Che cosa innesca la reCAPTCHA di Google

Naviga le tue risposte
39

Ho notato che Google "I am not a robot" reCAPTCHA mi obbliga a controllare le immagini corrette sul mio computer. Ho installato una macchina virtuale e ci ho provato. Stessa cosa. Proxy usato La stessa cosa anche Poi ho usato un altro computer nella stessa rete (stesso IP pubblico), ma questa volta il reCAPTCHA non mi obbliga a risolverlo. Si limita a controllarsi quando faccio clic.

Comportamento molto curioso. Ho ripetuto il processo un paio di volte tra qualche giorno e alcuni computer non hanno mai avuto bisogno di risolvere reCAPTCHA, mentre altri (incluse le macchine virtuali nuove di zecca) dietro a un proxy devono farlo. Ho anche provato un nuovo browser in una nuova VM nuova. Sono su una rete domestica, non su una rete aziendale. Sono confuso su cosa ha spinto reCAPTCHA a pensare che sia necessario ricontrollarmi anche quando uso una nuova macchina virtuale dietro un proxy?

Su computer in cui non è sospetto, posso eliminare tutti i cookie, la cronologia e le cache, visitare un sito Web e reCAPTCHA mi lascia andare senza problemi. Quindi non può essere basato esclusivamente sulla mia attività passata. D'altra parte, se effettivamente risolvo il reCAPTCHA e registro per un account su un sito Web, al sito web mancano tutte le funzionalità per gli utenti registrati.

Inoltre, quando mi viene presentato un CAPTCHA, anche su macchine virtuali nuove di zecca, la funzionalità degli utenti registrati è limitata. Il che porta a pensare che reCAPTCHA invii informazioni su ciò che pensa di un utente specifico al proprietario del sito web. È un comportamento documentato?

    
posta sanjihan 29.05.2016 - 18:24
fonte

2 risposte

42

Google cerca di capire se sei un bot o no. Se è in dubbio, ti serve un CAPTCHA da controllare. Esattamente come questo è fatto è parte della salsa segreta di Google, e non penso che lo diranno. Ma qui ci sono alcuni ingredienti che credo si mescolino:

  • Il tuo IP: è già stato identificato come un bot? È un nodo di uscita Tor?
  • Le risorse che carichi: un bot semplice non carica stili o immagini, poiché non ne ha bisogno. Questo è un segno rivelatore che qualcuno non è umano (o, come fa notare JDługosz nei commenti, cieco).
  • Accedi: hai eseguito l'accesso a un account Google? Questo account sembra appartenere a una persona reale?
  • Il tuo comportamento: un essere umano scorre la pagina, sposta il mouse, impiega un po 'di tempo tra premere il pulsante del mouse e rilasciarlo. Un umano non fa clic ogni volta sul punto morto della casella di controllo. Tutto ciò potrebbe essere mitigato da un buon robot, ma non è facile.
  • Cronologia: Google conosce gran parte della cronologia di navigazione. I bot di solito non hanno una cronologia di navigazione.

Capire esattamente perché è necessario risolvere il CAPTCHA a volte, ma non altri, non è facile. Potrei immaginare che una nuova macchina virtuale abbia un'impronta digitale del browser - ha installato font, plug-in, ecc. - che è molto comune e quindi abbastanza interessante da consentire a Google di contrassegnare il tuo per un CAPTCHA. Se sei dietro a un proxy, forse altri lo hanno usato anche per attività illegali.

Il fatto che tu non abbia un CAPTCHA quando pulisci i cookie è sorprendente. Non capisco perché, quindi Google sa molto poco di te e dovrebbe presumere che tu abbia bisogno di un CAPTCHA per essere al sicuro. Forse fanno delle impronte digitali del browser avanzate in modo che sappiano ancora chi sei?

Prendi nota che tutto ciò è speculazione. Se vuoi ulteriori speculazioni, dai un'occhiata a Come funziona il nuovo reCAPTCHA di Google? .

    
risposta data 29.05.2016 - 21:21
fonte
11

Ho letto da qualche parte che i reCAPTCHA usano il movimento del mouse (solo nella loro area) per determinare se sei un bot oppure no. Prova questo

  • usa i tasti del mouse sul tuo computer (se è Windows usa Left-Alt + Left-Shift + NumLock) per spostare il mouse verso l'alto.

Questo dovrebbe attivare il test di selezione dell'immagine.

    
risposta data 30.05.2016 - 02:03
fonte

Leggi altre domande sui tag

Qual è la differenza tra HMAC-SHA256 (chiave, dati) e SHA256 (chiave + dati) Tutti i dati inviati su SSH sono crittografati?