Капча что это такое как вводить
Что такое капча простыми словами, капча при регистрации, зачем она нужна, плюсы и минусы
Капча — как Великая Китайская стена: обойти сложно, лезть не хочется. Зачем она вообще нужна на сайте, можно ли обойтись без нее и как сделать ввод капчи максимально удобным для пользователя?
Капча: что это такое
Капча (captcha) — это специальный защитный код, который показывается на некоторых сайтах в виде всплывающего окна или картинки. Пользователю предлагается решить простую задачу, подтвердить статус, ввести слова или цифры, ответить на вопрос. Если этого не сделать, вы не сможете далее пользоваться сайтом. Так программа определяет, реальный ли вы человек или бот.
Какие бывают капчи
Ввод капчи можно разделить на несколько способов.
Какого бы вида ни была капча, бот не может справиться с ее заданиями. Разумеется, механизмы ботов совершенствуются и учатся, но вместе с ними учатся и разработчики сайтов, создавая новые улучшенные версии капч.
Зачем нужна капча
Капча нужна в первую очередь владельцам сайта — для простых пользователей это одна морока. Защитная программа ставится, чтобы отсеять ботов, которые хотят попасть на сайт для разных целей. Рассмотрим подробнее, как капча помогает справиться с ботами.
Когда показывается капча
Минусы капчи
Помню, как бесила меня капча на ресурсе Advego, которая появлялась, наверное, каждую минуту. Работать было невозможно, и я перестала пользоваться сайтом.
Вполне жизненный пример: пользователь выбрал товар в интернет-магазине, уже готов его купить, и на последнем этапе его просят ввести капчу при регистрации. Если капча сложная, он вполне может покинуть сайт навсегда.
Как это работает: CAPTCHA
Сколько лет существует Хабр — столько лет на нём регулярно появляются посты про очередную капчу — будь то скрипт генерации картинки, новая идея капчи с котиками и тому подобное. Самый свежий пример того, что человек не совсем понимает — как же всё таки должна работать капча (см. текст поста и последние комментарии), но при этом делится своими заблуждениями с сообществом. Складывается ощущение, что капча — это такая terra incognita для большинства разработчиков — как для тех, кто просто прикручивает её к очередной форме в надежде на то, что она будет работать «из коробки», так и для тех кто придумывает капчи вроде тех, на которых надо выбрать картинку с котиком из нескольких фото.
Статья содержит полезную информацию для тех, кто использует капчу на своём сервере, вместо того чтобы довериться стороннему сервису вроде reCaptcha.
Captcha
Согласно своему определению, captcha — это автоматизированный публичный тест Тьюринга (тест который может пройти человек, но не компьютер). В статье я буду рассматривать свойтсва капчи на примере самого распространненого её вида — текста на картинке, хотя почти все написанное одинаково применимо к любому виду капчи.
Два главных свойства капчи
Любая капча должна обладать двумя свойствами, без которых она не будет работать:
Устойчивость к распознаванию — свойство, защищающее капчу от распознавания алгоритмом — например системой распознавания текста. Гарантирует то, что человек сможет прочитать текст на картинке, а компьютер нет.
Антипример: стандартная капча форумов phpBB 2.x таким свойством не обладала — из-за относительной простоты распознавания появились скрипты, которые спамили все подряд форумы вынуждая веб-мастеров менять капчу на более стойкую.
Устойчивость к угадыванию — свойство капчи, не позволяющее угадать её значение за небольшое число попыток (менее 1000). Если набор возможных значений капчи невелик, программе не составит труда угадать её подбором вместо распознавания.
Антипример: арифметическая капча вроде «1+2» (перебор чисел от 1 до 20 в скором времени даст результат).
Антипример: выбрать из нескольких картинок ту, на которой изображён котик.
Проверка капчи
Значение для проверки должно храниться на сервере, а не передаваться вместе с картинкой в браузер. Для сопоставления посетителя и правильного значения капчи необходимо использовать некий ключ, который передаётся вместе с капчей (идентификатор сессии, номер капчи и т.п.)
Антипример: если передавать саму капчу и значение для ее проверки (в том числе зашифрованное), то человеку достаточно один раз распознать такую капчу и далее использовать комбинацию «ответ»-«значение для проверки» в своём скрипте (по ссылке в начале поста как раз такой случай)
После проверки, сохраненное значение капчи необходимо удалить. Если не сделать этого, злоумышленник сможет использовать данное значение снова неограниченное число раз. Да, при обновлении страницы с формой обновляется и капча (либо при генерации формы, либо при генерации картинки), вот только скрипт может не загружать форму снова (надо упомянуть, что это не актуально если на сайте используются одноразовые csrf-токены для форм).
Антипример: гипотетическая форма логина, в которой достаточно один раз ввести капчу правильно, и далее подбирать пароль скриптом, избегая перегенерации капчи на сервере.
Пуленепробиваемая капча
Защита от перебора. Если ваша капча устойчива к распознаванию, но не очень устойчива к перебору (например на ней надо прочитать всего 3-4 цифры), желательно ограничить число неправильных ответов «с одного ip» / «для одного логина» / etc. Такие ограничения необходимо проверять ДО проверки самой капчи (то есть даже в случае правильно введенной капчи, при наличии ограничения она не должна считаться пройденной) иначе оно не будет препятствовать перебору.
Защита от DoS. При генерации капчи на своем сервере, надо понимать что это удобный вектор проведения DoS атак (которую, в отличие от DDoS, может устроить любой школьник). Для защиты можно ограничить число генерации капчи для одного ip, кэшированием капч и т.д. Подробнее про это
Защита от распознавания. Если вы выбираете капчу, или вдруг собираетесь написать её сами, желательно понимать какая капча более защищена от распознавания. Существуют готовые универсальные скрипты распознавания капчи, работающие по принципу OCR, а в случае если ваш сайт заинтересует спамеров есть риск, что будут использовать / писать скрипт конкретно под вашу капчу. Последнее правда относится больше к сайтам уровня Яндекс или vk, а вот вариант с защитой от банальных OCR желательно предусмотреть.
Защита от антигейтов. Если говорить формально, то капча как тест Тьюринга не обязана защищать вас от антигейтов, так как в этом случае её будет распознавать человек. С практической же точки зрения, этот вопрос весьма актуален и защищаться как-то надо.
Тут нет и не может быть «золотого стандарта» (ибо в таком случае антигейты внедрят его поддержку), поэтому вы вольны дополнять капчу любыми ухищрениями, чтобы сделать её распознавание через антигейт невозможным. Например:
— нестандартная капча (сбор паззла, поворот изображения, клик по области на фото и т.п.);
— кириллическая капча — самое простое решение, но имеет ряд минусов: подходит только для проектов с русскоязычной аудиторией, есть антигейты с поддержкой кириллицы;
— использование виртуальной клавиатуры рядом с капчей для ввода нестандартных символов или фигур (может быть неудобно пользователям мобильных);
Юзабилити
Не просите ввести капчу, если вы уже убедились, что перед вами человек. Тут однако, надо быть осторожным, чтобы форму нельзя было использовать скриптом неограниченное число раз после однократного ввода капчи человеком.
Пример: форма регистрации. Если я где-то регистрируюсь, и забыл ввести поле «почтовый индекс», но правильно ввёл капчу — не надо показывать мне новую. Потратьте 10 минут на то, чтобы сохранить где-то у себя, что вот эту конкретную форму сейчас пытается заполнить живой человек.
Для облегчения распознавания человеком: не используйте в капче одновременно буквы и цифры, не используйте одновременно прописные и строчные буквы, исключите похожие символы.
Отказ от использования капчи
Лучшая капча — отсутствие капчи. Там где можно отказаться от её использования — это надо сделать. Возможно для этого придется реализовать дополнительные лимиты и проверки, но пользователи скажут вам спасибо.
Но тут надо быть очень осторожным. Например: форма регистрации без капчи, с полем email на который приходит письмо с активацией. Без дополнительных средств защиты такую форму могут завалить «левыми» адресами, и ваш сайт включат в черные списки почтовые службы. В таком случае можно обходиться без капчи, но только если у вас есть другой рубеж защиты, вроде лимита по ip.
Кому то информация в этом топике покажется очевидной, но если бы я не сталкивался с примерами непонимания этих простых принципов в жизни, в том числе у опытных коллег-разработчиков, я бы не стал тратить время на написание этого текста.
Капча: что это такое простыми словами
Несомненно, что все пользователи Глобальной сети сталкивались с такой насущной проблемой, но не каждый знает о том, что это и есть так называемая капча. Так же не многим известно, что на английском CAPTCHA – это аббревиатура, которая в переводе на русский язык значит: полностью автоматизированный и общедоступный тест Тьюринга, чтобы отличить компьютер от человека.
Что такое капча
Из расшифрованной выше аббревиатуры уже можно понять, что такое капча, простыми словами –она определяет, является ли пользователь реальным или спам-роботом. Так, возможно, на некоторых сайтах, чтобы узнать цену СЕО-продвижения придётся для начала ввести проверочный код. Капча генерирует сочетания из различных букв, цифр и знаков, полагаясь на способность человека определять, какими на самом деле символами они являются.
Чтобы подтвердить цифровую транзакцию, используя систему капчи, пользователю предоставляется искаженное слово, обычно помещаемое поверх искаженного фона. Пользователь должен ввести слово в поле, чтобы завершить процесс. Компьютерам трудно декодировать искаженные слова, в то время как люди могут легко расшифровать текст.
Некоторые капчи теперь используют картинки вместо слов, где пользователю предоставляют серию картинок и спрашивают, что является общим элементом среди всех картинок. Вводя этот общий элемент, пользователь проверяет транзакцию, и компьютер знает, что имеет дело с человеком, а не с ботом.
Что такое капча при регистрации
Многие задаются вопросом, что такое капча при регистрации и зачем она нужна. Да, зачастую, мы можем встретить капчу при заполнении регистрационных форм. Например, Вы думаете о том, как найти человека по почте, для этого нужно зарегистрироваться. Это вполне нормально и безобидно. В таких случаях капча направлена на борьбу с ботами, которые создают множество учётных записей для рассылки спама.
На веб-сайтах по продаже билетов, также используется капча, чтобы не допустить чрезмерного приобретения билетов на большие мероприятия скальперами (сторонниками скоростной торговли/спекуляции). Это позволяет законопослушным клиентам покупать билеты справедливо и не дает скальперам размещать тысячи заказов.
Наконец, веб-страницы или блоги, содержащие доски объявлений, например, о стоимости разработки сайта-визитки, или контактные формы, используют капчу для предотвращения спам-сообщений или комментариев. То есть помогает избежать автоматическую публикацию сообщений ботами.
Неверная капча: что это такое
Рассмотрим, что такое неверная капча и чем она грозит. Неверная капча означает то, что при регистрации или при совершении любой другой операции Вы неправильно ввели предложенные Вам символы с картинки.
Если Вы допустили ошибку, придётся сделать это заново, но, конечно же, символы будут уже совсем другие. С такой проблемой пользователи сталкиваются очень часто, так как разобрать трудночитаемые искажённые символы достаточно затруднительно.
К сожалению, поскольку технологии и хакеры становятся более продвинутыми, их мошенническая тактика тоже. Чтобы полностью разобраться в теме и огородить себя от нежелательных последствий изучите, что такое спам в Интернете и чем он грозит. В то время, как сама система капчи безопасна, киберпреступники начали включать её в свои ложные или мошеннические веб-сайты, чтобы совершать свои действия более правдоподобно.
С помощью интригующих сообщений в ленте злоумышленники могут обмануть пользователей, например: «Вся страна в шоке, предсказания о конце света оказались..». После того, как Вы нажмете на эту запись, нужно будет ввести поддельный проверочный код и перейти на целевую страницу. В это время вирус захватит Ваш аккаунт.
Сегодня мы разобрались в том, что такое капча и для чего она нужна. Узнать, как от неё избавиться можно на примере нашего рассказа о том, как убрать капчу в Яндекс Вордстат и будет ли это эффективно. Будьте внимательны и не попадайтесь на уловки интернет-мошенников.
Капча
Капча (captcha) — это защитный код, который выводится на страницах интернета в ряде случаев. Смысл ее заключается в том, чтобы автоматические программы, так называемые «боты», не смогли пробиться на сайт.
Обычно капча — это сочетание букв и цифр, которые нужно ввести в окошко.
Но бывают и более хитрые варианты. Например, нужно решить уравнение, выбрать из нескольких картинок определенную или сделать что-нибудь еще.
Пока вы этого не сделаете, сайт будет заблокирован, то есть выполнить на нем определенные действия не получится.
Зачем нужна капча
Есть программы, которые могут автоматически что-то делать в интернете. Например, рассылать рекламу, публиковать фальшивые отзывы. И вот чтобы их заблокировать, владельцы сайтов ставят капчу.
Например, есть страница в интернете, где посетители оставляют отзывы. Любой человек может заполнить несколько полей (имя, адрес почты) и отправить на сайт свое сообщение, где оно и будет опубликовано.
Эти действия легко сымитировать программой. Ее можно «научить» заполнять поля и публиковать нужные отзывы, чем и пользуются мошенники. Поэтому и была придумана капча – ведь ее программа не введет, а, значит, не сможет опубликовать сообщение.
Но капча появляется и в других случаях. Например, вы просто общаетесь на своей страничке Вконтакте, и вдруг ни с того ни с сего она возникает. Пока вы ее не пройдете, на сайте ничего сделать не получится.
Это происходит потому, что системе показалось что-то в ваших действиях подозрительным. Например, вы слишком быстро отвечали на сообщения, и сайт заподозрил, что это делает не человек, а программа.
Вот и приходится вводить в окошко то, что нарисовано на картинке. Оно, конечно, не очень удобно, зато защищает страницы от взлома.
Следует заметить, что применение капчи всё равно не спасает сайты от рекламы, взломов и прочих нехороших вещей. Но всё-таки избавляет их от излишне настойчивых притязаний.
Какие бывают капчи и как их вводить
reCAPTCHA – проверка, разработанная Гугл. Чтобы ее пройти, нужно поставить галочку в квадратик возле «Я не робот».
Обычно через пару секунд после этого появляется птичка зеленого цвета – значит, капча пройдена.
Но бывает системе этого недостаточно и открывается окошко, где нужно выбрать картинки определенного вида. Например, все фотографии, где есть витрины. Значит, нужно щелкнуть по каждой из них левой кнопкой мышки.
Часто для удобства есть кнопка, нажав на которую картинка поменяется. Это нужно в случае, если буквы сложно разобрать. Ну, или когда вроде бы всё печатаешь верно, а система не пускает – выдает ошибку.
А еще бывает кнопка, которая озвучивает то, что написано. Нажав на нее, вы услышите голос, который проговорит буквы/цифры с картинки.
Или, например, нужно ответить на какой-то вопрос, разгадать загадку.
Никто вас за это оценивать не будет. Просто таким образом система пытается отсеять автоматические регистрации. Если вы напечатаете правильный ответ, она вас пустит дальше. Ну а если нет, то предложит попробовать ввести капчу еще раз, но уже другую.
Что такое Captcha, ReCaptcha и зачем она нужна. Как обойти, как установить на сайт, почему за ввод капчи платят и сколько можно заработать
Наверняка каждый сталкивался с тем, что на сайте необходимо ввести проверочный код, чтобы доказать, что пользователь является человеком. Теоретически, это помогает сайтам избежать мошенников, и носит только характер безопасности. Однако как дела обстоят на самом деле, разберемся в этой статье.
Что такое Captcha (Капча), ReCaptcha и зачем она нужна
Официальное определение капчи — случайный набор чисел, букв, комбинации из чисел и букв, которая искажена различными способами. Таким образом, достигается обеспечение безопасности сайта, защиты его от мошенников. Предполагается, что человек может ввести проверочный код достаточно легко. Однако для роботов малейшие искажения уже сделают ввод текста практически невозможным, из-за невозможности распознать текст на картинке.
Капча позволяет определить, кем является пользователь, человеком или компьютером.
История создания и кто создал
Впервые капча как явление, которое известно нам сейчас, появилось в 2000 году, имея первоначальное название тест Тьюринга. Этот тест был разработан в университете Карнеги-Меллона, подразумевался как мера безопасности для онлайн-ресурсов. На тот момент это было инновационное решение, так как одновременно являлось крайне простым для человека, и фактически невыполнимым для робота.
Виды капчи
Капча классифицируется на несколько видов исходя из своей сложности. Разберем подробней каждый вид и его особенности.
Графический вид
Он представляет собой картинку с последовательностью искаженных символов, среди которых могут так же встречаться спецсимволы, буквы и цифры.
Искажение может быть разнообразным, начиная от наклона картинки, заканчивая множеством линий, наложенных на текст.
Логический вид
Ее цель проверить наличие логики у пользователя, результаты позволяют определить, тест проходит человек или компьютер.
Этот вид представлен разнообразием математических легких примеров, но в некоторых случаях это могут быть весьма сложные примеры (специализированные сайты). Так же к этому виду относится последовательный выбор одинаковых по смыслу картинок, выбор одной конкретной картинки.
Поведенческий вид
Как правило, это обычная галочка, которую очень легко поставить. Так же встречаются более интересные варианты, в виде поворота картинки в нужное положение.
Звуковой вид
Данный вид это по сути все выше перечисленные виды капч, но если нажать на капче иконку “наушники или колонку звука” робот проговорит капчу которую нужно ввести. Это полезно для тех, кто плохо видит или не видит вообще.
Капча как ее обойти
Не бывает решения, которое смогло бы обеспечить 100% безопасность в долгосрочной перспективе. Что касается именно капчи, зачастую владельцы сайтов сами оставляют уязвимости на видном месте, которыми потом пользуются злоумышленники. К примеру, на некоторых ресурсах достаточно лишь просмотреть код страницы, чтобы обнаружить проверочный код и ввести его. Это запросто сможет сделать автоматизированная программа и попасть на сайт.
В некоторых случаях, владельцы используют общедоступную базу картинок, которую может скачать любой желающий. Злоумышленник просто использует метод подбора посредством бота, который будет подбирать код до тех пор, пока его попытки не увенчаются успехом.
Как установить капчу от Google на сайт
Весь код будет выглядеть вот так:
Один из кусочка кода, HTML форма с двумя полями в одно из которых будет использовано для капчи. Этому полю будет задан индификатор — «g-recaptcha-response«. Информация из формы будет отправляться через метод POST, обработка будет проводиться в этом же файле, исходя из чего в атрибуте action нужно поставить значение /.
Для установки капчи на сайт от Гугл нужно иметь или зарегистрировать почту gmail. Сама установка капчи на сайт не содержит сложностей и займет максимум 15 минут. Для того чтобы это сделать, необходимо зайти на официальный сайт с продуктом reCAPTCHA от Google. На сайте нужно войти в «Консоль администратора«:
Далее нужно заполнить поля:
Внимание! Локальный сервер может некорректно работать с Google reCaptcha. Возможна проблема с аутентификацией пользователей.
Далее нужно «Скопировать ключ сайта» и «Скопировать секретный ключ«. Скопировав вставьте по очереди в код, который ниже. Для просмотра статистики нужно нажать на кнопку «Перейти в Google Аналитику«:
Скопировав первый и второй ключи, нужно вставить вот так в этот код:
Этот код для упрощения работы с кодами. Заменяя в коде ключи на свои, вставляйте так, чтобы кавычки ( ‘ ) в начале и в конце не удалить! Копируем код с уже замененными на свои ключи и открываем код сайта на котором нужно установить капчу и вставляем этот код в код сайта в первую строку:
Этот JavaScript код, который подключает reCAPTCHA и в нем заменены некоторые значения. Так как ключи от Google были прописаны в самом начале, то в коде нужно прописывать значение из константы где находятся ключи. Вот эти значения и замены и добавлен console.log(token), чтобы увидеть токен в консоли, который будет передаваться в качестве значения для поля — g-recaptcha-response:
В самом начале в две созданные константы были внесены ключи и одна из констант была прописана в коде JavaScript.
Далее сделали, что проверка будет отправляться через POST и что данные из формы будут записаны. Теперь остался по сути последний шаг PHP код, в котором нужно прописать действие, которое будет давать запрос в Google и от которого будут приходить данные о этом запросе. Это действие нужно прописать в переменную. Опираясь на показатели Гугл, то данные которые приходят score ниже 0.5 – это значит бот, а если выше, то человек:
Теперь можно «Перейти Google Аналитику» и смотреть статистику:
На этом интеграция капчи Google на сайт завершена.
Заработок на капчах, почему за ввод капчи платят и сколько можно заработать
С тех пор, как появилась сама капча, появился ряд ресурсов, которые платят пользователям за то, что они вводят капчу. Интересы у этих ресурсов самые разнообразные, они не разглашаются пользователю, который вводит капчу. Оплата такого труда крайне низкая, не стоит рассчитывать заработать хоть минимальную по средним меркам сумму. В целом, за 1000 сессий пользователь может получить максимум 70 рублей. Стоит понимать, чтобы ввести столько раз капчу, необходимо потратить 3-4 часа.
Помимо корыстных целей подобных ресурсов, есть и благородные. Очень многие занимаются оцифровкой старой литературы, а некоторые фрагменты невозможно оцифровать, в силу их испорченности. Эти фрагменты сканируются, и используются как капча, которую вводят пользователи. После того, как один фрагмент несколько пользователей ввели идентично, он считается оцифрованным.
Благодаря им в интернете все больше старой литературы, к которой имеет доступ большое количество пользователей. Это является определенным вкладом в развитие общества, в той или иной сфере.
Сервисы по заработку на капче
Существует большое количество различных сервисов, но мы рассмотрим два наиболее выдающихся.
2Captcha
Сервис предлагает работу буквально круглые сутки. Минимальная цена за 1000 вводов составляет 60 рублей. При этом минимальная цена вывода заработанных средств — 30 рублей. Стоит отметить, что вывод осуществляется фактически мгновенно, любым удобным для пользователя способом.
Kolotibablo
Фактически аналогичный ресурс, за тем исключением, что примерная стоимость 1000 сессий составляет 40 рублей. При этом минимальная сумма на вывод составляет 20 рублей. Преимуществом является то, что вывод возможен фактически любым способом, в том числе посредством вывода на кошелек криптовалютой.
В зависимости от количества работы, курса доллара и количества активных пользователей, стоимость может варьироваться.
RuCaptcha
Мало чем отличающийся ресурс от предыдущих вариантов. Отличие состоит в том, что здесь работы гораздо больше, так как для заказчиков предусмотрены более выгодные условия. Для исполнителей цена за 1000 сессий точно такая же, как и на других ресурсах — 30 рублей. Вывод предусмотрен в любой день недели, любым удобным способом.
Плюсы и минусы капчи
В заключение можно подвести итог и сказать, что капча весьма нужная и полезная штука. Практически все крупные сайты ее используют. А Вы используете капчу на своем сайте?
Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах.