Мобильная каптча — mCaptcha



    Полгода назад мы с товарищем запустили свой сервис смс-рассылки. Услуга давно всем знакомая, и, спасибо клубам, с весьма спорной репутацией. Рассказывать о ней, тем более на Хабре, смысла нет. Да и не об этом сейчас речь.

    Проект смс-рассылки SMM-project успешно функционирует. Но мы решили на этом не останавливаться и создать ряд инструментов практического применения смс-шлюза для упрощения тех или иных процессов. Мы открыли API, дав разработчикам возможность интегрировать смс-рассылку в свои сервисы, сайты, программы. Но также решили создать ряд готовых инструментов, простых в использовании и не требующих серьезной «допилки».

    И вот буквально несколько дней назад был запущен первый из этих инструментов.


    Здесь уже не раз публиковались статьи о защите сайтов от автоматизированных регистраций, спама и ботов. Каптча в виде картинки с искаженными символами со днями становится все более уязвимой. Количество видов каптчи, поддающихся автоматизированному распознаванию всё больше.

    Еще большее искажение и запутывание картинки, естественно, усложняет процесс регистрации в первую очередь для действительных пользователей, явно играя не наруку юзабилити.

    На крупных ресурсах постепенно вводят подтверждение действий на сайте с помощью мобильного телефона. Но для небольших ресурсов такая функция оставалась весьма сложной для внедрения, поскольку требовала наличия смс-шлюза, договоров с сотовыми операторами и прочих технических тонкостей.

    Видя всё это, мы решили создать сервис, делающий внедрение так называемой мобильной каптчи максимально простым для любых интернет-ресурсов.

    Сервис mCaptcha, который мы запустили, не требует от веб-разработчиков знания тонкостей отправки смс, или необходимости установки смс-шлюза. Эта часть работы полностью реализуется на нашей стороне.

    Установка mCaptcha на сайте не требует большого количества времени, или выдающих знаний в области программирования. Процесс установки включает лишь несколько шагов.

    Принцип работы mCaptcha изображен на схеме:



    Обращаем ваше внимание на то, что сервис находится на стадии тестирования. Возможна нестабильность в работе.

    Мы будем рады рассмотреть любые замечания или предложения по поводу работы каптчи.
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 26

      0
      Занятно, этак можно разорить владельца сайта, использующего эту капчу, запросив тонну смс на некий телефон. Ведь, судя по описанию, он покупает N смс, мы их исчерпываем, и вуаля — на его сайте нельзя регистироваться, пока он не закупит еще смс у вас, или не отключит эту капчу. Или я в чем-то ошибся, и вы это предусмотрели?
        0
        Ситуация на данный момент:
        Если сайт атакуют, запрашивая большое количество смс, а ответа по ним нет (т.е. регистрация не завершена) аккаунт пользователя приостанавливается, чтобы исключить трату денег на спамеров.

        Конечно, далеко не совершенный вариант. Но пока так.
          0
          Спасибо за ответ, но получается, что в случае атаки владелец сайта либо теряет кучу денег, если не блокирует аакаунт, либо регистрация на его сайте становится недоступна. Оба варианта плохие, так что если и использовать вашу капчу, то только с возможностью мгновенно при атаке сменить ее на любую другую…
            0
            Да, пока без альтернативной формы регистрации никак.
            Но мы не останавливаемся :-)
            Доработаем, предусмотрев все уязвимости, и вполне можно претендовать на полноценную замену классической каптчи.
            0
            сделайте ограничение не более 3 смс на один номер в течении какого-то времени (ну часа). И если так 3 раза, то блокируется номер с возможностью хозяину сайта удалить его из своего черного списка
              0
              Спасибо за комментарий.
              Мы пока рассматриваем ряд вариантов, в том числе и аналогичный Вашему.

              Суть в том, что мы не храним все телефоны, на которые был отправлен код. Мы можем оперировать только номерами (предположительно спамерскими) от которых не был получен ответ.
                +2
                А толку? Можно и рандомные номера перебирать.
                  0
                  Согласен, тогда стоит еще проверять на существование номера. Смс шлюзы предоставляют информацию «доставлено/не доставлено», что упрощает отсев совсем левых номеров и не тратятся деньги
                    0
                    Ну тем кто пытается нагадить сайту всёравно будет доставилена СМС или нет :(
            0
            ИМХО разобрать SMS с кодом намного проще, чем разобрать изображение на картинке, так что особого усиления защиты я тут не вижу.
              –1
              Суть этой каптчи — защититься от ботов. Нужен действующий номер телефона и участие человека.
              Сделать так, чтобы бот сам получал смс, обрабатывал его и спамил сайт — достаточно непростая техническая задача.
                0
                Ну когда-то и бот казался непростой задачей. А настройка gsm-шлюза проблем особых не вызывает.
                  +1
                  Если «один номер телефона — один пользователь», то бот с gsm-шлюзом бесполезен, либо требует крупных затрат
              0
              Добавлю еще, что нужно иметь доверие к сайту, чтоб вводить туда свой номер телефона. Понятное дело, что все действия происходят на Вашей стороне, но не всякий обычный пользователь не будет об этом знать или не сможет это проверить.
                +3
                То есть вы действительно считаете, что получить SMS на модем, воткнутый в Linux-машинку, и почитать что там в ней — большая проблема?

                Или даже ещё проще — цепляем Nokia N95 к машинке и выгружаем с неё смски по BT.
                  0
                  цеплять можно любой телефон. как я понял ограничение должно быть «1 номер == 1 аккунт»
                    0
                    т.е на сайте помимо той информации, которую я захочу указать, в принудительном порядке будет храниться и мой телефонный номер? Нафиг нафиг.
                      0
                      это моё предположение, которое было бы эффективно в защиту от слива денег со счета. а в плане личной информации соглашусь с вами — нафиг нафиг.
                        0
                        Ваш номер телефона на сайте ни в коем случае не хранится.
                        Он обрабатывается исключительно нашим API.
                          0
                          Это было всего лишь предположение, как вариант развития ограничения «1 номер == 1 аккаунт».
                          Вобщем пока преимуществ мобильной капчи перед простой незаметно, разве что только против особо ленивых/глупых ботописцев. Хотя, если посылать не код подтверждения, а указатель на него (простая загадка, арифметическое выражение, записанное не цифрами а буквами) то может что-то и выйдет.
                        0
                        С одного номера можно будет пройтись по нескольким сайтам.
                        Немного неприятно, но всё равно регистрироваться смогут там пачками — был бы спрос =)
                      +6
                      Люди хорошо обожглись на СМС-подписках, которые работают ровно по такой же схеме: вводишь телефон, получаешь смс, вводишь код из смс на сайте и теряешь по 100 рублей в день. Будут ли люди регистрироваться на сайте, требующем подозрительно похожие действия.
                        +1
                        кстати, да)) верно мыслите
                          –2
                          К сожалению, это сложившийся стереотип. Снять деньги со счета пользователя сторонними сервисами, только лишь указав номер телефона, никак нельзя. Чтобы снялись деньги со счета, пользователю необходимо отправить смс на номер (обычно короткий), и только в этом случае с его номера снимутся деньги.
                            +4
                            ничего никуда посылать не надо, хватает получить код и ввести его на сайте, тем самым подтвердив подписку
                          +1
                          Привязка к номеру телефона это лишь альтернатива привязки к электронной почте. Причём тут вообще каптча? Каптча ставит целью отличить компьютер от человека не идентифицируя последнего. Грубо говоря, человек не обязан предъявлять паспорт для входа на сайт.

                          Only users with full accounts can post comments. Log in, please.