У нас есть немного собственной аналитики, которую мы обычно не публикуем (ну, просто она особо и не нужна же никому). С постом мы очень сильно не согласны и вот почему:
1) отвоевала 15 % Интернета
Это — не так. HCaptcha в данный момент это 3-7% от ReCaptcha V2
Самая большая и, пожалуй, единственная победа HCaptcha — их поставил к себе CloudFlare. Единицы вебсайтов, имеющих капчу, сделали выбор в пользу HCaptcha
2) боты теперь проходят reCAPTCHA так же хорошо, как и люди
Ботов
Но обойти HCaptcha ботом — намного легче, чем ReCaptcha! Просто это никому особо не нужно, потому таких ботов нет
3). Окончательный переломный момент для многих крупных клиентов наступил, когда Google начала взимать плату с компаний за использование корпоративной версии своего продукта
Кажется, эта статья полна вранья ради пиара HCaptcha.
ReCaptcha Enterprise — платная, но любые компании могут продолжать использовать бесплатную ReCaptcha V2.
И платить есть смысл. ReCaptcha Enterprise, представляет из себя смесь V2 и V3: проверяет насколько доверенным является пользователь и даёт ему решить набор картинок, если сомневается в нём, как и V2 рекапча + сообщает сайту вероятность того что пользователь бот, как V3 рекапча.
Обойти ReCaptcha Enterprise тяжелее, чем обычную V2, и порою нам (команде RuCaptcha) даже начинает казаться, что гугл победил, (но мы быстро прекращаем отчаиваться и начинаем откофеваться.
А теперь критика HCaptcha:
1) Они не умеют в IPV6.
Прям совсем. Да, клиентов по IPV6, практически нет, но ReCaptcha — умеет.
2) В HCaptcha нет версии для слепых\слабовидящих.
Поэтому слепые пользователи вынуждены регистрироваться на нашем сервисе и пользоваться им для обхода капчи. В ReCaptcha — есть аудиоверсия.
3) Иногда они падают.
Это смешно, но бывают случаи повышенной нагрузки, например когда крупный интернет магазин решит протестировать их капчу и на время распродажи поставит её себе. HCaptcha падает и начинает пускать всех подряд вообще без проверки бот\человек
4) Они не экономят трафик!
Набор картинок у них в среднем весит 1МБ, у рекапчи — 50Кб.
В капчу они дают оригиналы картинок, часто попадаются картинки в размере 1280х720, размером 250Кб. Естественно внутри самой капчи они ресайзятся браузером до 125px по наибольшей стороне.
5) Они не придумали ничего своего
Всё, включая имена переменных, копипастят у ReCaptcha.
6) Защита сайтов.
Честно говоря, ReCaptcha прекрасно знает что наш сервис её обходит и не менее 80% работников она достоверно определяет как работника рукапчи. Но принимает решения наших работников. Почему принимает — не знаем, возможно они используют политику «Лучше отпустить 9 преступников, чем посадить 1 невиновного». Кстати, именно с этим связаны сложности в обходе ReCaptcha Enterprise
HCaptcha вообще не имеет подобной аналитики.
Детерминированный кошелёк не всегда спасение. Согласно bip32 есть ограничение на генерацию лишь 20 адресов подряд если ни один из них не был пополнен. При использовании в онлайн-сервисах такая ситуация часто встречается, когда пользователь нажал «пополнить» и не пополнил и так подряд 20 пользователей.
Если этот сайт не использует собственный кошелёк, а пользуется решением от blockchain.info, как и многие сервисы, принимающие bitcoin, то там есть ещё одна неочевидная проблема — web-интерфейс blockchain.info превращается в тыкву, если у вас сгенерировано более 30.000 адресов (перестаёт выводить баланс и не позволяет сделать платёж).
Всё это заставляет держать сгенерированные адреса в базе и использовать их повторно.
К сожалению, адрес «пополнения» меняется при каждом новом входе на сайт, поэтому отследить, сколько жертв уже попалось на эту удочку, у меня не получилось
В зависимости от того, насколько правильно (или, скорее, неправильно) они обращаются с кошельками, иногда можно узнать размер трагедии. Попробуйте отправить маленькую сумму на один из кошельков, центов 10, и посмотреть что с ними будет потом. Вполне вероятно что адрес будет закрыт в общей транзакции с остальными. А если у них каждый адрес используется многократно (что скорее всего, т.к. в биткоине не так просто использовать тысячи\миллионы адресов однократно), то можно будет увидеть все их адреса, которые когда-либо пополнялись.
UPD: А что мне быть советчиком. Пошёл и сделал. Можете наблюдать за адресом 1igbZ8p6EikPiHgmcFgqGXRoQULsPLD8G
Что интересно, эта подделка оказалась ещё хитрее, чем описывал топикстартер: сайт увидел мой входящий платёж, о чём уведомил всплывашкой, и даже отписал его в историю. При заходе через другой браузер без смены IP транзакция в истории продолжает отображаться и только если сменить IP и почистить куки — сайт перестаёт «узнавать» меня и из истории транзакция исчезает.
Молодцы, конечно, хорошо постарались.
Для простых капч было расширение, но его сложно поддерживать, т.к. нужно каждый сайт добавлять руками и потом следить за изменениями, что требовало ежедневного участия разработчика.
1. Сервисы для автоматизации получения данных с гос.сайтов
Для России это сервисы по информации об авто и кредитные организации (почти все банки, к примеру, используют капча-сервисы для получения данных по ИНН), например. Для Украины — запись в польское посольство для оформления визы.
2. Перекупщики билетов
В основном американско-канадская тема. Там есть легальный рынок перепродажи билетов. Перекупщики билетов в момент открытия продажи скупают лучшие места за несколько минут. Смешно, что пару лет назад в США вышел закон, запрещающий использование автоматизированных программ для покупки билетов с целью последующей перепродажи и в день вступления в силу данного закона все перекупщики перестали пользоваться капча-сервисами.
3. Любители модной одежды\перекупщики одежды
Эти люди похожи на предыдущую группу.
supremenewyork, adidas и многие другие модные магазины одежды устраивают распродажи лимитированных коллекций и весь товар раскупается за считанные минуты, а потом продаётся по цене в 3-10 раз дороже на ebay.com
4. SEO-специалисты
Те, кто продвигают сайты в интернете, очень любят проверять успешность своей работы, парся выдачу поисковиков. Возможно эту группу можно частично отнести к маркетологам, но я бы не говорил так однозначно.
5. SMM менеджеры
Отложенный постинг, чиста групп от собачек, извещение своих подписчиков личным сообщением — всё это требует ввода капчи.
6. Сборщики криптовалюты
Есть множество сайтов, раздающих мизерные вознаграждения. Самый популярный, пожалуй, это freebitco.in. Общий принцип — за посещение страницы выдаётся маленькое вознаграждение. Владельцы сайтов откручивают рекламу на таких посетителях, платя посетителям 30-70% от того что платят рекламодатели.
7. Накрутчики рейтингов
В WoW ещё играют. Существуют сайты с рейтингами серверов WoW и других игр. Накрутка рейтинга на таких сайтов положительно влияет на онлайн игроков сервера.
7. Спамеры.
Да, они есть. Но после того, как поисковики перестали учитывать спамные ссылки (а иногда и банить сайты за такое), то спамеры почти перестали вести свою деятельность
8. Брутфорсеры.
К сожалению, есть и такие. Их реально очень мало. Не более 0,2%-0,5% от общего количества капч. Мы долго совещались между собой: а не запретить ли гадать через нас капчи от localbitcoins.com и других подобных сайтов. Не запретили, боимся что это породит возникновение конкурентов и отрицательно скажется на отношении пользователей к нам.
9. Слепые
Самая маленькая категория пользователей клиентов, но для нас весьма важная. В последнее время количество слепых, пользующихся интернетом, начало сильно расти. Это результат появления NVDA и разработок голосовых помощников на Iphone\Android. Слепые без проблем могут читать и комментировать Хабр, пользоваться сбербанком-онлайн и т.д. Но как только они встречают капчу, они не могут обойтись без посторонней помощи (если это только не рекапча с голосовой версией, но и там есть свои проблемы). На днях мы даже разработали телеграм-бота, которому можно прислать скриншот экрана, а он возвращает текст с капчи на этом экране t.me/BlindCaptchaBot
Написал без подготовки, возможно какие-то группы забыл.
Всем привет!
Я из компании, которая занимается распознаванием капчи.
В комментариях много вопросов и споров о том кто те люди, кому нужно распознавание капч.
Если публике интересно, то мы могли бы рассказать о своих клиентах, а то тут то маркетологов обвиняют, то самих владельцев сайтов. А на самом деле всё совсем не так.
У нас есть немного собственной аналитики, которую мы обычно не публикуем (ну, просто она особо и не нужна же никому). С постом мы очень сильно не согласны и вот почему:
1) отвоевала 15 % Интернета
Это — не так. HCaptcha в данный момент это 3-7% от ReCaptcha V2
Самая большая и, пожалуй, единственная победа HCaptcha — их поставил к себе CloudFlare. Единицы вебсайтов, имеющих капчу, сделали выбор в пользу HCaptcha
2) боты теперь проходят reCAPTCHA так же хорошо, как и люди
Ботов
Но обойти HCaptcha ботом — намного легче, чем ReCaptcha! Просто это никому особо не нужно, потому таких ботов нет
3). Окончательный переломный момент для многих крупных клиентов наступил, когда Google начала взимать плату с компаний за использование корпоративной версии своего продукта
Кажется, эта статья полна вранья ради пиара HCaptcha.
ReCaptcha Enterprise — платная, но любые компании могут продолжать использовать бесплатную ReCaptcha V2.
И платить есть смысл. ReCaptcha Enterprise, представляет из себя смесь V2 и V3: проверяет насколько доверенным является пользователь и даёт ему решить набор картинок, если сомневается в нём, как и V2 рекапча + сообщает сайту вероятность того что пользователь бот, как V3 рекапча.
Обойти ReCaptcha Enterprise тяжелее, чем обычную V2, и порою нам (команде RuCaptcha) даже начинает казаться, что гугл победил, (но мы быстро прекращаем отчаиваться и начинаем откофеваться.
А теперь критика HCaptcha:
1) Они не умеют в IPV6.
Прям совсем. Да, клиентов по IPV6, практически нет, но ReCaptcha — умеет.
2) В HCaptcha нет версии для слепых\слабовидящих.
Поэтому слепые пользователи вынуждены регистрироваться на нашем сервисе и пользоваться им для обхода капчи. В ReCaptcha — есть аудиоверсия.
3) Иногда они падают.
Это смешно, но бывают случаи повышенной нагрузки, например когда крупный интернет магазин решит протестировать их капчу и на время распродажи поставит её себе. HCaptcha падает и начинает пускать всех подряд вообще без проверки бот\человек
4) Они не экономят трафик!
Набор картинок у них в среднем весит 1МБ, у рекапчи — 50Кб.
В капчу они дают оригиналы картинок, часто попадаются картинки в размере 1280х720, размером 250Кб. Естественно внутри самой капчи они ресайзятся браузером до 125px по наибольшей стороне.
5) Они не придумали ничего своего
Всё, включая имена переменных, копипастят у ReCaptcha.
6) Защита сайтов.
Честно говоря, ReCaptcha прекрасно знает что наш сервис её обходит и не менее 80% работников она достоверно определяет как работника рукапчи. Но принимает решения наших работников. Почему принимает — не знаем, возможно они используют политику «Лучше отпустить 9 преступников, чем посадить 1 невиновного». Кстати, именно с этим связаны сложности в обходе ReCaptcha Enterprise
HCaptcha вообще не имеет подобной аналитики.
Если этот сайт не использует собственный кошелёк, а пользуется решением от blockchain.info, как и многие сервисы, принимающие bitcoin, то там есть ещё одна неочевидная проблема — web-интерфейс blockchain.info превращается в тыкву, если у вас сгенерировано более 30.000 адресов (перестаёт выводить баланс и не позволяет сделать платёж).
Всё это заставляет держать сгенерированные адреса в базе и использовать их повторно.
В зависимости от того, насколько правильно (или, скорее, неправильно) они обращаются с кошельками, иногда можно узнать размер трагедии. Попробуйте отправить маленькую сумму на один из кошельков, центов 10, и посмотреть что с ними будет потом. Вполне вероятно что адрес будет закрыт в общей транзакции с остальными. А если у них каждый адрес используется многократно (что скорее всего, т.к. в биткоине не так просто использовать тысячи\миллионы адресов однократно), то можно будет увидеть все их адреса, которые когда-либо пополнялись.
UPD: А что мне быть советчиком. Пошёл и сделал. Можете наблюдать за адресом
1igbZ8p6EikPiHgmcFgqGXRoQULsPLD8GЧто интересно, эта подделка оказалась ещё хитрее, чем описывал топикстартер: сайт увидел мой входящий платёж, о чём уведомил всплывашкой, и даже отписал его в историю. При заходе через другой браузер без смены IP транзакция в истории продолжает отображаться и только если сменить IP и почистить куки — сайт перестаёт «узнавать» меня и из истории транзакция исчезает.
Молодцы, конечно, хорошо постарались.
addons.mozilla.org/ru/firefox/addon/recaptcha-solver
Для простых капч было расширение, но его сложно поддерживать, т.к. нужно каждый сайт добавлять руками и потом следить за изменениями, что требовало ежедневного участия разработчика.
Слепые используют вот это расширение для прохождения капчи в браузере nvda.ru/dopolnenie-captchasolver
Кто использует капча-сервисы?
1. Сервисы для автоматизации получения данных с гос.сайтов
Для России это сервисы по информации об авто и кредитные организации (почти все банки, к примеру, используют капча-сервисы для получения данных по ИНН), например. Для Украины — запись в польское посольство для оформления визы.
2. Перекупщики билетов
В основном американско-канадская тема. Там есть легальный рынок перепродажи билетов. Перекупщики билетов в момент открытия продажи скупают лучшие места за несколько минут. Смешно, что пару лет назад в США вышел закон, запрещающий использование автоматизированных программ для покупки билетов с целью последующей перепродажи и в день вступления в силу данного закона все перекупщики перестали пользоваться капча-сервисами.
3. Любители модной одежды\перекупщики одежды
Эти люди похожи на предыдущую группу.
supremenewyork, adidas и многие другие модные магазины одежды устраивают распродажи лимитированных коллекций и весь товар раскупается за считанные минуты, а потом продаётся по цене в 3-10 раз дороже на ebay.com
4. SEO-специалисты
Те, кто продвигают сайты в интернете, очень любят проверять успешность своей работы, парся выдачу поисковиков. Возможно эту группу можно частично отнести к маркетологам, но я бы не говорил так однозначно.
5. SMM менеджеры
Отложенный постинг, чиста групп от собачек, извещение своих подписчиков личным сообщением — всё это требует ввода капчи.
6. Сборщики криптовалюты
Есть множество сайтов, раздающих мизерные вознаграждения. Самый популярный, пожалуй, это freebitco.in. Общий принцип — за посещение страницы выдаётся маленькое вознаграждение. Владельцы сайтов откручивают рекламу на таких посетителях, платя посетителям 30-70% от того что платят рекламодатели.
7. Накрутчики рейтингов
В WoW ещё играют. Существуют сайты с рейтингами серверов WoW и других игр. Накрутка рейтинга на таких сайтов положительно влияет на онлайн игроков сервера.
7. Спамеры.
Да, они есть. Но после того, как поисковики перестали учитывать спамные ссылки (а иногда и банить сайты за такое), то спамеры почти перестали вести свою деятельность
8. Брутфорсеры.
К сожалению, есть и такие. Их реально очень мало. Не более 0,2%-0,5% от общего количества капч. Мы долго совещались между собой: а не запретить ли гадать через нас капчи от localbitcoins.com и других подобных сайтов. Не запретили, боимся что это породит возникновение конкурентов и отрицательно скажется на отношении пользователей к нам.
9. Слепые
Самая маленькая категория пользователей клиентов, но для нас весьма важная. В последнее время количество слепых, пользующихся интернетом, начало сильно расти. Это результат появления NVDA и разработок голосовых помощников на Iphone\Android. Слепые без проблем могут читать и комментировать Хабр, пользоваться сбербанком-онлайн и т.д. Но как только они встречают капчу, они не могут обойтись без посторонней помощи (если это только не рекапча с голосовой версией, но и там есть свои проблемы). На днях мы даже разработали телеграм-бота, которому можно прислать скриншот экрана, а он возвращает текст с капчи на этом экране t.me/BlindCaptchaBot
Написал без подготовки, возможно какие-то группы забыл.
Я из компании, которая занимается распознаванием капчи.
В комментариях много вопросов и споров о том кто те люди, кому нужно распознавание капч.
Если публике интересно, то мы могли бы рассказать о своих клиентах, а то тут то маркетологов обвиняют, то самих владельцев сайтов. А на самом деле всё совсем не так.