Comments 54
Лучше сделайте доступ к сайту платным. Я готов платить деньгами, но не временем и нервами потраченными на разгадывание капч. Ну вот честно. Не представляю какой это ад для пожилых людей.
Сколько вы готовы платить? За один сайт, всего за все сайты (ежемесячно)? Всего подписок в месяц?
Так а к этому и так идёт все, когда у каждого первого блокировщик рекламы стоит, то и доходы сайтам / площадкам приходится искать в других местах. Мир с рекламой vs мир с пейволом за всё
Реклама может быть разной. Можно всю страницу баннерами завесить, а можно интегрировать рекламу в контент так, чтобы она была ему релевантна и не вызывала раздражения. Первый способ тупой и экстенсивный, а второй требует более креативного подхода. И что-то мне подсказывает, что второй способ может даже эффективнее для рекламодателя.
Для примера сравните рекламу у контентмейкеров на YouTube и рекламу от гугла. Первая меня редко раздражает, если ее не зачитывают половину ролика. У некоторых даже получается подавать рекламу так, что она интереснее основного конкурента, но это очень редко, конечно. В остальном ей достаточно быть короткой, чтобы посмотреть ее было быстрее чем перемотать. Реклама от Гугла - это почти всегда кровь из глаз.
большинство сайтов зарабатывают на контекстной рекламе, а не нативных интеграциях, которые, к слову, также блокируются, например, спонсор блоком. Нету рекламы - нету возможности создавать/содержать контент и два выхода - не создавать/содержать и другие способы по типу пейволла. Бусти/патреон и прочие сервисы тоже не на пустом месте набирают обороты.
На примере рф за 2 года тоже можно отчётливо проследить, как авторы переходят за пейволлы т.к даже минимальный доход тупо пропал, но чуток по другой причине отсутствия рекламы.
Вот и имеем, что через пару лет из-за блокировки рекламы мы получаем: повсеместный пейвол, потерю контента, море нативной/скрытой рекламы. Всё это выглядит просто шикарно
Почему бы в том же YouTube не брать деньги с крупных каналов у которых есть рекламодатели?
Эээ с каналов :)? Брать надо с пользователей вообще-то, а каналам давать.
Там же вроде так и есть, либо смотришь бесплатно, либо без рекламы, вполне нормальный вариант.
А что мешает владельцам ботоферм поступить так же?
Повысят расценки на 1 цент за тысячу рассылок. Заплатят за вход.
«Всего и делов-то».
когда у каждого первого блокировщик рекламы стоит, то и доходы сайтам / площадкам приходится искать в других местах
Им искать их приходится в других местах с нулевых, как минимум, емнип.
Если мне сайт нужен, то за прохождение капчи 1$ более чем нормальная цена.
Представляете какой будет ад для пожилых, если еще и доступ платный сделать. Потому что в корне проблему не решит, а вот с оплатой могут возникнуть трудности.
Вчера выяснил интересную фичу: матери за 80 и у неё есть аккаунт на online.sberbank.ru, и при попытке туда зайти, тададам... аккаунт блокируется, потому что ей за 80! Девочки в банке сказали "ну, мы, конечно, разблокировать можем, но при следующей попытке входа он опять заблокируется, тададам, потому что ей за 80! В результате посмотреть историю операций и состояние счетов — только ножками в банк. Сбер, вы чем там думаете, а?
Вам какие-то очень странные девочки попались: у меня бабушке за 90 и у нее все прекрасно работает. Напишите на какой-нибудь banki, там девочки повыше рангом сидят, практика показывает, что подкручивают там у себя по необходимости.
моим родителям за 80, и онлайн Сбер отлично работает. Впервые о таком слышу
Что мешает тем, кто натравливает на сайты ботов также заплатить денег? Здесь проблема в другом - нужно придумать механизм, чтобы для живого человека контент был приемлемым прозрачно, а для бота бесполезным. А сейчас это перекладывается на плечи живых пользователей сайта.
Кажется мне, такой механизм невозможен, если не перейти к персональным ключам и идентификации при доступе в сеть. Всё интеллектуальное боты уже делают лучше.
Свобода информации:
Какой кошмар, когда нужны VPN, блокируют торренты или ещё что.
Нужна платная свободная информация.
Свобода, она для кого надо свобода.
Отлично.
Всё ясно.
Думаю что от примитивных ботов каптча таки спасает.
Того же мнения. Все зависит от порогового значения, окупятся ли трудозатраты на обход капчи. По крайней мере школьников вооруженных скриптами вполне может и отпугнуть. Человек могущий обойти капчу зарабатывает вероятно больше денег зарплатой, чем сможет ему принести обход капчи среднестатистического сайта из интернета.
А остальные отдают контент уже через аутентификацию к примеру. На крупных порталах я уже редко встречаю капчу. Ну может как защиту от перебора паролей.
Если человек хоть немного в теме про ботоводство, то он знает сервисы, которые с капчей-картинкой справятся за пол копейки, с рекапчей - за пару копеек. Поэтому даже какой-нибудь школьник, если его это действительно заинтересует, спокойно может написать бота с обходом любых капч практически за бесценок. А если бот делается для коммерческих целей, то вопрос о капче там вообщеине стоит - это лишь мизерный "налог" с прибыли в виде накладных расходов
Дверные замки бесполезны, потому что 95% замков вскрываются опытным медвежатником за минуту. При этом каждый человек в год тратит час и более на открытие и закрытие дверных замков. Предлагаю всем отказаться от замков.
Если серьезно, то подобные статьи появляются как минимум раз в год. И почему-то до сих пор никто от captcha полностью не отказался. В том числе гугл в том числе при поиске. Потому что одно дело отправить миллион запросов и получить миллион ответов, а другое дело добавить к этому миллиону запросов еще и миллион решенных captcha. Цена атаки существенно возрастает даже для опытных автоматизаторов. А большинство неопытных наличие captcha просто отпугнет.
Решение recaptcha у популярных сервисов стоит 1-2$ за тысячу решений, что дешево, но далеко не бесплатно.
По-моему в этом примере капча это не замок, а дверная ручка. И добавление капчи на сайте равносильно отвинчиванию дверной ручки перед уходом из дома.
Дверные замки бесполезны, потому что 95% замков вскрываются опытным медвежатником за минуту.
В этом заключается, и прелесть, и проблема, цифровых технологий. Опытных медвежатников мало, найти их трудно, и вскрывать они могут лишь ограниченное число замков в день. Но, как только появляется рабочий сервис по решению капчи, он сразу доступен "неограниченному кругу лиц", находится поиском за 30 секунд и стоит вполне разумные деньги.
ну, кстати, да
были б роботы-медвежатники доступны к заказы на алиэкспрессе по цене $100 за контейнер роботов, и, как замки, так и отношение к хранению ценностей дома, были б совсем-совсем другими
тут стоит добавить, что "посещение" чужого жилища без приглашения — уголовная статья, даже если там вообще нет замка. А автоматическое создание учётки, в нарушение пользовательского соглашения, в каком бы то ни было сервисе, (как и помощь в таком создании), в крайнем случае тянет на административку. И то, надо причинить ущерба столько чтоб владельцам сервиса было интересно почесаться.
Капчу ставить придумали не от хорошей жизни. Любая форма, не закрытая капчей, на любом хотя бы минимально раскрученном сайте сразу же притягивает ботов и владелец сайта получает ежесуточно сотни сообщений о покупке виагры, горячих фоточках и т.д (это не утрированно, а именно такие вещи и шлют). Я не понимаю, кто может заказывать спамерам такие рассылки, неужели это всё ещё работает? Но так или иначе, админ сайта в этом потоке спама может пропустить сообщение от реального клиента. Более того, если сайт шлёт уведомления на почту, то почтовые сервисы могут отправить сайт в чёрный список и больше никакие письма не будут приходить с сайта даже в папку "Спам".
Но с другой стороны, заставлять людей разгадывать все эти картинки - это уже перебор. Есть куда более простые способы отсеять большинство ботов, например, простой js код, который разрешает отправку форм только после того, как на странице произошло событие mouseover, touchstart или keypress. Реальный юзер такую защиту вообще не увидит, и она никак не будет ему мешать. Причём эффективность такого способа может быть 90% и выше. Не в том смысле, что 90% ботов будет отсеяно, а в том, что 90% владельцев сайтов такой способ по итогу устраивает.
...или специальное, скрытое версткой, поле в форме, которое ни один нормальный юзер НЕ заполнит, ибо глазами его не видит (реальный пример с дейтинг индустрии, хотя, сейчас вот думаю, что могло тех, у кого автозаполненние, за ботов считать)
Но, вообще, если серьезно, то все вышеперечисленные подходы, наоборот, намного проще для роботов, чем велосипеды. Уверен, что новое поколение роботов с большими моделями под капотом без проблем заполнитт любую форму, не парся HTML, а запуская полноценный браузер, и смотря на него оптическим анализатором. Навскидку, для последних поколений капч, где все картинки с подвохом и покрыты шумом, надо куда более серьезная нейронка, чем для анализа формы и управления мышью
Этих роботов с моделями под капотом наберётся от силы 10%. И поскольку они стоят денег, то используют их более экономно. Большинство сайтов с ними никогда не сталкивается. Либо трафик от таких ботов настолько мал, что можно просто не обращать на него внимания. Хотя есть отдельные сайты, куда постоянно ходят такие хитрые боты. Там уже бесспорно нужна или recaptcha, или что-то в этом роде. Но проблема же в том, что все суют эту капчу где ни попадя, заставляя всех подряд разгадывать картинки. А вот если бы владельцы сайта ставили рекапчу только в том случае, когда простые способы не помогают, нам бы всем значительно реже приходилось всё это разгадывать, при этом для владельцев сайтов ничего бы не изменилось.
суют эту капчу где ни попадя, заставляя всех подряд разгадывать картинки
Не совсем так. Как правило, ставят невидимую капчу. Она проводит базовый скоринг, главным образом, смотря, есть ли кука гугла, но, также, и на другие факторы, вроде упомянутых вами, но не показываясь юзеру. Если базовый скоринг не пройден, тогда уже анальные кары начинаются.
Да, там учитываются всякие поведенческие факторы, и вот тут кроется самое забавное - каждый отдельно взятый юзер ведёт себя всегда приблизительно одинаково, поэтому капча тригерится всегда на одних и тех же юзеров)) У нас был клиент, на которого рекапча срабатывала почти со 100% вероятностью. Говорит "хочу защиту себе поставить, как на вот этом сайте", мы всем офисом полезли смотреть, никто ничего не понимает, никто не видит никакой защиты, пришлось скрины просить, а там картинки с рекапчи. Мы ему на сайт её поставили, и опять же у нас в офисе она ни на кого не тригерилась, а на клиента постоянно.
Вот по этой причине иногда в интернете можно встретить прямо очень гневные статьи о злой капче, которая не даёт людям жить. Потому что автор как раз из тех людей, кого не любит рекапча. И потом эти авторы часто сталкиваются с непониманием со стороны читателей, потому что многим читателям проблема кажется преувеличенной.
взятый юзер ведёт себя всегда приблизительно одинаково
Как правило, там все намного прозаичнее. Например, достался динамический IP, с которого вчера публичная прокси, или выходная нода тора работала, - все, отдувайся за плохую карму. Или какая-то особенность в работе браузера из-за нестандартного железа/расширения есть. Врядли прям поведение триггерит
Примерно, как, когда купил сим карту с плохой кармой, и постоянно коллекторы звонят
Там чел с айфона через сафари по мобильному интернету сидел. То бишь железо и браузер максимально заурядные. И айпишник, соответственно, динамический, но ситуация там годами одна и та же была.
Может, в соседнем доме таки ферма стояла и всю округу зашкварила? У одной базовой станции, в зависимости от оператора и конфигурации его сети, может быть единый IP адрес, а клиенты все через NAT сидеть. Ибо ну очень странно, чтобы столь базовую и стандартную конфигурацию, да еще и столь устойчивую к фингерпринтингу, так гугл невзлюбил...
реальный пример с дейтинг индустрии
А у кого там такое было, кстати?
Сетка дейтинг сайтов, ориентированная на северную Европу. Если еще название холдинга может что-то сказать, то конкретные домены точно ничего не скажут. Практически весь траффик от аффилиатов по СРА, что и побуждало нечестных на руку вебмастеров размешивать свой траф ботами, дабы повысить итоговую выплату
а запуская полноценный браузер
Тут конечно только мой опыт, но даже в 2024 про селениум и его аналоги знают далеко не все. В целом компании которые занимаются парсингом обычно тоже не глупые и сайты скрапят не так активно, как начинающие
И ладно просто картинки, так теперь надо разгадывать какой-то нейросетевой бред (hCaptcha, например), либо что-то ещё более забористое (Янчик с его пазлами из таких же нейросетевых картинок, Microsoft с его "Переместите с помощью стрелок изображение на нужную орбиту", где даже не сразу понятно, что вообще делать). А когда это всё всплывает даже от ерундового действия типа захода в режиме инкогнито, сложно остаться равнодушным...
А что, до сих пор роботов не научили обходить JS код и куки с гугла ставить (было в комментарии ниже?). Я немножко давно не боролся с ботами, поэтому отстал от жизни. Но, кажется, это было самым востребованным решением в 00х, которое хотели разработать для обхода капч - да так, получается, и не сделали?
Классическая капча это однозначно плохой UX. Гугловская может ставить идентификатор, что является нарушением GDPR. Формы можно защищать множеством способов, и необязательно делать их анонимными. Маркетинг за новые контакты ещё и спасибо скажет.
Сколько нервов убито на прохождение капчи) Особенно при плохом интернете.. )
Слишком много воды, и рассказов про мифических самообучающихся ботов, решающих именно гугловые каптчи.
Но что, если на сайте необычная каптча? Тот, кто обучает нейронки под них, потратит миллион часов на обучение. Стоит ли спам на малоизвестном сайте с необычной каптчей таких затрат? Кажется нет.
И от кого именно мы защищаемся? От реальных "медвежатников", желающих вложить кучу ресурсов в подготовку, или от миллиона скрипт-кидди без реальных ресурсов, но с шилом в заднице? Я думаю, что чаще от вторых.
Но что, если на сайте необычная каптча? Тот, кто обучает нейронки под
них, потратит миллион часов на обучение. Стоит ли спам на малоизвестном
сайте с необычной каптчей таких затрат? Кажется нет.
Дело в том, что проблемы доставляет как раз самая распространенная - гугловская капча. С этими бесконечными автобусами и ступеньками. Я не раз на работе просто забивал входить на Хабр, потому что мне просто через 2 минуты надоедало клацать по ошметкам светофоров.
Прокликать по гораздо менее распространенным пиццам и скрепкам того же Яндекса не составляет никакого труда - и проходится за 1 раз. Те, впрочем, компенсируют тем, что заставляют эту капчу проходить каждую вторую страницу, если им что-то не нравится - в том числе при изменении параметров поиска на каком-нибудь Маркете, причем без сохранения изменений.
Практика брутфорса по-молодости подсказывает, что самая надежная защита от брутфорса аккаунтов - создание рандомного надежного пароля при регистрации. А если там еще и юзернейм рандомизируется, то вообще сушите весла. Так раньше ccbill развлекался. Видишь на странице регистрации ccbill - можно просто закрывать ее сразу, дальше возиться смысла нет.
Капчи вообще никакого труда не составляют, в том числе и для скрипт-кидди: если обучение нейронки действительно занимает миллион часов, то берется инусская нейронка за пару центов и пошло-поехало. Но обычно находят какое-то автоматизированное решение со временем.
По моему личному опыту, от примитивных ботов спасает даже сделать дополнительные поля в форме и скрыть их через CSS, потому что такие боты не умеют ни в CSS, ни в JS.
У меня есть сервер в федивёрсе, на главной форма, через которую можно попросить инвайт. Изначально мне через эту форму приходил спам от ботов, которые обходят весь интернет и тупо отправляют любые HTML-формы, которые видят. Видимо, в надежде, что это где-то потом опубликуется. Сделал простую капчу с искажёнными символами — спама стало в разы меньше, но полностью он не прекратился. Почитал access.log сервера на момент отправки очередного спам-сообщения и увидел следующее: бот запрашивает главную страницу, потом капчу, а потом, в ту же секунду, отправляет форму. Статику никакую не запрашивает. Юзер-агент как у обычного браузера. В итоге я:
Добавил 2 фейковых поля в форму и скрыл их через CSS. На всякий случай — через тот, что в отдельном css-файле. Если в них что-нибудь будет, тебя забанит по сессии.
Сделал изображение капчи не прямо в <img>, а его фоном, а в самом <img> просто прозрачный пиксель.
Начал отслеживать, сколько времени у пользователя занял ввод капчи (промежуток между генерацией изображения и проверкой). Если меньше 3 секунд, капча считается введённой неправильно, даже если введена правильно.
И всё. После того, как я это залил на сервер, спама полностью не стало. При этом от настоящих людей всё проходит без проблем.
А с таргетированными атаками ничего толком не сделать, имхо. Делаешь капчу дико сложной, унизительной, невыносимой для людей, и всё ради чего? Чтобы у тебя ботов стало не 2%, а 1.7%?
CAPTCHA сегодня: мало защиты, но много проблем