Перейти к содержимому


Фото

Альтернатива рекапчи - изобретем велосипед?


  • Чтобы отвечать, сперва войдите на форум
60 ответов в теме

#51 Оффлайн   sergmessenger

sergmessenger

    Зануда

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 17 133 Сообщений:

Опубликовано 4.09.2021 - 23:24

Fail2ban позлее настроить и будет хорошо.
Хотя, если ваши вебмастера рекапчу только на фронт повесили, а бек оставили с голой, простите меня, жопой, то и серверное по лучше не трогать ))
  • 0

всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня


#52 Оффлайн   etonedrugoe

etonedrugoe

    Дважды герой флейма

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 691 Сообщений:

Опубликовано 7.09.2021 - 03:07

Fail2ban позлее настроить и будет хорошо.
Хотя, если ваши вебмастера рекапчу только на фронт повесили, а бек оставили с голой, простите меня, попкой, то и серверное по лучше не трогать ))

fail2ban элементарно обходится через прокси, которых у парсеров десятки тысяч.
Что значит рекапча только на фронт? Разверните мысль.
И что такое не трогать серверное по? Какое именно?
  • 0
Самозванец

#53 Оффлайн   sergmessenger

sergmessenger

    Зануда

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 17 133 Сообщений:

Опубликовано 7.09.2021 - 11:53

fail2ban элементарно обходится через прокси, которых у парсеров десятки тысяч.
Что значит рекапча только на фронт? Разверните мысль.
И что такое не трогать серверное по? Какое именно?

Бан всей подсети по признаку плохого бота. Бан ip по признаку свыше 100 скачиваний в минуту. Держать столько прокси ради парсинга дорого выходит.

Вы же пишите, что вашу рекапчу обходят через curl, значит, рекапча не защищает сервер, просто как украшение висит на фронте.
  • 0

всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня


#54 Оффлайн   etonedrugoe

etonedrugoe

    Дважды герой флейма

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 691 Сообщений:

Опубликовано 7.09.2021 - 13:12

Бан всей подсети по признаку плохого бота. Бан ip по признаку свыше 100 скачиваний в минуту. Держать столько прокси ради парсинга дорого выходит.

Вы же пишите, что вашу рекапчу обходят через curl, значит, рекапча не защищает сервер, просто как украшение висит на фронте.

Любую рекапчу можно обойти, вопрос цены обхода. Если сделать невозможным через curl, то останется лазейка для ботов, построенных на движках браузеров, но у них есть слабое место - высокие требования к ресурсам, соответственно массового парсинга не получится. Вернее массовый на ботах может получиться, но тут уже возникнет конфликт цены информации и затрат на ее добычу. Так что в моем случае - главное защититься от внебраузерных запросов.

 

Бан всей подсети не вариант:

1. может и затронет клиентов

2. для парсеров (не программ, а людей) - нет проблемы сменить подсети, нет проблем в десятках тысяч прокси. 


Изменено: etonedrugoe, 7.09.2021 - 13:24

  • 0
Самозванец

#55 Оффлайн   sergmessenger

sergmessenger

    Зануда

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 17 133 Сообщений:

Опубликовано 7.09.2021 - 14:40

2. Проблема в стоимости информации. Итаки да, вы действительно не проверяете сервером у Гугла валидность хеша? Тогда в чем смысл рекапчи??? Кстати, Гугл рекапча и нокапча палят прокси. Если они не знают этого юзера - то попросят таки пройти тест. Попробуйте жмакнуть "я не бот" с только что установленной винды...
1. Не надо тогда защиту браузерную. Она в любом случае обходится. Если есть ресурс - следите за количеством обращений, если есть подозрения на бота - без предупреждения отдавайте абракадабру. На фронте можно попробовать предусмотреть по каким либо признакам выявление абракадабры и её сокрытие. Тогда в случае казуса, когда в одной сети с вашем пользователем оказался участник ботнета, пользователь не удивится бреду, просто его комп слегка подвиснет.
Вариант с бредом самый здравый как я думаю. Программист не получает честный ответ что он забанен, получает просто недостоверные сведения. Он доволен, результат парсинга передает заказчику. Заказчик или видит что бред - тогда тупо ссорится с программистом, или начинает пользоваться бредом. Ну, как говорится, пожалуйста, на здоровье.
  • 0

всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня


#56 Оффлайн   etonedrugoe

etonedrugoe

    Дважды герой флейма

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 691 Сообщений:

Опубликовано 7.09.2021 - 15:24

2. Проблема в стоимости информации. Итаки да, вы действительно не проверяете сервером у Гугла валидность хеша? Тогда в чем смысл рекапчи??? Кстати, Гугл рекапча и нокапча палят прокси. Если они не знают этого юзера - то попросят таки пройти тест. Попробуйте жмакнуть "я не бот" с только что установленной винды...
1. Не надо тогда защиту браузерную. Она в любом случае обходится. Если есть ресурс - следите за количеством обращений, если есть подозрения на бота - без предупреждения отдавайте абракадабру. На фронте можно попробовать предусмотреть по каким либо признакам выявление абракадабры и её сокрытие. Тогда в случае казуса, когда в одной сети с вашем пользователем оказался участник ботнета, пользователь не удивится бреду, просто его комп слегка подвиснет.Вариант с бредом самый здравый как я думаю. Программист не получает честный ответ что он забанен, получает просто недостоверные сведения. Он доволен, результат парсинга передает заказчику. Заказчик или видит что бред - тогда тупо ссорится с программистом, или начинает пользоваться бредом. Ну, как говорится, пожалуйста, на здоровье.

Вы прикалываетесь что ли? Валидность токена не поможет, естественно он проверяется, как и успешно разгадывается нейросетями, в том числе когда гугл просит пройти тест ) могу продемонстрировать в прямом эфире.
1. Как понять бот это или человек? Имеется ввиду под ботом бот, написанный для конкретного ресурса. Я лично не знаю ни одного надежного способа. Бот=юзеру. Тот же браузер, те же действия. Один в один.
С недостоверными сведениями в ответ на curl - момент очень интересный, спасибо.

Изменено: etonedrugoe, 7.09.2021 - 15:24

  • 0
Самозванец

#57 Оффлайн   sergmessenger

sergmessenger

    Зануда

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 17 133 Сообщений:

Опубликовано 7.09.2021 - 16:42

Достоверные известные мне методы прохождения теста рекапчи:
1) Сидят люди, получают валом тесты, решают. Бот получает задачу решить рекапчу, сигналит операторам, операторы решают, бот дальше выполняет задачу. Ну, тут сложное апи, и это дорого. Ручной труд.
2) прохождение теста для слабовидящих, звук голоса с кодом предлагают расшифровать .... Гуглу. И он расшифровывает. Но, 2, возможно пофиксили. Не следил за новостями, но был такой анекдот.

Про то как токен расшифровывают нейросети - по мне это что-то из битвы экстрасенсов )) но, опять таки, не исключаю что я отстал от жизни.
А надёжно отличить бота от человека - только по поведению.
Кстати ещё, если и правда повесить только на фронт рекапчу, и при проваленном тесте и заблокированной навигации на фронте все равно идёт обращение - вот в этот момент и правда можно отдавать старые результаты с перемешанным контентом. Пусть кушают.
  • 0

всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня


#58 Оффлайн   Dimitrius

Dimitrius

    Герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 1 719 Сообщений:

Опубликовано 7.09.2021 - 16:59

Достоверные известные мне методы прохождения теста рекапчи:
1) Сидят люди, получают валом тесты, решают. Бот получает задачу решить рекапчу, сигналит операторам, операторы решают, бот дальше выполняет задачу. Ну, тут сложное апи, и это дорого. Ручной труд.
2) прохождение теста для слабовидящих, звук голоса с кодом предлагают расшифровать .... Гуглу. И он расшифровывает. Но, 2, возможно пофиксили. Не следил за новостями, но был такой анекдот.

 

Есть и третий способ :)

 


  • 0

#59 Оффлайн   etonedrugoe

etonedrugoe

    Дважды герой флейма

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 691 Сообщений:

Опубликовано 7.09.2021 - 17:01

Все проще )
https://radikal.ru/video/oz2UodGlIrk

там где no_image - значит токен получен успешно


Изменено: etonedrugoe, 7.09.2021 - 17:02

  • 0
Самозванец

#60 Оффлайн   etonedrugoe

etonedrugoe

    Дважды герой флейма

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 691 Сообщений:

Опубликовано 7.09.2021 - 17:13

А надёжно отличить бота от человека - только по поведению.
 

а как? считывать движения мышки? В таком случае обычные пользователи не пройдут тест, как и при усложнении коэффициента человечности рекапчи.


  • 0
Самозванец

#61 Оффлайн   sergmessenger

sergmessenger

    Зануда

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 17 133 Сообщений:

Опубликовано 7.09.2021 - 22:42

а как? считывать движения мышки? В таком случае обычные пользователи не пройдут тест, как и при усложнении коэффициента человечности рекапчи.

Следить за активностью пользователя на куче сайтов. Если получится - подслушивать его телефон и подсматривать его камеру ))
  • 1

всё трудней работать
мне день ото дня
вместо ручек лапки
лапки у меня





0 пользователей читают эту тему

0 пользователей, 0 гостей, 0 невидимых

Яндекс.Метрика