avec ce type de captcha.

b) Sélection d'une image ou d'une partie d'image (je vais donner un exemple ci-dessous)

J'ai eu des problèmes avec le choix d'une image. Mais je ne comprenais pas pourquoi. Par exemple, dans l'image ci-dessous, la tâche dit : "sélectionnez tous les carrés dans lesquels panneaux routiers. S'il n'y en a pas, cliquez sur le bouton "sauter". En fait, il y a un panneau routier P="parking", mais ReCaptcha ne le comptera pas, car au lieu du bouton "sauter", le bouton "suivant" apparaît, bien que le Le panneau routier est dans la tâche est présent, mais peut-être que les développeurs de ReCaptcha ne le pensent pas. Il y a aussi une situation inverse, mais je ne donnerai pas d'exemple dans l'article, je pense que tout est clair pour tout le monde.

2) S'il s'agit d'un captcha avec des images qui ne disparaissent pas, sélectionnez un carré et regardez le changement dans le bouton "sauter".

a) Si le bouton est devenu le bouton "suivant". Vous ne passerez pas un tel captcha, même s'il existe une solution.

b) Si le bouton est devenu le bouton "confirmer", alors vous passerez un tel captcha, si vous le passez correctement.

Sincèrement, Mars Magafurov

Depuis combien d'années Habr existe - depuis tant d'années, des messages sur le prochain captcha y apparaissent régulièrement - qu'il s'agisse d'un script de génération d'images, d'une nouvelle idée de captcha avec des chats, etc. L'exemple le plus récent d'une personne ne comprenant pas très bien comment le captcha devrait fonctionner (voir le texte du post et les derniers commentaires), mais en même temps partageant ses idées fausses avec la communauté. On a le sentiment que le captcha est tel terre inconnue pour la plupart des développeurs - à la fois pour ceux qui le vissent simplement dans un autre formulaire dans l'espoir qu'il fonctionnera immédiatement, et pour ceux qui proposent des captchas comme ceux dans lesquels vous devez sélectionner une image avec un chat parmi plusieurs photos .

L'article contient informations utiles pour ceux qui utilisent captcha sur leur serveur au lieu de s'appuyer sur un service tiers comme reCaptcha.

Et pour commencer - si vous pensez qu'une telle vérification captcha fonctionnera :
if($_POST["captcha"] == $_SESSION["captcha"]) renvoie vrai ; (étude de cas)
alors vous vous trompez profondément.

Captcha

Deux propriétés principales du captcha

Résistance à la reconnaissance- une propriété qui protège le captcha d'être reconnu par un algorithme - par exemple, un système de reconnaissance de texte. Garantit qu'un humain peut lire le texte de l'image, mais pas l'ordinateur.
Anti-exemple : le captcha standard des forums phpBB 2.x n'avait pas une telle propriété - en raison de la relative facilité de reconnaissance, des scripts sont apparus qui ont spammé tous les forums d'affilée, obligeant les webmasters à changer le captcha pour un plus stable .

Devinez la résistance- propriété captcha qui ne permet pas de deviner sa valeur en un petit nombre de tentatives (moins de 1000). Si l'ensemble des valeurs captcha possibles est petit, il ne sera pas difficile pour le programme de le deviner en le sélectionnant au lieu de le reconnaître.
Un anti-exemple : un captcha arithmétique comme « 1+2 » ​​(l'énumération des nombres de 1 à 20 donnera bientôt un résultat).
Anti-exemple : choisissez parmi plusieurs images celle qui représente un chat.

Vérification du captcha

Avant de vérifier la réponse, vous devez vous assurer qu'elle n'est pas vide. Sinon, un attaquant peut passer une valeur vide sans télécharger d'image ni supprimer l'identifiant de la session en cours et passer le captcha, car deux seront comparés lignes vides(en PHP, une valeur inexistante est égale à une chaîne vide).
Anti-exemple : le code que j'ai déjà mentionné if($_POST["captcha"] == $_SESSION["captcha"]) return true ;
De plus, ce code a été écrit par un programmeur expérimenté.

Après vérification, la valeur captcha enregistrée doit être supprimée. Si cela n'est pas fait, un attaquant peut réutiliser cette valeur un nombre illimité de fois. Oui, lorsque la page avec le formulaire est mise à jour, le captcha est également mis à jour (soit lorsque le formulaire est généré, soit lorsque l'image est générée), mais le script peut ne pas recharger le formulaire (il faut préciser que ce n'est pas pertinent si le site utilise des jetons csrf à usage unique pour les formulaires).
Anti-exemple : une forme hypothétique de connexion, dans laquelle il suffit de saisir correctement le captcha une fois, puis de deviner le mot de passe à l'aide du script, en évitant la régénération du captcha sur le serveur.

captcha pare-balles

Protection DoS. Lors de la génération de captcha sur votre serveur, vous devez comprendre qu'il s'agit d'un vecteur pratique pour effectuer Attaques DoS(que, contrairement au DDoS, n'importe quel étudiant peut organiser). Pour la protection, vous pouvez limiter le nombre de génération de captcha pour une adresse IP, la mise en cache du captcha, etc.

Protection de la reconnaissance. Si vous choisissez un captcha, ou du coup vous allez l'écrire vous-même, il est conseillé de comprendre quel captcha est le plus protégé de la reconnaissance. Il existe des scripts de reconnaissance captcha universels prêts à l'emploi qui fonctionnent sur le principe de l'OCR, et si des spammeurs s'intéressent à votre site, il y a un risque qu'ils utilisent/écrivent un script spécifiquement pour votre captcha. Ce dernier se réfère cependant davantage aux sites de niveau Yandex ou vk, mais il est conseillé de prévoir une option avec protection contre l'OCR banal.

Protection anti-grille. Formellement parlant, le captcha en tant que test de Turing n'est pas nécessaire pour vous protéger des anti-portes, car dans ce cas, il sera reconnu par une personne. D'un point de vue pratique, cette question est très pertinente et il faut se défendre d'une manière ou d'une autre.
Il n'y a pas et ne peut pas y avoir de "gold standard" ici (car dans ce cas, les antigates mettront en œuvre son support), vous êtes donc libre de compléter le captcha avec toutes les astuces pour le rendre impossible à reconnaître via antigate. Par exemple:
- captcha non standard (assemblage d'un puzzle, rotation d'une image, clic sur une zone d'une photo, etc.) ;
- Le captcha cyrillique est la solution la plus simple, mais elle présente un certain nombre d'inconvénients : elle ne convient qu'aux projets avec un public russophone, il existe des anti-gates avec support cyrillique ;
- utiliser le clavier virtuel à côté du captcha pour saisir des caractères ou des formes non standard (peut être gênant pour les utilisateurs mobiles) ;

Convivialité

Pour faciliter la reconnaissance humaine : n'utilisez pas de lettres et de chiffres en même temps dans le captcha, n'utilisez pas de lettres majuscules et minuscules en même temps, excluez les caractères similaires.

Refus d'utiliser le captcha

Pour certains, les informations contenues dans ce sujet sembleront évidentes, mais si je n'avais pas rencontré d'exemples d'incompréhension de ces principes simples dans la vie, y compris parmi des collègues développeurs expérimentés, je n'aurais pas perdu de temps à écrire ce texte.