有回复时邮件通知我
XCC的博客v3.0发布于日，是xcc的第二个博客的升级版，也是xcc的正式博客，是一个全新的开始。 本博客的宗旨是分享xcc的各种经验、记录生活中的有意义的点点滴滴，是一个真诚的博客。本站主要内容有信息技术、科普知识、资源分享、生活学习、说说等。
记住我的登录信息
点击“立即注册”转到用户注册页面。
输入用户名或电子邮箱地址，您会收到一封新密码链接的电子邮件。
用户名或电子邮件地址谷歌的这个打勾验证谁能给破了
11:34:41 +08:00 · 5891 次点击
如题，能否用 js 自动操作一下。
注：偶尔会弹出类似 12306 的图片验证，可以忽略，只需考虑打勾情况。
38 回复 &| &直到
20:12:06 +08:00
& & 11:35:10 +08:00
403. That ’ s an error.
Your client does not have permission to get URL /sorry/index?continue=https://www.google.com/search%3Fq%3Dvv%26oq%3Dvv%26aqs%3Dchrome..69i57j69i58l3.241j0j9%26sourceid%3Dchrome%26ie%3DUTF-8&q=EgQvWRcxGPid4sIFIhkA8aeDS6_Z787MRka_Sinh75HdmhLw5tPJMgNyY24 from this server. That ’ s all we know.
& & 11:37:37 +08:00
人家一个工程师团队研发的新一代验证码，岂是说破解就破解的
& & 11:46:59 +08:00
“破解”肯定是能破解的，任何验证码都有个通用的“破解”方法——人工打码 :doge:
验证码的目标并非是“完全防止机器”，而是提高“认证的成本”。这个系统我记得是会根据用户行为来提高验证难度，也就是说，随着样本越来越多，验证的难度是会越来越高的，所以你说的“可以忽略”只是建立在你测试的这些样本数据的结果。
& & 11:48:55 +08:00 via iPhone
验证码，我最服新浪微博以前的 3G 版，手工输入 30 分钟才进去。
& & 11:52:52 +08:00
这个验证不是打个勾那么简单的
& & 13:21:18 +08:00 via Android
这个打钩不是简单的打钩啊。这能破解估计可以吹明年一年了
& & 13:29:52 +08:00 via Android
& & 13:33:04 +08:00
@ 人工打码打不到这个，因为不同人访问很多变量都不一样的
& & 15:12:24 +08:00
你能破，你就是土豪了
& & 18:41:56 +08:00 via Android
@ 能否科普下跟普通打勾区别在哪里？
& & 18:47:04 +08:00
@ 根据你的浏览历史，用 machine learning 判断你是不是真人。顺便参考鼠标移动轨迹。一旦有所不确定，弹出图片验证。
你可以试试，在隐私浏览模式下，他几乎 100% 会弹出图片模式，因为他找不到你以前的浏览记录，会判断你可能不是真人。
& & 18:54:13 +08:00 via Android
@ 图片验证码岂不是更好破解了
& & 18:59:54 +08:00
@ 禁用 js 去请求就会直接出另外一种验证码了。
& & 19:01:21 +08:00
我就不明白了， google 的程序员们是猪么？我用他们自家的 chrome 打开他们家的网站，这应该很好判断是人还是机器呀，干嘛非得让我认路牌或店铺招牌？
& & 19:01:32 +08:00
@ 他要判断你是不是真人,是的话才让你打勾,其实也完全可以不打勾
& & 19:01:59 +08:00
@ robot 也可以用 chrome 打开他们家的网站
& & 19:02:42 +08:00
@ 具体看链接的 4 楼，/t/325899 ，我也没深入研究 。 国内类似的服务有 极验，就是拖一下滑块，简单快捷，但背后是有复杂的算法。
& & 19:05:04 +08:00 via Android
@ bot 也会用 chrome 啊
& & 19:05:08 +08:00
@ 极验早些时候也被破解了,现在不知如何
& & 19:13:37 +08:00
@ 依然被破解。
& & 19:20:04 +08:00
@ 咋判断是不是真人呢，通过鼠标轨迹么？既然可以不打勾，为什么还要打勾？
& & 19:27:12 +08:00
@ 因为在打勾之前, 其实谷歌已经知道你是不是真人了, 通过 cookie ip 鼠标 键盘操作浏览记录页面刷新速度 ua 等等一系列东西来判断的.
至于打勾, 纯粹为了让你点一下. 马上也会有不需要打勾的版本发布了
& & 19:28:55 +08:00
& & 19:39:53 +08:00
这个最近饱受困扰啊...后来发现 Safari 不出，只有 Chrome 出。谷歌这还要把用户往 Safari 怀抱里推！?！
& & 19:43:52 +08:00
@ Selenium + ChromeDriver
& & 19:54:27 +08:00 via iPhone
@ 非常容易模拟以 Chrome 访问任意网站，而且识别路牌实际上有一半是 reCaptcha 的人工 OCR 项目，这样一些只有劣质扫描版的旧书和不清晰照片的东西就可以在机器识别的基础上以 crowd source 为基础校正结果了。
& & 20:52:51 +08:00 via Android
反代能行吗？
& & 21:22:05 +08:00
现在是不是可以搞个机器学习识破验证码？
& & 21:28:29 +08:00 via iPhone
楼上质疑谷歌程序员水平的，估计加一起智商收入技术水平都没人家高，还说别人是猪
& & 21:32:54 +08:00
@ 你咋看出来是反代？
& & 21:35:58 +08:00
& & 21:37:47 +08:00
& & 23:28:58 +08:00
碰好几次了，有时候还点错
& & 09:59:40 +08:00
至少它会收集你的鼠标轨迹，而 JS 目前还不能控制鼠标，所以 JS 破解无望。如果考虑可以控制鼠标的外部程序，分析正常人类移动鼠标的路径，让程序模拟，应该就可以解决第一个验证点了。
@ 这个还验证浏览历史？ JS 还能获取浏览历史？
& & 10:09:42 +08:00
@ 不懂技术原理还说人家是猪，真服了。
& & 18:16:07 +08:00
@ 别忘了他们有 Google Analytics 数据
& & 03:14:53 +08:00 via Android
@ 我只是问问能不能通过反代访问
& &177 天前
极验验证码自动识别接口,这家做的不错,速度价格都可以~
& · & 1167 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 20ms · UTC 17:12 · PVG 01:12 · LAX 10:12 · JFK 13:12? Do have faith in what you're doing.reCAPTCHA 验证码是否太难辨认了？如果是，为什么要做成这个样子？ - 知乎有问题，上知乎。知乎作为中文互联网最大的知识分享平台，以「知识连接一切」为愿景，致力于构建一个人人都可以便捷接入的知识分享网络，让人们便捷地与世界分享知识、经验和见解，发现更大的世界。99被浏览<strong class="NumberBoard-itemValue" title="3分享邀请回答en.wikipedia.org/wiki/ReCAPTCHA不易识别可能也是由于文字上被加了横线引起的，wiki上说这个也是为了防止机器人的一种方法。reCaptcha有提供语音辅助。自从知道reCaptcha project以后 我每次输入验证码的时候认真多了 觉得自己在做一项很有意义的工作.....1268 条评论分享收藏感谢收起12添加评论分享收藏感谢收起全平台端安全
智能风控产品链
安全人工智能
谷歌reCaptcha验证码服务再次被攻破顶象按：reCaptcha就像其名字一样，彰显着谷歌重新定义验证码服务的雄心壮志。不过世界上没有不透风的墙，强大如谷歌如不进步则只能后退。本文介绍了谷歌reCaptcha验证码服务中“音频验证”选项被攻破的流程逻辑和一些细节，但其引领的创新轨迹追踪类验证（即其标志性的“我不是机器人”勾选验证码）的攻破难度仍然很大。文/Tom Spring编译/小象原文地址/https://threatpost.com/googles-recaptcha-cracked-again/128690/据报道，来自美国马里兰大学的一个团队设计了一款自动攻击的程序，成功攻破了谷歌的reCaptcha验证码服务，准确率高达85%。该团队的研究人员将他们开发的这款程序命名为“unCaptcha”（“un”在英文中做前缀表“否定”，此处有戏谑之意——译注），可以攻破谷歌reCaptcha验证码服务中“语音验证”的选项。为了应对网上注册机等可以瞬间注册成百上千垃圾账号的机器脚本，谷歌公司于2014年在旗下众多公共服务中推出了名为“reCaptcha”的验证码服务。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的缩写，意为“全自动区分计算机和人类的公开图灵测试”。而“RE-captcha”则是谷歌公司为自己研发的通过图像、音频或文本来识别真实人类登录操作的验证技术起的名字（“re”在英文中做前缀表“再、又、重新”，谷歌公司借此表达其重新定义验证码服务的雄心——译注）。“我们通过各个网站上超过450次测试来验证unCaptcha的能力并且发现平均破解时间仅需5.42秒，通过率达85.15%”马里兰大学研究人员Kevin Bock、Daven Patel、George Hughey和Dave Levin在他们的报告中写道。unCaptcha的破解不是通过文本识别，而是利用了reCaptcha提供的语音验证功能。马里兰的研究人员解释称：“一部分视觉障碍的用户无法使用文字或图像验证码，所以催生了语音验证。”本次发布的信息中可以明确看出语音验证方法还是存在比较明显的漏洞，其攻破成本也并不是很高，加上成功率高，批量绕过是很有可能的。与之相对，谷歌标志性的轨迹追踪验证码“我不是机器人”勾选验证的绕过成本仍然比较高，且成功率低，该项技术仍保持了较高的稳定性。 目前世界范围内也鲜见提供轨迹追踪技术商业应用验证服务的安全厂家 。国内主流验证码如顶象的无感验证是通过收集用户的行为以及环境信息，结合模型和风控分析来区分人机。&&该研究报告指出，unCaptcha集成了在线“语音-文字转化”引擎和先进的音频绘图技术。首先，研究人员通过浏览器自动操作插件选择谷歌reCaptcha的“语音验证”选项，然后会下载声音文件。接着，网上免费的“语音-文字转化”服务将会对声音文件进行识别。“对每一部分的音频完成绘图之后，我们会把识别结果整合成一个答案”，研究人员写道，“当这样一串候选字符拼接完成后，unCaptcha将答案有机地（通过每个字符间统一的时间随机机制）键入填写框并点击‘提交’键”。谷歌的reCaptcha并不是第一次被攻破。今年三月份，East-Ee安全网站的研究人员详细介绍了利用谷歌自己的网页工具绕过谷歌验证的方法。这款被称作“ReBreakCaptcha（“再次攻破验证码——译注”）”的工具通过一段能够利用谷歌自己的应用程序接口捕捉reCaptcha语音验证声音文件的脚本来攻击谷歌验证服务，然后再通过“语音-文字转换”技术生成文本答案并填写如答案框。此外，2016年亚洲黑帽子大会上哥伦比亚大学的一队研究人员也发表了名为《我不是人类：破解谷歌reCaptcha验证码》的论文（“我不是机器人”是谷歌reCaptcha的一句经典——译注），声称利用他们的自动识别技术，reCaptcha的图像验证每次破解仅需19秒，成功率达70.78%。结合行业策略和实时模型，提供毫秒级的风控引擎，识别、阻断各类恶意互联网请求。国外很多下载站用到下面这种验证码，它其实是 Google 提供的 reCAPTCHA 服务()，可以免费申请和使用。
# Jimmy Liye 同学翻译了 Google reCAPTCHA 的部分说明(原文：)：
验证码大家每天都会见到，可是你会想到当你每次不耐烦的输入一个单词的时候都为人类做出了一点贡献吗？
验证码（CAPTCHA）或者叫做全自动区分计算机和人类的图灵测试（Completely Automated Public Turing test to tell Computers and Humans Apart），使我们上网的人每天都可以见到的，而它的作用除了防止垃圾注册或者评论以外还有别的吗？来自Google的reCAPTCHA（上图）告诉我们，你其实还可以为人类做贡献。
题外话：现在OCR的阅读效率实在是不高，下面这张图就可以说明问题。
它的情景是这样的，有一天，某台机器扫描了一本书，想把它转成电子版：
处理出来是这样子的：
The Hreckinridge’ and Lane Democrats, having taken courage at the recent eastern advises, are [xxxxxxxxxx] energetically for the campaign: Several prominent Democrats who at first favoredDonoLea, are coming out. for the other aide, apparently under the [xxxxxxxx] of Federal [xxxxxxxxx]. An address to the National Democracy of ,1ifornia, urging the party to supportHaeeslipslDas, has recently been published, which manifestlybss strengthened that aide of the [xxxxxxxxx]: It is signed by 65 Democrats, many of whom occupy respectab e and prominent positions in the party, 22 of them are Federal office-holders,[xxxxx] more are recipients of Federal patronage, and the others represent a mass of politicians giving the document [xxxx][xxxxxx] mTheDcu8las Democrats are also active The Irish and German vote will mostly go with ths# branch of the party, but it is[xxxxxxxxx] to [xxxxxxxx] [xxxxx] [xxxx] [xx] the stronger. Thus far 17 IT newspapers have declared for DonGres, 13 for Base$- IaaIDGS and 9 remain non-committal, with even chances of going either way. Under these circumstances the Republicans entertain not unjustifiable hopes that the Democratic divisions may be so equal,- ly balanced as to give the State [xx] LIaCOLV.Same very [xxxxxxx] Bell and Everett meetings have been held in different parts of the State, bat thus far that party does not exhibit much rank sad ale air en.
这个是原书质量比较差的：
看到这个，电脑就傻眼了，吐出来一堆这种东西：
‘ letz-1- rrk fit: 1′ . on its to Vc ,rt, cann into tlm yc H_ tcr,la, .n. ‘ , arc ti:( h of thc 1″,ats that to ltc rc: ,;. , I; ., l: rel!;n. tani., , ./olio, IJuteilu, . 1!’i./_ ;lr”n. Iiam! Jr.r. F’l,nr_.Z.._%i;;, ,, : rt-Irn: am/ tf.rri.:, t?m steamer as a tr nW r. Uu ,t, c ac?1 1″,at firm/nn, accor. to .t rn. ‘Cl.w r. wu ru lm:nui MistinW /th, -.:,k as to “what w ax 1111, :111(I vle:iR: (,am( into, mnr r-, tm if tlm wo r( uu.i n:’ of t?u : la?:Iv. \ ‘c : ol in thc , ucr:atic , , Tlau :; will h:aw tu-li.r \. ’1′Im yap?tts Il ,,n an,/ I, ,rr:l. r, (,t tf,is r:ity, start witli it, with lu:rtic: ol \ 1- e:l.k.
看得懂吗？反正我是看不懂。验证码的出现，就是为了改变这种情况的。这张图可以很好的解释它的工作原理：
1、我们首先扫描了一本有一大堆单词的书
2、我们找出不能被电脑识别的单词，这些单词有可能是不同的字体。当然了，损坏程度也与书籍年代以及扫描质量有关。
3、为了让这些验证码更安全，我们会让它更扭曲并且在上面加入横线。
4、一个验证码是有两个这样的单词组成的。
有了它的帮助，第二张图片上面的文字就会变得清楚多了（不过还是有一点小错误）：
The New-York State yacht Squadron, on its annual cruise to Newport came into the harbor yesterday afternoon. The following are the names of the boats that came to anchor here: Jessie, gera loliv erelun Annie, Mannering, Julia, Bonita, Magic wut, Rambler, floumblie, Henrietta, Sea-Drift and Maria, with the steamer America as a tender. On anchoring each boat fired a gun, according to custom. The reports were heard distinctly in the city, causing considerable inquiry as to “what was up,” and quite a number of sanguine individuals came into our office to inquire if the guns were not annunciatory signals of the successful laying of the Atlantic Cable. We invariably replied in the negative. The squadron will leave to-day for Newport. The yachts Washington and buub r of this city, start with it, with parties of New Haven people.
有的人可能要问了，既然机器都看不明白那他怎么判断你输对了还是错了呢？我一开始也有这样的问题，Google是这样解释的：
两个验证码里面有一个是正确的，被人审核过的，而另一个是不正确的，机器读不出来的。当你把那个正确的输对以后我们就会默认另外一个也是对的，这样，你每输入一次验证码，就为人类的知识宝库里增加了一个单词。
了解和申请 reCAPTCHA ：
给这篇稿打赏，让译者更有动力
支付宝打赏 [x]
您的大名：
打赏金额：
13:10:17 :
12:49:55 :
12:50:40 :
12:51:11 :
12:52:10 :
15:23:20 :
12:49:41 :
14:21:34 :
13:04:47 :}