Что такое captcha, recaptcha и зачем она нужна: виды капчи

ReCaptcha 2.0 (выберите изображения похожие на)

Для решения рекапчи, где нужно выбирать определённые квадраты, мы ввели новые параметры. Общая схема решения рекапчи:
1) Вы ставите галочку
2) Получаете изображение + инструкцию
3) Необязательно: определяете количество столбцов и строк
4) Отправляете нам изображение + инструкцию (оригинальное изображение, без сетки и синего блока) + количество столбцов\строк
5) Получаете от нас ID капчи
6) Если Вы не прислали количество столбцов\строк, то мы смотрим размер изображение. Если оно 300x300px, то кладём на него сетку 3×3, если другой размер — кладём сетку 4×4
7) Через 5 секунд обращаетесь за ответом на капчу
8) Мы предоставляем номера клеток, которые нужно нажать для прохождения капчи
9) Кликаете по указанным клеткам.
Формат ответа:OK|click:3/8/9/
Стоимость 1000 распознаний данной капчи — 70 рублей.
Картинки нумеруются начиная с 1, слева направо, сверху вниз.

Параметр	Пояснение
recaptcha=1	Признак того, что данная картинка должна обработаться как рекапча. Т.е. наложится сетка 3х3 или 4х4 и работник будет искать нужные квадраты
textinstructions=%TEXT%	Текст того, что нужно выбрать на картинке в кодировке UTF-8 Данный параметр не обязателен, если отправляется imginstructions
imginstructions=img	«img» картинка инструкции. Её можно отправить multipart и base64. Данный параметр не обязателен, если отправляется textinstructions
recaptchacols=3 recaptcharows=3	Сколько колонок (column) и сколько строк(row) в присланном изображении. Если эти параметры не присылаются, мы самостоятельно накладываем сетку на картинку, что может быть неверным в некоторых случаях.
can_no_answer=1	Отправляйте этот параметр, только если есть вероятность, что в предоставленных изображениях нет ни одного подходящего. При отправке данного параметра у работников появится кнопка «нет подходящих изображений», когда они будут жать её, Вы получите ответ No_matching_images

Ограничения на recaptcha=1:
1) Каптча должна быть не более 100Кбайт
2) imginstructions должна быть не более 25Кбайт
3) imginstructions должна быть не более 100х100px
4) textinstructions не более 140 символов
Обратите внимание, что рекапчи бывают не только 3 на 3 квадрата, но попадаются и 4 на 4 квадрата и 4 на 2 квадрата. Что бы понять какую именно картинку Вы шлёте, мы смотрим размер в px картинки

Если она 300x300px, то мы накладываем на эту картинку сетку 3х3. Если размер другой — накладываем сетку 4х4. Поэтому не надо склеивать изображение с чем-либо. Если Вы приклеете к изображению синий текстовый блок, то мы неверно наложим сетку на картинку и Вы получите неверный ответ.

Обратите внимание, что необходимо засылать саму картинку рекапчи, а не делать её скриншот. мануал для полного прохождения recaptcha v2 на java + selenium (на странице читайте второй способ)

мануал для полного прохождения recaptcha v2 на java + selenium (на странице читайте второй способ)

RotateCaptcha (FunCaptcha и другие капчи, где нужно крутить картинку)

Общая схема взаимодействия:
1)Вы присылаете одну или несколько картинок
2)Вы присылаете на какой угол нужно поворачивать изображение за один шаг (не обязательный параметр)
3)Мы даём работнику все картинки, что Вы прислали. Рядом с каждой картинкой — стрелочки, кликая по которым картинка поворачивается на заданный Вами угол
4)Мы возвращаем Вам угол, на который нужно повернуть изображение

Формат ответа сервера на такую капчу, на 3 присланных картинки:OK|40|200|-120
Отрицательное значение: картинку нужно повернуть против часовой стрелки на указанный угол
Положительное значение: картинку нужно повернуть по часовой стрелке Стоимость 1000 повёрнутых изображений — 35 рублей.

Параметр	Пояснение
method=rotatecaptcha	Признак того, что это капча, которую нужно крутить. Работник не сможет вводить ответ с клавиатуры, ему нужно будет кликать по стрелкам для вращения изображения.
angle=45	угол, на который поворачиватся изображение при одном клике на стрелку. Если параметр не задан, то угол по умолчанию = 40 градусам, как у FunCaptcha
file_1, file_2, file_3	Изображения, которые будут крутить работники сервиса

пример загрузки rotatecaptcha:

KEY:<br>
<input name=»key» value=»YOURKEY»><br>
Type<br>
<input name=»method» value=»rotatecaptcha»><br>
Angle<br>
<input name=»angle» value=»40″><br>

Files:<br>
<input type=»file» name=»file_1″><br>
<input type=»file» name=»file_2″><br>
<input type=»file» name=»file_3″><br>

Upload:<br>
<input type=»submit» value=»Upload and get ID»>
</form>

Сервисы для автоматизации получения данных из реестров

Агрегаторы информации — удобные сервисы. С их помощью можно получить уведомление о штрафах, проверить контрагента по ИНН, посмотреть список магазинов, продающих нужную вещь, или найти скидочные купоны в ресторан среди сотни сайтов-купонаторов. Некоторые источники предоставляют информацию для агрегаторов в автоматическом режиме, а некоторые — нет. И тогда агрегаторам приходится изображать из себя живого пользователя, вводя капчу на этих сайтах. По словам специалистов RuCaptcha, почти все крупные отечественные банки и другие кредитные организации вынуждены сотрудничать с капча-сервисами или разрабатывать собственные аналогичные решения.

Тут поможет сервис ruCaptcha. Пользоваться им очень просто:

— С помощью программного интерфейса отправляешь изображение капчи на сервер. После этого сервер выдаёт уникальный идентификатор твоей задаче.

— Задача назначается одному из свободных исполнителей. Стоит сразу сказать, что задача выполняется вручную. Кстати, есть вариант, чтобы капчу распознавало сразу несколько работников. С таким подходом достигается 100% разгадывание капчи.

— Сервер возвращает результат распознавания капчи.

К слову, на распознавание капчи работнику даётся всего 20 секунд. Поэтому, даже если сервис, где необходимо ввести капчу, даёт на это не более минуты, ты вполне успеешь справиться с задачей. Стоимость распознавания одной капчи начинается от 3 копеек.

Что такое капча

Для большего понимания всего, что будет сказано ниже, рассмотрим сначала определение того, что мы привыкли называть таким словом, как «капча».

Слово это не русское и в оригинале является сокращением от нескольких английских слов. Пишется оно как CAPTCHA, а расшифровка звучит, как «Completely Automated Public Turing test to tell Computers and Humans Apart» (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей).

Тест Тьюринга — это эмпирический тест, идея которого была предложена Аланом Тьюрингом в статье «Вычислительные машины и разум», опубликованной в 1950 году в философском журнале Mind. Его целью было определение способности машины ввести человека в заблуждение, заставив думать, что он общается с другим человеком.

Немного компьютерного юмора.

Именно этот принцип и лежит в основе алгоритма, который определяет, кто пытается отправить запрос на получение информации от сервера. Как правило, встречаются три основных типа капчи. Это плохо написанные цифрыЯ или буквы, которые не сможет определить компьютер, математические действия, которые компьютер легко выполнит, но не поймет, что их надо выполнять и определение объектов, так любимое Google.

Что означает этот термин

Каптча – это транслитерация английской аббревиатуры CAPTCHA, которая расшифровывается и переводится на русский, как автоматизированный тест Тьюринга.

Данный тест по своей сути должен позволить определить, сидит ли за компьютером человек, или же регистрацию проводит машина.

Идея этого процесса в том, чтобы дать пользователю за экраном такую задачу, которую легко решить любому человеку, но невероятно тяжело машине.

Этот тест представляет из себя, чаще всего, просьбу ввести последовательность цифр или букв, которые появляются на картинке. При этом сам по себе рисунок искажен, чтобы боты не могли считать его по пикселям и внутренним данным.

Иногда каптча представляет из себя другие задачи – например, найти на картинке всех котов, или просто поставить галочку в определенном месте экрана.

Для чего нужна каптча

Ответ, на самом деле, очень прост – для защиты. Защиты различных сервисов от ботов, которые рассылают спам.

Дело в том, что, как уже было сказано выше, все системы рассылки рекламных сообщений сейчас автоматизированы – и потенциальным спамерам даже не надо самим регистрировать аккаунты.

И если бы не капча, то на большей части известных форумов было бы огромное количество ботов, которые бы рассылали всем рекламные сообщения.

Где используется Captcha

Например, при попытке скачать файл с практически любого файлообменника система потребует у вас ввести капчу.

Это сделано специально для того, чтобы боты не могли скачать файл с вирусом, повышая доверие к нему мнимым большим количеством закачек.

Кроме того, в любой социальной сети, если вы начнете слать пользователю слишком много сообщений в короткий период времени – вам потребуется ввести капчу, поскольку потенциально это может быть нежелательный спам с большим числом запросов.

Собственно, то же самое работает и с обычными поисковыми системами – если по какой-то причине вы самостоятельно закидываете сервисы Google, Яндекс, и подобные им большим числом запросов – они потребуют от вас ввод капчи как доказательство того, что вы делаете это осознанно.

Как установить капчу на сайт

Если вы хотите защитить свой сервис от ботов – просто установите reCaptcha от Google.

Для этого вам потребуется:

Зарегистрироваться на сайте reCaptcha от Google;
Нажать на кнопку «Get reCaptcha»;
Ввести адрес своего сайта;
Получить ключи API, которые генерируются специально для вашего ресурса;
Далее подключите саму утилиту reCaptcha к сайту, используя HTML. При помощи AJAX обеспечивается передача данных на сервер;
В сценарии php добавьте проверку по ответу от сервиса.

Покупатели на онлайн-распродажах

Чтобы купить билет на культурное или спортивное мероприятие, нужно подтвердить покупку вводом капчи. Это же касается лимитированных коллекций одежды, техники и других товаров. Это сделано для того, чтобы перекупщики не разбирали лучшие предложения за несколько секунд после старта продаж. Так, кстати, раньше делали перекупы на «Алиэкспрессе», когда «Сяоми» выпускала новые телефоны. Тогда эта компания торговала только на «Алиэкспрессе», и перекупы за несколько секунд скупали весь товар, а после — продавали втридорога.

К слову, введение капчи не помогло, ведь у перекупов есть сотни работников капча-сервисов, которые вводят капчи вручную, и они всё так же скупают билеты за считанные мгновения. Так что, если хочешь купить лимитированные вещи на распродажах Supreme, Nike, Adidas или приобрести билеты на лучшие места на Ticketmaster (актуально для США, Канады и Англии), приходится использовать специальное программное обеспечение — «ботов». За несколько секунд после старта распродажи они успевают забронировать и положить товар в корзину. Без капча-сервисов такие «боты» работать не смогут.

Варианты реализации

Искаженная строка smwm

В наиболее распространённом варианте капчи пользователь вводит символы, изображённые на рисунке (зачастую с добавлением помех или полупрозрачности), но так, чтобы было очень затруднительно машинное распознавание текста. По общепринятым нормам доступности интернета для людей со слабым зрением, такая капча должна дополняться вариантом, основанным на распознавании речи (аудио-капча). Также есть капчи, где нужно выбрать правильную картинку из списка.

Могут также применяться другие плохо алгоритмизуемые задачи: например, узнать, что находится на картинке, отметить все картинки с кошками, или ответить на вопрос, связанный со знаниями или менталитетом именно людей (например, загадка: «висит груша, нельзя скушать»). Тем не менее, стандартом стало именно распознавание символов: оно не привязано ни к какой культуре (основная помеха — слабое зрение), работает даже на мобильных браузерах, и пользователь со стажем быстро опознаёт картинку как капчу. Возможны также комбинированные капчи.

Варианты реализации

Спамеры и брутфорсеры

Два наиболее мерзких типа пользователей, которые портят жизнь нормальным людям. Кто такие спамеры — не нужно объяснять. Именно для борьбы со спамерами были придуманы первые капчи. Но после того как поисковые сервисы перестали учитывать ссылки от спамеров, а иногда и вовсе стали банить за это, спамеры снизили накал своих раздражающих действий. Спамеры обычно вручную вводят капчи или пользуются самописными программами. Сервисами вроде ruCaptcha они практически не пользуются, так как обычно они получают ненамного больше за свою работу, и им просто невыгодно покупать разгадывание капч.

Также есть брутфорсеры — мошенники, взламывающие учётные записи путём подбора логина и пароля. Почти во всех сервисах, где имеется возможность залогиниться, есть определённое ограничение попыток ввода логина и пароля. Потом нужно вводить не только логин и пароль, но и капчу, которая усложняется с каждым разом. Как рассказали специалисты сервиса ruCaptcha, их услугами пользуется не более 0,5 % таких людей, которых при обнаружении незаконной активности тут же банят.

Способы прохождения капчи роботом

Использование уязвимостей

Уязвимость в CAPTCHA

Предположим, картинка с цифрами 1234 вызывается кодом.

<img src="/captcha.php?code=1234" />

Вместо того, чтобы проходить капчу, машина считывает URL и вводит ответ 1234.

При недостаточной квалификации веб-программиста бот может выдать ответ, не проходя тест. Например, по какой-либо информации, содержащейся на странице, компьютер сам, без вмешательства человека, способен правильно ответить на вопрос, на который предположительно мог бы ответить только человек. Либо человек проходит тест один раз, а компьютер фабрикует множество запросов с тем же ответом.

Угадывание

Применяется в первую очередь для «нетрадиционных» капч с небольшим количеством вариантов ответа (1000 и меньше). Робот «гадает», посылая случайные ответы, и некоторые из них оказываются верными.

Использование баз данных

Данный подход эффективен, когда вопросы подготавливаются администратором, а не генерируются машиной. С помощью баз данных можно пройти многие нетрадиционные варианты капчи: например, отметить все картинки с кошками.

Автоматическое распознавание

Очень слабая капча (на примере phpBB)

К верхнему изображению применяется отсечка по яркости (всё, что темнее некоторого порога, становится чёрным, остальное — белое). Определяются границы символов, и каждый из них сравнивается с базой символов. Для разбора такой CAPTCHA не нужно даже оптическое распознавание символов, поскольку в ней есть сразу несколько слабых мест:

Лёгкость отделения символов от фона с помощью цветового ключа,
Лёгкость отделения символов друг от друга,
Фиксированный и неискажённый шрифт.

После отсечки на буквах образуется случайный узор, поэтому нет стопроцентной гарантии, что все символы будут распознаны (в PWNtcha рейтинг этой CAPTCH’и — 99 %). Но оставшийся один процент совершенно не важен.

В новой линейке форума phpBB (3.x.x) по умолчанию используется усовершенствованная CAPTCHA с использованием библиотеки GD Graphics Library.

Существуют программы (например: PWNtcha), распознающие конкретные реализации капчи. Кроме того, существует возможность подключать модули из программ распознавания текста общего назначения (например: FineReader, OmniPage) в программы сторонних разработчиков для распознавания картинок капчи.

По отношению к автоматизированному распознаванию существуют понятия «слабая капча» и «сильная капча». В числе «слабостей» — фиксированный шрифт, фиксированное положение символов, отсутствие искажений, отделение символов от фона с использованием цветового ключа или размытия по Гауссу, лёгкое отделение символов друг от друга и т. д. Впрочем, иногда бывает, что сильная капча оказывается труднораспознаваемой и для человека, что уже есть неприемлемая крайность. Изредка встречается капча, легко прочитываемая компьютером и с большими трудностями — человеком (например, с неконтрастной картинкой), — такая капча вообще не соответствует назначению капчи как таковой.

Если сгенерированная картинка оказалась нечитаемой, пользователь, как правило, имеет возможность получить новую. Прочная капча должна выдавать картинку с другим ответом.

Многие нетрадиционные варианты капчи также на поверку оказались слабыми — «нероботоустойчивыми».

Распознавание чужими руками

Есть способ «распознавания», использующий человеческий ресурс с высокопосещаемых сайтов. Робот скачивает капчу с нужного интернет-сервиса и предъявляет его посетителю сайта. Взамен посетитель сайта получает доступ к ресурсу, а робот узнаёт код, изображённый на картинке, и вводит его на «штурмуемом» сайте. Посетитель сайта может и не подозревать, что каждый просмотренный ролик оборачивается регистрацией нового почтового ящика для рассылки спама.

Для защиты (к сожалению, не полной) от такого способа обхода капчи сайт автоматически меняет капчу-картинку, если ответ на неё не ввели сразу (в течение небольшого промежутка времени), — регулярно каждый раз через определённый период времени, или при попытке начать запоздалый ввод ответа.

Есть также специализированные сайты для обмена или продажи капчи.

Незрячие

Всё больше незрячих людей начинает пользоваться интернетом, ведь сейчас они могут управлять компьютерами с помощью голосовых команд, а голосовые помощники вроде Siri или «Алисы» помогают им читать информацию. Незрячие люди могут даже оставлять комментарии и с комфортом общаться в онлайн-чатах. Увы, но те же Siri и «Алиса» не умеют распознавать капчи, из-за чего такие люди не могут пользоваться многими сервисами. Решение — ruCaptcha. Сервис создал даже бота для «Телеграма», которому можно прислать изображение капчи, после чего он вернёт её в текстовом виде, и уже затем её озвучит голосовой помощник.