Google reCAPTCHA
----------验证码
现有验证码的产品形态调研范围如下，基本涵盖了比较主流的验证码平台：产品背景??reCAPTCHA起初是由CMU（卡耐基梅隆大学）设计，将OCR（光学自动识别）软件无法识别的文字扫描图传给世界各大网站，用以替换原来的验证码图片。那些网站的用户在正确识别出这些文字之后，其答案便会被传回CMU。这样一来既起到了验证码的效果，又可以帮助进行古籍的数字化工作（可以称为人工OCR）。??reCAPTCHA在2009年被Google 收购，??Google让reCAPTCHA里显示Google街景的图片。这样经常会从街景里提取如街道名称和交通标志等数据，向Google地图里添加商铺地址和位置等有用信息。再往后，新版reCAPTCHA又进化为noCAPTCHA。人工智能飞速发展，据说已经能够解决99.8%的图片字符型验证码，因此扭曲的文本验证方式也不再是一个可靠的方法。noCAPTCHA只提供了一个复选框，里面写着“我不是机器人”。当你打钩之后，Google就能利用“风险分析引擎”进行一系列无缝检查，以此来判断你是否是真人。??如果noCAPTCHA认为你是真人，那就不用再做什么了；否则会要求你填一个传统的CAPTCHA字符串或更先进的字符串，比如门牌号，或从一组图片中挑选出正确的图片。??复选框看似更简单，但背后确是Google强大的机器学习技术。基本的原理就是先检测客户端环境，判断使用者是否处于人类的操作环境中。如果检测结果在容错范围内则直接通过测试，否则弹出验证码进行二次认证。据统计reCAPTCHA的技术可以大大提高识别准确率，总共可以有效节约用户每天50000小时的上网时间。reCAPTCHA17年3.13日又升级到了Invisible reCAPTCHA，顾名思义，“隐形验证码”。这样一来，连复选框都不会出现，对普通用户完全透明，用户体验又更进一步。页面底部将展示一个logo注明当前页面使用到此技术（当然不想要也可以将其隐藏）。接入方式官网目前产品主要有两款：reCAPTCHA V2和Invisible reCAPTCHAreCAPTCHA V2便是noCAPTCHA的最新版（V1版据说官方已不再维护），嵌入式复选框。Invisible reCAPTCHA为之前提到的隐形验证码。在此只关注它的接入方式（其实和reCAPTCHA V2类似）。其中第1种比较简单，官网的说法是“The easiest method”——其实就是在已有的按钮元素上添加一些属性以绑定reCAPTCHA，由点击自动触发。示例如下：&
&reCAPTCHA demo: Simple page&
src="https://www.google.com/recaptcha/api.js" async defer&&
function onSubmit(token) {
document.getElementById("demo-form").submit();
id='demo-form' action="?" method="POST"&
class="g-recaptcha" data-sitekey="your_site_key" data-callback='onSubmit'&Submit&
&说完第1种，再来看看第2种：自己通过JS代码的方式控制一些属性的传入。示例如下：&
&reCAPTCHA demo: Explicit render after an onload callback&
type="text/javascript"&
var onSubmit = function(token) {
console.log('success!');
var onloadCallback = function() {
grecaptcha.render('submit', {
'sitekey' : 'your_site_key',
'callback' : onSubmit
action="?" method="POST"&
id='submit' type="submit" value="Submit"&
src="https://www.google.com/recaptcha/api.js?onload=onloadCallback&render=explicit"
async defer&
其中需要注意的是：由于顺序执行的原因，onloadCallback要写在前面，这样最后才能保证onload可以接收到onloadCallback（否则 async and defer 也是白用了）When your callback is executed, you can call thegrecaptcha.rendermethod from the Javascript API.Note: your onload callback function must be defined before the reCAPTCHA API loads. To ensure there are no race conditions:order your scripts with the callback first, and then reCAPTCHAuse the async and defer parameters in thescript tags第2种方式，代码量相对第1种多了许多，但是却做到了“不污染已有的html元素”第3种方式，是分配一块页面空间给到reCAPTCHA，从而固定其展示的位置。因为Invisible reCAPTCHA的Invisible并不是绝对的——你可以通过调参使其visible。那么这样就可以秀出“我们是有用验证码的”。与第2种相比，同样没有污染已有元素，但是更加customised。示例如下：&
function onSubmit(token) {
alert('thanks ' + document.getElementById('field').value);
function validate(event) {
event.preventDefault();
if (!document.getElementById('field').value) {
alert("You must add text to the required field");
grecaptcha.execute();
function onload() {
var element = document.getElementById('submit');
element.onclick =
src="https://www.google.com/recaptcha/api.js" async defer&&
Name: (required)
id="field" name="field"&
id='recaptcha' class="g-recaptcha"
data-sitekey="your_site_key"
data-callback="onSubmit"
data-size="invisible"&&
id='submit'&submit&
&onload();&
注意这里的invoke不是使用render，而是execute。具体的api调用如下：服务端的地方就不讨论了，都大同小异：无非是需要特定的密钥，结合前端callback的内容做二次验证。原因是前端可以被绕过。验证流程如下（这里借用网易易盾流程图。其实都差不多）：总结同国内验证码产品相比，Google reCAPTCHA在接入上，并不强调产品的形态（点选 、滑动等），而是侧重接入的灵活程度。具体的形态由“风险分析引擎”得出，动态展示给调用方。
扫码向博主提问
非学，无以致疑；非问，无以广识
擅长领域：
前端攻城狮
前端新技术
没有更多推荐了，据报道，来自美国马里兰大学的一个团队设计了一款自动攻击的程序，成功攻破了谷歌的reCaptcha验证码服务，准确率高达85%。
该团队的研究人员将他们开发的这款程序命名为“unCaptcha”（“un”在英文中做前缀表“否定”，此处有戏谑之意——译注），可以攻破谷歌reCaptcha验证码服务中的“语音验证”选项。
为了应对网上注册机等可以瞬间注册成百上千垃圾账号的机器脚本，谷歌公司于2014年在旗下众多公共服务中推出了名为“reCaptcha”的验证码服务。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的缩写，意为“全自动区分计算机和人类的公开图灵测试”。
而“RE-captcha”则是谷歌公司为自己研发的通过图像、音频或文本来识别真实人类登录操作的验证技术起的名字。（“re”在英文中做前缀表“再、又、重新”，谷歌公司借此表达其重新定义验证码服务的雄心——译注）
“我们通过各个网站上超过450次测试来验证unCaptcha的能力并且发现平均破解时间仅需5.42秒，通过率达85.15%”。马里兰大学研究人员Kevin Bock、Daven Patel、George Hughey和Dave Levin在他们的报告中写道。
unCaptcha的破解不是通过文本识别，而是利用了reCaptcha提供的语音验证功能。马里兰的研究人员解释称：“一部分视觉障碍的用户无法使用文字或图像验证码，所以催生了语音验证。”
本次发布的信息中可以明确看出语音验证方法还是存在比较明显的漏洞，其攻破成本也并不是很高，加上成功率高，批量绕过是很有可能的。与之相对，谷歌标志性的轨迹追踪验证码“我不是机器人”勾选验证的绕过成本仍然比较高，且成功率低，该项技术仍保持了较高的稳定性。
目前世界范围内也鲜见提供轨迹追踪技术商业应用验证服务的安全厂家 。国内主流验证码如顶象的无感验证是通过收集用户的行为以及环境信息，结合模型和风控分析来区分人机。
该研究报告指出，unCaptcha集成了在线“语音-文字转化”引擎和先进的音频绘图技术。首先，研究人员通过浏览器自动操作插件选择谷歌reCaptcha的“语音验证”选项，然后会下载声音文件。接着，网上免费的“语音-文字转化”服务将会对声音文件进行识别。
“对每一部分的音频完成绘图之后，我们会把识别结果整合成一个答案”，研究人员写道，“当这样一串候选字符拼接完成后，unCaptcha将答案有机地（通过每个字符间统一的时间随机机制）键入填写框并点击‘提交’键”。
谷歌的reCaptcha并不是第一次被攻破。今年三月份，East-Ee安全网站的研究人员详细介绍了利用谷歌自己的网页工具绕过谷歌验证的方法。这款被称作“ReBreakCaptcha（“再次攻破验证码——译注”）”的工具通过一段能够利用谷歌自己的应用程序接口捕捉reCaptcha语音验证声音文件的脚本来攻击谷歌验证服务，然后再通过“语音-文字转换”技术生成文本答案并填写如答案框。
此外，2016年亚洲黑帽子大会上哥伦比亚大学的一队研究人员也发表了名为《我不是人类：破解谷歌reCaptcha验证码》的论文（“我不是机器人”是谷歌reCaptcha的一句经典——译注），声称利用他们的自动识别技术，reCaptcha的图像验证每次破解仅需19秒，成功率达70.78%。
作者：顶象假如 Mojang 在国际正版启动器里加了 reCaptcha 人机验证&-&矿工茶馆&-&Minecraft(我的世界)中文论坛 -
后使用快捷导航没有帐号？
查看: 161|回复: 4
假如 Mojang 在国际正版启动器里加了 reCaptcha 人机验证
您尚未登录，立即登录享受更好的浏览体验！
才可以下载或查看，没有帐号？
本帖最后由 AZWorld 于
19:41 编辑
这段时间 MC 国际版官网加入了 Google 的人机验证：reCaptcha
对于其他国家是没有影响
但是 这个 reCaptcha，国内玩家已经被我大天朝的 GFW 防火 长城 搞得够呛了
对于这种无理的封锁 Google， 我买了个国外 VPS，在上面搭建了 翻 墙工具
好在论坛里提供了解决方案（详细看我签名）
但是，假如国际版的启动器里出现了 reCaptcha 人机验证（我是指在启动器里登录 Mojang 账号时出现人机验证）
如果真的是这样，不翻 墙就无解了
真的被天朝 政 府恶心到了
我认为 Mojang 应该不会这么做
最后：有不同的看法的坛友们 欢迎回复
更新：目前启动器注册账 号需要完成 reCaptcha，登录不需要
& & & & & & & & & & & & & & & &
注意上面这张图片右下角的小飞机，我翻 墙了
& & & & & & & & & & & & & & & &
帖子永久链接：&<button type="submit" class="pn" onclick="setCopy('http://www.mcbbs.net/thread--1.html', '帖子地址已经复制到剪贴板您可以用快捷键 Ctrl + V 粘贴到 QQ、MSN 里。')">点击复制
中间人攻击 +301跳转 到recaptcha.net （其实我不会 只是会讲）
如果那样 就发动国内玩家 刷爆mojang的工单系统 和邮箱
发动这样的攻击吗，论坛里有版主或者其他大佬带头，就会很容易的刷爆mojang的工单系统和邮箱吧&
中间人攻击 +301跳转 到recaptcha.net （其实我不会 只是会讲）
如果那样 就发动国内玩家 刷爆mojang的工 ...
发动这样的攻击吗，论坛里有版主或者其他大佬带头，就会很容易的刷爆mojang的工单系统和邮箱吧
啊哈，不好意思，现在Minecraft官方启动器也被Mojang加了人机验证
你是指注册账号的时候要完成？
反正启动器登录账号还不需要&
本帖最后由 AZWorld 于
19:37 编辑
啊哈，不好意思，现在Minecraft官方启动器也被Mojang加了人机验证OK 已经确认是注册账号流程需要完成 Google 人机验证
话说能翻 墙的感觉真好
& & & & & & & & & & & & & & & &
注意这张图片的右下角，有一个小飞机，那个是我用的翻墙工 具
然而登录目前不会出现 reCaptcha的相关提示，否则 Mojang 将会失去大量不会翻 墙的正版玩家
& & & & & & & & & & & & & & & &
反正我是不希望到时候必须翻 墙登录启动器
""以及"我的世界"为Mojang Synergies AB的商标。本站与Mojang以及微软公司没有从属关系。
版权所有。本站原创图文内容版权属于原创作者，未经许可不得转载。}