Como funciona o novo re-captcha do Google?

18

Tanto quanto eu sei, o Google mudou seu re-captcha para um novo para o navegador Google Chrome. O Google URL Shortener usa esse tipo de captcha.

Este re-captcha verifica se "Não somos robôs" automaticamente apenas com um único clique. Mas como isso funciona?

Na imagem abaixo, você pode ver o captcha.

(1) Clicamos em "Eu não sou um robô" e (2) depois de um tempo, (3) re-captcha verifica isso automaticamente:

insira a descrição da imagem aqui

Amirreza Nasiri
fonte
11
Essa "caixa de seleção" deve funcionar em todos os navegadores que suportam HTML5. Não apenas para o Chrome. Isso também funciona no meu IE 9.
crazypotato
@crazypotato Sim, até dois dias atrás, até onde eu sei, esse re-captcha não funcionava no Firefox e Opera (era o antigo e difícil captcha). mas hoje, esse captcha veio em vez do antigo!
Amirreza Nasiri 21/09/14
3
Isso parece explicá-lo muito bem: stackoverflow.com/a/25626267/3622209
user3622209
@ user3622209 Sério? As pessoas só querem saber seu JS? Isso é tão obviamente. Eu não entendo isso. Também parte sobre "spambots" risível
crazypotato
Onde posso tentar isso? O Google URL Shortener não me mostra um.
gparyani

Respostas:

7

Até onde eu sei, há algumas coisas que estão indo em direção a isso. Para começar, ele usa Javascript - que muitos spambots não podem executar, por isso está impedindo inerentemente muitos spambots a esse respeito. (dependendo se o proprietário tiver configurado o fallback, ele poderá ver uma versão HTML básica do CAPTCHA).

Porém, mais ao ponto de determinar um clique 'humano' para um 'possivelmente robô' (e mostrar CAPTCHA visual), clique em:

  1. Endereços IP - como mencionado, estar nos endereços IP do Tor quase certamente leva a um gatilho para o CAPTCHA visual. Além disso, estar localizado em alguns países parece aumentar as probabilidades, mas não posso ter certeza disso.

  2. Conta e histórico do Google, * talvez * - Percebo uma incidência menor do visual disparando quando inicio a sessão, em comparação com o modo de navegação anônima. Além disso, se você teve uma sessão no Google assistindo a vídeos do YouTube, enviando e-mails, seria visto como uma ameaça menor do que alguém que acabou de carregar uma página pela primeira vez.

  3. Atividade da página - ainda não me aprofundei muito nisso, mas parece que eles estão usando algum tipo de mecanismo para detectar como você está visualizando a página. Se você clicar no CAPTCHA assim que a página for carregada, em vez de após 30 segundos de preenchimento do formulário, eles serão vistos como de maior risco.

  4. Número de vezes que a verificação anti-robô foi concluída - é óbvia. Eventualmente, se você continuar marcando a caixa ao longo de um over, maior a probabilidade de o robô verificar o disparo. Um spambot pode ser capaz de passar por um formulário nas primeiras 3 vezes, mas depois disso, quando a verificação do robô é acionada, eles são parados.

mjt
fonte
Hmm, bom :) mas a segurança desse novo captcha é menor do que os captchas de letras, porque se um robô inteligente segmenta e conhece o algoritmo desse mecanismo, pode ser fácil para o robô resolver TODOS esses captcha. então você acha que existe alguma "randomização" para evitar esse problema?
Amirreza Nasiri
11
Bom ponto, esqueci completamente isso - acrescentou o último. Depois de algum tempo, parece lançar alguns aleatórios.
mjt
1

Tanto quanto eu sei, há algum tipo de bot que procura "padrões humanos". Se, por exemplo, você pudesse rolar para a parte inferior da página e clicar instantaneamente no botão "Eu não sou um robô", você provavelmente NÃO seria aprovado - mas seria solicitado a fazer um captcha antigo.

GLaDER
fonte
11
Isso parece um pouco simples demais. Então você diz que a única diferença aqui é a rapidez com que você rola para baixo? Eu acho que se for feito em um instante, pode ser um robô, mas uma vez que isso seja conhecido, o bot terá que esperar um pouco mais para parecer humano. Não é um bom teste!
SPRBRN
Este foi apenas um exemplo. A idéia geral é procurar um comportamento de robô .
GLaDER
0

O Google provavelmente tem uma lista negra de endereços IP como esta . Se o seu endereço IP estiver listado neste banco de dados, recaptcha "normal" será mostrado. Caso contrário, você ignora esta "caixa de seleção".

Esta é uma explicação muito simplificada, mas o endereço IP é a parte mais importante. Você pode farejar todos os dados enviados ao Google, mas apenas o Google sabe exatamente o que é processado no servidor.

De qualquer forma, essa "caixa de seleção" não será usada para serviços importantes como a pesquisa no Google (simples demais para ser ignorada).

Ao usar o TOR (a maioria dos IPs banidos na pesquisa do Google) após clicar na caixa de seleção, o captcha ilegível (?) Usual será exibido (1 palavra lixo + 1 palavra com possibilidade de leitura):

fk recaptcha

Eu acho que é irrelevante, mas parece que esta página foi escrita em HTML5

crazypotato
fonte
11
Sim, está certo, o captcha depende do IP e do navegador (os dois, tenho certeza). Mas como isso funciona?
Amirreza Nasiri
11
Os seres humanos têm falhas. E em uma interface gráfica do usuário, você move o mouse de maneira aleatória que o robô não pode replicar. A maneira como você passa um dedo em um trackpad ou arrasta um mouse. Aceleração, desaceleração, pausas ... Isso tudo resulta em um humano. Spambots são perfeitos demais na entrada de dados e essa é a falha deles.
JakeGould
Eu discordo, Jake. Posso programar bots para imitar o movimento do mouse com facilidade e nada pode diferenciá-los dos humanos. Existem outras coisas que não são factíveis (de maneira alguma economizam tempo), mas o movimento do mouse não é uma delas.
Overmind