Jak działa nowa funkcja ponownego przechwytywania Google?

18

O ile mi wiadomo, Google zmieniło swoją captaptę na nową dla przeglądarki Google Chrome. Google URL Shortener używa tego rodzaju captcha.

To ponowne captcha weryfikuje, że „nie jesteśmy robotem” automatycznie tylko jednym kliknięciem. Ale jak to działa?

Na obrazku poniżej widać captcha.

(1) Klikamy „Nie jestem robotem” i (2) po chwili, (3) re-captcha weryfikuje to automatycznie:

wprowadź opis zdjęcia tutaj

google-chrome captcha Amirreza Nasiri
źródło
1
To „pole wyboru” powinno działać we wszystkich przeglądarkach obsługujących HTML5. Nie tylko dla Chrome. Działa to również w moim IE 9.
crazypotato,
@crazypotato Tak, jeszcze dwa dni temu, o ile wiem, ta re-captcha nie działała na Firefox i Opera (była to stara, trudna captcha). ale dzisiaj ta captcha pojawiła się zamiast starej!
Amirreza Nasiri
3
To wydaje się to bardzo dobrze wyjaśniać: stackoverflow.com/a/25626267/3622209
user3622209
@ user3622209 Naprawdę? Ludzie chcą tylko wiedzieć, JS? To takie oczywiste. Nie rozumiem tego Także część o „spamujących” śmiesznych
crazypotato,
Gdzie mogę to wypróbować? Google Shortener URL nie pokazuje mi go.
gparyani,

Odpowiedzi:

7

O ile mi wiadomo, idzie w tym kierunku całkiem sporo. Na początek używa Javascript - którego wiele spambotów nie może wykonać, więc z natury powstrzymuje wiele spamerów w tym zakresie. (w zależności od tego, czy właściciel skonfigurował awarię, może zobaczyć podstawową wersję HTML CAPTCHA).

Ale bardziej do tego, aby określić kliknięcie „ludzkie” do kliknięcia „prawdopodobnie robota” (i pokazać kliknięcie CAPTCHA):

  1. Adresy IP - jak wspomniano, przebywanie na adresach IP Tora prawie na pewno prowadzi do uruchomienia wizualnej CAPTCHA. Również lokalizacja w niektórych krajach wydaje się zwiększać prawdopodobieństwo, ale nie mogę być tego pewien.

  2. Konto i historia Google, * być może * - Zauważyłem mniejszą częstość wizualnych strzelających do mnie po zalogowaniu, w porównaniu z trybem incognito. Ponadto, jeśli miałeś sesję Google podczas oglądania filmów na YouTube i wysyłania e-maili, byłbyś postrzegany jako mniejsze zagrożenie niż ktoś, kto właśnie załadował stronę po raz pierwszy.

  3. Aktywność strony - nie zagłębiłem się w to zbyt daleko, ale wygląda na to, że używają jakiegoś mechanizmu do wykrywania sposobu przeglądania strony. Jeśli ktoś kliknie CAPTCHA zaraz po załadowaniu strony, a nie po 30 sekundach wypełniania formularza, będzie to postrzegane jako większe ryzyko.

  4. Liczba zakończonych kontroli anty-robotem - To oczywiste. W końcu, jeśli nadal zaznaczasz to pole, tym większe prawdopodobieństwo uruchomienia testu przez robota. Spambot może być w stanie przedostać się przez formularz pierwsze 3 razy, ale potem, gdy wystartuje kontrola robota, zostają zatrzymani.

mjt
źródło
Hmm, dobrze :) ale bezpieczeństwo tej nowej captcha jest niższe niż captchas literowy, ponieważ jeśli inteligentny robot celuje i zna algorytm tego mechanizmu, robot może łatwo rozwiązać WSZYSTKIE z tych captcha. więc czy uważasz, że istnieje jakaś „randomizacja”, aby uniknąć tego problemu?
Amirreza Nasiri
1
Dobra uwaga, zupełnie o tym zapomniałem - dodał ostatni. Po pewnym czasie wydaje się, że rzuca losowymi.
mjt
1

O ile wiem, istnieje jakiś bot, który szuka „ludzkich wzorców”. Gdybyś na przykład mógł przewinąć na dół strony i natychmiast kliknąć przycisk „Nie jestem robotem”, najprawdopodobniej NIE zostałbyś zatwierdzony - ale zostałbyś poproszony o zrobienie starej captcha.

GLADER
źródło
1
To wydaje się trochę zbyt proste. Mówisz więc, że jedyną różnicą jest szybkość przewijania w dół? Wydaje mi się, że jeśli zrobi się to natychmiast, może to być robot, ale gdy się o tym dowie, bot musi tylko poczekać trochę dłużej, aby wyglądać na człowieka. Niezbyt dobry test!
SPRBRN
To był tylko przykład. Ogólny pomysł polega na szukaniu zachowania przypominającego robota .
GLaDER,
0

Google prawdopodobnie ma adres IP czarną listę jak ten . Jeśli twój adres IP jest wymieniony w tej bazie danych, pokazane zostanie „normalne” recaptcha. Jeśli nie, pomijasz to „pole wyboru”.

Jest to bardzo uproszczone wyjaśnienie, ale adres IP jest najważniejszy. Możesz wąchać wszystkie dane wysyłane do Google, ale tylko Google wie, co dokładnie jest przetwarzane po stronie serwera.

W każdym razie to „pole wyboru” nie będzie używane w przypadku głównych usług, takich jak wyszukiwarka Google (zbyt proste, by można było je obejść).

Podczas korzystania z TOR (większość adresów IP zbanowanych w wyszukiwaniu Google) po kliknięciu pola wyboru pojawi się zwykła nieczytelna (?) Captcha (1 słowo śmieci + 1 słowo z możliwością odczytu):

fk recaptcha

Myślę, że to nie ma znaczenia, ale wygląda na to, że ta strona została napisana w HTML5

crazypotato
źródło
1
Tak, właśnie tak captcha zależy od adresu IP i przeglądarki (obydwa, jestem pewien). Ale jak to działa?
Amirreza Nasiri
1
Ludzie mają wady. A w graficznym interfejsie użytkownika poruszasz myszą w losowy sposób, którego robot nie może replikować. Sposób, w jaki przesuwasz palcem po gładziku lub przeciągasz myszą. Przyspieszenie, opóźnienie, pauzy… To wszystko składa się na człowieka. Spamboty są zbyt doskonałe we wprowadzaniu danych i to jest ich wada.
JakeGould
Nie zgadzam się, Jake. Mogę z łatwością programować boty, aby naśladowały ruchy myszy i nic nie odróżnia ich od ludzi. Są inne rzeczy, których nie da się zrobić (zresztą i tak nie na czas), ale ruch myszy nie jest jedną z nich.
Overmind