是什么触发了 Google 的 reCAPTCHA

信息安全 谷歌 验证码
2021-08-25 17:29:40

我注意到 Google 的“我不是机器人”reCAPTCHA 迫使我检查计算机上的正确图像。我安装了一个虚拟机并在那里尝试。一样。使用代理。同样的事情。然后我使用了同一网络中的另一台计算机(相同的公共 IP),但是这次 reCAPTCHA 并没有强迫我解决它。当我单击它时,它只会自我检查。

非常好奇的行为。我重复了几次这个过程,中间有几天,有些计算机永远不需要解决 reCAPTCHA,而代理后面的其他计算机(包括全新的虚拟机)则需要。我什至在全新的虚拟机中尝试了新的浏览器。我在家庭网络上,而不是企业网络上。我很困惑是什么触发了 reCAPTCHA 认为即使在代理后面使用新虚拟机时它也需要仔细检查我?

在不可疑的计算机上,我可以删除所有 cookie、历史记录和缓存,访问网站,reCAPTCHA 让我毫无顾虑地离开。所以它不能仅仅基于我过去的活动。另一方面,如果我确实解决了 reCAPTCHA 并在网站上注册了一个帐户,那么该网站将缺少注册用户的所有功能。

此外,当我看到验证码时,即使是在全新的虚拟机上,注册用户的功能也是有限的。这导致人们认为 reCAPTCHA 会将其对特定用户的看法信息发送给网站所有者。这是记录在案的行为吗?

2个回答

谷歌试图弄清楚你是否是机器人。如果有疑问,它会为您提供验证码进行检查。究竟如何做到这一点是谷歌秘诀的一部分,我认为他们不会告诉你。但这里有一些我猜它们混合在一起的成分:

  • 你的 IP:它已经被识别为机器人了吗?它是 Tor 出口节点吗?
  • 您加载的资源:一个简单的机器人不会加载样式或图像,因为它不需要它们。这是一个表明某人不是人类的迹象(或者,正如 JDługosz 在评论中指出的那样,是盲人)。
  • 登录:您是否登录了 Google 帐户?该帐户是否似乎属于一个真实的人?
  • 你的行为:一个人向下滚动页面,移动鼠标,在按下鼠标按钮和释放它之间需要一些时间。人类不会每次都单击复选框的死点。所有这些都可以被一个好的机器人模仿,但这并不容易。
  • 你的历史:谷歌知道你的很多浏览历史。漫游器通常没有浏览历史记录。

弄清楚为什么有时需要解决 CAPTCHA 问题而不是其他问题,并不容易。我可以想象一个新的虚拟机有一个浏览器指纹——安装的字体、插件等——这很常见,因此足以让谷歌标记你的验证码。如果您在代理背后,也许其他人也将其用于非法活动。

清理 cookie 时没有得到验证码,这令人惊讶。我不明白为什么——那么谷歌对你知之甚少,应该假设你需要一个验证码来保证安全。也许他们做了一些高级浏览器指纹识别,所以他们仍然知道你是谁?

请注意,所有这些都是猜测。如果您想了解更多信息,请查看新的 Google reCAPTCHA 是如何工作的?.

我在某处读到 reCAPTCHA 使用鼠标的移动(仅在其区域内)来确定您是否是机器人。试试这个

  • 使用计算机上的鼠标键(如果是 Windows,请使用 Left-Alt + Left-Shift + NumLock)将鼠标直接向上移动。

这应该会触发图像选择测试。

其它你可能感兴趣的问题
上一篇如何安全地检查用户名是否存在? 下一篇揭秘 Web 身份验证(无状态会话 Cookie)