Google reCAPTCHA v2 पर्दे के पीछे कैसे काम करता है?

यह पोस्ट Google ReCaptcha v2 (नवीनतम संस्करण नहीं) को संदर्भित करता है

हाल ही में Google ने एक सरल "कैप्चा" सत्यापन प्रणाली ( वीडियो ) पेश की, जो उपयोगकर्ताओं को केवल "कैप्चा" पर क्लिक करने में सक्षम बनाती है।

लेकिन यह एक क्लिक से किसी व्यक्ति के बॉट को कैसे अलग कर सकता है?

इस उत्तर के अनुसार , (एक समान कार्यान्वयन को मानते हुए), पहले "रिकैप्टा" एक छिपी हुई कुंजी बनाता है और इसे एक छिपे हुए इनपुट तत्व के साथ जोड़ देता है और उसी कुंजी के साथ एक चेक बॉक्स (न कि एक वास्तविक चेक बॉक्स inputबल्कि एक div) भी प्रदान करता है। जब क्लिक किया जाता है, तो एक वैध सत्यापन कुंजी के रूप में चिह्नित करने के लिए Google बैकएंड सर्वरों को एक अतुल्यकालिक अनुरोध (XHR) भेजता है (जैसे कि एक फॉर्म जमा होने पर एक कुंजी जिसे सत्यापित किया जाना है)।

लेकिन बॉट उस क्लिक को स्वचालित क्यों नहीं कर सकता (कम से कम, ब्राउज़र-आधारित बॉट)?

यह कैसे काम कर सकता है?

यह अटकलें हैं, लेकिन "जोखिम विश्लेषण इंजन" के लिए Google के संदर्भ के आधार पर वे ( http://googleonlinesecurity.blogspot.com/2014/12/are-you-robot-introducing-no-captcha.html ) का उपयोग करते हैं

मुझे लगता है कि यह देखने से पहले कि आपने क्लिक करने से पहले कैसे व्यवहार किया था, कैसे आपका कर्सर चेक (कार्बनिक पथ / त्वरण) के रास्ते पर चला गया, चेकबॉक्स का कौन सा हिस्सा क्लिक किया गया था (यादृच्छिक स्थान, या हर बार केंद्र में मृत), ब्राउज़र फ़िंगरप्रिंट, Google कुकीज़ और सामग्री, अपने फिंगरप्रिंट या खाते से बंधे स्थान के इतिहास पर क्लिक करें यदि यह एक का पता लगाता है आदि।

नकली "ऑर्गेनिक" व्यवहार को इस तरह से करना काफी मुश्किल है कि यह एक निरंतर सीखने के पैटर्न का पता लगाने वाले इंजन को बेवकूफ बना दे। जिन मामलों में यह सुनिश्चित नहीं है, यह अभी भी आपको वास्तविक कैप्चा स्ट्रिंग से मेल खाने के लिए प्रेरित करता है।

ReCAPTCHA के खिलाफ कई परीक्षणों के साथ एक नया पेपर जारी किया गया है:

https://www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA-wp.pdf

कुछ मुख्य बातें:

• +9 दिनों तक (Google संसाधनों के साथ साइटों को ब्राउज़ करके) एक कुकी को सक्रिय रखकर, आप केवल चेकबॉक्स पर क्लिक करके reCAPTCHA पास कर सकते हैं;
• प्रति आईपी अनुरोधों के आधार पर कोई प्रतिबंध नहीं है;
• ब्राउज़र का उपयोगकर्ता एजेंट वास्तविक होना चाहिए, और Google यह सुनिश्चित करने के लिए आपके वातावरण के खिलाफ परीक्षण चलाता है कि यह उपयोगकर्ता एजेंट से मेल खाता है;
• यदि ब्राउज़र कैनवास को प्रस्तुत कर सकता है तो Google परीक्षण करता है;
• स्क्रीन रिज़ॉल्यूशन और माउस इवेंट परिणामों को प्रभावित नहीं करते हैं;

Google ने कुकी की भेद्यता पहले ही तय कर दी है और संभवतः IPs के आधार पर कुछ व्यवहारों को प्रतिबंधित कर रहा है।

एक और दिलचस्प खोज यह है कि Google जावास्क्रिप्ट में एक वीएम चलाता है जो कि reCAPTCHA कोड और व्यवहार का बहुत विरोध करता है। इस VM को बॉटगार्ड के रूप में जाना जाता है और इसका उपयोग reCAPTCHA के अलावा अन्य सेवाओं की सुरक्षा के लिए किया जाता है:

https://github.com/neuroradiology/InsideReCaptcha

UPDATE 2017

हाल ही में एक कागज (अगस्त से) WOOT 2017 पर प्रकाशित किया गया था, जिसमें noCAPTCHA reCAPTCHA ऑडियो चुनौतियों को हल करने में 85% सटीकता प्राप्त की गई थी:

http://uncaptcha.cs.umd.edu/papers/uncaptcha_woot17.pdf

UPDATE 2018

Google reCAPTCHA v3 की शुरुआत कर रहा है, जो एक "मानव स्कोर भविष्यवाणी इंजन" की तरह दिखता है जिसे प्रति वेबसाइट पर कैलिब्रेट किया जाता है। यह एक reCAPTCHA भरने से पहले मनुष्यों बनाम बॉट्स के व्यवहार को समझने के लिए reCAPTCHA और वेबसाइट के मालिक की मदद करने के लिए एक वेबसाइट (Google Analytics स्क्रिप्ट की तरह काम करने वाले) के विभिन्न पृष्ठों में स्थापित किया जा सकता है।

https://www.google.com/recaptcha/intro/v3beta.html

रेप्टाचा के खिलाफ मेरे बॉट्स अच्छी तरह से चल रहे हैं।

यहाँ मेरा समाधान।

अपने बीओटी को यह कदम उठाने दें:

अपने माउस को B-Spline (सोर्स कोड के लिए पूछें) की तरह ले जाने के लिए सबसे पहले एक ह्यूमन माउस मूव फंक्शन लिखें। यह सबसे महत्वपूर्ण बिंदु है।

इसके अलावा बेहतर परिणामों के लिए वीपीएन जैसे https://www.purevpn.com का उपयोग करें

प्रत्येक Recpatcha के लिए ये उपाय करें:

1. यदि आप पहले वीपीएन स्विच आईपी का उपयोग करते हैं

2. सभी ब्राउज़र कुकीज़ साफ़ करें

3. सभी ब्राउज़र कैश को साफ़ करें

4. रैंडम द्वारा इनमें से किसी एक उपयोगकर्ता को सेट करें:

   ए। मोज़िला / 5.0 (संगत; MSIE 9.0; Windows NT 6.1; त्रिशूल / 5.0)

   ख। मोज़िला / 5.0 (विंडोज NT 6.1; WOW64; आरवी: 44.0) गेको / 20100101 फ़ायरफ़ॉक्स / 44.0

5 अपने माउस को मानव माउस के साथ स्थानांतरित करें एक यादृच्छिक से फंक्शनल को स्थानांतरित करें मैं हर बार अलग-अलग 10x10 यादृच्छिक के साथ एक रोबोट छवि नहीं हूं

6. तब के बीच यादृच्छिक विलंब के साथ कभी क्लिक करें

   WM_LBUTTONDOWN

   तथा

   WM_LBUTTONUP

7. इमेज कैप्चा से स्क्रीनशॉट लें

8. स्क्रीनशॉट भेजें

   http://www.deathbycaptcha.com

   या

   https://2captcha.com

और वे हल करते हैं।

9. कैप्चा सॉल्वर से क्लिक कोऑर्डिनेट प्राप्त करने के बाद अपने मानव माउस मूव फंक्शनल का उपयोग करें और फिर से कैप्चा इमेज पर क्लिक करें

10. ले जाने के लिए अपने मानव माउस मूव फनकटियन का उपयोग करें और रिकैप्टा वेरिफाई बटन पर क्लिक करें

75% में सभी पुनरावृत्ति हल हो जाएगी

Google को धोखा देता है

टॉम

क्या मैं अपना अनुमान प्रस्तुत कर सकता हूं, क्योंकि यह एक खुली तकनीक नहीं है।

Google का कहना है कि यह रोबोट से मानव को अलग करने के लिए पहले, दौरान, बाद में जानकारी का मुकाबला करने के बारे में है। लेकिन मुझे उस बॉक्स पर अंतिम क्लिक के बारे में अधिक दिलचस्पी है।

कहते हैं, POST डेटा (सॉल्वड कैप्चा) में फिंगरप्रिंट नामक फ़ील्ड होता है, जो उपयोगकर्ता के व्यवहार से गणना की जाती है। मुझे लगता है कि उस चेक बॉक्स स्थान के बारे में एक क्षेत्र हो सकता है। मुझे लगता है कि यह चेक बॉक्स Google के अंत-छोर द्वारा उत्पन्न एक समन्वय प्रणाली में है और मेरी साइट की सार्वजनिक कुंजी द्वारा एन्क्रिप्ट किया गया है। इसलिए, एक रोबोट इस बॉक्स के बारे में किसी स्थान का "अनुमान / गणना" कर सकता है, लेकिन जब साइट स्वामी उपयोगकर्ता पहचान को सत्यापित करने के लिए निजी कुंजी के साथ GET क्वेरी बनाता है, तो Google समन्वय प्रणाली को डिक्रिप्ट करेगा और कहेगा कि क्या उपयोगकर्ता सही जगह पर क्लिक करता है। इसलिए, केवल Google और साइट स्वामियों के स्वामित्व वाले इस यादृच्छिक समन्वय प्रणाली में केवल एक संभावित राइट क्लिक (कुछ ऑफसेट के साथ, यह एक स्क्वायर बॉक्स है) स्थान है।

कृपया याद रखें कि Google एक साथ reCaptcha का भी उपयोग करता है

Canvas fingerprinting 

कुकीज़ के बिना उपयोगकर्ता / ब्राउज़र को विशिष्ट रूप से पहचानने के लिए!