Топик для обсуждения капчи, способов обхода её итд​

P.S. на форуме нет постоянного топика для капчи, пусть будет этот стабильным топиком, чтобы всё в одном месте было =)

собственно вот вопрос:

keycaptcha (https://www.keycaptcha.com/) - новый вид капчи, а реально ли ботом пройти её ?

Нихера себе капчта, antigate русскую с трудом согласился разгадывать, а тут...

Недостаток подобных капч - конечное число картинок, что позволяет собрать полную базу и обходить капчу с вероятностью 100% (в теории =))

upd:

Обход капчи loveplanet.ru (видео) (https://antichat.live/showthread.php/t/219458/)

Конечно можно. Посмотрев сайт, я увидел, что воспользоваться Charles не получиться, поскольку на сайте поддерживается только SLL соединение.

Но Tamper Data меня ещё никогда не подводил. Тогда я поставил перехватку данных и принялся распознавать капчу. Оказалось, что без вмешательства сервера, проверка капчи осуществляется на стороне клиента:

http://i056.radikal.ru/1105/68/2a90a082821a.png

Это значит, что возможен механизм обхода капчи,но писать его пока нет смысла,поскольку данный алгоритм пока нигде не используется.

Мне вот интересно, зачем капча такая на сайте? Я себе на сайт поставил флеш капчу с поворотами картинок - количество комментариев упало в 3 раза.

А тут какое желание комменты оставлять?

Доброго времени суток, увидел тут обсуждение нашего сервиса, решил откомментировaть все по порядку


M_script said:
Недостаток подобных капч - конечное число картинок, что позволяет собрать полную базу и обходить капчу с вероятностью 100%
(в теории =))


Число картинок практически не имеет значения, так как достать картинки из капчи получится только если полностью сэмулировать браузер, включая все JS события и таймеры, а это сильно затратно по ресурсам для любого спам-бота... Картинки все летят в зашифрованном виде, поэтому достать их "напрямую" не получится, можете посмотреть используя вкладочку "сеть" в FireBug на то, какие они "красивые". Плюс у нас существует возможность создавать капчи для своего сайта из своих картинок, пока правда мы переделываем ToS'ы, но в июне снова можно будет оплатить такую услугу.

+KeyCAPTCHA грузится всегда по https, что убирает возможность использования большинства анонимных прокси

+KeyCAPTCHA отсеивает не только спамеров, но и троллей, использующих веб-анонимайзеры

+KeyCAPTCHA в любой момент может задействовать механизм контроля IP посетителя хитрым методом и ГЕО-контроль по странам...

(это если кто-то попытается сделать что-то типа antigate для KeyCAPTCHA)

+наши сервера собирают постоянно анонимные прокси с многих публичных и закрытых источников, в любой момент, для любого сайта, можно приминить фильтрацию анонимных прокси


XAMEHA said:
Конечно можно. Посмотрев сайт, я увидел, что воспользоваться Charles не получиться, поскольку на сайте поддерживается только SLL соединение.
Но Tamper Data меня ещё никогда не подводил. Тогда я поставил перехватку данных и принялся распознавать капчу. Оказалось, что без вмешательства сервера, проверка капчи осуществляется на стороне клиента:


Вы не внимательно смотрели Валидация капчи проходит на нашем сервере, никакой информации о правильном решении на клиенте нет. Капча встраивается в веб-форму с помощью перехвата onclick кнопки или ссылки по которой просходит постинг. Когда пользователь нажимает на "отправить" идет запрос на наш сервер для проверки капчи, результатом является строка содержащая подписанные MD5 ответ от нашего сервера для сервера на котором установлена KeyCAPTCHA. Ответ также содрежит флажок (0 или 1) по которому JS определяет надо обновлять капчу или отправить пост на сервер, когда пост прилетает на защищаемый сервер, там происходит проверка MD5 подписей и запрос на KeyCAPTCHA backend о том, действительно-ли капча была собрана правильно Так что никакие "вмешивания" в JS ни к чему не приведут, браузер посетителя не отвечает за проверку капчи вообще никак, он только пересылает информацию от нашего сервера на защищаемый веб-сервер, ну и если флажок взведен в 0, то обновляет капчу...


Devvver said:
Мне вот интересно, зачем капча такая на сайте? Я себе на сайт поставил флеш капчу с поворотами картинок - количество комментариев упало в 3 раза.
А тут какое желание комменты оставлять?


В этом-то и дело, что вы ставили Flash капчу, а у МНОГИХ пользователей стоит блокировка Flash, основной режим работы нашей капчи это HTML5, Flash используется только в IE и Opera, так как у первого нет HTML5, а у второго не совсем стандартный JS движок, который не понимает некоторых наших "завихрений кода"

Ну и хочется еще отметить что наш сервис, это не просто капчи конкретных видов, это платформа для создания любого интерактива с пользователем, разработать новый вид капчи для нас это 3-4 дня работы вместе с тестированием...

Ну вот вобщем-то всем ответил....

Nicholas, это не объясняет тот факт, что капча проходит валидацию при физическом отключении интернета.

XAMEHA said:
Nicholas
, это не объясняет тот факт, что капча проходит валидацию при физическом отключении интернета.


Всмысле? Как она может пройти валидацию, если я Вам только что объяснил принцип ее работы

А то, что у Вас при отключенном инете появилась зеленая галка, это может быть связано с тем, что Вы один раз ее правильно прошли, но обновления страницы не было (валидаторы например какие-нибудь на форме не пропустили постинг) и в скрытом поле ответа от сервера с uid капчи, осталось старое значение, в котором стоит признак, что она решена верно Но поскольку инет вы отрубили, новая капча не подргузилась и не обнулила это поле...

Решенная верно капча "протухает" на сервере через 6 минут, если со стороны защищаемого веб-сервера не было запроса на ее валидацию по uid.

После запроса защищаемым веб-сервером капчи по uid она сразу удаляется, так что использовать два раза один ответ от бэк-сервера не получится... При этом каждый ответ содержащий уникальный идентификатор капчи (uid) который подписан приватным ключом защищаемого веб-сервера и не может быть принят другим веб-сервером.

Алгоритм работы я описал в предыдущем посте.... Повторю еще раз, что веб-браузер клиента не имеет никакой информации о правильно решении и отвечает только за передачу координат подвижных объектов на бэк-сервер KeyCAPTCHA и передачу ответа от бэк-сервера KeyCAPTCHA на защищаемый веб-сервер посредством скрытого поля формы.

Такой подход позволяет KeyCAPTCHA обновляться при неправильном решении без перезагрузки всей страницы (очень удобно, если на форме много полей) и работать на хостингах, на которых запрещены исходящие соединения, посредством альтернативного метода проверки через скрипт получения времени подписанного приватным ключом (этот режим задействуется, если в настройках сайта, на вкладке "Дополнительные" снять флажок "Разрешить исходящие запросы").

Всем, кто хочет разобраться или в чем-то сомневается советую посмотреть траффик между серверами и браузером, с помощью любых инструментов, самым распространенным из которых является FireBug вкладочка "сеть". Также можно взглянуть на наш универсальный PHP class, который есть в любом плагине, в нем видно, каким образом проходит валидация капчи на стороне защищаемого веб-сервера.

PS: в первую очередь при создании KeyCAPTCHA делался упор на безопасность, так что никаких "детских" болезней типа ответов на клиенте и прочих тривиальных методов ее обхода с помощью "манипуляций" с JS не существует "по определению", исходя из описанного мной алгоритма ее работы. Когда клиент ни за что не отвечает, кроме как за отображение и коммуникацию между серверами. При этом вся "коммуникация" подписана приватным ключом защищаемого веб-сервера, который опять-же ни в каком виде не присутствует на клиенте и известен только бэк-серверам KeyCAPTCHA и защищаемому веб-серверу. Единственно чего можно добиться, с помощью JS-манипуляций, это, что покажется зеленая галка, но это никак не относится к прохождению капчи, защищаемый веб-сервер просто не примет поддельный ответ и скажет что капча была собрана не верно

Уязвимость в reCaptcha позволяет активировать до 30 действий по одному и тому же токену (http://habrahabr.ru/blogs/infosecurity/120265/)

XAMEHA said:
Конечно можно. Посмотрев сайт, я увидел, что воспользоваться Charles не получиться, поскольку на сайте поддерживается только SLL соединение.
Но Tamper Data меня ещё никогда не подводил. Тогда я поставил перехватку данных и принялся распознавать капчу. Оказалось, что без вмешательства сервера, проверка капчи осуществляется на стороне клиента:
Это значит, что возможен механизм обхода капчи,но писать его пока нет смысла,поскольку данный алгоритм пока нигде не используется.


Проверка капчи осуществляется на стороне сервера, капча вешается на onclick кнопки и перед постом запрашивает бэк-сервер KeyCAPTCHA о правильности решения передав координаты подвижных объектов. Тот отвечает подписанным MD5 ответом на основании секретного ключа сайта.

На клиенте нет НИКАКОЙ информации о правильном решении капчи. Никакие Tamper Data не помогут.

Сорри за некропост.Смысл в этой капче - тупо расставить паззл по нужным местам, тоесть необязательно, чтобы кусочки примыкали непосредственно к бОльшему, целостному куску, примет даже при наличии некоторого расстояния.

//Что-то я кэпнул

GAiN said:
собственно вот вопрос:

keycaptcha (https://www.keycaptcha.com/) - новый вид капчи, а реально ли ботом пройти её ?


Я в этом топике ранее уже много и со ссылками отвечал на по поводу программного прохождения. Потёрли всё, (не)заинтересованные люди

Повторяться не хочется - поиском всё ищется

C другой стороны, KeyCAPTCHA защищает пару сотен сайтов и нафик она никому не нужна, чтобы спам-ботами заморачиваться.

Бот - это программа (скрипт).

В частности, через который я пишу это особщение

Сам по себе вопрос некорректен

Спам боты - это не вирусы.

Они без человека, сами по себе, ничего не делают.

Если есть желание (интерес, заказ) и спам- бот не может сам зарегистрироваться, то зарегистрируется человек и дальше бот в помощь делать то же самое (постить, заполнять профили).

Кстати, весёлые картинки привлекают игроманов, которые ради любви к искусству регистрируются


I love puzzles. I made 9 accounts! (http://www.reddit.com/r/WTF/comments/exa5e/i_think_this_is_genius_but_i_cant_be_certain/c1boo5w)

Love the "KEYCAPTCHA" . I could play with it all day (Lots of Time , Little Intellect). Seriously, Congratulations , Well Done (http://www.warezfreaks.org/topic/397133-congratulations-on-the-new-look/page__view__findpost__p__430419)

etc., etc.


Это явно не то, что нужно администраторам/модераторам


Devvver said:
Мне вот интересно, зачем капча такая на сайте? Я себе на сайт поставил флеш капчу с поворотами картинок - количество комментариев упало в 3 раза.
А тут какое желание комменты оставлять?


А KeyCAPTCHA уменьшает посещаемость в 20 раз (http://www.stopforumspam.com/forum/viewtopic.php?pid=21970#p21970)

и увеличивает спам в 10ки раз (http://www.vbulletin.org/forum/showpost.php?p=2180505&postcount=40)

Но суть даже не в этом.

Это сторонний сервис. И такие сервисы сами себе на уме - устанавливают и меняют правила.

В случае KeyCAPTCHA то, что заряжается через Ваш ресурс в браузеры посетителей не только не контролируется, но просто не видно хозяину ресурса.

(идёт напрямую посетителям с бэк-серверов KeyCAPTCHA)

Вон, например, DownLoad.com настаивает на полном серьёзе, что может вшивать в чужие файлы malware (malvertising) при их загрузке другими. Это его бизнес-модель

Поэтому, при использовании сторонних сервисов существкнно доверие к и надёжность, вернее репутация) провайдера, а также прозрачность операций.

Какое может быть доверие к KeyCAPTCHA, если:


работает из России, под именем зарегистрированной полгода назад, сменив название, в США компании, а возможные конфликты предлагает разрешать на Сейшелах, это с их сайта, не хочу его раскручивать

При этом этот расклад уже не раз перетасовывалассылкой

на своём сайте предлагает реламодателям все зашищаемые сайты для рекламы, без оговорок, что 2-3% согласны служить платформой рекламы

владелец KeyCAPTCHA открытую пишет, бравируя, в интернете, что является профессиональными спамером.

См. здесь (http://habrahabr.ru/blogs/spam/107286/#comment_3382115) и немного там же (http://habrahabr.ru/blogs/spam/107286/#comment_3382665)

в августе 2011 KeyCAPTCHA, с пеной у рта, в десятках обсуждений доказывала, что будет банить ресурсы (вебмастеров), которые pfблокирe.nь рекламу в KeyCAPTCHA (потом якобы отрулила). См., например, здесь (http://www.fisana.ru/blog/keycaptcha-navyazyvaet-reklamu/#comment-3396)


Геннадий

бывш. работник KeyCAPTCHA (http://keycaptchaured.wordpress.com/2011/09/20/new-trends-in-spamming-spam-fused-into-antispam-protection-with-spamming-visitors-instead-of-web-sites/) , которого, при получении задолженности по ЗП и увольнительных, взял ОБЭП с переписанными КейКапчей купюрами и по заявлениям KeyCAPTCHA, за вымогательство, а на самом деле за несогласие обманывать пользователей

Nifigase said:
C другой стороны, KeyCAPTCHA защищает пару сотен сайтов и нафик она никому не нужна, чтобы спам-ботами заморачиваться.


Защищает более 20к сайтов на данный момент


Nifigase said:
Бот - это программа (скрипт).
В частности, через который я пишу это особщение
Сам по себе вопрос некорректен
Спам боты - это не вирусы.
Они без человека, сами по себе, ничего не делают.


Ваше умотворчество просто восхищает


Nifigase said:
уменьшает посещаемость в 20 раз
и увеличивает спам в 10ки раз


Забыли привести сотни ссылок где люди хвалят наш сервис и говорят что он на 100% защищает от ботов и приятен посетителям


Nifigase said:
Поэтому, при использовании сторонних сервисов существкнно доверие к и надёжность, вернее репутация) провайдера, а также прозрачность операций.


Ага!! срочно вырубаем AdSense !!!


Nifigase said:
Какое может быть доверие к KeyCAPTCHA


Доверие складывается из отзывов пользователей, люди советуют друг другу наш сервис, так как он действительно надежно защищает от спама и удобен для пользователей.

Есть конечно и те, кому не нравится наша идея, но это скорее исключение...

Основная масса негатива в сети относительно нашего сервиса ваших рук дело дорогой друг Геннадий

Отвечать Вам здесь больше не собираюсь, бейтесь об стенку головой посильнее, может когда-нить мозги окажутся на стенке

Nicholas said:
Защищает более 20к сайтов на данный момент
Ваше умотворчество просто восхищает


Это голословно с обоих сторон.

И, суть не в том, сколько, кто, кого защищает,

а в том, что:


приводить цифры, которые невозможно проверить, и бессмысленно и неэтично (плохо попахивает)

Вы на своём сайте предлагаете рекламодателям всю сеть , "защищаемых" сайтов, никак не упоминая, что только небольшой процент согласен пропускать Вашу рекламу
.

Соответственно, Вы вводите в заблуждение:


и владельцев ресурсов, привлекая их бесплатной безрекламной КейКАПЧА, не информируете о том, что может произойти в случае появления заинтересованного рекламодателя,

и рекламодателя, забывая проинформировать о том, что владельцы просто уберут Ваш плагин, когда их начнут использовать, не так, как они ожидали


В соответствии сопределениями УК, подлгом считается не только, и не столько враньё, сколько опускания информации, в результатом которых пользователи приходят к неправильным выводам (вводятся в заблуждение)

Помогите! Как обойти капчу текстого формата 2+2 и тд? Примеров всего штук двадцать. Как сделать чтобы при появлении на экране капча вводилась? Или как то ее остановить. В программировании не шарю.

fd00ch said:
в винде есть специальная утилита для таких целей, называется Калькулятор. им решаешь капчу, вводишь результат и - вуаля - ты обошёл защиту!!!!11


Слишком толсто, петросян.

Nifigase said:
владелец KeyCAPTCHA открытую пишет, бравируя, в интернете, что является профессиональными спамером.
См.
здесь (http://habrahabr.ru/blogs/spam/107286/#comment_3382115)
и
немного там же (http://habrahabr.ru/blogs/spam/107286/#comment_3382665)
в августе 2011 KeyCAPTCHA, с пеной у рта, в десятках обсуждений доказывала, что будет банить ресурсы (вебмастеров), которые pfблокирe.nь рекламу в KeyCAPTCHA (потом якобы отрулила).
См., например, здесь (http://www.fisana.ru/blog/keycaptcha-navyazyvaet-reklamu/#comment-3396)
[/list]
Геннадий
бывш. работник KeyCAPTCHA (http://keycaptchaured.wordpress.com/2011/09/20/new-trends-in-spamming-spam-fused-into-antispam-protection-with-spamming-visitors-instead-of-web-sites/)
, которого, при получении задолженности по ЗП и увольнительных, взял ОБЭП с переписанными КейКапчей купюрами и по заявлениям KeyCAPTCHA, за вымогательство, а на самом деле за несогласие обманывать пользователей


В России уже ничему не удивишься )).

Nicholas said:
Доверие складывается из отзывов пользователей, люди советуют друг другу наш сервис, так как он действительно надежно защищает от спама и удобен для пользователей.


Ух,ты,удивили то охренеть.Из отзывов,которые вы сами клепаете ? ))Может,тогда объясните,зачем существуют,например, сервисы апов тем/рефы на форумах ? Да,потому,что это выгодно.

«Люди советуют друг другу наш сервис» - Люди многое советуют,да и где гарантия,что это вообще люди,а не ваши спам-дети?

Breetonia said:
«Люди советуют друг другу наш сервис» - Люди многое советуют,да и где гарантия,что это вообще люди,а не ваши спам-дети?


Вы не правильно поняли, я имел ввиду что люди физичеси знакомые друг с другом, или давно знакомые в сети советуют друг другу наш сервис.

А про отзывы, я имею ввиду отзывы с благодарностями которые постоянно приходят к нам. Самим себе на почту посылать благодарности по-моему это как-то очень странно ;D

Добрый вечер форумчанам.

Вот пытаюсь на PHP написать скрипт для скачивания файлов с depositfiles, до капчи все работало, когда появилась капча научил скрипта авторизироватся, вобщем возможно ли качать файлы передавая депозиту challenge и response уже розгаданой капчи? Ну разумеется его переодично меняя.

Использую CULR, подскажите приверный алгоритм действий. Зарание благодарен

GAiN said:
собственно вот вопрос:

keycaptcha (https://www.keycaptcha.com/) - новый вид капчи, а реально ли ботом пройти её ?


Да вполне реально:

Взлом интерактивной капчи. Анализ KeyCaptcha (http://intsystem.org/448/vzlom-keycaptcha/)

InSys said:
Да вполне реально:
Взлом интерактивной капчи. Анализ KeyCaptcha (http://intsystem.org/448/vzlom-keycaptcha/)


Обсуждение переместилось в топик Автоматическое распознавание KeyCaptcha (https://antichat.live/showthread.php/t/316934/) по освоению готовых скриптов для прохождения KeyCAPTCHA

Вообще, непонятно, как я сам, в начале моей работы в KeyCAPTCHA.com, повёлся на эту (как и многую другую) клюкву и писал бред про абсолютную непробиваемость KeyCAPTCHA

Достаточно было погуглить, чтобы найти и готовые скрипты, и алгоримы для сборки паззлов, и узнать, что компьютерами это делали задолго до изобретения капч, распознавания изображений, речи и др.

Т.е. технически это гораздо проще определения текстов на картинках

А узнал я про то, что это намеренное враньё (и кому - коллеге по работе можно было бы сказать без вранья) после того, как я предложил объявить приз на взлом KeyCAPTCHA, после чего оказалось что её создатели сами не считали её непробиваемой

Что то тема совсем небольшая. Есть ли решение с капчей в контакте, никак не могу понять закономерность ее появления. Сначала появлялась только в некоторых группах и спустя минут 15 спама. Щас же стала появляться постоянно и блокирует работу программы((

есть ли решение?

Вполне реально мне кажется.. Надо будет попробывать

Может кто подскажет как можно обходить No CAPTCHA , пример http://www.google.com/recaptcha/api2/demo