Что такое капча при регистрации. Продвижение в Instagram в пару кликов! В чем причина возникновения капчи

Привет всем. Скорее всего Вы уже знаете что такое капча, возможно просто видели ее, но не знали как называется эта кривая и раздражающая картинка, которую нужно вводить на каждом шагу. Так вот, для тех, кто не знал — это капча (captcha).

— это автоматически генерируемый тест-проверка, является ли пользователь человеком или компьютером. Представляет собой в подавляющем большинстве случаев искаженную надпись из букв и/или цифр. Они могут быть написаны в различных цветовых сочетаниях с применением шума, искривления, наложения дополнительных линий или произвольных фигур.

Назначение и функция капчи

Для чего нужен ввод капчи, ведь это может отталкивать пользователей?
Например, в любимой всеми социальной сети ВКонтакте ее нужно вводить, если количество действий в определенный промежуток времени превысит допустимый параметр. Грубо говоря, если вы отправите подряд 50 сообщений с интервалом в 1 секунду, то, наверняка, выскочит капча, так как вас заподозрят в спаме. А спамят, как известно, в большинстве своем роботы, которые не смогут (по задумке авторов) ввести текст с рисунка. Соответственно, это вынужденная мера, которая защищает ресурсы от спама и повышенной нагрузки при атаке ботов.

Однако, captcha не всегда помогает, ведь на каждый замок можно найти ключ, иначе этот замок просто сломан и бесполезен. Большинство рисунков можно распознать нейронными сетями, предварительно натаскав их на многочисленных (несколько десятков, а то и сотен тысяч) примерах. Эти примеры подготавливают добровольцы, которые днями напролет за небольшое вознаграждение сидят и вбивают капчи. Дабы не быть голословным, вот пример с habrahabr по взлому капчи яндекса. Также существуют специальные сервисы, такие как antigate, которые предоставляют услгу по распознаванию. Они имеют огромную готовую базу примеров, а те случаи, которых еще нет в базе, распознаются вручную.

Примеры captcha, случаи использования

Может быть можно придумать что-то не такое раздражающее как прыгающий и скачущий текст\цифры? Да, конечно можно придумать. И более того, уже придумали. Сейчас я покажу Вам примеры капчи, которые не так раздражают посетителей. Начнем со стандартной — текстовой.

Теперь перейдем к более интересным примерам. К таковым можно отнести капчу, где нужно выставить вертикально 3 картинки. На мой взгляд, это одна из наиболее удачных вариаций в данной области, просто потому, что она не раздражает, а даже наоборот, увлекает и немного веселит. Это даже не ввод captcha, а просто мини игра.

Далее хотелось бы пару слов сказать про математическую капчу. Она может быть как простой, так и сложной. Лично мне нравится капча, где требуется сложить или вычесть два числа. Это гораздо удобней, чем сидеть и разбирать кривой текст. Однако, если чуть чуть перебрать со сложностью, то могут возникнуть проблемы.

Ну и в заключение, опасный пример мнимой безопасности, капча — «поставь галочку». Многие считают, что этого достаточно, но не подозревают, что программно поставить галочку очень просто и обучить этому бота — дело 1 минуты. Ведь при этом ввод капчи как таковой не происходит, а происходит изменение параметра CheckBox’a.

Теперь вы знаете что такое капча (captcha) и представляете, примерно, какими они могут быть.

Часто ли вы сталкиваетесь с проблемой — не можете ввести капчу с первого раза? А для человека, который не общается с компьютером «на ты» преграда (неправильно введена капча или не проходит ее проверка) становится большой проблемой. Что делать?
Трудность распознавания капчи пользователем — не самая острая проблема, как кажется на первый взгляд. Можно закрыть на это глаза, но действительно ли капча защищает сайты от всевозможных автоматизированных систем распознавания. Далеко не так!
Выделим 3 способа автоматизированного распознавания капчи:
Используются ошибки в алгоритме защиты. Этот способ обхода защиты — самый простой, применяется, в основном, в простых самодельных решениях. Проводится поиск логических ошибок, которые позволяют отправлять форму с капчой без распознавания ее.
Самая популярная ошибка — передача проверочного кода в открытом виде через поля формы. Не составляет большого труда определить код капчи, например, сгенерировать таблицу кодов, соответствующую алфавиту капчи (только пятитизначные буквы английского языка, только шеститизначные цифры) и сопоставить.
Если в алгоритме защиты допускается разгадывание одной и той же капчи более одного раза, это дает возможность атакующему неоднократно использовать идентификатор капчи, которая распознана.
Применяется автоматическое распознавание:

• использование готовых средств оптического распознавания (OCR).

Самый простой подход, не требует особых навыков программирования. Таких программ в свободном доступе много и часто они распространяются бесплатно.
Для распознавания необходимо передать изображение капчи такой программе, на выходе которой — распознанный текст. Программы предоставляют много настроек, которые позволяют сделать распознавание очень эффективным.
Для предотвращения распознавания с помощью таких программ применяются различные искажения картинок, скручивание, добавление мусора, различные цвета и т.п. В таком случае % распознавания — около 10%, но это вполне приемлемый результат для атакующего.

• применение самописных скриптов из библиотек GD.

Такие скрипты дают возможность очистить изображение от мусора, убрать фон картинки, выровнять текст, обрезать, убрать многоцветность, усреднить цвет и т.д.
Эффективно использовать такой скрипт для предварительной очистки изображения, а сам процесс распознавания провести другим способам.

• применение нейронных сетей.

Наиболее интересны и применяемы атакующими для автоматического распознавания с высокой степенью вероятности любой капчи.
В интернете доступно много библиотек для разных языков программирования, распространяются они бесплатно.
3. Применяется полуавтоматическое распознавание капчи с привлечением дешевых человеческих ресурсов.
Существует много сайтов (antigate.com; captchabot.com, rucaptcha.com и другие), которые предлагают клиентам выгодную услугу: принимают от него в автоматическом режиме изображение с капчей и через 10-30 секунд выдают ответ (правильный, по их мнению). Удачное распознавание составляет порядка 90-95%.
Стоимость услуги для клиента составляет от 1 до 3$ за распознавание 1000 капчей.

Какие применяются способы защиты капчи?

Ниже приведены некоторые способы защиты:

• применение русского алфавита (исключение английского);
• применение комбинации букв русского алфавита и цифр;
• введена дополнительная защита в виде наложения различных фильтров, искажений, мусора и т.д.

Такая защита сильно усложняет прочтение и распознавание капчи не только специалистам, но и обычным пользователям ресурсов в интернете, чья подготовка в разы ниже.
Какой вывод напрашивается? Да, пользователи, которым трудно или лень разгадывать сложную капчу, будут находить нужную им информацию на сайтах, где это не требуется. Что это за сайты, понятно каждому.
Противостоять им не просто, учитывая что владельцы сайтов переложили ответственность за загрузку капчи на своих клиентов, что не позволяет вычислять ip-адреса (их собственные или тех, которые занимаются распознаванием изображений), для дальнейшей блокировки.

Почему капча может не верно вводится и что делать в таком случае?

По некоторым исследованиям, ежедневно в интернете вводится около 200 млн. капча кодов. Собственниками сайтов введена защита контента — если пользователь не сможет распознать код, изображенный на картинке, то он не получит доступ к защищаемым данным.
Проблема с капчей возникает по разным причинам: при вводе капчи открывается картинка с одним/двумя словами, которые слабо различаются на фоне изображения, кроме того форма символов искажена, слова написаны с ошибками; компьютеру сложно распознавать искаженные шрифты и бессмысленные текст, человек же может этим воспользоваться для аутентификации.
Что делать, если неверно вводится капча:

• если невозможно или сложно разобрать код, обновите изображение с кодом;
• не загружается или не открывается изображение капчи может из-за разрыва интернет — соединения. Перезагрузите страницу сайта стандартными средствами браузера;
• не показывается изображение кода. Возможная причина — отключен показ изображений на Web страницах. Так как капча — код — графическое изображение, он тоже не загружается. Подключите функцию загрузки рисунков автоматически;
• если после выполнения всех предыдущих действий рисунок не показывается, прослушайте аудиосопровождение капчи (перечисляются цифры или символы кода на фоне звукового сопровождения). Правильно введите код в поле окна капчи;
• на некоторых сайтах капча показывается только при входе с главной страницы. При входе с других страниц она не показывается;
• не открывается изображение капчи, попробуйте зайти на сайт через другой браузер;
• не проходит проверка — капча может конфликтовать с антивирусным ПО, она воспринимается как потенциально опасный элемент. Попробуйте деактивировать антивирусник и обновить страницу;
• код с картинки не показывается или его там нет. Попробуйте нажать несколько раз «не вижу код», — такая манипуляция может помочь.

Как писать обычную и сложную капчу

Итак, обычная капча — это окно, в котором вверху находится искаженное изображение, чаще всего символы: набор букв и цифр, а внизу пустая строка, куда вы должны будете вписать расшифрованный код. Как видите, ничего сложного в данном процессе нет.
Пользователь должен знать, что существуют капчи разных видов:

• буквенные;
• цифровые;
• буквы+цифры;
• русские капчи;
• английские капчи;
• капчи с картинками (где необходимо правильно расположить картинку, поворачивая ее в разные стороны;
• капчи в виде примеров (вычитании, умножение и т.д.). Здесь необходимо решить какое-то арифметическое уравнение, оно очень простое, по типу 2+2 и т.д;
• сложные капчи с заданиями.

Рассмотрим три последних варианта, они являются сложнее, чем другие вышеперечисленные капчи. Написать код в случае с капчей-картинкой не получится, потому, как здесь не нужно капчу писать, ее нужно поворачивать, чтобы картинка выглядела логично, то есть, была правильно поставленная. Если вам высветилась капча с примером, то ее просто нужно решить, то есть, в пустую строку, вы должны вбить правильный ответ, а не переписывать сам пример в графу.
Что касается сложной капчи, то здесь вам необходимо будет выполнить задание. Обычно написать в строку, необходимо какой-то ответ. Вам может быть дана ссылка, по которой вы должны будете перейти и найти, к примеру, телефон какой-то компании. Находите и вписываете его в строку, капчу. Это займет не больше минуты, к тому же, такие капчи попадаются очень редко, чаще всего они есть на серьезных коммерческих сайтах, куда просто так не зайдешь.
Смотрите видео — Как можно писать сложную японскую капчу

Автоматические программы для обхода капч

Сегодня практически на каждом сайте есть рассматриваемая система защиты. Забавно то, что создатели сайтов считают, что сегодня можно иметь такую защиту, и устанавливают ее именно по этой причине, но не по причине наличия желания обезопасить созданный ими ресурс. Обычный пользователь все чаще начинает сталкиваться с запросами в виде капч, и в последствие, это становится раздражительным действием. Именно поэтому многие пользователи ищут способы не попадать на капчи, чтобы автоматическая программа распознавала их.
Существуют программы, которые могут избавить вас от этих надоедливых кодов. Самыми востребованными считаются бесплатные программы, скачать и установить которые может каждый, но самыми эффективными являются новейшие программы распознавания капч, за установку которых пользователю придется заплатить.
Каждый пользователь интернета хотел бы быть в курсе всех событий и определений, которые есть в этом виртуальном пространстве. Зная базовые определения, можно с легкостью выполнять самые различные функции в интернете и не пугаться каждому высветившемуся окну. Выясним, что такое капча и зачем она нужна при регистрации.
Для того чтобы разобраться с этим понятием, нам нужно узнать его определение, то есть, то, что собой представляет рассматриваемое слово, что обозначает.
Капчей называется проверка тестового типа , генерируемая и к тому же, автоматическая, которая осуществляет проверку, кем является пользователь, кто он компьютер или же настоящий человек.
Выглядит данная проверка как окно, в котором, снизу находится искаженное изображение некоторых цифр и букв, над которым находится пустая строка, куда необходимо ввести данное изображение, перед этим расшифровав его.

Итак, мы смогли выяснить и подробно объяснить, что такое капча, теперь перейдем к вопросу — зачем она нужна, для чего ее используют, и может ли ввод капчи приносить доход? Дело в том, что многие, наверное, задавались вопросом, зачем же нужна такая тест проверка, ведь она может наоборот отвергать пользователей от какого-либо действия. Если вы пользователь социальной сети Вконтакте, наверняка, сталкивались с тем, что если слишком быстро и часто, то есть, подряд, выполнять некоторые действия, например, комментировать подряд 20 фото или ставить лайки под 50 картинками, вам придется вводить капчу, потому что система может заподозрить вас в том, что вы не настоящий пользователь, а запрограммированный робот, то есть, программа, которая делает определенные действия автоматически.
Когда вы вводите капчу, вы доказываете системе, что вы не робот, потому как роботы не могут распознавать и водить картинки, а такое ваше поведение, это всего лишь, желание прокомментировать массу фото.
Получается, капча — это действительно вынужденная мера защиты системы от спама, нападения автоматических программ, нагрузки повышенного типа.
Несмотря на ее назначение, captcha может помочь не всегда, потому как к каждому замку, все-таки, рано или поздно, можно подобрать нужный ключик, а значит и эту систему защиты рассматриваемого ресурса можно взломать.

Взлом системы защиты ресурса

Как оказалось, девяносто процентов рисунков и изображений, которые выдаются для ввода капчи защитной программой, можно разгадать автоматическими сетями нейронного типа. Для этого достаточно несколько сотен примеров ввести вручную, чтобы программа смогла автоматически вводить подобные искаженные изображения, без вмешательства человека. Что такое капча мы уже выяснили, тем перейдем к тому, как натаскивают такие программы и делают возможным взлом защитной программы.
Обычно за невысокую плату подобные примеры могут подготовить наемники, которые зарабатывают тем, что вводят капчи целыми днями, именно они и предоставляют несколько сотен примеров для автоматизации рассматриваемой программы.
Сегодня существует ряд сервисов в интернете, которые за отдельную плату предоставят вам взлом данной системы защитного типа, то есть, распознание любой капчи автоматическим путем.

Виды капчи

На вопрос, что такое капча — можно ответить, что это картинка, которую нужно распознать и ввести, не совсем точное понятие, определение, потому как это может быть еще и рисунок, который необходимо правильно повернуть. Например, будет нарисована уточка, которая лежит на боку. Вам необходимо будет повернуть ее таким образом, чтобы картинка имела логический вид, то есть, поставить утку на ноги. После проделанного действия, компьютер убедится в том, что вы живой пользователь, а не робот.
Такое разнообразие капч необходимо потому, что существуют программы, которые мы рассматривали выше, взламывающие защитные капчи. Такого рода капча надежно защитит ресурс от баннеров.
Существует также математическая капча, это когда в окне выдает пример, который нужно решить, такое решение, если оно правильное. Является подтверждением того, что вы не робот, а обычный пользователь ресурса. Бывают как очень простые примеры, такие как 1+1, а бывают и достаточно сложные, в несколько действий, это зависит от того, в какой именно программе вы производите определенные действия или же на какой сайт зашли.

Современному пользователю интернета знакомо понятие Captcha, если он хоть раз сталкивался с формами регистрации на сайтах или же отправкой комментариев на блогах и форумах. А с этим, как известно, люди не сталкиваются только при полной изоляции от сети.
Капча представляет собой поле, в котором написано какое-то слово (не обязательно несущее смысл), либо же арифметическое действие, что необходимо решить и написать ответ в соответствующей строке. Последним временем среди часто встречающихся капч можно отметить проверку с помощью картинок, где человеку нужно выбрать изображения, подходящие под определенный запрос.
Но не все юзеры понимают, зачем нужна капча. Они на автомате вводят требуемую информацию и забывают о существовании ребуса.

Если обратиться к истокам возникновения этого явления, то слово капча произошло от английской сложной аббревиатуры. Ее смысл заключается в том, что в обязанности этой маленькой программы входит тестирование пользователя на его принадлежность к человеческому роду. То есть, капча призвана отличить человека от робота.
По сути капча необходима для защиты сайтов от автоматического спама, которого нынче в интернете пруд пруди.
Существуют разные методы заработка в интернете. И некоторые из них не совсем законные. Например, рассылка спама по форумам, массовая регистрация на веб-сайтах и прочее. Если такой заработок производиться с помощью деятельности одного единственного человека, то он малоэффективен. Но если приобщить к этому бота, или даже целую их команду, которые будут осуществлять данные операции на множестве компьютеров, то на таких простых действиях можно заработать приличную сумму.
И Captcha — это как раз и есть тот самый неустанный борец за справедливость. Он легко предохранит любой сайт или форум от автоматического спама, проверяя с помощью нехитрых методов посетителя ресурса на наличие «сердцебиения».

Всегда ли легко вводить капчи пользователям?

Чего следовало бы ожидать от капчи, так это легкой возможности разгадки ребуса любым человеком вне зависимости от его умственных способностей. Но компьютер при этом должен затормозить перед тем, как в итоге принять неправильное решение. Программа совсем не приспособлена к тому, чтобы решать показанные на рисунке задачи. А человек это сделает с легкостью.
Под вводом капчи имеется в виду набор комбинации определенных букв или цифр. При этом на картинке кроме нужной надписи присутствуют еще и помехи разной степени.
Зачастую они совсем не усложняют человеку задачи, но иногда встречаются и плохо читаемые сочетания. Тем не менее, цифровые системы распознавания текстов гарантировано споткнутся на таком задании, поскольку они предназначены для сканирования четко отображенного и «чистого» книжного текста.
Часто и людям доставляет мало удовольствия расшифровывать капчу. У каждого была ситуация, когда Captcha была неразборчива или же какой-то элемент был принят за дополнительную букву, и приходилось вводить ее снова либо же запрашивать новую капчу. На это все уходит довольно много драгоценного времени, поэтому пользователи часто отказываются от регистрации на веб-ресурсах со сложными ребусами.
Вместе с тем, разработчиков капчи тоже можно понять. Мошенники уже давно придумали способы обойти капчу. Именно поэтому создаются новые препятствия для того, чтобы компьютер не смог ее прочесть.

Можно ли заработать на вводе капчи?

Да, можно. Известным ресурсом, который позволяет получить деньги за ввод капчи является биржа Рукапча. Здесь размещено множество заказов от владельцев различных интернет-ресурсов, которым нужны массовые распознавания капчи.

Мы будем рады вашим комментариям!

В этой статье мы рассмотрим один из простейших и доступных заработков в интернете — ввод капчи за деньги .

Простота и доступность любому желающему работы по вводу капч привлекает в эту сферу все новых и новых работников. Ведь заработок по распознаванию капч отлично подходит новичкам и тем, кому требуются дополнительные способы заработка в интернете . А заработанные на капче деньги запросто можно вывести на свой электронный кошелек…

Прежде, чем перейдем к сервисам, давайте сначала пробежимся по нескольким важным вопросам.

Что такое капча (captcha) и рекапча? Назначение капчи

Капча или CAPTCHA (расшифровку аббревиатуры см. на Википедии) — это картинка с искаженными или слегка размытыми буквами и/или цифрами. Капчу вы могли вводить, например, на файлообменниках, когда скачивали файлы или при отправке сообщения Вконтакте, или еще где-либо.

Рекапча — капча в виде изображений чего-либо или кого-либо: транспорт, еда, строения, животные, люди и так далее. Вот пример рекапчи от Google. Кстати, многие интернет-ресурсы перешли на этот формат капчи.

Основное назначение каптчи/рекапчи — выставить барьер программам-ботам, значительно усложнив им "грязную" работу, и тем самым оградиться от их нежелательных последствий, например, автоматических регистраций на интернет-сайтах, массовой рассылки спама. Другими словами, капча выполняет защитную функцию.

Почему за работу по вводу капч платят деньги?

В некоторых случаях нужно обойти защитный барьер в виде капчи: чаще это требуется веб-мастерам или оптимизаторам для продвижения проектов, например, при регистрации сайтов в специализированных каталогах или при использовании СЕО-софта. А значит вебмастеру нужно проделать значительную работу по вводу только одних капч, потеряв на этом свое драгоценное время.

На помощь оптимизаторам приходят специальные сайты, где они заказывают (оплачивают услуги) по распознаванию капч. А сервисам, в свою очередь, требуются исполнители для работы по вводу капч. Получается, что веб-мастера платят деньги за показ капчи на сайтах-посредниках, а исполнители получают вознаграждение за верно разгаданные картинки.

Любителям халявы! НЕ существует заработка на капчах в автоматическом режиме, то есть программным или иным способом, заменяющим ручное распознавание, т.е. с помощью человека. Иначе не было бы смысла оплачивать работу за ввод капч ее исполнителям. И если в сети увидите предложение о покупке программы, которая якобы распознает капчи на "автомате", то помните, что это мошенники.

Cколько можно заработать на вводе капчи? Ставка за ввод капчи

Давайте посмотрим сколько может заработать исполнитель вводом капчи.

Средняя ставка за одну правильно разгаданную картинку — 0,03-0,05 руб. или 0,0005$ .

Т.е. за работу объемом 1000 верно введенных капч вы получите от 30 до 50 рублей или 0,5 дол. США и, возможно, больше.

Другими словами, это ваш заработок в интернете на капчах примерно за час.

Примечание. Данные взяты с одного из сервисов (о них ниже).

Заработок в 1 рубль за 1 капчу. Правда ли?

Важно! В интернете появляются сайты-мошенники, которые якобы платят 1-2-3-4 рубля за ввод 1 капчи, а то и вовсе предлагают 100 рублей за одну капчу. Это НЕ правда! Таких расценок в реальности нет и денег с таких сайтов за свою работу вы не получите!

Предполагаю, что мошенники преследуют цель собрать данные о пользователях, включая номера банковских карт. Ведь чаще предлагается вывести якобы заработанные на капче деньги именно на карту. Будьте внимательны! Не вводите номера и коды от ваших карт на сомнительных сайтах!

Плюсы и минусы работы на капче

Плюсы заработка на вводе капч:

• очень простая и доступная работа не требующая вложений средств;
• не требуются также специальные знания и профессиональные навыки;
• быстрый способ заработать деньги.

К минусам такого вида заработка можно отнести:

• относительно небольшой доход;
• работа на капче — очень нудная и скучная;
• в процессе ввода капч глаза будут уставать от постоянного напряжения.

Список сайтов и сервисов для заработка на вводе капч

Вот список сайтов и сервисов для заработка на вводе капч.

Сайт №1: "RuCaptcha"

RuCaptcha — лучший русскоязычный специализированный сайт для работы по распознаванию капч.

Особенности "РуКапчи":

• удобный и функциональный интерфейс системы;
• сервис постоянно развивается и улучшается;
• есть официальная программа (под Windows и Android) для работы с обычной капчей и дорогой рекапчей с галочкой. Как найти программу: перейдите в раздел "Поддержка" — теперь слева в меню "Для работников" зайдите в подраздел "RuCaptcha Bot ");
• оплата за 1000 обычных капч до 60 руб., за рекапчи - больше 100 руб.;
• "Репутация работника" — рейтинговая система. Выше рейтинг, больше капч и, соответственно, заработок;
• бонусы за распознавание сложных капч;
• отображение на главной странице сервиса средней ставки за ввод капчи.

Вывод денег с "РуКапчи":

• мгновенные выплаты от 15 рублей (в некоторых случаях в течение 10-20 мин.);
• поддержка нескольких платежных систем: WebMoney, Яндекс-Деньги, Qiwi, Payeer, Bitcoin, Perfect Money, AdvCash, банковские карты VISA/MasterCard, на счет мобильного телефона (для РФ).

Перейти на RuCaptcha

Сайт №2: "Kolotibablo"

Kolotibablo — один из первых появившихся сайтов по вводу капч. Со временем сервис модернизировали: интерфейс стал приятней, добавили рекапчи, а выплата средств производится самыми разными способами.

Особенности "Kolotibablo":

• топ работников, статистика и другие фишки;
• средняя ставка "Колотибабло" за ввод кода с одной картинки — 0,0005$-0,0011$;
• есть программа для работы с капчами (только для Windows) и плагин для браузера. Найти их можно в разделе "Информация";
• капчи здесь бывают на кириллице, латинице и цифровые, а также рекапчи.

Вывод денег с "Kolotibablo":

• чтобы заказать заработанные деньги необходимо разгадать, как минимум, 500 капч;
• вывод от 0,5-10 USD (зависит от платежной системы) в течение 1 минуты;
• платежки: AdvCash, Bitcoins, Litecoins, Ethereum.

Перейти на Kolotibablo

Сайт №3: "2Captcha"

2Captcha — достойный внимания сайт, это англоязычная версия "РуКапчи" с аналогичным интерфейсом, разобраться с которым не должно составить труда.

Особенности "2Captcha":

• цифровые и латинские символы;
• средняя ставка за ввод 0,0004-0,0005$, т.е. за 1000 капчей получите до 0,5 USD.

Вывод денег с "2Captcha":

• быстрый вывод от 0,5 USD;
• платежки: WebMoney, Payza, Perfect Money, Bitcoin, AdvCash.

Перейти на 2Captcha

Сайт №4: "MegaTypers"

MegaTypers — американский проект по вводу капчи за деньги. С помощью подключенного к сайту переводчика Гугл, можно перевести страницы сервиса на русский язык.

Сколько лет существует Хабр - столько лет на нём регулярно появляются посты про очередную капчу - будь то скрипт генерации картинки, новая идея капчи с котиками и тому подобное. Самый свежий пример того, что человек не совсем понимает - как же всё таки должна работать капча (см. текст поста и последние комментарии), но при этом делится своими заблуждениями с сообществом. Складывается ощущение, что капча - это такая terra incognita для большинства разработчиков - как для тех, кто просто прикручивает её к очередной форме в надежде на то, что она будет работать «из коробки», так и для тех кто придумывает капчи вроде тех, на которых надо выбрать картинку с котиком из нескольких фото.

Статья содержит полезную информацию для тех, кто использует капчу на своём сервере, вместо того чтобы довериться стороннему сервису вроде reCaptcha.

А для затравки - если вы считаете, что такая проверка капчи будет работать:
if($_POST["captcha"] == $_SESSION["captcha"]) return true; (пример из практики)
то вы глубоко заблуждаетесь.

Captcha

Согласно своему определению, captcha - это автоматизированный публичный тест Тьюринга (тест который может пройти человек, но не компьютер). В статье я буду рассматривать свойтсва капчи на примере самого распространненого её вида - текста на картинке, хотя почти все написанное одинаково применимо к любому виду капчи.

Два главных свойства капчи

Любая капча должна обладать двумя свойствами, без которых она не будет работать:

Устойчивость к распознаванию - свойство, защищающее капчу от распознавания алгоритмом - например системой распознавания текста. Гарантирует то, что человек сможет прочитать текст на картинке, а компьютер нет.
Антипример: стандартная капча форумов phpBB 2.x таким свойством не обладала - из-за относительной простоты распознавания появились скрипты, которые спамили все подряд форумы вынуждая веб-мастеров менять капчу на более стойкую.

Устойчивость к угадыванию - свойство капчи, не позволяющее угадать её значение за небольшое число попыток (менее 1000). Если набор возможных значений капчи невелик, программе не составит труда угадать её подбором вместо распознавания.
Антипример: арифметическая капча вроде «1+2» (перебор чисел от 1 до 20 в скором времени даст результат).
Антипример: выбрать из нескольких картинок ту, на которой изображён котик.

Проверка капчи

Значение для проверки должно храниться на сервере, а не передаваться вместе с картинкой в браузер. Для сопоставления посетителя и правильного значения капчи необходимо использовать некий ключ, который передаётся вместе с капчей (идентификатор сессии, номер капчи и т.п.)
Антипример: если передавать саму капчу и значение для ее проверки (в том числе зашифрованное), то человеку достаточно один раз распознать такую капчу и далее использовать комбинацию «ответ»-«значение для проверки» в своём скрипте (по ссылке в начале поста как раз такой случай)

Перед проверкой ответа - надо убедиться, что он не пустой. В противном случае, злоумышленник может не загружая картинку или удалив идентификатор текущей сессии, передать пустое значение и пройти капчу, т.к. произойдёт сравнение двух пустых строк (в PHP несуществующее значение равно пустой строке).
Антипример: уже упомянутый мной код if($_POST["captcha"] == $_SESSION["captcha"]) return true;
Причем этот код был написан опытным программистом.

После проверки, сохраненное значение капчи необходимо удалить. Если не сделать этого, злоумышленник сможет использовать данное значение снова неограниченное число раз. Да, при обновлении страницы с формой обновляется и капча (либо при генерации формы, либо при генерации картинки), вот только скрипт может не загружать форму снова (надо упомянуть, что это не актуально если на сайте используются одноразовые csrf-токены для форм).
Антипример: гипотетическая форма логина, в которой достаточно один раз ввести капчу правильно, и далее подбирать пароль скриптом, избегая перегенерации капчи на сервере.

Пуленепробиваемая капча

Защита от перебора. Если ваша капча устойчива к распознаванию, но не очень устойчива к перебору (например на ней надо прочитать всего 3-4 цифры), желательно ограничить число неправильных ответов «с одного ip» / «для одного логина» / etc. Такие ограничения необходимо проверять ДО проверки самой капчи (то есть даже в случае правильно введенной капчи, при наличии ограничения она не должна считаться пройденной) иначе оно не будет препятствовать перебору.

Защита от DoS. При генерации капчи на своем сервере, надо понимать что это удобный вектор проведения DoS атак (которую, в отличие от DDoS, может устроить любой школьник). Для защиты можно ограничить число генерации капчи для одного ip, кэшированием капч и т.д.

Защита от распознавания. Если вы выбираете капчу, или вдруг собираетесь написать её сами, желательно понимать какая капча более защищена от распознавания. Существуют готовые универсальные скрипты распознавания капчи, работающие по принципу OCR , а в случае если ваш сайт заинтересует спамеров есть риск, что будут использовать / писать скрипт конкретно под вашу капчу. Последнее правда относится больше к сайтам уровня Яндекс или vk, а вот вариант с защитой от банальных OCR желательно предусмотреть.

Защита от антигейтов. Если говорить формально, то капча как тест Тьюринга не обязана защищать вас от антигейтов, так как в этом случае её будет распознавать человек. С практической же точки зрения, этот вопрос весьма актуален и защищаться как-то надо.
Тут нет и не может быть «золотого стандарта» (ибо в таком случае антигейты внедрят его поддержку), поэтому вы вольны дополнять капчу любыми ухищрениями, чтобы сделать её распознавание через антигейт невозможным. Например:
- нестандартная капча (сбор паззла, поворот изображения, клик по области на фото и т.п.);
- кириллическая капча - самое простое решение, но имеет ряд минусов: подходит только для проектов с русскоязычной аудиторией, есть антигейты с поддержкой кириллицы;
- использование виртуальной клавиатуры рядом с капчей для ввода нестандартных символов или фигур (может быть неудобно пользователям мобильных);

Юзабилити

Не просите ввести капчу, если вы уже убедились, что перед вами человек. Тут однако, надо быть осторожным, чтобы форму нельзя было использовать скриптом неограниченное число раз после однократного ввода капчи человеком.
Пример: форма регистрации. Если я где-то регистрируюсь, и забыл ввести поле «почтовый индекс», но правильно ввёл капчу - не надо показывать мне новую. Потратьте 10 минут на то, чтобы сохранить где-то у себя, что вот эту конкретную форму сейчас пытается заполнить живой человек.

Для облегчения распознавания человеком: не используйте в капче одновременно буквы и цифры, не используйте одновременно прописные и строчные буквы, исключите похожие символы.

Отказ от использования капчи

Лучшая капча - отсутствие капчи. Там где можно отказаться от её использования - это надо сделать. Возможно для этого придется реализовать дополнительные лимиты и проверки, но пользователи скажут вам спасибо.
Но тут надо быть очень осторожным. Например: форма регистрации без капчи, с полем email на который приходит письмо с активацией. Без дополнительных средств защиты такую форму могут завалить «левыми» адресами, и ваш сайт включат в черные списки почтовые службы. В таком случае можно обходиться без капчи, но только если у вас есть другой рубеж защиты, вроде лимита по ip.

Кому то информация в этом топике покажется очевидной, но если бы я не сталкивался с примерами непонимания этих простых принципов в жизни, в том числе у опытных коллег-разработчиков, я бы не стал тратить время на написание этого текста.

Капча (captcha) - это защитный код, который выводится на страницах интернета в ряде случаев. Смысл ее заключается в том, чтобы автоматические программы, так называемые «боты», не смогли пробиться на сайт.

Обычно капча - это сочетание букв и цифр, которые нужно ввести в окошко.

Но бывают и более хитрые варианты. Например, нужно решить уравнение, выбрать из нескольких картинок определенную или сделать что-нибудь еще.

Пока вы этого не сделаете, сайт будет заблокирован, то есть выполнить на нем определенные действия не получится.

Зачем нужна капча

Есть программы, которые могут автоматически что-то делать в интернете. Например, рассылать рекламу, публиковать фальшивые отзывы. И вот чтобы их заблокировать, владельцы сайтов ставят капчу.

Например, есть страница в интернете, где посетители оставляют отзывы. Любой человек может заполнить несколько полей (имя, адрес почты) и отправить на сайт свое сообщение, где оно и будет опубликовано.

Эти действия легко сымитировать программой. Ее можно «научить» заполнять поля и публиковать нужные отзывы, чем и пользуются мошенники . Поэтому и была придумана капча - ведь ее программа не введет, а, значит, не сможет опубликовать сообщение.

Но капча появляется и в других случаях. Например, вы просто общаетесь на своей страничке Вконтакте, и вдруг ни с того ни с сего она возникает. Пока вы ее не пройдете, на сайте ничего сделать не получится.

Это происходит потому, что системе показалось что-то в ваших действиях подозрительным. Например, вы слишком быстро отвечали на сообщения, и сайт заподозрил, что это делает не человек, а программа.

Вот и приходится вводить в окошко то, что нарисовано на картинке. Оно, конечно, не очень удобно, зато защищает страницы от взлома.

Следует заметить, что применение капчи всё равно не спасает сайты от рекламы, взломов и прочих нехороших вещей. Но всё-таки избавляет их от излишне настойчивых притязаний.

Какие бывают капчи и как их вводить

reCAPTCHA - проверка, разработанная Гугл. Чтобы ее пройти, нужно поставить галочку в квадратик возле «Я не робот».

Обычно через пару секунд после этого появляется птичка зеленого цвета - значит, капча пройдена.

Но бывает системе этого недостаточно и открывается окошко, где нужно выбрать картинки определенного вида. Например, все фотографии, где есть витрины. Значит, нужно щелкнуть по каждой из них левой кнопкой мышки.

На заметку . Нажимать нужно по каждой картинке, где есть хотя бы часть требуемого изображения. И выбирайте их не слишком быстро – между щелчками должно пройти 1-2 секунды.

Текстовые/цифровые капчи . В окошко нужно ввести кривоватые буквы/цифры, изображенные на картинке. Обычно английские, но бывают и русские.

Часто для удобства есть кнопка, нажав на которую картинка поменяется. Это нужно в случае, если буквы сложно разобрать. Ну, или когда вроде бы всё печатаешь верно, а система не пускает - выдает ошибку.

А еще бывает кнопка, которая озвучивает то, что написано. Нажав на нее, вы услышите голос, который проговорит буквы/цифры с картинки.

Образные . Это капчи в виде картинок. Как правило, нужно просто выбрать подходящее изображение.

Логические . В этом случае нужно решить какую-то задачку. Обычно она несложная: типа напечатайте, сколько будет 6 + 3. Значит, в уме (ну, или на калькуляторе) нужно сложить эти два числа, а результат напечатать в окошко.

Или, например, нужно ответить на какой-то вопрос, разгадать загадку.

Никто вас за это оценивать не будет. Просто таким образом система пытается отсеять автоматические регистрации. Если вы напечатаете правильный ответ, она вас пустит дальше. Ну а если нет, то предложит попробовать ввести капчу еще раз, но уже другую.