Що таке капча? Як ввести чи прибрати капчу? UnCAPTCHA: використання сервісів Google для обходу Google reCAPTCHA Як обійти капчу за допомогою SQL ін'єкції

Якщо ви більш-менш активно користуєтеся інтернетом у повсякденній роботі, то напевно знаєте про таку неприємну штуку, якою є капча. Іноді вона настільки заважає в роботі, що люди нерідко просто перестають відвідувати ті сайти, господарі яких приділяють їй надміру уваги.

Що це таке?

До речі, а що таке капча? Уявіть, що ви зайшли на якийсь популярний файлообмінник. Щоб завантажити файл у безкоштовному режимі, вам доведеться ввести в спеціальне поле якийсь набір символів (часто безглуздих), який слід брати з малюнка навпаки.

Завдання ускладнюється тим, що ці символи іноді неможливо розібрати, оскільки їх свідомо роблять нечитаними.

Навіщо вона потрібна?

Розібравшись із тим, що таке капча, було б непогано поговорити про її конкретне призначення. Навіщо ж треба городити такий город, ускладнюючи відправлення коментарів чи завантаження файлів?

Так, були такі часи, коли про капчу взагалі ніхто не знав. З'явилася вона порівняно недавно. Сталося це в той же період, коли на просторах Рунета розплодилася маса роботів, за допомогою яких заповзятливі громадяни залишали в коментарях оголошення рекламного характеру, безкоштовно завантажували файли та творили інші неподобства.

Звичайно, на багатьох ресурсах за порядком стежили адміністратори, але в більшості сервісів для ведення блогів навантаження на них виявилося таким, що вони банально перестали справлятися. Ось тоді користувачі і дізналися, що таке капча! Знайомство виявилося досить неприємним.

Якщо говорити дуже точно, то сама технологія спочатку була створена 2000 року. Спочатку вона призначалася тільки для визначення «людяності» вашого співрозмовника в інтернеті: тоді жодна програма для капчі (для її розпізнавання, точніше) просто не була створена.

У чому її недолік?

Якщо ви уважно прочитали першу частину статті, то більшість негативних факторів використання капчі зможете здогадатися самостійно. По-перше, користувачі здебільшого діють у стані якогось пориву. Простіше кажучи, коли ви бачите якийсь цікавий пост у тому ж ЖЖ, то хочете його одразу ж прокоментувати.

Ось тільки перед вами постає незручна капча, причому більша частина символів настільки нерозбірлива, що на їхнє розгадування може піти не один день. Як ви вважаєте, чи буде користувач займатися такою невдячною справою?

Ні звичайно ж! Він просто піде на інший сайт. Таким чином, якщо ви прагнете убезпечити свій ресурс від любителів залишати спам у коментарях, радимо дуже не старатися.

Якщо ви занадто захопитеся капчею, швидко розгубите багатьох активних користувачів. Немає користувачів – немає грошей від реклами. Крім того, більшість нормальних ресурсів автоматично розпізнає спам в коментарях, так що сенсу в додатковому захисті найчастіше немає ніякого.

Майже те саме можна сказати і про сайти для обміну файлами. Звичайно, зрозуміти їх творців можна: пропонуючи всім і безкоштовно завантажувати цікаву інформацію, вони просто упустять прибуток.

Але на цю ситуацію можна подивитися з прямо протилежного боку: якщо сайт пропонує вам можливість безкоштовно отримати файл, він легко набере величезну аудиторію, яка швидко окупить всі витрати за рахунок залучення рекламодавців. До речі, саме так діє вітчизняний iFolder, творці якого на злидні точно поскаржитися не можуть.

Так що, навіть з погляду отримання прибутку, сама ідея капчі не виглядає такою вже привабливою.

Що ж робити?

А як усунути капчу, чи реально взагалі це зробити? Тут ситуація є досить неоднозначною. Справа в тому, що на багатьох сайтах, які використовують такий тип захисту від спаму, капчу прочитати з першого разу вдається далеко не кожному користувачеві, не кажучи вже про якісь програми.

Прості варіанти можна розпізнати за допомогою невеликої утиліти Screenshot Reader, яка входить до складу програмного пакета ABBYY FineReader. Але читає вона тільки найпростіші форми капчі, які зможе без особливих зусиль пізнати будь-який нормальний користувач. Крім того, сам процес не вдасться автоматизувати, так як для розпізнавання необхідно вручну виділяти діапазон, що вас цікавить.

Введення капчі

Якщо особливого вибору у вас немає, то доведеться займатися цією невдячною справою вручну. Які поради можна надати? По-перше, намагайтеся робити це швидше: на багатьох сайтах стоїть лічильник, який скидає значення, якщо ви не можете ввести його протягом кількох хвилин.

Крім того, помилки при написанні символів нерідко трапляються у тому випадку, коли у вашому браузері вимкнено JavaScript. Не забувайте також про необхідність Cookie, тому що вони допоможуть сайту вас «пізнавати», позбавляючи постійного проходження обридлого захисту.

Нарешті, звертайте увагу на те, що написано на головній сторінцісайту. Як правило, капча для сайту буває докладно описана в записці пояснення або окремій статті. Відмінний приклад - файлообмінний сервіс Rapidshare, який свого часу запроваджував унікальну капчу.

Її символи були легко помітні, не використовувалося жодних технологій розмиття або поляризації, які ускладнювали б роботу програм для її розпізнавання. У чому ж секрет?

А він полягав у тому, що на тих літерах та цифрах, які треба було вводити у відповідне поле, сиділи котики. Скільки свого часу було сказано безсторонніх слів на адресу творців такої системи! Зрештою, від неї відмовилися під тиском громадськості.

Купуємо «протиотруту»

Інший варіант – зв'язатися з нормальним програмістом (або групою, що ще краще), щоб той зробив утиліту для розпізнавання капчі на якомусь конкретному сайті. На жаль, універсальних рішень не існує хоча б тому, що на кожному ресурсі захист унікальний. Які типові рішення зустрічаються дуже рідко.

Особливий інтерес у цьому ключі представляють розробки компанії CMS Bitrix, яка розповсюджує справді ефективні програми, які справляються з капчею на більшості популярних сайтів. Розробники стверджують, що ефективність їх створення перебуває у межах 95 %. Залежно від типу захисту, її складності та конкретного сайту, розробка методів її захисту може обійтися вам у кілька тисяч доларів, а то й більше.

Крім того, на деяких ресурсах є настільки витончений захист, що його й людині розгадати непросто!

Чи можна заробити на її введенні?

Новачки часто цікавляться, чи можна заробляти на введенні захисних символів. І це не дивно, адже в інтернеті повно оголошень про набір груп людей, які отримуватимуть якісь гроші, виконуючи розпізнавання капчі. Чи варто зв'язуватися із цим?

На наш погляд (може бути, досить суб'єктивний), займатися цією справою не варто. Ви витратите безліч нервів, сил і трафіку. А оплата такого «легкого заробітку» просто вражає: просидівши цілий день біля комп'ютера, з маніакальною завзятістю займаючись вбиванням капчі, ви заробите максимум пару доларів. А воно вам потрібне? Напевно, ні.

Універсальний вихід

Якщо говорити про файлообмінники, то у разі регулярного закачування вами файлів єдиним надійним виходом із ситуації є покупка платного облікового запису. Як правило, його вартість є цілком адекватною. Купивши такий абонемент, ви отримаєте можливість швидко та без незручностей завантажувати будь-які обсяги інформації.

Як прибрати капчу з вашого блогу?

Сподіваємося, що ви зробили правильні висновки, прочитавши більшу частину нашої статті. А тому розглянемо, як прибрати введення капчі на популярному сервісі Blogger від відомої Зробити це зовсім нескладно, а радості відвідувачам свого сайту ви доставите чимало.

Спочатку заходимо до «Редактора» вашої сторінки. У лівій колонці вибираєте пункт "Параметри". У ньому є розділ «Повідомлення та коментарі». У полі "Використовувати перевірку за словом" поставте значення "ні", після чого капча при вводі повідомлень не буде потрібно.

Що робити, якщо не вдається правильно її запровадити?

Буває, що програма для введення капчі або сайт (якщо ви вводите значення вручну) постійно видають помилку. У чому може бути причина?

Насамперед, треба заспокоїтися. Як правило, у правій частині будь-якої капчі є вигнута стрілка. Натиснувши на неї, ви оновите набір символів, які потрібно ввести для доступу на сайт. Скориставшись нею, можна змінити набір, що абсолютно не читається. На жаль, нечитаність букв зустрічається дуже часто. Так, часом абсолютно невиразна різниця між літерами "Q" і "G".

Нарешті, на багатьох веб-сайтах можна уникнути введення захисних знаків, якщо просто зареєструватися на ньому. Спробуйте цей спосіб.

Ось що таке капча!

CAPTCHA: люди проти комп'ютерів

На деяких веб-сайтах Ви могли помітити, що не можете продовжувати виконувати будь-які дії або виконувати замовлення доти, доки не розгадаєте набір незрозумілих літер та зображень. Після того, як Ви уважно розглянете якісь хвилясті лінії, розшифруєте написані слова та введете вірну фразу (слова або цифри) у порожнє поле, то зможете продовжити Ваші дії на сайті. Цей процес призначений для того, щоб сайт міг переконатися, що насправді Ви – людина, яка переглядає сайт.

Такий тест називається CAPTCHA(Completely Automated Public Turing Test для Tell Humans and Computers Apart), і він використовується в Інтернеті повсюдно. Веб-сайт з продажу квитків Ticketmaster – це чудовий приклад використання CAPTCHA: без такого тесту «робот» потенційно міг би купити мільйони квитків на якийсь концерт чи захід, а після цього перепродати їх за вищою ціною.

Безумовно, вимога розгадати незрозуміло написану комбінацію літер та цифр щоразу, коли ми хочемо щось зробити, трохи напружує. І це потребує додаткового часу. Щоразу, коли потрібно пройти тест CAPTCHA, Ви витрачаєте приблизно 10 секунд Вашого життя. Ось чому CAPTCHA заробила погану репутацію серед Інтернет-користувачів, незважаючи на те, що він був створений саме для забезпечення нашої безпеки.

CAPTCHA заважає кібер-злочинцям

Луїс Фон Ан, один із творців CAPTCHA, продовжує розвивати цей тест вже в рамках Google, його нового розробника. Цей проект був відроджений у reCAPTCHA, розширення тесту Captcha, який бере слова з відсканованих сторінок старих книг (такі слова комп'ютеру складніше розпізнати). Захищаючи нашу безпеку, проект одночасно допомагає. оцифровувати тексти, анотації до зображень, та будувати набори даних для машинного навчання»… тепер хоча б ці 10 дорогоцінних секунд використовуються для чогось більшого.

Здорово, що ми допомагаємо оцифровувати книги, але коли йдеться про Інтернет-безпеку, але Чи ефективна CAPTCHA?

Можна легко обійти Google CAPTCHA

Тріо дослідників з Університету Колумбія (Нью-Йорк) довели, як легко можна обійти деякі CAPTCHA. Подібні програми значно ускладнюють хакерам використовувати запрограмовані боти для автоматичного та масового збору адрес. електронної пошти, що потім використовуються для спамових кампаній. Але вони є абсолютно надійними.Такі процеси можуть бути автоматизовані, а тому комп'ютери зможуть проходити тести reCAPTCHA також ефективно, як ми з Вами.

Технологія «капчі» (CAPTCHA) є автоматизованим тестом, призначеним для виявлення машинізованих користувачів, інакше ботів.

Його метою стає постановка такого завдання, яке легко вирішується людиною, але складна для комп'ютера.

Але, бувають і ситуації, коли корисний здавалося б скрипт стає надто настирливим.

Є припущення, що Google тренує ІІ своїх безпілотників завдяки користувачам, що вводять капчу з картинками я не робот.

Як прибрати капчу я не робот

Причини такої поведінки можуть відрізнятися, але завжди можна спробувати все виправити - дії проводимо, як виняток:

• Відключаємо та знову підключаємо активне інтернет-з'єднання. Перезавантажуємо роутер чи модем. Таким чином, може змінитися IP-адреса.
• Вдаємося до допомоги VPN-сервісу. Останні бувають як платні, так безкоштовного використання. Передбачені у вигляді розширень (додатків) для браузерів і як софт, що окремо встановлюється, на комп'ютер.
• Переглядаємо та встановлені розширення. Наприклад, остання версія Яндекс.Браузера сама відключає плагіни з неперевірених джерел і періодично перевіряє вже інстальовані на предмет підробки.
• Перевіряємо, чи увімкнено JavaScript у веб-браузері: Установки→ Показати додаткові налаштування→ блок особисті дані Установки контенту → розділ JavaScript.
• Не забуваємо і про антивірусні програми- можливо комп'ютер став жертвою ботнета, звідси і невдоволення CAPTCHA на трафік, що генерується за цією адресою.

Цікаво, що щодня користувачами інтернету запроваджуються сотні мільйонів «капчів». При цьому не секрет, що не кожному вдається правильно її ввести з першого разу.

Доброго часу доби, друзі! Якщо ви читаєте, цю статтю, значить і у вас виникають проблеми з рекапчою від гугл, яку використовують все більше сайтів. Але багато користувачів її не люблять, але все більше користувачів сайтів, її використовують. Чим вона така гарна, її мінуси і як її пройти, все це можна дізнатися в цій статті.

ReCaptcha була створена для захисту сайтів від інтернет-ботів та оцифровці текстів книг. З 2009 року належить компанії Гугл.

чим вона гарна

Як було зазначено раніше, плюси цього виду капчі: захист від спаму та оцифрування текстів книг.

чим вона погана

Звичайно дана капча, неідеальна і правильно написаний бот, спокійно оминає такі рекапчі.

Крім цього, у багатьох користувачів виникають проблеми з рекапчою, яку доводиться розгадувати по кілька разів. Трохи нижче я розповім, як я швидше проходжу капчі. Спосіб звичайно простий, але не сильно діє, зате прискорює час, витрачений на розгадування капчі.

Що я помітив?

Наприклад, при розгадуванні капчі з дорожніми знаками, іноді не буває дорожніх знаків, тоді відразу натискаємо пропустити. Але іноді капча з дорожніми знаками тощо. буває і при їх виділенні та підтвердження перекидає на іншу капчу. Чому? При розгадуванні, я зіткнувся, тільки з одним варіантом (якщо їх більше пишіть у коментарях), при натисканні на картинку кнопка "пропустити", замінюється на "далі". Якщо з'являється кнопка далі, то ви цю капчу не розгадає і вас перекине на наступну капчу

Є кілька нюансів,

як її пройти та невеликі особливості проходження капчі.

1) Вид ReCaptcha

а) Зниклі картинки (прибрати все зайве)

Такі капчі проходять завжди. Особисто у мене з цим видом капчі ніколи не було особливих проблем.

б) Вибір картинки або частини картинки (трохи нижче наведу приклад)

Із вибором картинки у мене виникали проблеми. Але я не міг збагнути чому. Наприклад, на малюнку нижче, у завданні написано: "Виберіть усі квадрати, в яких зображені дорожні знаки.Якщо їх немає, натисніть кнопку "пропустити". Насправді, тут є дорожній знак P="парковка", але ReCaptcha її не зарахує, тому що замість кнопки "пропустити", з'являється кнопка "далі", хоча дорожній знак у заданні Присутня, але можливо розробники ReCaptcha, так не вважають, буває і зворотна ситуація, але наводити приклад, у статті не буду, думаю і так всім зрозуміло.

2) Якщо це капча з картинками, що не зникають, то виберіть один квадрат і подивіться, на зміну кнопки "пропустити".

а) Якщо кнопка змінилася на кнопку "далі". Такої капчі ви не пройдете, навіть, якщо є рішення.

б) Якщо кнопка змінилася на кнопку " підтвердити " , то таку капчу ви пройдете, у разі, якщо пройдете її правильно.

З повагою, Марс Магафуров

Скільки років існує Хабр – стільки років на ньому регулярно з'являються пости про чергову капчу – чи то скрипт генерації картинки, нова ідея капчі з котиками тощо. Найсвіжіший приклад того, що людина не зовсім розуміє - як все-таки має працювати капча (див. текст посту і останні коментарі), але при цьому ділиться своїми помилками з спільнотою. Складається відчуття, що капча – це така terra incognitaдля більшості розробників - як для тих, хто просто прикручує її до чергової форми в надії на те, що вона буде працювати «з коробки», так і для тих, хто вигадує капчі на кшталт тих, на яких треба вибрати картинку з котиком з кількох фото.

Стаття містить корисну інформаціюдля тих, хто використовує капчу на своєму сервері, замість того, щоб довіритися сторонньому сервісу на зразок reCaptcha.

А для затравки - якщо ви вважаєте, що така перевірка капчі працюватиме:
if($_POST["captcha"] == $_SESSION["captcha"]) return true; (Приклад із практики)
то ви глибоко помиляєтесь.

Captcha

Дві головні властивості капчі

Стійкість до розпізнавання- властивість, що захищає капчу від розпізнавання алгоритмом - наприклад, системою розпізнавання тексту. Гарантує, що людина зможе прочитати текст на картинці, а комп'ютер немає.
Антиприклад: стандартна капча форумів phpBB 2.x такою властивістю не мала - через відносну простоту розпізнавання з'явилися скрипти, які спамили всі поспіль форуми змушуючи веб-майстрів міняти капчу на більш стійку.

Стійкість до вгадування- Властивість капчі, що не дозволяє вгадати її значення за невелику кількість спроб (менше 1000). Якщо набір можливих значень капчі невеликий, програмі не важко вгадати її підбором замість розпізнавання.
Антиприклад: арифметична капча на кшталт «1+2» (перебір чисел від 1 до 20 незабаром дасть результат).
Антиприклад: вибрати з кількох картинок ту, де зображений котик.

Перевірка капчі

Перед перевіркою відповіді - треба переконатися, що вона не порожня.Інакше, зловмисник може завантажуючи картинку чи видаливши ідентифікатор поточної сесії, передати порожнє значення і пройти капчу, т.к. відбудеться порівняння двох порожніх рядків(У PHP неіснуюче значення дорівнює порожньому рядку).
Антиприклад: вже згаданий мною код if($_POST["captcha"] == $_SESSION["captcha"]) return true;
Причому цей код було написано досвідченим програмістом.

Після перевірки збережене значення капчі необхідно видалити.Якщо не зробити цього, зловмисник зможе використати це значення знову необмежену кількість разів. Так, при оновленні сторінки з формою оновлюється і капча (або при генерації форми, або при генерації картинки), тільки скрипт може не завантажувати форму знову (треба згадати, що це не актуально якщо на сайті використовуються одноразові csrf-токени для форм).
Антиприклад: гіпотетична форма логіну, в якій достатньо один раз ввести капчу правильно, і далі підбирати пароль скриптом, уникаючи перегенерації капчі на сервері.

Куленепробивна капча

Захист від DoS.При генерації капчі на своєму сервері, треба розуміти, що це зручний вектор проведення DoS атак(яку, на відміну DDoS, може влаштувати будь-який школяр). Для захисту можна обмежити кількість генерації капчі для одного IP, кешуванням капч і т.д.

Захист від розпізнавання.Якщо ви вибираєте капчу, або раптом збираєтеся написати її самі, бажано розуміти, яка капча більш захищена від розпізнавання. Існують готові універсальні скрипти розпізнавання капчі, що працюють за принципом OCR, а якщо ваш сайт зацікавить спамерів є ризик, що будуть використовувати/писати скрипт безпосередньо під вашу капчу. Остання правда відноситься більше до сайтів рівня Яндекс або vk, а ось варіант із захистом від банальних OCR бажано передбачити.

Захист від антигейтів.Якщо говорити формально, то капча як тест Тюрінга не повинна захищати вас від антигейтів, тому що в цьому випадку її розпізнаватиме людина. З практичної точки зору, це питання дуже актуальне і захищатися якось треба.
Тут немає і не може бути "золотого стандарту" (бо в такому випадку антигейти впровадять його підтримку), тому ви вільні доповнювати капчу будь-якими хитрощами, щоб зробити її розпізнавання через антигейт неможливим. Наприклад:
- нестандартна капча (збір пазла, поворот зображення, клік по області на фото тощо);
- кирилична капча - найпростіше рішення, але має низку мінусів: підходить тільки для проектів з російськомовною аудиторією, є антигейти з підтримкою кирилиці;
- Використання віртуальної клавіатури поруч із капчею для введення нестандартних символів або фігур (може бути незручно користувачам мобільних);

Юзабіліті

Для полегшення розпізнавання людиною: не використовуйте в капчі одночасно літери та цифри, не використовуйте одночасно великі та малі літери, виключіть схожі символи.

Відмова від використання капчі

Комусь інформація в цьому топіку здасться очевидною, але якби я не стикався з прикладами нерозуміння цих простих принципів у житті, у тому числі досвідчених колег-розробників, я б не став витрачати час на написання цього тексту.