Afin qu'il y ait moins d'escrocs et de divers types d'utilisateurs peu scrupuleux sur Internet, il existe différents systèmes protection, dont l'une est une demande - pour déchiffrer le code déformé et l'écrire dans une ligne vide, c'est-à-dire que vous devez saisir ce qu'on appelle le captcha.

• Comment rédiger un captcha régulier et complexe
• Programmes automatiques pour contourner les captchas

Rien de compliqué ou de difficile ce processus non, écrire un tel code ne vous prendra pas plus de quelques secondes, vous ne perdrez donc pas trop de temps sur ce type de vérification.

Il convient également de noter qu'un tel système de protection est assez fiable, mais il existe toujours des options pour le pirater, c'est-à-dire que vous pouvez faire en sorte que le captcha soit saisi automatiquement, c'est-à-dire qu'il soit reconnu par un robot, en l'occurrence un programme, et l'utilisateur continue d'effectuer divers processus sans être distrait par la reconnaissance et l'écriture de captchas.

Si vous êtes un utilisateur typique et que vous ne prévoyez rien d'interdit, vous ne rencontrerez pas souvent de tels captchas, ce qui signifie que vous n'aurez pas besoin d'un programme pour pirater ce système de sécurité.

Ne serait-il pas difficile pour vous de consacrer une fois par jour, par exemple quelques secondes, à reconnaître un tel code ?

De tels programmes sont populaires parmi ceux qui, par exemple, gagnent de l'argent en installant grande quantité aime dans dans les réseaux sociaux ou, par exemple, en train de recruter un grand nombre de personnes dans un groupe. Il s'avère que le système vous demande d'écrire du code s'il doute que ce processus soit effectué par l'utilisateur, et non programme automatique. Lorsque vous saisissez le captcha, vous confirmez que vous êtes un simple utilisateur et non un robot.

Comment rédiger un captcha régulier et complexe

Ainsi, un captcha ordinaire est une fenêtre dans laquelle en haut se trouve une image déformée, le plus souvent des symboles : un ensemble de lettres et de chiffres, et en bas il y a une ligne vide où vous devrez saisir le code déchiffré. Comme vous pouvez le constater, il n'y a rien de compliqué dans ce processus.

L’utilisateur doit savoir qu’il existe différents types de captchas :

• alphabétique;
• numérique;
• lettres+chiffres ;
• Captchas russes ;
• Captchas anglais;
• captchas avec images (où vous devez positionner correctement l'image, en la tournant dans différentes directions ;
• des captchas sous forme d'exemples (soustraction, multiplication, etc.). Ici, il faut résoudre une sorte d'équation arithmétique, c'est très simple, comme 2+2, etc. ;
• captchas complexes avec des tâches.

Examinons les trois dernières options ; elles sont plus complexes que les autres captchas répertoriés ci-dessus. Il ne sera pas possible d'écrire du code dans le cas d'une image captcha, car ici il n'est pas nécessaire d'écrire un captcha, il faut le faire pivoter pour que l'image paraisse logique, c'est-à-dire qu'elle soit placée correctement. Si vous voyez un captcha avec un exemple, il vous suffit de le résoudre, c'est-à-dire que vous devez saisir la bonne réponse dans une ligne vide et ne pas réécrire l'exemple lui-même dans la colonne.

Quant au captcha complexe, vous devrez ici terminer la tâche. Généralement écrit sur une ligne, une sorte de réponse est nécessaire. Vous recevrez peut-être un lien que vous devrez suivre et trouver, par exemple, le numéro de téléphone d'une entreprise. Recherchez-le et entrez-le dans la ligne captcha. Cela ne prendra pas plus d'une minute, d'ailleurs, de tels captchas se rencontrent très rarement, le plus souvent ils se trouvent sur des sites commerciaux sérieux, où vous ne pouvez tout simplement pas aller.

Regarder la vidéo - Comment rédiger un captcha japonais complexe

Programmes automatiques pour contourner les captchas

Aujourd’hui, presque tous les sites Web disposent d’un système de sécurité en question. Ce qui est drôle, c'est que les créateurs de sites Web croient qu'aujourd'hui il est possible d'avoir une telle protection, et ils l'installent précisément pour cette raison, mais pas parce qu'ils souhaitent sécuriser la ressource qu'ils ont créée. Un utilisateur ordinaire commence de plus en plus à rencontrer des demandes sous forme de captchas et, par conséquent, cela devient une action irritante. C'est pourquoi de nombreux utilisateurs recherchent des moyens d'éviter les captchas afin de programme automatique les reconnus.

Il existe des programmes qui peuvent vous débarrasser de ces codes ennuyeux. Les plus populaires sont les programmes gratuits, que tout le monde peut télécharger et installer, mais les plus efficaces sont derniers programmes reconnaissance des captchas, pour l'installation desquels l'utilisateur devra payer.

Pour certains, le processus consistant à demander à saisir un captcha est surprenant, mais en fait il s'agit d'un phénomène normal pour Internet. Le fait est que Le Captcha est un autre moyen de protéger l'ensemble du système et des ressources contre les attaques de divers types de robots.

• Quand entrer code de sécurité?
• Quels types de captcha existe-t-il ?
• Comment saisir un captcha Revenu supplémentaire
• Instructions pour gagner de l'argent avec les captchas

Quand exactement il est nécessaire de saisir des captchas et quelle est cette protection, nous le découvrirons tout de suite.

Très souvent, il vous est demandé de saisir un code lors de votre inscription sur différents sites. Cela est compréhensible ; dans ce cas, le test de « l’humanité » est avant tout parce que le propriétaire de cette ressource, les robots ne sont pas du tout nécessaires dans le système. Cela signifie que le captcha est demandé assez souvent si vous effectuez plusieurs fois de suite la même action sur Internet, c'est-à-dire la répétez. Cela peut être n'importe quoi, des commentaires sur des photos, des publications, etc., ou l'envoi de messages à plusieurs amis à la fois.

Dans ce dernier cas, le système vous demandera probablement de le convaincre que vous n'êtes pas un programme automatique souhaitant envoyer du spam à tous vos amis. Pour cette raison, les réseaux sociaux ne sont pas non plus autorisés à appeler plus de 50 amis par jour, afin de s'assurer que vous n'en collectez pas automatiquement des milliers à vos propres fins, uniquement à des fins de promotion ou autre spam.

Quand dois-je saisir le code de sécurité ?

La demande de saisie d'un captcha peut être émise dans différentes situations et cas. Cela ressemble à ceci : une nouvelle fenêtre s'affiche dans laquelle l'image se trouve en haut. Ci-dessous, les données qui doivent être démêlées et saisies dans la colonne vide, sous l'image elle-même.

Cela ne prend généralement pas plus de quelques secondes à l'utilisateur moyen, cette procédure ne vous prendra donc pas beaucoup de temps.

Lorsqu'il est illuminé cette demande, vous n'avez pas besoin d'essayer de le fermer, car cette procédure peut être inutile - il y a une forte probabilité que lors de la prochaine action, le programme vous demandera à nouveau d'entrer un code, pour vous convaincre que vous êtes un « en direct » utilisateur et non un programme automatique.

Jusqu’à récemment, un tel système de protection était effectivement efficace. Mais aujourd'hui, non seulement les méthodes et méthodes de protection sont améliorées, mais les programmes anti-défense se développent également à toute vitesse, étant mis à jour et améliorés.

Désormais, si vous ne souhaitez pas saisir constamment du captcha, un programme téléchargeable gratuitement et sur différents serveurs peut le faire pour vous. Il existe également des programmes payants de ce type. Ils sont destinés à ceux qui ont constamment du mal avec les captchas, d'ailleurs, dans grandes quantités. Pour utilisateur régulier il suffira de télécharger option régulière programme gratuit, qui reconnaîtra automatiquement les codes lorsque vous y êtes invité, et vous n'aurez pas à les résoudre vous-même.

Quels types de captcha existe-t-il ?

Aujourd'hui, il y a plusieurs types de captchas, tous les internautes connaissent probablement les plus courants et les plus simples. Donc, les captchas simples permettent de résoudre des symboles (russe ou anglais) ou des nombres sous une forme déformée.

Il arrive que le captcha affiche une combinaison de tous les caractères listés ci-dessus. Cela pourrait également être un exemple arithmétique que vous devrez résoudre pour que le programme vous compte automatiquement comme une personne et non comme un robot. Ces exemples peuvent être plus ou moins complexes, mais le plus souvent, vous rencontrez des exemples très simples en une seule action, comme : 1+1 ou 2-1, etc. Les captchas les plus inhabituels sont des images mal positionnées. Lorsqu'on vous demande de saisir un tel captcha, il vous suffit de mettre l'image dedans dans la bonne direction. Lorsque vous voyez ce type de code, vous comprendrez immédiatement quoi faire et où cliquer.

Le Captcha est un type de protection toujours intéressant. D’accord, vous ne trouverez rien sur Internet, même si les programmes de protection sont intelligents pour rendre leurs méthodes efficaces. Nous devons rendre hommage aux développeurs de ces captchas pour lesquels il n'existe aujourd'hui aucun programme de piratage, car une telle protection peut vraiment être qualifiée de fiable. Mais certaines astuces ont également été inventées à cet égard. Lesquels exactement ? Découvrez maintenant.

Saisir des captchas comme revenu supplémentaire

Il s'avère qu'aujourd'hui, vous pouvez gagner de l'argent sur Internet non seulement en écrivant des articles, en vendant des biens et en créant des sites Web ; la saisie de captchas est également une activité rentable. Habituellement, les débutants commencent avec ce type de revenus, car un tel travail ne nécessite pas d'expérience, de connaissances ou de compétences supplémentaires ; dans ce domaine, tout est on ne peut plus simple.

Alors, si vous êtes attiré par ce type de revenus, alors jetez un œil Instructions détaillées par où commencer et comment gagner encore plus d'argent dans ce métier au fil du temps.

Regardez la vidéo - Comment gagner de l'argent en saisissant un captcha :

Instructions pour gagner de l'argent avec les captchas

Afin de commencer à gagner de l'argent de la manière proposée, vous devez suivre les instructions fournies afin d'éviter toute question ou problème inutile.

1. Inscrivez-vous auprès d'un service spécialisé dans ce domaine. Vous pouvez choisir n'importe lequel parmi ceux proposés, il est conseillé d'utiliser le plus populaire parmi les internautes.
2. Après avoir enregistré le sazu, vous pouvez commencer à travailler, mais n'oubliez pas que vous devez avoir votre propre compte sur Internet, où vous serez crédité de l'argent pour le travail que vous avez effectué.
3. Cliquez sur le bouton - « commencer » ou « commencer à gagner » et continuez à gagner un revenu. Espèces sera automatiquement crédité sur votre compte après chaque saisie de captcha.

• Didacticiel

Depuis combien d'années Habr existe-t-il - depuis tant d'années, des articles sur le prochain captcha y apparaissent régulièrement - qu'il s'agisse d'un script de génération d'images, d'une nouvelle idée de captcha avec des chats, etc. L'exemple le plus récent d'une personne ne comprenant pas très bien comment devrait fonctionner un captcha (voir le texte du post et les derniers commentaires), mais partageant en même temps ses idées fausses avec la communauté. On a l'impression que le captcha c'est comme ça terre inconnue pour la plupart des développeurs - à la fois pour ceux qui le vissent simplement sur le formulaire suivant dans l'espoir que cela fonctionnera immédiatement, et pour ceux qui proposent des captchas comme ceux dans lesquels vous devez sélectionner une image avec un chat parmi plusieurs Photos.

L'article contient informations utiles pour ceux qui utilisent le captcha sur leur serveur au lieu de faire confiance à un service tiers comme reCaptcha.

Et pour commencer, si vous pensez qu'une telle vérification captcha fonctionnera :
if($_POST["captcha"] == $_SESSION["captcha"]) renvoie vrai ; (exemple de cas)
alors vous vous trompez profondément.

Captcha

Par sa définition, le captcha est un test de Turing public automatisé (un test qui peut être réussi par une personne, mais pas par un ordinateur). Dans l'article, j'examinerai les propriétés du captcha en utilisant l'exemple de son type le plus courant - le texte dans une image, bien que presque tout ce qui est écrit soit également applicable à tout type de captcha.

Deux propriétés principales du captcha

Tout captcha doit avoir deux propriétés, sans lesquelles il ne fonctionnera pas :

Résistance à la reconnaissance- une propriété qui empêche le captcha d'être reconnu par un algorithme - par exemple, un système de reconnaissance de texte. Il garantit qu’une personne peut lire le texte d’une image, mais pas un ordinateur.
Anti-exemple : le captcha standard des forums phpBB 2.x n'avait pas cette propriété - en raison de la relative facilité de reconnaissance, des scripts sont apparus qui spammaient tous les forums, obligeant les webmasters à remplacer le captcha par un plus résistant.

Devinez résistant- une propriété captcha qui ne permet pas de deviner sa valeur en un petit nombre de tentatives (moins de 1000). Si l'ensemble des valeurs captcha possibles est petit, il ne sera pas difficile pour le programme de le deviner par sélection plutôt que par reconnaissance.
Anti-exemple : captcha arithmétique du type « 1+2 » (la recherche de nombres de 1 à 20 donnera bientôt un résultat).
Anti-exemple : choisissez parmi plusieurs photos celle qui représente un chat.

Vérification captcha

La valeur à vérifier doit être stockée sur le serveur et non transmise avec l'image au navigateur. Pour faire correspondre le visiteur et la valeur correcte du captcha, vous devez utiliser une certaine clé qui est transmise avec le captcha (ID de session, numéro de captcha, etc.)
Anti-exemple : si vous transmettez le captcha lui-même et la valeur pour le vérifier (y compris celui crypté), alors une personne n'a besoin de reconnaître un tel captcha qu'une seule fois, puis d'utiliser la combinaison « réponse » - « valeur pour vérification » dans son script (via le lien en début de post un tel cas)

Avant de vérifier la réponse, vous devez vous assurer qu'elle n'est pas vide. DANS sinon, un attaquant peut, sans charger l'image ni supprimer l'identifiant de session en cours, passer une valeur vide et transmettre le captcha, car deux chaînes vides seront comparées (en PHP, une valeur inexistante est égale à une chaîne vide).
Anti-exemple : le code que j'ai déjà mentionné if($_POST["captcha"] == $_SESSION["captcha"]) return true ;
De plus, ce code a été écrit par un programmeur expérimenté.

Après vérification, la valeur captcha enregistrée doit être supprimée. Si vous ne le faites pas, un attaquant peut utiliser valeur donnée encore une fois un nombre illimité de fois. Oui, lorsque la page avec le formulaire est mise à jour, le captcha est également mis à jour (soit lors de la génération du formulaire, soit lors de la génération de l'image), mais le script peut ne pas charger à nouveau le formulaire (il faut mentionner que cela n'est pas pertinent si le le site utilise des jetons csrf uniques pour les formulaires).
Anti-exemple : un formulaire de connexion hypothétique dans lequel il suffit de saisir une fois correctement le captcha, puis de sélectionner le mot de passe à l'aide d'un script, en évitant de régénérer le captcha sur le serveur.

Captcha pare-balles

Protection excessive. Si votre captcha est résistant à la reconnaissance, mais peu résistant à la force brute (par exemple, vous n'avez besoin de lire que 3-4 chiffres), il est conseillé de limiter le nombre de réponses incorrectes « à partir d'une ip » / « pour une connexion " / etc. De telles restrictions doivent être vérifiées AVANT de vérifier le captcha lui-même (c'est-à-dire que même dans le cas d'un captcha correctement saisi, s'il y a une restriction, elle ne doit pas être considérée comme réussie), sinon cela n'empêchera pas la recherche.

Protection contre les DoS. Lorsque vous générez un captcha sur votre serveur, vous devez comprendre qu'il s'agit d'un vecteur pratique pour mener des attaques DoS (qui, contrairement au DDoS, peuvent être menées par n'importe quel écolier). Pour plus de protection, vous pouvez limiter le nombre de générations de captcha pour une adresse IP, en mettant en cache les captchas, etc.

Protection contre la reconnaissance. Si vous choisissez un captcha, ou envisagez soudainement de l'écrire vous-même, il est conseillé de comprendre quel captcha est le plus protégé contre la reconnaissance. Il existe des scripts de reconnaissance de captcha universels prêts à l'emploi qui fonctionnent sur le principe OCR, et si les spammeurs sont intéressés par votre site, il y a un risque qu'ils utilisent/écrivent un script spécifiquement pour votre captcha. Cette dernière vérité s'applique davantage aux sites au niveau Yandex ou VK, mais il est conseillé de prévoir une option avec protection contre l'OCR banal.

Protection anti-portail. Formellement parlant, le captcha en tant que test de Turing n'est pas obligé de vous protéger des anti-gates, puisque dans ce cas il sera reconnu par une personne. D'un point de vue pratique, cette question est très pertinente et il est nécessaire de se défendre d'une manière ou d'une autre.
Il n'y a pas et ne peut pas y avoir de « gold standard » (car dans ce cas les anti-gates mettront en œuvre son support), vous êtes donc libre de compléter le captcha avec toutes les astuces pour rendre impossible sa reconnaissance via l'anti-gate. Par exemple:
- captcha non standard (assembler un puzzle, faire pivoter une image, cliquer sur une zone d'une photo, etc.) ;
- Le captcha cyrillique est la solution la plus simple, mais présente un certain nombre d'inconvénients : il ne convient qu'aux projets avec un public russophone, il existe des anti-gates qui supportent l'alphabet cyrillique ;
- utilisation clavier virtuelà côté du captcha pour saisir des caractères ou des formes non standard (peut être gênant pour les utilisateurs mobiles) ;

Convivialité

Ne demandez pas à saisir un captcha si vous êtes déjà convaincu qu'il s'agit d'une personne. Ici, cependant, vous devez faire attention à ce que le formulaire ne puisse pas être utilisé par le script un nombre illimité de fois après qu'une personne a saisi une fois le captcha.
Exemple : formulaire d'inscription. Si je m'inscris quelque part et que j'ai oublié de saisir le champ « code postal », mais que j'ai saisi correctement le captcha, il n'est pas nécessaire de m'en montrer un nouveau. Passez 10 minutes à essayer de sauvegarder quelque part qu'une personne vivante essaie actuellement de remplir ce formulaire particulier.

Pour faciliter la reconnaissance humaine : n'utilisez pas à la fois des lettres et des chiffres dans le captcha, n'utilisez pas à la fois des majuscules et des minuscule, excluez les caractères similaires.

Refus d'utiliser le captcha

Le meilleur captcha n’est pas le captcha. Si vous pouvez refuser de l'utiliser, cela doit être fait. Vous devrez peut-être implémenter des limites et des contrôles supplémentaires pour cela, mais vos utilisateurs vous en remercieront.
Mais ici, il faut être très prudent. Par exemple : un formulaire d'inscription sans captcha, avec un champ email auquel est envoyée une lettre d'activation. Sans mesures de sécurité supplémentaires, un tel formulaire peut être inondé d'adresses « de gauche » et votre site sera mis sur liste noire. services postaux. Dans ce cas, vous pouvez vous passer du captcha, mais seulement si vous disposez d'une autre ligne de protection, comme une limite IP.

Pour certains, les informations contenues dans ce sujet sembleront évidentes, mais si je n'avais pas rencontré d'exemples d'incompréhension de celles-ci principes simples Dans la vraie vie, y compris avec des collègues développeurs expérimentés, je ne perdrais pas de temps à écrire ce texte.

CAPTCHA- abréviation pour l'anglais Test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains– Un test de Turing public entièrement automatisé pour faire la distinction entre les ordinateurs et les humains. Sur RuNet, vous pouvez souvent entendre la transcription "captcha".

En substance CAPTCHA Il s’agit d’un petit test qui peut être facilement réalisé par un humain, mais cette tâche est plusieurs ordres de grandeur plus difficile à résoudre pour un ordinateur. Les tests sont basés sur le fonctionnement des sens humains et de la logique.

Ce test est utilisé dans un seul but : empêcher les robots d'envoyer ou de publier des informations de spam sur des sites Web ou de télécharger du matériel.

Méthodes CAPTCHA

La grande majorité des méthodes CAPTCHA offrent une reconnaissance visuelle informations graphiques, moins souvent une analyse et/ou un calcul et une saisie d'informations reconnues dans un domaine particulier. Examinons les méthodes les plus courantes.

1. La méthode la plus courante : l'utilisateur se voit proposer entrez les chiffres/symboles affichés sur l'image. En règle générale, les symboles sont déformés, flous et bruités par des interférences.

2. L'utilisateur se voit proposer image avec des chiffres écrits dans le texte et entrez les chiffres.

3. L'utilisateur est invité à effectuer une simple opération arithmétique ou logique et entrez le résultat. La méthode peut être compliquée par combinaison avec la précédente.

4. Méthode basée sur sentiments, connaissances et sensations humaines- parmi la série d'images proposée, choisissez celle qui répond à la question posée. Par exemple, choisissez-en un beau parmi plusieurs visages. Ou choisissez une pomme parmi les fruits proposés.

5. Méthode basée sur reconnaissance de la parole humaine.

5. Vidéo-CAPTCHA. N'importe quel Trois premiers méthodes dans lesquelles, au lieu d'une image, l'information est transmise à l'utilisateur à l'aide d'une séquence vidéo, où les lettres et les symboles sont en mouvement constant.

Les options 1, 2 et 3 sont facilement transférables d’un service à l’autre et facilement personnalisables. Ils ne sont pas exigeants en matière d'hébergement et ne nécessitent pas de ressources. Dans le même temps, le degré de protection reste assez élevé (avec réglage correct). Les méthodes 4, 5, 6 nécessitent une configuration plus sérieuse ou une connexion à des services spécialisés fournissant des services CAPTCHA.

La plus courante est la méthode 1 : dupliquer les symboles et les lettres représentés dans un champ spécial. Les méthodes basées sur les connaissances et les sentiments humains, ainsi que celles associées à des opérations arithmétiques ou logiques, dépendent de la mentalité, de l'alphabétisation du visiteur ou des normes morales acceptées sur le territoire de résidence. Cela peut donner des interprétations incorrectes du captcha et, par conséquent, des erreurs lors des tests. Naturellement, de telles actions peuvent entraîner un afflux de visiteurs du site.

Erreurs, vulnérabilités et contre-mesures/méthodes de protection

La principale erreur possible est une erreur ou une formation professionnelle insuffisante du programmeur pour écrire ou installer le code captcha. Erreurs de programmation Captcha permettre aux robots de contourner la protection, laissant les vrais visiteurs passer le test.

Assez exemple brillant. Photo d'appel CAPTCHA via une indication explicite du code de vérification, en le passant comme paramètre d'appel de l'image : , Où "hqhqhq" apparaît comme code de confirmation demandé. La vulnérabilité de l'implémentation est évidente : le bot scanne le code de la page et sélectionne le code de vérification en l'insérant dans le champ approprié. Votre bot passera votre sécurité en une fraction de seconde, mais une personne réelle aura besoin de plusieurs secondes, voire minutes, pour saisir le code de vérification.

Existe méthode de force brute, utilisé par les robots. Captcha toujours associé à la session du visiteur. Avec une variation relativement faible des valeurs CAPTCHA, le bot, lors de l'enregistrement d'une session, parcourt séquentiellement toutes les options, devinant tôt ou tard la valeur correcte.

Eh bien, dans les cas où il n'est pas possible d'éviter un captcha par programme, le CAPTCHA est saisi manuellement à l'aide du travail Vrais gens, qui envoie ces données à l'attaquant ou résout le captcha en temps réel grâce à l'API.

Nous avons donc compris les outils et les motivations des pirates informatiques. Examinons maintenant les méthodes les plus courantes pour contourner le CAPTCHA, en les triant en deux groupes : celles qui sont possibles en raison d'erreurs de programmation lors de la mise en œuvre du CAPTCHA et celles pour lesquelles les technologies modernes sont utilisées.

Commençons dans l'ordre, et j'essaierai de les classer par ordre de complexité croissante de protection contre eux, en commençant par les plus primitifs et en terminant par ceux pour lesquels les méthodes de protection n'ont pas encore été inventées.

Pour créer l'intrigue, je dirai qu'il y a ce moment il ya trois.

Contourner le captcha en raison d'erreurs d'implémentation

Si vous demandez aux créateurs de leurs propres implémentations CAPTCHA comment contourner le captcha, ils vous diront au moins plusieurs façons. Mais le plus intéressant est qu'ils laissent eux-mêmes parfois des fenêtres et des portes dans leurs créations pour les pirater.

Cela se produit souvent en raison de la faute du facteur humain, ou plutôt d'une inattention ordinaire lors du développement et d'un manque de minutie lors des tests de sécurité des captchas.

Mais parfois, il y a aussi une inexpérience, à cause de laquelle le programmeur n'était tout simplement pas au courant de certaines méthodes permettant de contourner le captcha au moment du développement.

Comme je l'ai promis, dans cette section J'examinerai les plus courants, ainsi que les moyens de s'en protéger. Et commençons, comme promis, par le plus primitif.

Contourner le captcha avec un ensemble fixe de tâches

À l'aube des captchas, les captchas auto-écrits étaient très populaires comme moyen de combattre les robots, car tout le monde voulait essayer nouvelle technologie, et par conséquent, les captchas ont été inventés par tout le monde.

Dans le cas de l'utilisation de captchas auto-écrits, dans la mise en œuvre desquels les développeurs ont décidé de ne pas s'embarrasser d'une grande base de données d'images, de questions ou d'autres types de tâches, pour une attaque automatique ciblée sur un site avec un tel CAPTCHA, il vous suffit besoin de trouver les réponses manuellement.

Ceux. nous allons sur un tel site, sélectionnons les réponses, compilons une base de données de tâches et de solutions correctes, et écrivons un robot pour les attaques par force brute qui sélectionnera les options appropriées.

Mais heureusement, de telles situations monde moderne Vous ne pourrez pas en rencontrer beaucoup, car... La cybersécurité a depuis atteint un niveau très respectable et personne ne crée de telles primitives.

Et si de telles personnes existent, elles apprennent très vite de leurs erreurs lorsqu'elles perdent le contrôle de leur site ou de clients piratés à cause de telles créations.

Protection: ne créez jamais de captchas avec un ensemble de tâches dont les solutions peuvent être sélectionnées manuellement. Si pour résoudre un captcha, vous devez résoudre un exemple mathématique ou saisir des caractères d'une image, les tâches et les réponses doivent être générées automatiquement.

Une autre façon de se protéger contre une telle saisie automatique de captcha consiste à modifier le nom du champ du formulaire dans lequel la réponse doit être saisie. Si le nom du champ, par exemple, est toujours « captcha », il sera alors plus facile pour un attaquant de déchiffrer un tel captcha. Son programme robot enverra uniquement une requête à script de serveur, spécifié dans l'attribut HTML « action » du formulaire, contenant la valeur captcha requise.

Si dans cette situation le nom du champ captcha est toujours le même, alors le pirate informatique utilisera simplement la base de données des noms les plus courants des champs captcha, que vous pourrez compiler vous-même en étudiant différents sites ou télécharger toute faite sur des sites spécialisés. ressources (je ne les listerai pas pour favoriser le piratage).

Si le nom du champ, comme la tâche captcha elle-même, est généré sur le serveur, aucune base de données de noms captcha ne sera utile. Afin d'utiliser un nom de champ dynamique, en pratique le captcha est généré par un script et traité par un autre.

Dans ce cas, la mise en œuvre du captcha présente une nuance importante : le script qui traite l'exactitude de sa saisie devra en quelque sorte transmettre le nom du champ captcha. Cela se fait le plus souvent en utilisant un formulaire de saisie masqué, des attributs de données ou en les transmettant via des cookies ou une session.

Le point clé est que vous ne pouvez pas passer le nom directement, c'est à dire que le champ captcha s'appelle « captcha_monsite », et le champ caché contient la valeur « captcha_monsite » ou « site ». Il doit être crypté et le décryptage doit s'effectuer en utilisant le même algorithme que le cryptage.

L’algorithme de chiffrement étant stocké sur le serveur, un attaquant ne pourra pas le reconnaître facilement (à moins d’accéder au contenu du script du serveur).

D'ailleurs, il suffit d'utiliser une séquence aléatoire de caractères au lieu du nom du champ, qui dans Langage PHP très facile à utiliser en utilisant la fonction uniqid().

Contourner le captcha à l'aide de sessions

Si la mise en œuvre d'un captcha implique de stocker la bonne réponse dans une session et que la session n'est pas recréée après la saisie de chaque captcha, alors les attaquants peuvent découvrir l'identifiant de session et découvrir la valeur cryptée du CAPTCHA.

Ainsi, ils peuvent facilement sélectionner un algorithme de chiffrement et l’utiliser pour d’autres attaques automatisées par force brute à l’aide de robots.

De plus, si dans le code de vérification de la réponse de l'utilisateur sur le serveur le programmeur ne vérifie pas le vide de la variable de session dans laquelle la réponse de l'utilisateur est transmise, alors le pirate informatique peut utiliser un identifiant de session inexistant pour lequel la variable sera simplement n'existe pas.

En raison de cette omission, ces captchas peuvent être résolus en insérant des identifiants de session inexistants et des valeurs de captcha vides.

Protection: Peu importe à quel point on voudrait renoncer à utiliser des sessions pour transférer des valeurs de captcha, c'est un prix très élevé à payer pour garantir la sécurité des captchas contre le piratage. Par conséquent, les sessions, les valeurs de leurs variables et leurs identifiants doivent simplement être soigneusement protégées afin qu'un pirate informatique ne puisse pas utiliser les informations qui y sont stockées.

Il vaut également la peine d'effectuer toutes les vérifications banales, mais si nécessaires, des variables pour vérifier l'existence et la vacuité de leurs valeurs.

Crack du captcha à cause de information confidentielle dans le code client

Parfois, les captchas sont créés de telle manière que lors du transfert des valeurs utilisateur vers le serveur, le cryptage est utilisé à l'aide de ce qu'on appelle le « sel », c'est-à-dire en ajoutant un identifiant de session, une valeur IP ou d'autres données uniques à la valeur CAPTCHA. Il s’agit souvent d’une simple séquence aléatoire de symboles.

Et la condition principale pour résoudre un captcha est que la valeur CAPTCHA cryptée saisie par l'utilisateur corresponde à sa valeur correcte, qui a été générée lors de l'ouverture de la page et enregistrée dans une session ou un autre stockage pour une transmission ultérieure au serveur.

La coïncidence de ces valeurs indiquera très probablement que l'utilisateur est un vrai homme, qui a saisi un captcha généré lors d'une session de communication, à la fin de laquelle il l'a résolu et depuis le même ordinateur sur lequel il a vu le captcha pour la première fois.

Si ces valeurs uniques ne correspondent pas, il est fort probable que le captcha ait été saisi automatiquement par le robot.

Ce mécanisme de protection du site contre les robots est bien pensé, mais parfois ces valeurs secrètes générées sont présentes dans le code HTML de la page, d'où elles peuvent être facilement lues. Vous pouvez donc configurer leur lecture automatique à l'aide de programmes et la même saisie automatique lors du passage d'un captcha.

Protection: lorsque vous implémentez vous-même CAPTCHA, vous devez prendre en compte cette faille de sécurité et, si pour résoudre le captcha, il faudra prendre en compte la valeur de certains identifiant unique, vous devez alors vous assurer qu'il n'est mentionné ni dans le JS ni dans le code HTML visible dans le navigateur.

Vous devez également recréer l'ID de session et générer d'autres valeurs uniques (y compris le CAPTCHA lui-même, si possible) après chaque tentative de saisie d'un captcha, ce qui vous sauvera ou au moins rendra plus difficile le piratage du site par les pirates. sélection automatique valeur correcte.

Un autre moyen de protection consiste, si possible, à bloquer les actions par IP et nombre de tentatives.

Comment contourner le captcha sans changer d'IP

L'attaque par force brute est façon efficace contourner le captcha non seulement dans les cas de sa mise en œuvre avec un ensemble fixe de tâches et leurs solutions.

Une autre erreur dans la mise en œuvre du CAPTCHA, qui le rend vulnérable aux attaques automatisées, est le manque de délais pour résoudre un captcha et du nombre de tentatives.

Dans ce cas, vous pouvez contourner le captcha en utilisant programme spécial, qui collectera une base de données de questions ou sélectionnera des réponses dans la liste existante. De plus, tout cela se fera dans mode automatique grâce à méthodes modernes apprentissage automatique et développements dans le domaine intelligence artificielle, qui ont fait de grands progrès ces dernières années.

Protection: Lors de la mise en œuvre d'un captcha véritablement sécurisé, vous devez limiter le temps de réponse et le nombre de tentatives pour résoudre le captcha à partir d'une adresse IP afin de bloquer les attaques par force brute des robots.

Par exemple, si moins de 2 secondes se sont écoulées entre la génération d’un captcha et la réponse de l’utilisateur, alors considérez cet utilisateur comme un robot et affichez un message correspondant à l’écran. Le texte du message doit contenir des instructions destinées aux utilisateurs réels selon lesquelles la saisie ne doit pas être effectuée aussi rapidement (au cas où la personne serait physiquement capable de saisir la réponse plus rapidement).

S'il s'agit bien d'une personne, alors il prendra les mesures appropriées, et s'il s'agit d'un robot, il continuera à tenter de contourner le captcha.

De telles tentatives doivent être considérées comme incorrectes, leur nombre doit être enregistré dans la variable de session et bloqué actions supplémentaires pour les utilisateurs par leur IP. Ce serait également une bonne idée que ces adresses bloquées émettent un message pour contacter l'administrateur au lieu d'un captcha si l'utilisateur bloqué est une personne réelle.

Et un autre moyen efficace de lutter contre les robots consiste à introduire des limites à certaines actions sur le site. Par exemple, un enregistrement à partir d'une adresse IP. L'essentiel ici est de ne pas surjouer et de ne pas atteindre les limites du nombre de commentaires pour un utilisateur unique.

Mais en réalité, ces mesures n’aideront pas beaucoup grâce à l’existence de serveurs proxy.

Contourner le captcha à l'aide d'un proxy

Même dans les situations où le blocage d'un grand nombre de tentatives de résolution d'un captcha par IP persiste, cette mesure n'offre pas une protection à 100 % contre les robots.

Tout cela est dû aux serveurs proxy et aux programmes d'anonymisation qui fonctionnent sur leur base, que tous les écoliers modernes connaissent peut-être, chercher des moyens contourne controle parental et le blocage de sites interdits.

Les anonymiseurs vous permettent de masquer les données informatiques lors de l'utilisation du site, y compris l'adresse IP précieuse, grâce à laquelle le client peut être identifié et bloqué.

Le schéma est simple : l'utilisateur se connecte à un serveur proxy, où ses données sont cryptées ou remplacées par d'autres (par exemple, une adresse IP d'un autre pays peut vous être attribuée), puis une requête est adressée au site cible auquel le client veut se connecter.

Ainsi, un attaquant peut facilement contourner tous vos blocages IP et sélectionnera la bonne solution au captcha aussi longtemps qu'il en aura besoin.

Et sur certains sites où le captcha n'apparaît que lors de l'exécution d'un grand nombre d'actions identiques (par exemple, dans VK lors de l'ajout d'un grand nombre d'amis), il peut ne pas apparaître du tout si chaque action est effectuée à partir d'une nouvelle IP et avec des délais d'attente. entre les tentatives de résolution du captcha, afin que le comportement du bot soit similaire à celui d’une personne réelle.

Cette méthode a été utilisée il y a un demi-siècle lors de l'écriture des premiers programmes réussissant le test de Turing, dont la mise en œuvre est le CAPTCHA.

Soit dit en passant, les principes décrits sont utilisés par tous les programmes actuellement connus pour saisir automatiquement le captcha. Pour changer l'adresse IP de connexion à un site, ils utilisent des bases de données gratuites et commerciales de serveurs proxy, qui ne sont pas difficiles à obtenir si l'on dispose d'Internet.

Protection: Malheureusement, il n'existe aucun moyen de se protéger du piratage captcha en suivant les attaquants par IP, grâce à la présence d'anonymiseurs et de bases de données PROXY ouvertes.

Le seul espoir est que tu Serveurs PROXY peut imposer des restrictions sur le nombre d'adresses IP utilisées par un utilisateur et sur le nombre de connexions de chacune d'elles.

Pour cette raison, vous ne devez pas abandonner complètement la vérification IP. Grâce à vos précautions de protection contre le contournement du captcha, vous pourrez tôt ou tard bloquer le pirate informatique à un niveau ou à un autre.

Et la conclusion la plus correcte dans cette situation serait d'utiliser, en plus de cette méthode de protection contre le piratage captcha, d'autres qui permettent d'exposer le pirate informatique d'une autre manière.

Saisir automatiquement le captcha à l'aide d'émulateurs d'action

Si pour compléter un CAPTCHA vous devez effectuer une certaine action (cliquer sur un bouton, déplacer un curseur, etc.), alors vous pouvez également contourner le captcha dans cette situation en émulant les mesures nécessaires(cliquez sur un contrôle spécifique ou une autre action).

Le seul problème auquel un pirate informatique peut être confronté dans cette situation est de savoir comment trouver par programme le contrôle souhaité sur le site.

Le moyen le plus simple de procéder consiste à utiliser ses coordonnées ou sa position par rapport à certains éléments statiques de la ressource.

Protection: Pour vous protéger de la saisie automatique du captcha dans ce cas, vous devez constamment changer la position de l'élément de contrôle qui permet de résoudre le CAPTCHA. Ceux. Si sur trois personnes il faut choisir uniquement celle dont la main est levée, elle ne doit en aucun cas être placée constamment au même endroit.

Eh bien, dans le cas d'autres implémentations de captcha, lorsque cela n'est pas possible (par exemple, pour un bouton de téléchargement ou le champ « Je ne suis pas un robot », qui ne peut avoir qu'une seule bonne réponse), il est nécessaire d'utiliser d'autres méthodes de protection. cela peut empêcher les robots de résoudre automatiquement le captcha.

Comment contourner le captcha en utilisant la haute technologie

Nous avons examiné les points faibles des implémentations de CAPTCHA, qui constituent des failles de sécurité et sont les plus courantes en pratique. Cependant, en pratique, même les captchas les plus impeccables sont parfois incapables de protéger la ressource qui les utilise des attaques de pirates.

Ces cas de piratage captcha sont une conséquence directe du progrès et du niveau de développement modernes. la technologie informatique, qui, comme nous le savons, ne sont pas toujours utilisés à de bonnes fins.

Alors, comment éviter d'utiliser le captcha technologies modernes?

Contourner le captcha à l'aide de l'OCR

OCR (Optical Character Recognition) est une technologie permettant de reconnaître un texte imprimé ou dactylographié en vue de son utilisation ultérieure dans format électronique. Le logiciel le plus connu qui implémente cette technologie est Adobe FineReader.

Il est utilisé avec succès dans la création de programmes de saisie automatique de captcha qui reconnaissent et résolvent avec succès les captchas graphiques, pour lesquels vous devez saisir la séquence de caractères affichée dans l'image.

Les pirates, bien sûr, n'utilisent pas Adobe FineReader (même s'il y en a peut-être 🙂), mais écrivent des scripts spéciaux qui, en utilisant diverses bibliothèques prêtes à l'emploi pour travailler avec des images ou en utilisant les capacités du langage pour travailler avec des graphiques, reconnaissent le captcha et produire une séquence de caractères, représentée dessus.

J'ai trouvé un nombre suffisant d'exemples de tels scripts sur Internet. Le principe de leur travail était le suivant :

• nettoyer l'image utilisée dans les CAPTCHA graphiques de divers bruits ;
• diviser la chaîne affichée en caractères individuels ;
• comparaison de chacun d'eux avec une image préparée (échantillon).

Des échantillons graphiques ont été préparés en tenant compte des différentes polices et des éventuelles distorsions (inclinaisons, rotations, etc.).

Comme vous l'avez peut-être deviné, le plus important est de constituer une base de données d'images de symboles dans diverses variantes, avec lesquelles les symboles captcha seront ensuite comparés.

Protection: en fait, afin de confondre les programmes OCR, tous bruits gênants et distorsion des symboles dans les images, à cause de laquelle le texte est parfois difficile à comprendre même pour une personne. Mais dans le cas des robots, cela fonctionne également bien, de sorte que les algorithmes OCR ne peuvent pas produire un résultat précis à 100 %, ce qui a un effet positif sur la sécurité du captcha et des sites qui l'utilisent.

Si vous décidez d'utiliser des captchas graphiques, pour lesquels vous devez saisir les caractères affichés dans l'image, vous devez alors suivre les recommandations suivantes :

1. Les symboles sur différents CAPTCHA doivent avoir des coordonnées différentes.
2. Si vous utilisez des effets de bruit pour créer un arrière-plan, sa couleur doit correspondre à la couleur des caractères, sinon l'arrière-plan peut être facilement supprimé en mettant en surbrillance les caractères pour les reconnaître.
3. La distance entre les personnages doit être minimale. Vous pouvez même les superposer les uns sur les autres, mais seulement sans fanatisme, afin que les vrais utilisateurs puissent les reconnaître.
4. Utilisez différentes polices pour rendre difficile le choix de la bonne pour la reconnaissance.
5. Déformez les personnages de toutes les manières possibles, changez leur style et leur épaisseur.
6. Utilisez des bibliothèques spéciales qui vous permettent de modifier les caractères de telle manière qu'il sera impossible de sélectionner une police pour leur reconnaissance logicielle. Un exemple d'une telle solution est un captcha du créateur de la ressource captcha.ru, qui est généré à l'aide de l'algorithme de distorsion des symboles en forme d'onde de l'auteur.

Toutes ces mesures permettent de compliquer la reconnaissance des captcha graphiques pour les systèmes OCR et de réduire le nombre de saisies automatiques de captcha.

Comment passer un captcha à l'aide des réseaux de neurones

Si l'OCR est une technologie assez ancienne (les premiers appareils brevetés ont été connus au début du 20ème siècle), alors les réseaux de neurones artificiels (ANN) ne sont apparus que dans la seconde moitié du siècle précédent (50 ans est un âge significatif pour les technologies : )).

Ce sont les algorithmes ANN qui sont à la base de l'intelligence artificielle (IA), dont le but est de créer des programmes et des appareils dotés de fonctions créatives, c'est-à-dire création de l'homme créé par l'homme.

À l’heure actuelle, l’IA se développe constamment et chaque jour de nouvelles inventions apparaissent avec des propriétés inédites.

Lors de la dernière conférence sur les réseaux de neurones à laquelle j'ai assisté, il a été rapporté que Google, qui participe activement aux développements dans ce domaine, avait déjà annoncé publiquement services cloud, travaillant sur la base d'ANN.

En les utilisant, vous pouvez :

• reconnaître des objets sur des photographies (du sexe de la personne représentée et de la marque de son jean jusqu'au jeu auquel appartient l'image analysée, de toutes ses palette de couleurs, le nom du lieu et ce qui s'y passe) ;
• contrôler les appareils avec la voix et les gestes ;
• rédigez des annotations pour les vidéos en fonction de ce qui se passe dans la vidéo, etc.

Naturellement, avec ces capacités, créer un programme de saisie automatique de captcha utilisant les principes ANN n'est pas difficile pour les personnes compétentes.

Un de ces produits a été développé par Vicarious en 2014. Conçu par elle réseau neuronal est capable de reconnaître le captcha dans 90% des cas (je vous rappelle que pour résoudre le test classique de Turing, qu'est le CAPTCHA, seulement 1% de bonnes réponses sont nécessaires).

Protection: Malheureusement, il est impossible de se protéger contre ce type d’attaque. Et heureusement, ANN de Vicarious ne sera pas utilisé pour des attaques ciblées visant à contourner le captcha sur les sites web, car... c'est trop cher pour des tâches aussi petites (les fabricants eux-mêmes disent qu'il s'agit d'un cluster de nombreux serveurs). Son principal domaine d'application est la résolution de divers problèmes en médecine et en robotique.

Et casser le captcha avec son aide n'est qu'une démonstration de ses capacités.

Mais le temps passe, les technologies qui étaient chères hier deviennent moins chères et le moment n'est pas loin où les produits ANN se généraliseront. Il est donc fort possible qu'à l'avenir il y ait des robots permettant de saisir automatiquement des captchas, dotés d'une intelligence artificielle.

Contourner le captcha en utilisant les services publics

À mesure que les systèmes OCR et IA se développaient, la complexité des captchas graphiques est devenue de plus en plus complexe, ce qui a permis à leurs développeurs de déployer d'énormes efforts lors de la mise en œuvre. Mais ils se sont quand même révélés futiles, parce que... ils n'offraient pas une protection à 100 % aux sites contre les attaques automatisées.

Google a donc pris, me semble-t-il, la bonne voie et a décidé d'inventer simplement nouvelle norme noCAPTCHA, éliminant le besoin de saisir manuellement les caractères des images.

Lors du développement de reCAPTCHA noCAPTCHA, nous avons utilisé l'expérience des robots de combat à l'ère de la naissance du captcha et des développements modernes dans le domaine de l'intelligence artificielle, ce qui nous permet d'assurer le bon niveau de sécurité du site, mais aussi de ne pas rendre la vie trop difficile. pour les internautes.

Mais malgré le fait que cette norme est apparu assez récemment, en 2015, un moyen de le résoudre automatiquement a déjà été trouvé. Et cela ne réside pas dans l’utilisation de l’intelligence artificielle.

Tout est bien plus banal : pour passer Google reCAPTCHA, il suffit d'utiliser les propres services de reconnaissance d'image et vocale de Google.

Il est peu probable que la reconnaissance d'images dans le cas de reCAPTCHA v2 (le même noCAPTCHA) soit utile, car à tâches graphiques vous devez sélectionner des images contenant les objets nécessaires et ne pas saisir les symboles représentés, comme c'était le cas dans la version précédente.

Et voici les services Service Google La reconnaissance vocale, qui est l'une des réalisations de Google dans le domaine de l'intelligence artificielle, mentionnée dans méthode précédente contourner le captcha sera très utile. Étant donné que le service fournit une API, créer une application basée sur celle-ci n'est pas difficile.

Protection: Malheureusement, dans cette situation, comme dans la précédente, où les ANN étaient utilisés pour contourner le captcha, il ne sera pas possible de se protéger contre le contournement du captcha. Le seul chose positive encore une fois, c'est une disponibilité relative prestations adaptées, parce que Google ne vous offre qu'un essai de 300 $ pour les utiliser.

Une fois terminés, les services deviennent payants. Mais il est peu probable que cela soit un obstacle pour les pirates informatiques, car... Ils peuvent gagner encore plus grâce aux attaques utilisant la saisie automatique de captcha.

Ainsi, dans le cas de l'utilisation de services de reconnaissance vocale et d'image pour cracker le captcha, le seul espoir reste la vigilance de leur administration, qui peut bloquer le compte si elle découvre qu'il est utilisé exclusivement aux fins décrites.

Comment passer un captcha en utilisant le travail humain

Pour compléter la liste des moyens de contourner le captcha, j'ai décidé d'en considérer un qui n'entre dans aucune des catégories énumérées ci-dessus.

Il ne repose pas sur l’exploitation des vulnérabilités des implémentations CAPTCHA ni sur l’utilisation de technologies modernes, mais repose sur le désir naturel de l’homme de gagner de l’argent.

Et en même temps, cette méthode permet de déchiffrer un captcha de toute complexité dans 100 % des cas et, de plus, de le faire sans trop d'effort financier, physique et moral.

Nous parlons de l'un des méthodes modernes l'extraction d'argent - qui, soit dit en passant, est apparue à l'époque où CAPTCHA est devenu difficile à reconnaître par programme.

Son essence est qu'il est créé service spécial, qui est censé permettre aux gens de gagner de l'argent (principalement de petits montants, qui peuvent suffire uniquement aux Indiens ou aux écoliers qui cherchent un moyen d'obtenir de l'argent) en résolvant manuellement des captchas.

Et quiconque a besoin de leurs solutions peut fournir ces captchas.

Fondamentalement, il s'agit de pirates informatiques qui utilisent les réponses de vrais utilisateurs à leurs propres fins égoïstes :

• automatisation des gains;
• envoi de spam ;
• acheter des billets et des marchandises dans des magasins en ligne pour les revendre plus cher ;
• piratage de sites Web, etc.

Pour rendre le processus plus pratique, les services fournissent même une API, grâce à laquelle le captcha peut être complété en ligne. Ceux. l'utilisateur saisit un captcha via le service, et à ce moment sa réponse est utilisée pour confirmer l'achat en ligne.

Soit dit en passant, de nombreux artisans dans le domaine de la programmation peuvent utiliser le travail humain tout à fait gratuitement. Par exemple, c'est ainsi que les propriétaires de sites pornographiques, de services de partage de fichiers, de torrents et d'autres ressources douteuses fournissant des services gratuits gagnent leur vie.

Ils sont censés fournir gratuitement aux utilisateurs un contenu précieux, nous obligeant à confirmer que vous êtes une personne et non un robot, avec l'aide duquel les attaquants utilisent leurs produits à leurs propres fins.

Naturellement, nous ne réfléchissons pas longtemps, parce que... avoir la possibilité de télécharger gratuitement un film tant attendu en qualité HD en cochant une case dans la case "Je ne suis pas un robot" n'est qu'une bagatelle. Pendant ce temps, votre action API est utilisée pour contourner le captcha sur un autre site tiers.

D'où la morale : rappelez-vous toujours que fromage gratuit seulement dans une souricière et rien n'est gratuit.

Protection: malheureusement, aujourd'hui c'est le plus méthode efficace contourner le captcha, contre lequel il n'existe aucun moyen de protection. Et cela n’arrivera pas tant que ceux qui veulent gagner de l’argent en travaillant dur et les amateurs de contenu gratuit ne seront pas partis, c’est-à-dire probablement jamais.

Contourner le captcha - conclusions

En écrivant cet article, je suis arrivé à la conclusion que le captcha, malgré l'excellente idée avec laquelle il a été conçu, à savoir protéger les sites contre les robots, a depuis longtemps cessé de remplir ses fonctions.

Si vous pouvez toujours vous protéger contre les contournements automatisés des captcha qui utilisent les points faibles des implémentations de CAPTCHA en éliminant tous les problèmes de sécurité, alors il est tout simplement impossible de vous protéger contre la saisie de captchas par de vrais utilisateurs pour de l'argent.

Dans toute cette situation, la seule chose qui sauve, c'est que cette sorte le travail rapporte une somme ridicule et peu de gens l'acceptent, de sorte que l'ampleur des cyberattaques utilisant la saisie automatique de captcha n'est pas aussi catastrophique qu'elle pourrait l'être.

En outre, les méthodes « invincibles » pour contourner le captcha incluent les technologies d’intelligence artificielle, qui se sont activement développées ces dernières années.

Dans le même temps, afin de rendre la vie plus difficile aux pirates informatiques, les captchas sont constamment « gonflés » de nouvelles fonctionnalités, ce qui rend leur réalisation une tâche difficile et fastidieuse, même pour les vrais utilisateurs du site.

N'oubliez pas le même Google reCAPTCHA : cochez la case, si Google n'aime pas quelque chose, sélectionnez-le à nouveau photos nécessaires(Avec panneaux routiers Au fait, j'ai encore des problèmes, parce que... Je peux terminer cette tâche en 5 tentatives environ). Est-ce très compliqué de laisser un commentaire ou de s'inscrire sur le site ? Il est plus facile de trouver une autre ressource...

Mais, malgré ces précautions, le captcha ne peut actuellement pas être qualifié de moyen idéal de protection contre les robots, pour lesquels de nombreuses personnes le critiquent et tentent de rechercher des alternatives.

Dans le même temps, le fait que CAPTCHA continue d'être utilisé comme technologie de cybersécurité et évolue constamment, notamment par Google, qui n'investira pas d'argent dans des projets douteux, suggère que cette technologie existera longtemps.

Par conséquent, lors du développement et du support de sites existants utilisant le captcha, il est nécessaire d'utiliser activement les recommandations décrites afin de rendre la vie aussi difficile que possible aux pirates informatiques souhaitant pirater leur logiciel.