V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lxyyzm
V2EX  ›  问与答

谷歌的这个打勾验证谁能给破了

  •  
  •   lxyyzm · 2016-12-20 11:34:41 +08:00 · 8864 次点击
    这是一个创建于 2930 天前的主题,其中的信息可能已经有所发展或是发生改变。
    38 条回复    2018-01-14 20:12:06 +08:00
    helloccav
        1
    helloccav  
       2016-12-20 11:35:10 +08:00
    403. That ’ s an error.

    Your client does not have permission to get URL /sorry/index?continue=https://www.google.com/search%3Fq%3Dvv%26oq%3Dvv%26aqs%3Dchrome..69i57j69i58l3.241j0j9%26sourceid%3Dchrome%26ie%3DUTF-8&q=EgQvWRcxGPid4sIFIhkA8aeDS6_Z787MRka_Sinh75HdmhLw5tPJMgNyY24 from this server. That ’ s all we know.
    SourceMan
        2
    SourceMan  
       2016-12-20 11:37:37 +08:00
    人家一个工程师团队研发的新一代验证码,岂是说破解就破解的
    tomczhen
        3
    tomczhen  
       2016-12-20 11:46:59 +08:00   ❤️ 1
    “破解”肯定是能破解的,任何验证码都有个通用的“破解”方法——人工打码 :doge:

    验证码的目标并非是“完全防止机器”,而是提高“认证的成本”。这个系统我记得是会根据用户行为来提高验证难度,也就是说,随着样本越来越多,验证的难度是会越来越高的,所以你说的“可以忽略”只是建立在你测试的这些样本数据的结果。
    mrjoel
        4
    mrjoel  
       2016-12-20 11:48:55 +08:00 via iPhone   ❤️ 2
    验证码,我最服新浪微博以前的 3G 版,手工输入 30 分钟才进去。
    marsLeo
        5
    marsLeo  
       2016-12-20 11:52:52 +08:00
    这个验证不是打个勾那么简单的 /t/325899
    iyaozhen
        6
    iyaozhen  
       2016-12-20 13:21:18 +08:00 via Android
    这个打钩不是简单的打钩啊。这能破解估计可以吹明年一年了
    Z1on
        7
    Z1on  
       2016-12-20 13:29:52 +08:00 via Android
    换梯子
    sobigfish
        8
    sobigfish  
       2016-12-20 13:33:04 +08:00
    @tomczhen 人工打码打不到这个,因为不同人访问很多变量都不一样的
    bsklqgy
        9
    bsklqgy  
       2016-12-20 15:12:24 +08:00   ❤️ 1
    你能破,你就是土豪了
    lxyyzm
        10
    lxyyzm  
    OP
       2016-12-20 18:41:56 +08:00 via Android
    @marsLeo 能否科普下跟普通打勾区别在哪里?
    lightening
        11
    lightening  
       2016-12-20 18:47:04 +08:00
    @lxyyzm 根据你的浏览历史,用 machine learning 判断你是不是真人。顺便参考鼠标移动轨迹。一旦有所不确定,弹出图片验证。

    你可以试试,在隐私浏览模式下,他几乎 100% 会弹出图片模式,因为他找不到你以前的浏览记录,会判断你可能不是真人。
    dunn
        12
    dunn  
       2016-12-20 18:54:13 +08:00 via Android
    @lightening 图片验证码岂不是更好破解了
    crab
        13
    crab  
       2016-12-20 18:59:54 +08:00
    @sobigfish 禁用 js 去请求就会直接出另外一种验证码了。
    momi
        14
    momi  
       2016-12-20 19:01:21 +08:00
    我就不明白了, google 的程序员们是猪么?我用他们自家的 chrome 打开他们家的网站,这应该很好判断是人还是机器呀,干嘛非得让我认路牌或店铺招牌?
    Tink
        15
    Tink  
       2016-12-20 19:01:32 +08:00
    @lxyyzm 他要判断你是不是真人,是的话才让你打勾,其实也完全可以不打勾
    Tink
        16
    Tink  
       2016-12-20 19:01:59 +08:00
    @momi robot 也可以用 chrome 打开他们家的网站
    marsLeo
        17
    marsLeo  
       2016-12-20 19:02:42 +08:00
    @lxyyzm 具体看链接的 4 楼,/t/325899 ,我也没深入研究 。 国内类似的服务有 极验,就是拖一下滑块,简单快捷,但背后是有复杂的算法。
    lishunan246
        18
    lishunan246  
       2016-12-20 19:05:04 +08:00 via Android
    @momi bot 也会用 chrome 啊
    Ouyangan
        19
    Ouyangan  
       2016-12-20 19:05:08 +08:00
    @marsLeo 极验早些时候也被破解了,现在不知如何
    crab
        20
    crab  
       2016-12-20 19:13:37 +08:00
    @Ouyangan 依然被破解。
    lxyyzm
        21
    lxyyzm  
    OP
       2016-12-20 19:20:04 +08:00
    @Tink 咋判断是不是真人呢,通过鼠标轨迹么?既然可以不打勾,为什么还要打勾?
    Tink
        22
    Tink  
       2016-12-20 19:27:12 +08:00
    @lxyyzm 因为在打勾之前, 其实谷歌已经知道你是不是真人了, 通过 cookie ip 鼠标 键盘操作浏览记录页面刷新速度 ua 等等一系列东西来判断的.

    至于打勾, 纯粹为了让你点一下. 马上也会有不需要打勾的版本发布了
    zjuster
        24
    zjuster  
       2016-12-20 19:39:53 +08:00
    这个最近饱受困扰啊...后来发现 Safari 不出,只有 Chrome 出。谷歌这还要把用户往 Safari 怀抱里推!💊!
    billion
        25
    billion  
       2016-12-20 19:43:52 +08:00
    @momi Selenium + ChromeDriver
    ynyounuo
        26
    ynyounuo  
       2016-12-20 19:54:27 +08:00 via iPhone
    @momi 非常容易模拟以 Chrome 访问任意网站,而且识别路牌实际上有一半是 reCaptcha 的人工 OCR 项目,这样一些只有劣质扫描版的旧书和不清晰照片的东西就可以在机器识别的基础上以 crowd source 为基础校正结果了。
    Khlieb
        27
    Khlieb  
       2016-12-20 20:52:51 +08:00 via Android
    反代能行吗?
    bigpigeon
        28
    bigpigeon  
       2016-12-20 21:22:05 +08:00
    现在是不是可以搞个机器学习识破验证码?
    qymobile
        29
    qymobile  
       2016-12-20 21:28:29 +08:00 via iPhone
    楼上质疑谷歌程序员水平的,估计加一起智商收入技术水平都没人家高,还说别人是猪
    lxyyzm
        30
    lxyyzm  
    OP
       2016-12-20 21:32:54 +08:00
    @Khlieb 你咋看出来是反代?
    bumz
        31
    bumz  
       2016-12-20 21:35:58 +08:00
    mingyun
        33
    mingyun  
       2016-12-20 23:28:58 +08:00
    碰好几次了,有时候还点错
    SilentDepth
        34
    SilentDepth  
       2016-12-21 09:59:40 +08:00
    至少它会收集你的鼠标轨迹,而 JS 目前还不能控制鼠标,所以 JS 破解无望。如果考虑可以控制鼠标的外部程序,分析正常人类移动鼠标的路径,让程序模拟,应该就可以解决第一个验证点了。

    @lightening 这个还验证浏览历史? JS 还能获取浏览历史?
    droiz
        35
    droiz  
       2016-12-21 10:09:42 +08:00
    @momi 不懂技术原理还说人家是猪,真服了。
    lightening
        36
    lightening  
       2016-12-21 18:16:07 +08:00
    @SilentDepth 别忘了他们有 Google Analytics 数据
    Khlieb
        37
    Khlieb  
       2016-12-22 03:14:53 +08:00 via Android
    @lxyyzm 我只是问问能不能通过反代访问
    jiayouzl
        38
    jiayouzl  
       2018-01-14 20:12:06 +08:00
    极验验证码自动识别接口,这家做的不错,速度价格都可以~

    http://www.25531.com
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2810 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:30 · PVG 21:30 · LAX 05:30 · JFK 08:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.