Question:
Comment fonctionne "No Captcha reCaptcha" de Google?
ghosts_in_the_code
2015-01-09 23:37:42 UTC
view on stackexchange narkive permalink

Google a publié une nouvelle forme d'identification captcha des bots, qui demande à l'utilisateur de cliquer sur une seule case à cocher. Il n'utilise la vérification basée sur l'image que si nécessaire.

Quelqu'un pourrait-il m'expliquer comment un tel programme différencie un humain d'un robot?

Il existe un programme ici qui peut effectuer des clics de souris sur votre ordinateur. Il ne peut pas être détecté par un programme Web sans accès à vos fichiers programme. Il devrait être possible d'écrire un exécutable Windows indétectable qui puisse cocher la case. On pourrait également randomiser le temps de réponse du programme.

Après quelques tentatives (réussies), le captcha demandera une vérification d'image. Peut-être que cela peut être résolu par une IA qui recherche les images à l'aide de Google Image Search (par image) et fait des suppositions basées sur les noms de fichiers d'images `` visuellement similaires ''. Si les images utilisées ne proviennent pas du net, alors elles seraient en nombre limité et on pourrait en créer une base de données.

Quelqu'un pourrait-il préciser si ces approches pourraient réellement fonctionner?

Cinq réponses:
tlng05
2015-01-10 00:11:27 UTC
view on stackexchange narkive permalink

Ce n'est pas vraiment une excellente question pour stackexchange car Google garde ses algorithmes secrets, donc tout ce que nous pouvons vraiment faire est de deviner comment cela fonctionne, mais je crois comprendre que le nouveau système analysera votre activité sur l'ensemble de Google. services (et éventuellement d'autres sites sur lesquels Google a un certain contrôle, tels que les sites Web qui diffusent des annonces Google).

Ainsi, il est probable que les vérifications ne se limitent pas uniquement à la page qui comporte la case à cocher . Par exemple, s'ils détectent que votre ordinateur / adresse IP que vous utilisez a également été utilisé dans le passé pour faire des choses qu'un humain normal ferait - des choses comme vérifier Gmail, rechercher sur Google, télécharger des fichiers sur Drive, partager des photos, naviguer le Web, etc. - alors il peut être raisonnablement sûr que vous êtes un humain et vous permettre de sauter la vérification d'image. D'un autre côté, s'il ne peut pas associer votre ordinateur à une activité humaine antérieure, il serait plus suspect et vous donnerait la vérification de l'image. Bien que le comportement de la souris lorsqu'elle clique sur la case à cocher puisse être un facteur qu'il analyse, il y a certainement beaucoup plus à faire.

Encore une fois, nous ne savons pas avec certitude comment cela fonctionne. C'est juste ma meilleure estimation basée sur ce que peu de Google a dit:

Bien que la nouvelle API reCAPTCHA puisse sembler simple, il y a un haut degré de sophistication derrière cette modeste case à cocher. Les CAPTCHA se sont longtemps appuyés sur l'incapacité des robots à résoudre le texte déformé. Cependant, nos recherches récentes ont montré que la technologie d'intelligence artificielle d'aujourd'hui peut résoudre même la variante la plus difficile du texte déformé avec une précision de 99,8%. Ainsi, le texte déformé, en soi, n'est plus un test fiable.

Pour contrer cela, l'année dernière, nous avons développé un backend d'analyse avancée des risques pour reCAPTCHA qui considère activement l'engagement complet d'un utilisateur avec le CAPTCHA - avant, pendant et après - pour déterminer si cet utilisateur est un humain. Cela nous permet de moins nous fier à la saisie texte déformé et, à son tour, offre une meilleure expérience aux utilisateurs. Nous en avons parlé dans notre article sur la Saint-Valentin plus tôt cette année.

Pour moi, le point sur "avant, pendant et après utilisation" est un indice fort qu'ils analysent le comportement de navigation précédent, mais mon interprétation pourrait être erronée.

Voici une citation de WIRED:

Au lieu de dépendre du test traditionnel des mots déformés, «reCaptcha» de Google examine les indices que chaque utilisateur fournit sans le vouloir: Les adresses IP et les cookies prouvent que l'utilisateur est le même humain amical dont se souvient Google ailleurs sur le Web. Et Shet dit que même les minuscules mouvements de la souris d'un utilisateur lorsqu'elle survole et s'approche d'une case à cocher peuvent aider à révéler un bot automatisé.

Il y a un autre fil sur stackoverflow qui en parle également: https://stackoverflow.com/questions/27286232/how-does-new-google-recaptcha-work

En ce qui concerne la vérification des images, vous ne pourrez pas les trouver images avec recherche d'image inversée, ou compilez une base de données d'entre eux. Il s'agit généralement de panneaux de signalisation aléatoires ou de numéros de maison capturés par les voitures Street View de Google, ou de mots de livres numérisés pour le projet Google Livres. Il y a un bon objectif derrière cela - Google utilise en fait ce que les gens tapent dans reCaptcha pour améliorer leurs propres bases de données et former des algorithmes OCR. reCaptcha donne la même image à un certain nombre d'utilisateurs, et s'ils sont tous d'accord sur ce qu'il dit, alors l'image devient des données d'entraînement pour l'IA de Google.

De wikipedia:

Le service reCAPTCHA fournit aux sites Web abonnés des images de mots que le logiciel de reconnaissance optique de caractères (OCR) n'a pas pu lire. Les sites Web abonnés (dont les finalités ne sont généralement pas liées au projet de numérisation du livre) présentent ces images que les humains peuvent déchiffrer sous forme de mots CAPTCHA, dans le cadre de leurs procédures normales de validation. Ils renvoient ensuite les résultats au reCAPTCHA service, qui envoie les résultats aux projets de numérisation.

reCAPTCHA a travaillé sur la numérisation des archives du New York Times et des livres de Google Books. [3] En 2012, trente ans du New York Times avaient été numérisés et le projet prévoyait d'achever les années restantes d'ici la fin de 2013. Les archives maintenant achevées du New York Times peuvent être consultées dans les archives d'articles du New York Times, où plus de 13 millions d'articles au total ont été archivés, de 1851 à nos jours.

Pouvez-vous fournir des sources pour votre réponse?
Vous pouvez avoir raison. Je me suis interrogé sur un éventuel conflit avec leur [Politique de confidentialité] (https://www.google.com/intl/en/policies/privacy/) mais en lisant la manière générale dont elle est formulée, et en particulier leur _ [Comment nous utilisons les informations nous collectons] (https://www.google.com/intl/fr/policies/privacy/#infouse) _, cela semble compatible: «Nous utilisons les informations que nous recueillons auprès de tous nos services pour fournir, maintenir, protéger et les améliorer, en développer de nouveaux et protéger Google et nos utilisateurs. Nous utilisons également ces informations pour vous proposer un contenu sur mesure ».
Cependant, cela ne vous bloque jamais si vous effacez le test d'image. (indépendamment de l'histoire précédente)
Salut!J'ai trouvé cette réponse vraiment intéressante.Mais si Google est déjà à peu près sûr que vous êtes un humain, pourquoi est-il dérangé d'afficher un CAPTCHA?
@EliRose Une partie importante de l'implémentation de reCaptcha est [une vérification côté serveur du jeton de sécurité du widget] (https://developers.google.com/recaptcha/docs/verify).Le site Web doit vérifier qu'il n'est pas usurpé.Cela se produit lors de l'interaction de l'utilisateur avec le widget.
Oui, cela fonctionne lorsque je clique sur une seule case à cocher, mais lorsque je fais de même avec le mode navigation privée de mon navigateur, ce n'est pas le cas.
fdiengdoh
2015-10-05 15:36:51 UTC
view on stackexchange narkive permalink

J'étais aussi étonné par cette chose. Donc, ce que j'ai fait, dans Chrome, ouvrez le mode incognito, puis parcourez un site qui a le nouveau Google CAPTCHA et cochez la case. Eh bien, cela ne m'a pas permis de passer, à la place, il montre une série d'images et m'a demandé de sélectionner des images liées à une image.

Cela montre que Google suit constamment notre comportement pour déterminer si nous sommes humains ou non.

Incognito mode

Pouvez-vous expliquer comment cela répond à la question? Il me manque peut-être quelque chose, mais je ne vois pas comment cela résout les attaques possibles que le PO mentionne.
@S.L.Barth: Il semble fournir un support (en utilisant un formatage qui n'aurait pas pu entrer dans un commentaire) pour l'explication donnée par la réponse de tlng05.
@BenVoigt oui, j'essayais juste de me comporter comme une machine et de voir comment Google réagit. La suppression des cookies, de l'historique et du cache déclenche également la même chose.
Je suppose que vous êtes au Royaume-Uni.«Camion commercial» ne signifie rien pour nous ici aux USA.Donc, encore plus intéressant que Google le rend géographiquement contextuel.
Et une note, _Chrome_ est _aussi_ un produit de Google.
defalt
2017-03-12 01:57:02 UTC
view on stackexchange narkive permalink

Lorsque vous cliquez sur Je ne suis pas un robot , il envoie une requête HTTP à Google avec tout un tas d'informations utiles telles que

  • Votre adresse IP
  • Votre pays
  • Horodatage

Informations de votre navigateur telles que la façon dont vous déplacez votre curseur juste avant de cocher la case. Comment vous faites défiler la page avant le clic. L'intervalle de temps entre les différents événements du navigateur et de nombreuses autres variables que Google garde secrètes.

Tous ces critères sont ensuite traités par l'analyse des risques du machine learning chez Google et la plupart du temps, les informations peuvent faire la différence entre un humain et un robot, mais si le moteur d'analyse des risques n'est toujours pas sûr, alors le petit pourcentage des utilisateurs relèvent souvent un défi supplémentaire.

C'est là qu'intervient le CAPTCHA de reconnaissance d'image . Si vous prouvez que vous êtes humain de cette façon, il y a de fortes chances que le moteur de Google s'en souvienne et la prochaine fois que vous aurez cliqué sur cette case, vous pourrez passer à travers avec ces derniers.

T.Todua
2019-02-04 19:22:24 UTC
view on stackexchange narkive permalink

D'après ce que j'ai vu, la logique est la suivante:

  • Si l'utilisateur n'est pas connecté dans le compte Google (dans le navigateur), alors il / elle obtient un captcha visible.
  • Si l'utilisateur est connecté , alors en fonction de votre historique d'activité précédent (probablement sur Google) (soit sur cette page, soit avant de naviguer là), il y a deux scénarios possibles:
    1. Vous n'obtiendrez aucun captcha
    2. Vous obtiendrez un captcha plus facile (soit 1 labyrinthe au lieu de 4 labyrinthes)

Ce que je ne comprends pas bien, c'est à quoi servent les captchas checkbox lorsque l'algorithme a déjà détecté que vous êtes un humain.

La case à cocher garantit que les données de mouvement de la souris doivent être enregistrées afin de soumettre le captcha, entre autres.
skyler
2017-03-11 08:10:20 UTC
view on stackexchange narkive permalink

Il fait plusieurs choses. Il vérifie votre adresse IP et vos cookies. Il regarde comment vous cliquez et votre souris se déplace avant de cliquer. L'utilisation d'un outil de clic automatique permet généralement à Google de vous donner une image.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...