Как работает новый re-captcha от Google?

9168
Amirreza Nasiri

Насколько я знаю, Google изменил свою ре-капчу на новую для браузера Google Chrome. Google URL Shortener использует этот вид капчи.

Эта повторная проверка автоматически подтверждает, что «Мы не робот» только одним щелчком мыши. Но как это работает?

На изображении ниже вы можете увидеть капчу.

(1) Мы нажимаем «Я не робот» и (2) через некоторое время, (3) повторная проверка автоматически проверяет:

enter image description here

18
Этот «флажок» должен работать во всех браузерах, которые поддерживают HTML5. Не только для Chrome. Это также работает в моем IE 9. crazypotato 9 лет назад 1
@crazypotato Да, пока два дня назад, насколько я знаю, эта повторная капча не работала в Firefox и Opera (это была старая сложная капча). но сегодня эта капча появилась вместо старой! Amirreza Nasiri 9 лет назад 0
Это, кажется, объясняет это очень хорошо: http://stackoverflow.com/a/25626267/3622209 user3622209 9 лет назад 3
@ user3622209 Правда? Люди хотят знать только его JS? Это так очевидно. Я не понимаю этого. Также часть про "спам-ботов" смехотворна crazypotato 9 лет назад 0
Где я могу попробовать это? Google URL Shortener не показывает мне один. gparyani 9 лет назад 0

3 ответа на вопрос

7
mjt

As far as I know, there's quite a few things that are going towards it. For a start, it uses Javascript - which many spambots can't execute, so it's inherently stopping a lot of spambots in that regard. (depending on if the owner has configured fallback, they may see a basic HTML version of the CAPTCHA).

But more to the point of determining a 'human' click to a 'possibly robot' (and show visual CAPTCHA) click:

  1. IP Addresses - as mentioned, being on Tor IP addresses almost certainly leads to a trigger for the visual CAPTCHA. Also, being located in certain countries seems to increase probabilities, but I can't be certain on that.

  2. Google Account and History, * perhaps* - I notice a lower incidence of the visual one firing on me when signed in, versus when I'm in Incognito mode. Also, if you've had a Google session watching YouTube videos, sending emails, you would be seen as a lesser threat than someone who's just loaded a page for the first time.

  3. Page activity - I haven't deleved into this too far, but it seems they're using some sort of mechanism to detect how you're viewing the page. If one is to click the CAPTCHA as soon as the page is loaded, rather than after 30 seconds of form filling, they're seen as higher-risk.

  4. Number of times anti-robot check completed - This is an obvious one. Eventually, if you keep ticking the box over an over, the higher the probability of the robot check firing. A spambot may be able to get through a form the first 3 times, but after that when the robot-check fires, they are stopped.

Хм, хорошо :), но безопасность этой новой капчи ниже, чем буквенной капчи, потому что, если умный робот нацеливается и знает алгоритм этого механизма, ему может быть легко решить ВСЕ эти капчи. Как вы думаете, есть ли какая-то "рандомизация", чтобы избежать этой проблемы? Amirreza Nasiri 9 лет назад 0
Хороший вопрос, совсем забыл, что - добавил последний. Через некоторое время он, кажется, добавляет несколько случайных. mjt 9 лет назад 1
1
GLaDER

As far I as know there's some sort of bot that looks for "human patterns". If you for instance were able to scroll to the bottom of the page and instantly click the "I'm not a robot-button" you would most likely NOT be approved - but would be asked to do an old captcha.

Это кажется слишком простым. Итак, вы говорите, что единственная разница здесь заключается в том, как быстро вы прокручиваете вниз? Я предполагаю, что если это будет сделано в одно мгновение, то это может быть робот, но как только это станет известно, бот просто должен немного подождать, чтобы казаться человеком. Не хороший тест! SPRBRN 9 лет назад 1
Это был просто пример. Основная идея заключается в поиске поведения _robot-ish_. GLaDER 9 лет назад 0
0
crazypotato

Google, вероятно, имеет черный список IP-адресов, как этот . Если ваш IP-адрес указан в этой базе данных, отображается «нормальная» рекапча. Если нет, то вы обойдете этот «флажок».

Это очень упрощенное объяснение, но IP-адрес является наиболее важной частью. Вы можете прослушать все данные, отправляемые в Google, но только Google знает, что именно обрабатывается на стороне сервера.

В любом случае этот «флажок» не будет использоваться для основных служб, таких как поиск Google (слишком просто для обхода).

При использовании TOR (большая часть IP-адресов запрещена в поиске Google) после установки флажка появится обычная нечитаемая (?) Капча (1 слово мусор + 1 слово с возможностью прочитать):

fk recaptcha

Я думаю, что это не имеет значения, но, похоже, эта страница была написана в HTML5

Да, все верно, код безопасности зависит от IP-адреса и браузера (оба, я уверен). Но как это работает? Amirreza Nasiri 9 лет назад 1
У людей есть недостатки. А в графическом пользовательском интерфейсе вы перемещаете мышь случайным образом, который робот не может воспроизвести. То, как вы проводите пальцем по сенсорной панели или перетаскиваете мышь. Ускорение, замедление, паузы ... Все это складывается для человека. Спам-боты слишком совершенны в своем вводе данных, и это их недостаток. JakeGould 9 лет назад 1
Я не согласен, Джейк. Я могу запрограммировать роботов так, чтобы они легко имитировали движения мыши, и ничто не может отличить их от людей. Существуют и другие вещи, которые невозможно выполнить (во всяком случае, не по затрате времени), но движение мыши не входит в их число. Overmind 6 лет назад 0

Похожие вопросы