Добавить в корзинуПозвонить
Найти в Дзене
IT - это просто
774 подписчика

Что такое CAPTCHA? Простыми словами

20
10 мин
Здравствуй, дорогой читатель. Сегодня Автор предлагает поговорить о маленьком испытании, которое многие видели в интернете и почти никто не любит. «Выберите все картинки со светофорами». «Введите символы с картинки». «Докажите, что вы не робот». С одной стороны, звучит немного обидно. С другой — у сайтов есть причины задавать такие вопросы. Почему обычному человеку приходится искать автобусы на мутных фотографиях? Почему сайт вообще сомневается, что перед ним человек? И почему иногда капча раздражает сильнее, чем очередь в поликлинике? Давайте разбираться без сухой документации. Сначала дверь, звонок и семейный вечер. Потом — CAPTCHA, боты, защита от спама и честный UPD. Представьте вечер. Алиса, Илья и Арина дома. На кухне чай, печенье, на столе рисунки, в коридоре стоит коробка с письмами. В дверь звонят. Алиса подходит: — Кто там? За дверью тишина. Потом снова звонок. Арина радостно бежит нажимать домофон: — Открыть! Илья мягко останавливает: — Подожди. Сначала надо понять, кто приш
Оглавление

Здравствуй, дорогой читатель. Сегодня Автор предлагает поговорить о маленьком испытании, которое многие видели в интернете и почти никто не любит. «Выберите все картинки со светофорами». «Введите символы с картинки». «Докажите, что вы не робот».

С одной стороны, звучит немного обидно. С другой — у сайтов есть причины задавать такие вопросы.

Почему обычному человеку приходится искать автобусы на мутных фотографиях? Почему сайт вообще сомневается, что перед ним человек? И почему иногда капча раздражает сильнее, чем очередь в поликлинике?

Давайте разбираться без сухой документации. Сначала дверь, звонок и семейный вечер. Потом — CAPTCHA, боты, защита от спама и честный UPD.

Капча — это маленькая проверка у цифровой двери.
Капча — это маленькая проверка у цифровой двери.

История про дверь и подозрительный звонок

Представьте вечер. Алиса, Илья и Арина дома. На кухне чай, печенье, на столе рисунки, в коридоре стоит коробка с письмами.

В дверь звонят.

Алиса подходит:

— Кто там?

За дверью тишина. Потом снова звонок.

Арина радостно бежит нажимать домофон:

— Открыть!

Илья мягко останавливает:

— Подожди. Сначала надо понять, кто пришёл.

Через минуту звонят ещё раз. Потом ещё. Потом сразу десять раз подряд. Похоже уже не на гостя, а на человека, который решил проверить, сколько раз в семье выдержат звук домофона.

Илья придумывает простое правило:

— Если к нам пришёл настоящий человек, он сможет ответить на простой вопрос. Например: "Что мы обычно кладём в чай: соль или сахар?"

Алиса смеётся:

— Ну это легко.

— Для человека легко, — говорит Илья. — А вот автоматическая звонилка может не понять.

Вот это и есть главная идея капчи: поставить перед входом небольшую задачу, которую обычному человеку пройти несложно, а автоматической программе — заметно труднее.

Что такое CAPTCHA

CAPTCHA — это проверка, которая помогает сайту отличить человека от автоматической программы.

Если совсем просто: CAPTCHA — это цифровой вопрос у двери: "Ты правда человек или просто программа, которая нажимает всё подряд?"

Название CAPTCHA — это английская аббревиатура. Полностью она длинная и немного канцелярская: Completely Automated Public Turing test to tell Computers and Humans Apart. По-русски смысл такой: автоматический публичный тест, который помогает отличить компьютеры от людей.

Но для обычной жизни достаточно запомнить проще:

  • сайт — это дом или сервис;
  • человек — это Алиса, которая хочет войти, оставить комментарий или оформить заказ;
  • бот — это автоматическая программа, которая может делать тысячи действий без усталости;
  • капча — это маленькая проверка перед действием.

Капча не доказывает, что человек хороший. Она не проверяет честность, воспитание и любовь к блинам. Она проверяет гораздо более узкую вещь: похоже ли действие на человеческое.

Капча пытается отделить нормальный вход от автоматического шума.
Капча пытается отделить нормальный вход от автоматического шума.

Зачем сайтам это нужно

Алиса задаёт честный вопрос:

— Илья, но я же просто хочу войти на сайт. Почему меня встречают как подозрительную личность?

— Потому что сайт видит не лицо, — отвечает Илья. — Он видит запросы.

В интернете сайт не всегда понимает, кто по ту сторону экрана. Перед ним поток действий:

  • кто-то регистрирует аккаунт;
  • кто-то отправляет комментарий;
  • кто-то пытается подобрать пароль;
  • кто-то покупает билет;
  • кто-то оставляет отзыв;
  • кто-то скачивает файл.

Обычный человек делает это медленно и с ошибками. Программа может делать то же самое быстро, дёшево и массово.

Например, бот может за ночь создать тысячи фальшивых аккаунтов. Или засыпать комментарии рекламой. Или пытаться входить в чужие аккаунты по спискам старых паролей. Или скупать билеты быстрее людей, чтобы потом перепродать.

Капча нужна не потому, что сайт не любит людей. Она нужна потому, что сайты постоянно атакуют автоматические программы.

Это как дверь в подъезд. Домофон немного раздражает жильцов, особенно когда руки заняты пакетами. Но без домофона в подъезд будут заходить все подряд.

Как выглядит капча

Капчи бывают разными. Некоторые старые, некоторые современные, некоторые почти незаметные.

Искажённые буквы и цифры

Классический вариант: на картинке написаны кривые символы, а человек должен их перепечатать.

Почему так? Раньше компьютерам было трудно распознавать текст на шумной картинке. Человек видел "A7K9", а программа путалась.

Проблема в том, что со временем программы научились распознавать такие картинки всё лучше. А люди, наоборот, начали страдать. Если символы перекручены слишком сильно, капчу не проходит уже не бот, а бабушка, Алиса и сам Автор с третьей попытки.

Картинки с объектами

Другой вариант: "выберите все изображения с автобусами", "найдите велосипеды", "отметьте светофоры".

Идея похожая: человеку легче понять смысл картинки. Он видит, что это автобус, даже если он снят сбоку, ночью и с кусочком забора. Для машины такая задача долго была сложнее.

Но и здесь технологии догоняют. Современные системы распознавания изображений умеют многое. Поэтому капча постоянно меняется.

Галочка "Я не робот"

Самая приятная капча — та, где нужно просто поставить галочку.

— И всё? — удивляется Алиса. — Разве робот не может нажать галочку?

— Может, — говорит Илья. — Но проверка не только в галочке.

Такая система смотрит на поведение: как двигалась мышка, как быстро открылась страница, были ли подозрительные признаки у браузера, похож ли посетитель на нормального пользователя или на автоматическую ферму запросов.

Галочка — видимая часть. Настоящая проверка часто происходит вокруг неё.

Иногда капча проверяет не ответ, а поведение вокруг ответа.
Иногда капча проверяет не ответ, а поведение вокруг ответа.

Невидимая капча

Есть и почти невидимые варианты. Человек просто пользуется сайтом, а система сама оценивает риск. Если всё выглядит нормально, капчу не показывают. Если поведение подозрительное, появляется дополнительная проверка.

Это как Илья у двери. Если пришёл знакомый Почтальон в форме, с обычным маршрутом и нормальным звонком, его не мучают вопросом про сахар. А если кто-то дёргает ручку десять раз за секунду, разговор становится внимательнее.

Что может пойти не так

Капча — не идеальная защита. Это не крепостная стена, а фильтр у входа.

Во-первых, она может мешать обычным людям.

Человеку с плохим зрением трудно читать искажённые буквы. Человеку с моторными особенностями трудно попадать по мелким картинкам. На старом телефоне капча может грузиться долго. В нестабильной сети она может сбрасываться. Иногда человек честно выбирает все светофоры, а сайт говорит: "Нет, попробуйте ещё раз".

В этот момент хочется закрыть страницу и уйти. И это нормальная человеческая реакция.

Во-вторых, капчу можно обходить. Не будем превращать статью в инструкцию для злоумышленников, но принцип понятен: если защита массовая, вокруг неё появляются способы автоматизации, сервисы распознавания и хитрые схемы. Поэтому капча не должна быть единственной защитой важного сервиса.

В-третьих, капча не понимает намерения. Она может пропустить человека, который пришёл спамить вручную, и задержать честную Алису, которая просто зашла с нового устройства.

Капча отвечает на вопрос "похоже ли это на человека?", а не "можно ли этому человеку доверять во всём?".

Плохая капча защищает сайт, но наказывает обычных людей.
Плохая капча защищает сайт, но наказывает обычных людей.

Где мы встречаем капчу в жизни

Капча чаще всего появляется там, где одно действие может стать массовой проблемой.

Регистрация

Если дать ботам свободно создавать аккаунты, сервис быстро наполнится мусором: фальшивыми пользователями, рекламой, накрутками и подозрительной активностью.

Капча на регистрации — это как вопрос у входа в кружок:

— Ты правда пришёл заниматься или просто записываешь всех подряд?

Комментарии и формы обратной связи

Без защиты формы быстро превращаются в мусорный ящик. Боты отправляют рекламу, ссылки, одинаковые сообщения и странные предложения, которые приличный Почтальон постеснялся бы доставлять.

Капча здесь работает как простой фильтр: перед тем как бросить письмо в ящик, докажи, что ты не автоматическая печатная машинка.

Вход в аккаунт

Если кто-то пытается много раз вводить пароли, сайт может показать капчу. Это не заменяет хороший пароль и многофакторную аутентификацию, но замедляет массовые попытки.

Илья объясняет Алисе:

— Если один человек ошибся два раза, это бывает. Если кто-то ошибся тысячу раз за минуту, это уже не забывчивость.

Покупка билетов и товаров

Иногда боты скупают билеты, редкие товары или места на мероприятие быстрее обычных людей. Капча помогает хотя бы немного выровнять очередь.

Это как магазин, где продавец просит каждого покупателя подойти к кассе лично, а не присылать сто одинаковых тележек на колёсиках.

Как относиться к капче обычному человеку

Если вы видите капчу, это не значит, что сайт считает вас плохим. Чаще всего сайт просто защищает форму, вход или покупку от массовых автоматических действий.

Иногда капча становится странной именно из-за постоянной гонки. Разработчики защиты придумывают тесты, разработчики ботов ищут обходы, защита усложняется, потом боты снова становятся умнее. Хорошая капча должна быть почти незаметной для честного человека и трудной для массового злоупотребления. Это легко сказать и трудно сделать.

Что можно сделать, если капча не проходит:

  1. Обновить страницу и попробовать ещё раз.
  2. Проверить, не включён ли слишком агрессивный блокировщик скриптов.
  3. Попробовать другой браузер или сеть, если сайт важный.
  4. Использовать аудио-вариант, если текст или картинки плохо читаются.
  5. Не вводить капчу на подозрительных сайтах, которые одновременно просят лишние данные.

Последний пункт важный. Сама по себе капча не делает сайт безопасным. Если страница обещает подарок, требует номер карты "для проверки" и ещё просит пройти капчу, капча не превращает это в честный магазин.

Почтальон может быть в красивой форме, но Алиса всё равно смотрит, откуда письмо и что внутри.

Мифы

Миф 1: "Капча полностью защищает сайт"

На самом деле капча только усложняет массовую автоматизацию. Нормальная защита включает ещё ограничения по скорости, проверку входов, антиспам-фильтры, мониторинг, подтверждение почты или телефона и другие меры.

Миф 2: "Если я вижу капчу, значит сайт опасный"

На самом деле капча часто стоит на обычных сайтах: в магазинах, почте, комментариях, формах регистрации. Это скорее признак того, что сервис сталкивается с ботами.

Миф 3: "Роботы вообще не могут пройти капчу"

На самом деле могут. Чем популярнее вид капчи, тем больше попыток его обойти. Поэтому капча — не абсолютная стена, а часть общей защиты.

Миф 4: "Галочка 'Я не робот' просто проверяет честность"

На самом деле галочка — только видимый элемент. Система может оценивать поведение браузера, скорость действий, подозрительные признаки и историю взаимодействия.

Миф 5: "Капча нужна только от спама"

На самом деле она помогает не только против спама. Её используют против массовых регистраций, перебора паролей, накруток, скупки билетов и автоматического заполнения форм.

Итог

Капча — это маленький сторож у цифровой двери.

Она не знает, хороший вы человек или плохой. Она не заменяет замок, сигнализацию и внимательного Илью. Но она задаёт простой вопрос: "Похоже ли, что передо мной живой пользователь, а не программа, которая пришла нажимать всё подряд?"

Алиса теперь понимает, почему иногда приходится искать светофоры. Илья напоминает, что защита должна быть удобной для людей. Арина всё равно хочет нажать все картинки сразу, но это уже отдельная тема про пользовательские интерфейсы.

Главная мысль простая: капча существует не для того, чтобы мучить читателя. Она появилась потому, что в интернете одно действие легко превратить в миллион одинаковых действий. А миллион одинаковых действий, дорогой читатель, уже совсем другая история.

Хорошая капча защищает вход, но не должна мешать нормальной жизни.
Хорошая капча защищает вход, но не должна мешать нормальной жизни.

UPD

Для тех, кто хочет чуть глубже:

  • Бот — программа, которая выполняет действия автоматически. Боты бывают полезными, например поисковые роботы, и вредными, например спам-боты.
  • OCR — распознавание текста на изображении. Именно развитие OCR сделало старые капчи с буквами менее надёжными.
  • reCAPTCHA, hCaptcha и аналоги — конкретные сервисы капчи. Они отличаются подходом, приватностью, настройками и тем, как оценивают риск.
  • Risk score — оценка риска. Некоторые системы не спрашивают пользователя напрямую, а выдают сайту число: насколько действие похоже на нормальное.
  • Rate limiting — ограничение скорости. Например, не давать одному адресу отправлять тысячу форм за минуту. Часто работает вместе с капчей.
  • Accessibility — доступность для людей с разными возможностями. Хорошая капча должна иметь альтернативы: аудио, понятные инструкции, крупные элементы и разумное число попыток.

Автор многое упростил. В реальности современные антибот-системы смотрят на десятки сигналов, а злоумышленники постоянно ищут обходы. Но для базового понимания достаточно помнить образ двери: капча — не весь домофон и не весь замок, а маленькая проверка перед входом.