Альтернатива рекапчи - изобретем велосипед?
#51 Оффлайн
Опубликовано 4.09.2021 - 23:24
Хотя, если ваши вебмастера рекапчу только на фронт повесили, а бек оставили с голой, простите меня, жопой, то и серверное по лучше не трогать ))
всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня
#52 Оффлайн
Опубликовано 7.09.2021 - 03:07
fail2ban элементарно обходится через прокси, которых у парсеров десятки тысяч.Fail2ban позлее настроить и будет хорошо.
Хотя, если ваши вебмастера рекапчу только на фронт повесили, а бек оставили с голой, простите меня, попкой, то и серверное по лучше не трогать ))
Что значит рекапча только на фронт? Разверните мысль.
И что такое не трогать серверное по? Какое именно?
#53 Оффлайн
Опубликовано 7.09.2021 - 11:53
Бан всей подсети по признаку плохого бота. Бан ip по признаку свыше 100 скачиваний в минуту. Держать столько прокси ради парсинга дорого выходит.fail2ban элементарно обходится через прокси, которых у парсеров десятки тысяч.
Что значит рекапча только на фронт? Разверните мысль.
И что такое не трогать серверное по? Какое именно?
Вы же пишите, что вашу рекапчу обходят через curl, значит, рекапча не защищает сервер, просто как украшение висит на фронте.
всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня
#54 Оффлайн
Опубликовано 7.09.2021 - 13:12
Бан всей подсети по признаку плохого бота. Бан ip по признаку свыше 100 скачиваний в минуту. Держать столько прокси ради парсинга дорого выходит.
Вы же пишите, что вашу рекапчу обходят через curl, значит, рекапча не защищает сервер, просто как украшение висит на фронте.
Любую рекапчу можно обойти, вопрос цены обхода. Если сделать невозможным через curl, то останется лазейка для ботов, построенных на движках браузеров, но у них есть слабое место - высокие требования к ресурсам, соответственно массового парсинга не получится. Вернее массовый на ботах может получиться, но тут уже возникнет конфликт цены информации и затрат на ее добычу. Так что в моем случае - главное защититься от внебраузерных запросов.
Бан всей подсети не вариант:
1. может и затронет клиентов
2. для парсеров (не программ, а людей) - нет проблемы сменить подсети, нет проблем в десятках тысяч прокси.
Изменено: etonedrugoe, 7.09.2021 - 13:24
#55 Оффлайн
Опубликовано 7.09.2021 - 14:40
1. Не надо тогда защиту браузерную. Она в любом случае обходится. Если есть ресурс - следите за количеством обращений, если есть подозрения на бота - без предупреждения отдавайте абракадабру. На фронте можно попробовать предусмотреть по каким либо признакам выявление абракадабры и её сокрытие. Тогда в случае казуса, когда в одной сети с вашем пользователем оказался участник ботнета, пользователь не удивится бреду, просто его комп слегка подвиснет.
Вариант с бредом самый здравый как я думаю. Программист не получает честный ответ что он забанен, получает просто недостоверные сведения. Он доволен, результат парсинга передает заказчику. Заказчик или видит что бред - тогда тупо ссорится с программистом, или начинает пользоваться бредом. Ну, как говорится, пожалуйста, на здоровье.
всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня
#56 Оффлайн
Опубликовано 7.09.2021 - 15:24
Вы прикалываетесь что ли? Валидность токена не поможет, естественно он проверяется, как и успешно разгадывается нейросетями, в том числе когда гугл просит пройти тест ) могу продемонстрировать в прямом эфире.2. Проблема в стоимости информации. Итаки да, вы действительно не проверяете сервером у Гугла валидность хеша? Тогда в чем смысл рекапчи??? Кстати, Гугл рекапча и нокапча палят прокси. Если они не знают этого юзера - то попросят таки пройти тест. Попробуйте жмакнуть "я не бот" с только что установленной винды...
1. Не надо тогда защиту браузерную. Она в любом случае обходится. Если есть ресурс - следите за количеством обращений, если есть подозрения на бота - без предупреждения отдавайте абракадабру. На фронте можно попробовать предусмотреть по каким либо признакам выявление абракадабры и её сокрытие. Тогда в случае казуса, когда в одной сети с вашем пользователем оказался участник ботнета, пользователь не удивится бреду, просто его комп слегка подвиснет.Вариант с бредом самый здравый как я думаю. Программист не получает честный ответ что он забанен, получает просто недостоверные сведения. Он доволен, результат парсинга передает заказчику. Заказчик или видит что бред - тогда тупо ссорится с программистом, или начинает пользоваться бредом. Ну, как говорится, пожалуйста, на здоровье.
1. Как понять бот это или человек? Имеется ввиду под ботом бот, написанный для конкретного ресурса. Я лично не знаю ни одного надежного способа. Бот=юзеру. Тот же браузер, те же действия. Один в один.
С недостоверными сведениями в ответ на curl - момент очень интересный, спасибо.
Изменено: etonedrugoe, 7.09.2021 - 15:24
#57 Оффлайн
Опубликовано 7.09.2021 - 16:42
1) Сидят люди, получают валом тесты, решают. Бот получает задачу решить рекапчу, сигналит операторам, операторы решают, бот дальше выполняет задачу. Ну, тут сложное апи, и это дорого. Ручной труд.
2) прохождение теста для слабовидящих, звук голоса с кодом предлагают расшифровать .... Гуглу. И он расшифровывает. Но, 2, возможно пофиксили. Не следил за новостями, но был такой анекдот.
Про то как токен расшифровывают нейросети - по мне это что-то из битвы экстрасенсов )) но, опять таки, не исключаю что я отстал от жизни.
А надёжно отличить бота от человека - только по поведению.
Кстати ещё, если и правда повесить только на фронт рекапчу, и при проваленном тесте и заблокированной навигации на фронте все равно идёт обращение - вот в этот момент и правда можно отдавать старые результаты с перемешанным контентом. Пусть кушают.
всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня
#58 Оффлайн
Опубликовано 7.09.2021 - 16:59
Достоверные известные мне методы прохождения теста рекапчи:
1) Сидят люди, получают валом тесты, решают. Бот получает задачу решить рекапчу, сигналит операторам, операторы решают, бот дальше выполняет задачу. Ну, тут сложное апи, и это дорого. Ручной труд.
2) прохождение теста для слабовидящих, звук голоса с кодом предлагают расшифровать .... Гуглу. И он расшифровывает. Но, 2, возможно пофиксили. Не следил за новостями, но был такой анекдот.
Есть и третий способ
#59 Оффлайн
Опубликовано 7.09.2021 - 17:01
Все проще )
https://radikal.ru/video/oz2UodGlIrk
там где no_image - значит токен получен успешно
Изменено: etonedrugoe, 7.09.2021 - 17:02
#60 Оффлайн
Опубликовано 7.09.2021 - 17:13
А надёжно отличить бота от человека - только по поведению.
а как? считывать движения мышки? В таком случае обычные пользователи не пройдут тест, как и при усложнении коэффициента человечности рекапчи.
#61 Оффлайн
Опубликовано 7.09.2021 - 22:42
Следить за активностью пользователя на куче сайтов. Если получится - подслушивать его телефон и подсматривать его камеру ))а как? считывать движения мышки? В таком случае обычные пользователи не пройдут тест, как и при усложнении коэффициента человечности рекапчи.
всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня
0 пользователей читают эту тему
0 пользователей, 0 гостей, 0 невидимых