Что такое капча? Это чаще всего буквы, цифры и знаки, расположенные на рисунке. Это что-то вроде проверочного кода, который нужно вводить для подтверждения того или иного действия. Установка капчи на сайт — это необходимость в борьбе с автоматизированными программами, спамерами, брутфорсерами и так далее. Капчи используются практически во всех цифровых сервисах для защиты от автоматизированного доступа.
Но не всегда такая защита — благо. Множеству людей и бизнесу необходимо получать информацию с сайтов в автоматическом режиме. И в помощь им на рынке появились капча-сервисы, позволяющие роботам расшифровывать капчи. Сегодня мы подробнее остановимся на том, кто и для чего использует капча-сервисы. Эта статья была подготовлена совместно с капча-сервисом RuCaptcha.
1. Сервисы для автоматизации получения данных из реестров
Агрегаторы информации — удобные сервисы. С их помощью можно получить уведомление о штрафах, проверить контрагента по ИНН, посмотреть список магазинов, продающих нужную вещь, или найти скидочные купоны в ресторан среди сотни сайтов-купонаторов. Некоторые источники предоставляют информацию для агрегаторов в автоматическом режиме, а некоторые — нет. И тогда агрегаторам приходится изображать из себя живого пользователя, вводя капчу на этих сайтах. По словам специалистов RuCaptcha, почти все крупные отечественные банки и другие кредитные организации вынуждены сотрудничать с капча-сервисами или разрабатывать собственные аналогичные решения.
Что такое капча
Тут поможет сервис ruCaptcha. Пользоваться им очень просто:
— С помощью программного интерфейса отправляешь изображение капчи на сервер. После этого сервер выдаёт уникальный идентификатор твоей задаче.
— Задача назначается одному из свободных исполнителей. Стоит сразу сказать, что задача выполняется вручную. Кстати, есть вариант, чтобы капчу распознавало сразу несколько работников. С таким подходом достигается 100% разгадывание капчи.
— Сервер возвращает результат распознавания капчи.
К слову, на распознавание капчи работнику даётся всего 20 секунд. Поэтому, даже если сервис, где необходимо ввести капчу, даёт на это не более минуты, ты вполне успеешь справиться с задачей. Стоимость распознавания одной капчи начинается от 3 копеек.
2. Покупатели на онлайн-распродажах
Чтобы купить билет на культурное или спортивное мероприятие, нужно подтвердить покупку вводом капчи. Это же касается лимитированных коллекций одежды, техники и других товаров. Это сделано для того, чтобы перекупщики не разбирали лучшие предложения за несколько секунд после старта продаж. Так, кстати, раньше делали перекупы на «Алиэкспрессе», когда «Сяоми» выпускала новые телефоны. Тогда эта компания торговала только на «Алиэкспрессе», и перекупы за несколько секунд скупали весь товар, а после — продавали втридорога.
К слову, введение капчи не помогло, ведь у перекупов есть сотни работников капча-сервисов, которые вводят капчи вручную, и они всё так же скупают билеты за считанные мгновения. Так что, если хочешь купить лимитированные вещи на распродажах Supreme, Nike, Adidas или приобрести билеты на лучшие места на Ticketmaster (актуально для США, Канады и Англии), приходится использовать специальное программное обеспечение — «ботов». За несколько секунд после старта распродажи они успевают забронировать и положить товар в корзину. Без капча-сервисов такие «боты» работать не смогут.
КАК РАБОТАЕТ КАПЧА: ОБЪЯСНЯЕМ
3. SEO-специалисты и SMM-менеджеры
Для того чтобы проверить эффективность продвижения, сеошники парсят выдачу поисковиков. И на каждый запрос им нужно вводить капчу. А таких запросов могут быть десятки и даже сотни в день. Здесь также поможет сервис ruCaptcha с его низкой стоимостью распознавания капчи — от 18 рублей за 1 000 капч.
То есть если ты сеошник, то будешь тратить рублей 100 в месяц при условии высокой загруженности. Даже одни из самых сложных капч, ReCaptcha V3, стоят 160 рублей за 1 000 капч. Отметим, что в сервисе отсутствует комиссия. Со статистикой работы сервиса можешь ознакомиться по ссылке ниже.
Что касается эсэмэмщиков, то им тоже приходится часто иметь дело с капчами: например, для отложенного постинга, чистки комментариев, уведомления подписчиков и так далее. Если эсэмэмщик работает с несколькими группами, то ему приходится вводить сотни капч в день.
Кстати, с сервисом ruCaptcha можно зарабатывать. Деньги небольшие — 15–30 рублей за 1–2 часа в зависимости от загруженности сервиса, но это неплохой вариант для первого опыта работы в интернете. Минимальная сумма вывода — 15 рублей. Также у сервиса ruCaptcha есть партнёрская программа. Привлекая партнёров для работы с сервисом, ты будешь получать 10 % от их заработка или от их трат.
Для того чтобы участвовать в партнёрской программе, зарегистрируйся в сервисе ruCaptcha.
4. Спамеры и брутфорсеры
Два наиболее мерзких типа пользователей, которые портят жизнь нормальным людям. Кто такие спамеры — не нужно объяснять. Именно для борьбы со спамерами были придуманы первые капчи. Но после того как поисковые сервисы перестали учитывать ссылки от спамеров, а иногда и вовсе стали банить за это, спамеры снизили накал своих раздражающих действий.
Спамеры обычно вручную вводят капчи или пользуются самописными программами. Сервисами вроде ruCaptcha они практически не пользуются, так как обычно они получают ненамного больше за свою работу, и им просто невыгодно покупать разгадывание капч.
Также есть брутфорсеры — мошенники, взламывающие учётные записи путём подбора логина и пароля. Почти во всех сервисах, где имеется возможность залогиниться, есть определённое ограничение попыток ввода логина и пароля. Потом нужно вводить не только логин и пароль, но и капчу, которая усложняется с каждым разом. Как рассказали специалисты сервиса ruCaptcha, их услугами пользуется не более 0,5 % таких людей, которых при обнаружении незаконной активности тут же банят.
5. Незрячие
Всё больше незрячих людей начинает пользоваться интернетом, ведь сейчас они могут управлять компьютерами с помощью голосовых команд, а голосовые помощники вроде Siri или «Алисы» помогают им читать информацию. Незрячие люди могут даже оставлять комментарии и с комфортом общаться в онлайн-чатах. Увы, но те же Siri и «Алиса» не умеют распознавать капчи, из-за чего такие люди не могут пользоваться многими сервисами. Решение — ruCaptcha. Сервис создал даже бота для «Телеграма», которому можно прислать изображение капчи, после чего он вернёт её в текстовом виде, и уже затем её озвучит голосовой помощник.
Источник: brodude.ru
Капча (Captcha)
Капча (CAPTCHA) – это защитный код, который пользователю требуется ввести в специальном поле на сайте для его защиты от действия автоматических сервисов (ботов, спама, флуда и пр.), вредящих ресурсу.
Проще говоря, капча представляет собой тест-систему, где необходимо написать слово, указанное на изображении, решить несложное арифметическое уравнение, кликнуть на соответствующую картинку и т.п., чтобы потом можно было совершить какое-либо действие на сайте. Это эффективный метод защиты форм регистрации и комментирования от роботов, потому что компьютер не способен самостоятельно генерировать правильный ответ.
Любой пользователь наверняка сталкивался с капчей, если хотя бы раз регистрировался, либо оставлял отзывы на форуме или блоге. Сегодня мы расскажем, зачем вообще нужна капча, каких видов она бывает, как выбрать, можно ли зарабатывать в Интернете, вводя капчу.
Зачем нужно вводить CAPTCHA?
Обратите внимание, что слово «капча» пошло от английской аббревиатуры CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей. Эта эффективная программка-тест была придумана учеными из исследовательского центра Карнеги, расположенного в США, а именно в штате Пенсильвания.
Как вы уже поняли, основная функция данной программы – тестирование посетителя сайта, которое помогает перепроверить, действительно ли он является «живым человеком». Многие ресурсы обязывают нас вводить капчу, потому что сегодня существует огромное количество программ, которые могут автоматически рассылать в Интернете рекламу, оставлять фейковые комментарии, размещать ссылки на вирусные ресурсы и тому подобное.
Допустим, у вас есть веб-страница, где пользователи комментируют определенную тему, предварительно заполняя поля «имя», «адрес email» и «URL сайта». Подобные манипуляции может с легкостью произвести робот – заполнить поля и опубликовать нужный спамеру отзыв. А вот если поставить капчу, программа уже не сможет ее ввести, значит и не будет никакого спама.
Наверняка у вас случалась ситуация, когда вы просто переписывались с кем-то в социальной сети ВКонтакте, и при отправке очередного сообщения появлялась капча, и пока ее не введете, то не сможете осуществить какое-либо действие. Это случилось из-за того, что ваши действия показались системе подозрительными, например, слишком быстро отправляете сообщения. Поэтому существуют такие меры предосторожности.
- рекламы;
- массовой регистрации на сайтах;
- размещения ссылок с целью улучшения рейтинга своего ресурса в поисковиках;
- распространения вирусного кода для доступа к чужим личным данным;
- проведения манипулятивной системы онлайн голосования.
Автоматический спам сильно бьет по репутации и работе веб-сайта, поэтому его опасаются владельцы многих ресурсов, особенно крупных, которые ежедневно посещают тысячи роботов и живых людей. Поэтому, регистрируясь на таких сайтах, вы обязательно столкнетесь с необходимостью введения капчи, потому что это простой способ предотвратить спамные действия автоматических программ.
На заметку. Спамеры постоянно модернизируют алгоритмы обхода каптчи. Поэтому использование CAPTCHA не обеспечивает полноценной защиты сайта от взломов, вирусов, рекламы и прочих вредоносных действий, однако существенно уменьшает их количество.
Какие есть виды капчи?
Рассмотрим самые простые и удобные капчи, которые используются на большинстве сайтов.
ReCAPTCHA
Проверка от поисковой системы Google, самая простая и удобная. Для ее прохождения достаточно поставить галочку возле слов «Я не робот». Через мгновение отобразится зеленая галочка, а это значит, что проверка успешно пройдена.
Но система все же может провести дополнительную проверку, переведя вас на страницу для выбора требуемых изображений. К примеру, вас попросят нажать на все фотографии, где есть буквы.
Распознавание текста/цифр
В поле необходимо написать указанные на картинке искривленные цифры или буквы. Слова попадаются как латинские, так и кириллицей. Бывает так, что человек элементарно не может разобрать, что изображено, поэтому для удобства придумана кнопка «обновления картинки», кликнув на которую отобразится другая. Иногда еще есть кнопка для озвучивания содержания изображения.
Логические
В данной капче вам потребуется решить несложное арифметическое уравнение, например, написать в поле, сколько будет 21+42; или же разгадать простую загадку, указав правильный ответ.
Образные
Капча представляет собой картинки. Чтобы пройти проверку, вам просто необходимо выбрать требуемое изображение, например, кликнуть на все изображения, где есть рыбки.
Какую капчу выбрать для своего сайта?
Многие вебмастера не желают устанавливать подобную программку-тест для своего ресурса, так как боятся, что потеряют часть посетителей. И эти опасения не напрасны, ведь согласно официальной статистике, рядовому пользователю требуется приблизительно 10 секунд, чтобы пройти проверку с помощью защитного кода. Разумеется, данная процедура никому не понравится.
Ситуация усугубляется плохой распознаваемостью капчи, из-за чего сайты после ее внедрения теряют около 2-10 процентов посетителей. Стоит учитывать, что есть пользователи с плохим зрением – встретившись с тестовой проверкой, им проще покинуть сайт и перейти на другой.
- Тест должен решаться легко и быстро при любых обстоятельствах.
- Минимум ввода цифр/букв.
- Задание должно быть легкое даже для посетителей с проблемами функционирования сенсорных систем.
Однако самой популярной в наши дни остается стандартная текстовая reCAPTCHA от Google – она наиболее защищена от спамеров, которые постоянно придумывают новые способы обхода проверки. Данная программа постоянно меняет свой алгоритм действия, и теперь, в большинстве случаев, для прохождения теста достаточно поставить галочку – на это у вас уйдет всего 2-3 секунды, при этом нет нужды распознавать и вводить какие-то буквы/цифры/картинки.
- yaCAPTCHA;
- Solve Media;
- Anti Spam Image;
- SI Captcha Anti-Spam.
Как заработать на вводе CAPTCHA?
- Рукапча. Автоматически распознает изображения. Сегодня многим владельцам веб-ресурсов требуется массовое введение капчи, поэтому вы можете предложить им свои услуги.
- 2captcha. Англоязычный аналог вышеупомянутого сервиса.
- Megatypers, Protypers. Американские ресурсы, позволяющие зарабатывать от 50 центов до 3 долларов США за 1000 вводов капч.
Заключение
Спама в современном Интернете огромное количество, и не исключено, что в скором будущем придумают новые, более эффективные методы защиты веб-сайтов от мошенничества. Но пока единственным спасением для владельцев ресурсов остаются капчи, фильтрующие вредоносное действие автоматических программ.
Источник: webmasterie.ru
Как это работает: CAPTCHA
Сколько лет существует Хабр — столько лет на нём регулярно появляются посты про очередную капчу — будь то скрипт генерации картинки, новая идея капчи с котиками и тому подобное. Самый свежий пример того, что человек не совсем понимает — как же всё таки должна работать капча (см. текст поста и последние комментарии), но при этом делится своими заблуждениями с сообществом. Складывается ощущение, что капча — это такая terra incognita для большинства разработчиков — как для тех, кто просто прикручивает её к очередной форме в надежде на то, что она будет работать «из коробки», так и для тех кто придумывает капчи вроде тех, на которых надо выбрать картинку с котиком из нескольких фото.
Статья содержит полезную информацию для тех, кто использует капчу на своём сервере, вместо того чтобы довериться стороннему сервису вроде reCaptcha.
А для затравки — если вы считаете, что такая проверка капчи будет работать:
if($_POST[‘captcha’] == $_SESSION[‘captcha’]) return true; (пример из практики)
то вы глубоко заблуждаетесь.
Captcha
Согласно своему определению, captcha — это автоматизированный публичный тест Тьюринга (тест который может пройти человек, но не компьютер). В статье я буду рассматривать свойтсва капчи на примере самого распространненого её вида — текста на картинке, хотя почти все написанное одинаково применимо к любому виду капчи.
Два главных свойства капчи
Любая капча должна обладать двумя свойствами, без которых она не будет работать:
Устойчивость к распознаванию — свойство, защищающее капчу от распознавания алгоритмом — например системой распознавания текста. Гарантирует то, что человек сможет прочитать текст на картинке, а компьютер нет.
Антипример: стандартная капча форумов phpBB 2.x таким свойством не обладала — из-за относительной простоты распознавания появились скрипты, которые спамили все подряд форумы вынуждая веб-мастеров менять капчу на более стойкую.
Устойчивость к угадыванию — свойство капчи, не позволяющее угадать её значение за небольшое число попыток (менее 1000). Если набор возможных значений капчи невелик, программе не составит труда угадать её подбором вместо распознавания.
Антипример: арифметическая капча вроде «1+2» (перебор чисел от 1 до 20 в скором времени даст результат).
Антипример: выбрать из нескольких картинок ту, на которой изображён котик.
Проверка капчи
Значение для проверки должно храниться на сервере, а не передаваться вместе с картинкой в браузер. Для сопоставления посетителя и правильного значения капчи необходимо использовать некий ключ, который передаётся вместе с капчей (идентификатор сессии, номер капчи и т.п.)
Антипример: если передавать саму капчу и значение для ее проверки (в том числе зашифрованное), то человеку достаточно один раз распознать такую капчу и далее использовать комбинацию «ответ»-«значение для проверки» в своём скрипте (по ссылке в начале поста как раз такой случай)
Перед проверкой ответа — надо убедиться, что он не пустой. В противном случае, злоумышленник может не загружая картинку или удалив идентификатор текущей сессии, передать пустое значение и пройти капчу, т.к. произойдёт сравнение двух пустых строк (в PHP несуществующее значение равно пустой строке).
Антипример: уже упомянутый мной код if($_POST[‘captcha’] == $_SESSION[‘captcha’]) return true;
Причем этот код был написан опытным программистом.
После проверки, сохраненное значение капчи необходимо удалить. Если не сделать этого, злоумышленник сможет использовать данное значение снова неограниченное число раз. Да, при обновлении страницы с формой обновляется и капча (либо при генерации формы, либо при генерации картинки), вот только скрипт может не загружать форму снова (надо упомянуть, что это не актуально если на сайте используются одноразовые csrf-токены для форм).
Антипример: гипотетическая форма логина, в которой достаточно один раз ввести капчу правильно, и далее подбирать пароль скриптом, избегая перегенерации капчи на сервере.
Пуленепробиваемая капча
Защита от перебора. Если ваша капча устойчива к распознаванию, но не очень устойчива к перебору (например на ней надо прочитать всего 3-4 цифры), желательно ограничить число неправильных ответов «с одного ip» / «для одного логина» / etc. Такие ограничения необходимо проверять ДО проверки самой капчи (то есть даже в случае правильно введенной капчи, при наличии ограничения она не должна считаться пройденной) иначе оно не будет препятствовать перебору.
Защита от DoS. При генерации капчи на своем сервере, надо понимать что это удобный вектор проведения DoS атак (которую, в отличие от DDoS, может устроить любой школьник). Для защиты можно ограничить число генерации капчи для одного ip, кэшированием капч и т.д. Подробнее про это
Защита от распознавания. Если вы выбираете капчу, или вдруг собираетесь написать её сами, желательно понимать какая капча более защищена от распознавания. Существуют готовые универсальные скрипты распознавания капчи, работающие по принципу OCR, а в случае если ваш сайт заинтересует спамеров есть риск, что будут использовать / писать скрипт конкретно под вашу капчу. Последнее правда относится больше к сайтам уровня Яндекс или vk, а вот вариант с защитой от банальных OCR желательно предусмотреть.
Защита от антигейтов. Если говорить формально, то капча как тест Тьюринга не обязана защищать вас от антигейтов, так как в этом случае её будет распознавать человек. С практической же точки зрения, этот вопрос весьма актуален и защищаться как-то надо.
Тут нет и не может быть «золотого стандарта» (ибо в таком случае антигейты внедрят его поддержку), поэтому вы вольны дополнять капчу любыми ухищрениями, чтобы сделать её распознавание через антигейт невозможным. Например:
— нестандартная капча (сбор паззла, поворот изображения, клик по области на фото и т.п.);
— кириллическая капча — самое простое решение, но имеет ряд минусов: подходит только для проектов с русскоязычной аудиторией, есть антигейты с поддержкой кириллицы;
— использование виртуальной клавиатуры рядом с капчей для ввода нестандартных символов или фигур (может быть неудобно пользователям мобильных);
Юзабилити
Не просите ввести капчу, если вы уже убедились, что перед вами человек. Тут однако, надо быть осторожным, чтобы форму нельзя было использовать скриптом неограниченное число раз после однократного ввода капчи человеком.
Пример: форма регистрации. Если я где-то регистрируюсь, и забыл ввести поле «почтовый индекс», но правильно ввёл капчу — не надо показывать мне новую. Потратьте 10 минут на то, чтобы сохранить где-то у себя, что вот эту конкретную форму сейчас пытается заполнить живой человек.
Для облегчения распознавания человеком: не используйте в капче одновременно буквы и цифры, не используйте одновременно прописные и строчные буквы, исключите похожие символы.
Отказ от использования капчи
Лучшая капча — отсутствие капчи. Там где можно отказаться от её использования — это надо сделать. Возможно для этого придется реализовать дополнительные лимиты и проверки, но пользователи скажут вам спасибо.
Но тут надо быть очень осторожным. Например: форма регистрации без капчи, с полем email на который приходит письмо с активацией. Без дополнительных средств защиты такую форму могут завалить «левыми» адресами, и ваш сайт включат в черные списки почтовые службы. В таком случае можно обходиться без капчи, но только если у вас есть другой рубеж защиты, вроде лимита по ip.
Кому то информация в этом топике покажется очевидной, но если бы я не сталкивался с примерами непонимания этих простых принципов в жизни, в том числе у опытных коллег-разработчиков, я бы не стал тратить время на написание этого текста.
Источник: habr.com