Как часто вы сталкиваетесь с тем, что не можете ввести предлагаемую капчу с первого раза? Теперь подумайте, какие трудности могут возникнуть у современного человека, который разговаривает с компьютером «на Вы»? Для него преграда в виде reCAPTCHA становится сильнее, чем для робота.
Однако трудность распознавания капчи человеком является вовсе не самой острой проблемой, как может показаться на первый взгляд. Можно было бы конечно закрыть на это глаза, если бы капча действительно защищала нас от различных автоматизированных систем распознавания. Но это далеко не так!
И я хочу рассказать о средстве, которое решает эти проблемы.
Для того, чтобы создать адекватную защиту для CAPTCHA, необходимо сначала классифицировать способы ее распознавания.
Автоматизированное распознавание капчи
В настоящее время существуют три основных способа автоматизированного распознавания капчи:
1. Использование ошибок в алгоритме защиты
Такой подход направлен на поиск логических ошибок (уязвимостей), позволяющих корректно отправлять форму, без распознавания самой капчи.
Это самый простой способ обхода защиты, но его можно применить в основном, только в простеньких самодельных решениях.
Наиболее популярной ошибкой является передача проверочного кода капчи через поля формы или cookie в открытом виде, в base64, или в md5-хеше без применения соли.
Атакующему не составит труда его получить, даже если ему придется сгенерировать rainbow-таблицу в соответствии с алфавитом капчи (только 5-тизначные буквы русского языка или только 6-тизначные цифры и т. п.) и сделать сопоставление.
Ошибкой так же считается, когда одна и та же капча может быть разгадана более одного раза. Это касается в основном случаев, в которых сгенерированный иднетификатор капчи действителен в течении 5-10 минут, но ограничений на количество проверок у него нет. Тем самым давая возможность атакующему, который уже знает ответ, многократно использовать идентификатор разгаданной капчи. Можно использовать брутфорс с одним и тем же идентификатором капчи, что, в конечном итоге, приведет к желаемому результату.
2. Автоматическое распознавание
Есть три основных пути успешного автоматического распознавания капчи:
I. Использовать готовые средства оптического распознавания (OCR)
Это самый простой подход, не требующий специальных навыков программирования. Такие программы в основном распространяются бесплатно, и их существует достаточно много: ocropus, cuneiform, tesseract, gocr, orcad и другие.
Атакующему нужно только передать картинку капчи такой программе, где на выходе он получит уже распознанный текст. Обычно такие программные продукты имеют множество тонких настроек, позволяющих сделать распознавание более эффективным.
Именно для предотвращения распознавания подобным образом, применяют различные искажения, скручивания, добавление мусора и т. п.
В данном случае процент распознавания может быть совсем небольшим (всего около 10%), но атакующий все равно добьется успеха.
II. Самописные скрипты с применением библиотек GD, ImageMagick и других
Такие скрипты позволяют очистить картинку от мусора, убрать фон, выровнить текст по вертикали, обрезать картинку, оставив только текст, убрать многоцветность, сделать усреднение цвета и т. д. На практике же полноценное распознавание такими скриптами весьма затруднено.
Гораздо более эффективно можно использовать такой скрипт только для предварительной очистки картинки, оставив сам процесс разбора другим способам.
III. Нейронные сети
Наибольший интерес сейчас представляют именно нейронные сети. Для многих это до сих пор похоже на некую магию.
Нейронные сети стали применяться атакующими, с целью автоматического распознавания любых капч.
Они обучают нейронную сеть, которая способна с высокой степенью вероятности распознать даже самую сложную reCAPTCH’у.
Существует множество различных библиотек для разных языков программирования, которые распространяются бесплатно. Одна из таких библиотек, Fast Artificial Neural Network, ранее освещалась в журнале Харкер.
3. Полуавтоматическое распознавание с привлечением дешевых человеческих ресурсов
Есть множество сайтов, таких как antigate. com, rucaptcha. com, captchabot. com и т. д., которые предоставляют своим клиентам выгодную услугу. Они принимают от клиента, в автоматическом режиме, картинку с капчей, и через несколько (10-30) секунд выдают правильный, по их мнению, ответ. Процент удачного распознавания в таком случае очень высокий, порядка 90-95%.
Стоит отметить, что у неподготовленного посетителя этот процент намного ниже.
Конечно, первое, что приходит на ум создателям капчи, это ввести русский алфавит и полностью исключить английский.
Некоторые удаляют даже цифры. Но как вы понимаете, эти полумеры не способны дать адекватную защиту и уже в ближайшее время владельцы сервисов перенаправляют трафик с таких капч уже только тем, кто умеет читать по-русски.
Другие же стараются усложнить сами капчи, накладывают различные фильтры, искажения, мусор и т. д., думая, что их распознает робот.
Тем самым они усложняют прочтение и распознавание не только людям занятым в этих сервисах и всевозможным скриптам, но и обычным пользователям, чья подготовка оказывается в разы ниже. Все это начинает напоминать современную медицину, которая борется не с причинами заболеваний, а лишь с их симптомами, в результате чего страдает только пациент.
Основными потребителями таких услуг, в основном, являются крупные SEO-компании, и различного рода информационные агрегаторы, которые в автоматическом режиме получают информацию о статистике по поиску ключевых слов, о позициях в поисковой выдаче, саму поисковую выдачу и т. д. Так же их услугами пользуются всевозможные спаммеры, рассылающие сообщения в социальных сетях, регистрирующие в автоматическом режиме учетные записи в почтовых сервисах, форумах и т. п.
По моему мнению, количество распознаваний капч для целей спама, хоть и носит негативный характер, все же является не основным направлением сбыта такой услуги, являясь всего лишь вершиной айсберга. В то время, как сам айсберг, это — ни что иное, как предоставление доступа к консолидированной информации.
Вот вам пример. В нашей стране информацию по почтовым отправлениям (трекингу), находящимся на территории РФ, можно получить только на государственном сайте Почта России. Год назад они добавили капчу в форму отслеживания отправления, что сделало невозможным получение информации по интересующим отправлениям в автоматическом режиме.
А теперь подумайте, откуда берется на этих сайтах информация по отправлениям, но уже без капчи?
Противостоять таким сервисам очень не просто. Этому способствует несколько факторов:
Все без исключения владельцы сервисов перенесли ответственность за загрузку самих картинок на своих клиентов, что, в конечном итоге, не позволят вычислять ip-адреса, их собственные или людей, которые занимаются самим распознаванием, для последующей блокировки.
Если клиент такого сервиса обладает необходимыми знаниями, то он без труда подключит базу прокси-серверов, для обхода возможных блокировок.
Стоит так же отметить, что не было ни одного сервиса, включая reCAPTCHA, способного эффективно противостоять этому.
Простота распознавания пользователем
Лучшим решением для пользователя будет обычный текст на картинке, добившись того, чтобы использование автоматических способов распознавания существенно усложнилось.
На помощь приходит свойство прозрачности форматов изображений gif или png. Нужно сделать так, чтобы при наложении нескольких частей картинки друг на друга, пользователь мог видеть неискаженный текст. Абсолютно любые браузеры поддерживают эту функцию, и даже IE6.
Теперь немного усложним. Для начала создадим несколько прозрачных изображений, по размерам, сходным с оригиналом, и раскидаем попиксельно все исходное изображение на эти, заранее подготовленные слои. При просмотре каждого отдельного слоя невозможно будет точно сказать, что именно изображено на картинке-оригинале. Автоматически собрать воедино такое решение все еще так же легко.
Продолжим усложнять, и сделаем наши слои случайных размеров и из случайных мест исходного изображения.
Теперь вынесем всю информацию о слоях в отдельный css-файл стилей, который будет описывать положение каждого слоя относительно левого верхнего угла исходного изображения. Однако, нам потребуется как-то идентифицировать слои и отличать их друг от друга. Для этого присвоим всем картинкам случайные идентификаторы, и опишем их.
Пример сформированной html-страницы:
Пример css-файла /captcha/954f836a78de1d510d28ce70fa7b6a4a. css:
В дальнейшем этот процесс можно усложнять до бесконечности — на одних слоях рисовать лишние пиксели, на последующих слоях их закрашивать и т. д.
Не правда ли, все гениальное – просто?!
Защита от автоматизированного распознавания
Большой ошибкой, по моему мнению, является блокирование ip-адресов, которые многократно вводили значения капчей неверно.
Кто угодно может вводить сколько угодно раз неверные значения, и это ни на что не влияет. Капча как раз и рассчитана на такую фильтрацию.
Нужно блокировать только тех, кто уже указал X правильных значений. И разблокировать, если в течении N минут этот пользователь больше не вводил правильных значений.
Иными словами, ip-адрес посетителя сайта, который был замечен за правильным вводом Х капч за последние N минут, автоматически должен получить отказ.
Стоит так же отметить, что такой подход начинает эффективно работать в случае единого, централизованного сервиса.
Идеальным решением является такое, в котором подобные ограничения не являются обязательными, и имеется возможность изменения этих параметров под свои требования.
Кто-то из вас захочет сделать ограничения в 1 капчу раз в 30 минут, кто-то захочет 5 капч в течение 5 часов, а кто-то и вовсе предпочтет отключить проверку.
В случае использования такого ограничения, становится абсолютно не важно, каким способом происходит автоматизированное распознавание капчи.
Любое из них перестает быть эффективным решением.
Вы наверняка спросите: Что мешает использовать огромное множество прокси-серверов?
Прокси-сервера все берут из свободного доступа, с одинаковых сайтов по всему миру. Последний раз, когда мне приходилось ими пользоваться, реально работающими были около 20000 серверов, где 3000 из них работали постоянно.
Процесс поиска/создания собственных прокси-серверов для большинства затруднителен. В этот список попадают те сервера, которые были взломаны брутфорсом, заражены вирусами и т. д. Это специфическая ниша, реально доступная лишь немногим.
Если бы только один атакующий эксклюзивно владел бы такой базой в 20000 ip-адресов, он бы мог претендовать на распознавание 40000 капчей в течение каждого часа.
Это 960000 капчей в сутки – отличный результат!
А теперь представьте, что все атакующие полностью или частично владеют этой базой. Децентрализованное ее использование приведет к перманентному отказу в обслуживание по всем из них.
Рассмотрим пример. Вы только что использовали один ip-адрес для успешного распознавания капчи любым способом, и теперь ждете около полу часа, чтобы не попасть под блокировку, для совершения повторной попытки. Но оказывается, пока вы ждали, кто-то еще использовал этот адрес для ввода капчи на другом интересующем его ресурсе.
Такая попытка обернется ему отказом, так как этот ip-адрес был уже задействован вами несколькими минутами ранее. Вы, дождавшись, когда истечет время, распознаете капчу второй раз, но получаете отказ.
И так все начинает идти по кругу и до бесконечности.
Protection Privacy as a Service
До этого момента это была лишь теория. Но вы можете посмотреть на то, как это работает на практике – https://ppaas. org.
Сервис позволяет защищать любую текстовую информацию, такую как адреса email, телефонные номера и т. п.
UPD: Пожалуйста читайте пост внимательно, графическое исполнение, это просто для удобства прочтения, основная защита от автоматизированного распознавания заключается в другом.
При входе в ВК просит ввести код с картинки как убрать
Как убрать капчу в ВК при входе? Многие пользователи задают такой вопрос. Попробуем разобраться в нем и предложить варианты решения.
Зачем нужна капча?
Капча – защита от ботов. Обычно она используется при совершении каких-то подозрительных действий. Среди них:
Во всех подобных случаях не обойтись без дополнительной проверки. Стоит уточнить ряд факторов:
Капча – естественная защита от ботов. Она создана в социальной сети, чтобы ограничить их активность и затруднить функционирование различных программ. Но стоит дополнительно изучить собственные действия и найти вероятную причину применения капчи против вас.
Что делать?
При входе в ВК просит ввести код с картинки, как убрать? Не можем обещать полного избавления от него. Но готовы предложить ряд методов по борьбе с данной проблемой.
Первый вариант – перестать делать многократно повторяющиеся действия. Система воспринимает человека в виде программы и желает проверить его. Поэтому стоит переосмыслить использование социальной сети.
Дополнительно следует проверить IP-адреса, с которых происходит посещение ВК. Сделать это просто:
Если IP меняется, то ВК может начать проверять пользователя и выдавать коды. Постарайтесь уменьшить количество адресов и проследите за ситуацией.
Очистите историю использования. Некоторым людям подобный вариант помогает избавиться от проблем. В дальнейшем проверьте функционирование социальной сети, исчезла ситуация или нет.
Последний способ – обращение в администрацию. Все описанные методики не помогли убрать капчу? Тогда напишите в техническую поддержку и расскажите о ситуации. Сотрудники тщательно изучат проблему и предложат решение.
Неправильный ввод пароля, как одна из причин
Почему при входе в ВК просит ввести код с картинки, как убрать? Распространенная причина проблемы – неправильно указан пароль несколько раз. Система воспринимает пользователя в качестве робота, занимающегося подбором кода. Поэтому для обеспечения безопасности вводятся ограничения.
Фактически их нельзя обойти. Если хотите зайти на страницу, то в любом случае придется правильно ввести капчу. Другого варианта у пользователя нет, не тратьте времени на поиск решения.
Конечно, не всегда просто сразу указать капчу. Но количество попыток огромное, рано или поздно вы сможете распознать код. Важно не нервничать, внимательно изучить капчу и указать символы. Такой подход позволит сэкономить много времени.
В следующий раз будьте внимательны и постарайтесь правильно указать пароль от страницы с первого раза. Тогда удается избежать дополнительных проблем и не будет появляться капча.
Не можете ввести код? Как вариант, можно выйти с сайта, немного подождать и зайти еще раз. Укажите пароль, если он правильный, то система сразу допустит пользователя на сайт.
Теперь вы знаете, зачем нужна капча и как можно избавиться от нее. ВК активно использует код для защиты, и он нашел широкое применение в социальной сети. Капча может появляться не только при входе, но и во время посещения различных страниц.
Выполняете множество повторяющихся действий? Тогда система заблокирует пользователя и заставит вводить дополнительные коды. Это стандартная процедура для проверки безопасности и выявления ботов.
Что делать, если ВКонтакте просит ввести код с картинки, привязать номер
ВК постоянно просит ввести код с картинки — например, после каждого отправленного сообщения. Или требует привязать к странице номер телефона (пройти активацию). Почему это происходит? Что случилось?
Скорее всего, сейчас у тебя не привязан номер телефона к странице или ты проявляешь повышенную активность и ВК хочет, чтобы она снизилась.
Почему отвязался номер? Вот возможные причины
В любом случае номер отвязался от той страницы, к которой был привязан первоначально. Один номер — одна страница! Поэтому ВК просит вводить код с картинки. Так работает защита людей от спама. Если бы этого не было, то спамерам жилось бы слишком легко: они могли бы рассылать спам со страниц, не привязанных ни к какому номеру. Это никому не понравилось бы.
Теперь ты похож на спамера, и ВК ограничивает твои действия. Но еще хуже то, что ты можешь потерять доступ к странице в любой момент — если, например, забудешь пароль. Подробнее об этой неприятной ситуации здесь:
Поэтому ВК и предлагает привязать номер к странице:
Мы просим всех пользователей привязать к странице свой номер мобильного телефона. Это защитит Вашу страницу от угроз и избавит от необходимости постоянно вводить коды.
Другая причина: твоя активность
Возможно, сегодня ты проявляешь большую активность: пишешь много комментариев, отправляешь заявки в друзья, ставишь лайки и прочее. Система безопасности расценила эти действия как подозрительные, поэтому нужно вводить код — это ограничивает твою активность.
Отдохни, подожди до завтра или воспользуйся полной версией сайта ВК вместо мобильного приложения. С телефона можно также попробовать мобильную версию сайта ВК через браузер вместо приложения. Может быть, там не будет этого ограничения.
Еще одна причина: несколько пользователей на одном устройстве
Конечно, никто не запрещает нескольким людям пользоваться своими страницами ВК с одного устройства, например, с одного компьютера. Но когда они постоянно входят и выходят, это может расцениваться как подозрительные действия. Вот варианты решения этой проблемы:
Что об этом сказано в системе помощи ВК
— Почему всё время приходится вводить коды с картинок?
— На сайте ВКонтакте очень строгая система борьбы со спамом. Если вам не нравится постоянно вводить коды, то, пожалуйста, привяжите свою страницу к номеру телефона. Это можно сделать в разделе «Настройки».
Порой код приходится вводить, если вы совершаете однотипные действия или отправляете комментарии в очень крупных и активных сообществах. Отключить его в подобных ситуациях нельзя, это необходимые меры безопасности.
Как, где привязать номер к странице?
Это делается в настройках аккаунта, инструкцию смотри здесь:
Я хочу привязать номер обратно к старой странице, но ВК пишет, что номер недавно использовался
Правила ВК разрешают тебе иметь только одну страницу, поэтому такие игры с номерами затруднены. Даже если номер уже отвязан от страницы, это не означает, что его можно сразу привязать к другой странице. Придется обратиться к агентам, чтобы они вернули привязку номера туда, куда тебе нужно. Как создать запрос, смотри здесь в конце:
Почему ВК дает создать вторую страницу, но не дает привязать номер к двум страницам?
Прежде всего, правила ВК запрещают тебе пользоваться двумя страницами:
5.5. [. ] Пользователь вправе зарегистрировать не более одной персональной страницы на Сайте.
Иногда все же бывают ситуации, когда старой страницей человек не может продолжать пользоваться по каким-то причинам, и у него должна быть возможность создать новую.
А главное — мобильные операторы перепродают номера другим людям после того, как эти номера какое-то время не используются. Ведь номерной фонд не бесконечный. Теперь представь, что твоя страница привязана к номеру, которым ты уже давно не пользуешься. Новую сим-карту с этим номером продают другому человеку. Он создает свою страницу. Что же — позволить номеру быть привязанным и к твоей странице, и к чужой?
Да, конечно, новый владелец номера не смог бы восстановить доступ к твоей странице — ведь для этого нужно ввести фамилию, указанную на странице. Он ее не знает. Но что, если узнает? Может, номер засветился где-то в интернете в связи с твоей фамилией. Тогда посторонний человек смог бы захватить твою страницу. Кого бы ты обвинил? ВК? ВК не нужны такие проблемы. Поэтому, конечно, номер отвязывается от предыдущей страницы, когда его привязывают к новой.
Смотри также
Сохранить статью у себя в соцсети
или отправить сообщением
https://habr. com/ru/post/206468/
https://smm-guide. com/kak-ubrat-kapchu-v-vk-pri-vhode
https://vhod. ru/vkontakte/chto-delat/esli-prosit-vvesti-kod-s-kartinki/