Od 26 kwietnia 2014 roku zostaliśmy przez Aero2 zmuszeni do radzenia sobie z trudniejszymi kodami. Co prawda operator zrzuca winę na nas, jako użytkowników usługi bezpłatnej, jednak powinien był przewidzieć tego typu problemy. Ponieważ na razie niewiele się zmienia w tej kwestii (czekamy na reakcję UKE, minęło już kilka dni i nic się nie zmienia), czas sprawdzić, co ułatwić nam może korzystanie z Aero2 zwłaszcza, że zaczęła się majówka i ani Urząd, ani Operator raczej nam w tym czasie nijak nie pomogą.

Przeanalizowałem sposoby opisywane przez użytkowników Aero2 i przygotowałem metodę (a właściwie procedurę) sugerowaną pośrednio przez operatora uzupełnioną o wyniki moich eksperymentów oraz uwagi od faktycznych użytkowników. Dzięki kilku prostym czynnościom możemy sobie poradzić z nieczytelnymi kodami.

Zapraszam do lektury.

Z czym walczymy – nieczytelne kody

W tej chwili serwery firmy Google realizujące kdy reCAPTCHA bronią się przed rzekomym atakiem ze strony Aero2 poprzez wyświetlanie trudniejszych kodów CAPTCHA. Różnica jest znacząca:

Łatwy i trudny kod reCAPTCHA

Od razu widać, że pierwszy kod jest celowo utrudniony tak, aby nawet człowiek musiał zastanowić się dużo dłużej, a następnie przemyślał swoją postawę, zanim znowu zmusi systemy reCAPTCHA do wykrycia ponownego rzekomego ataku na system. Drugi kod też nie należy do najłatwiejszych, ale już działa tak, jak to normalnie zaleca serwis reCAPTCHA: jeden wyraz sprawdza nas, czy jesteśmy ludźmi (w tym wypadku ten po lewej), a drugi to standardowa procedura rozpoznawania tekstów z książek (ew. pojawi się zdjęcie z numerem i liczba do przepisania, choć to rzadziej).

Jak to działa

Skąd usługa Google wie, że jesteśmy dobrym, albo złym użytkownikiem Internetu, który chce zaatakować ich serwery? Na to składa się wiele czynników. Podstawowe zebrałem w krótkiej liście.

1. Strona internetowa i konto administracyjne w usłudze Google założone na potrzeby reCAPTCHA.
   Aero2 ma założone konto w serwisie Google, przez które realizowana jest usługa. Jeżeli serwery zauważa podejrzany ruch związany z tym kontem, oznacza go odpowiednio i w związku z tym może podjąć działania zaradcze takie, jak trudniejsze kody dla wszystkich użytkowników korzystających z tej strony i autoryzujących się przez to konto.
2. Adres IP, z którego przychodzą do serwerów Google próby rozwiązania CAPTCHA.
   Nie wiemy, jak dokładnie odbywa się komunikacja z serwerami Google, jednak możemy założyć, że firma Google widzi wszystkie nasze próby skorzystania z reCAPTCHA jako przychodzące zawsze z jednego lub kilku adresów IP (technicznie: w trybie wpisywania kapcia jesteśmy w sieci tzw. lokalnej – pula adresów 10.x.x.x i nie widzę powodu, dla którego funkcja NAT łącząca nas wtedy z Internetem wykorzystywałaby więcej, niż 1, najwyżej kilka bramek – zewnętrznych adresów IP do komunikacji z reCAPTCHA). I właśnie ta mała pula adresów została oznaczona prze firmę Google jako źródło nieustającego ataku na ich serwery.
3. Stosunek liczby prawidłowych do nieprawidłowych odczytań kodu.
   To statystyczny system analizujący, czy reCAPTCHA jest atakowana przez jakieś automaty. Im więcej nieprawidłowych rozpoznań kodu, tym bardziej serwery Google uznają konto z punktu 1 i adresy IP z punktu 2 jako źródło domniemanego ataku.
4. Zachowanie w obrębie sesji z danym użytkownikiem.
   Serwery Google analizują zachowanie w ramach konkretnej sesji wpisywania kodu bądź kodów. Zachowania poprawne mogą być nagradzane np. przez prezentację łatwiejszych kodów, a nieprawidłowe – przez trzymanie się trudniejszych. Z pewnością za niewłaściwe zachowania uznawane jest nieprawidłowe odczytanie kodu oraz odświeżenie całej strony. Natomiast za poprawne uznawane jest rozwiązanie kodu , a także jego odświeżenie przyciskiem Odśwież kod (niebieskie strzałki), jeżeli kod okazał się nieczytelny.
5. Identyfikacja konkretnego użytkownika.
   Jeżeli jest to możliwe, serwery Google starają się zidentyfikować użytkownika usługi. Służą do tego między innymi ciasteczka google.com o nazwach SID i HSID (przechodzą one do firmy Google nawet przy połączeniu blokowanym przez Aero2 w trybie kapcia), w których zawarta jest informacja o tym, czy i kiedy ostatnio logowaliśmy się do usług firmy Google. Jeżeli rozpoznani zostaniemy jako faktyczni i prawdziwi użytkownicy usług Google, na których nie ciąży podejrzenie o nadużycia wobec usług tej firmy – także możemy zostać nagrodzeni za to łatwiejszym kodem.
6. Przeglądarka internetowa.
   Google, można powiedzieć, że preferuje niektóre przeglądarki. Z pewnością Google Chrome tutaj dostaje więcej pozytywnych punktów, niż inne. Podobnie jest w przypadku systemów mobilnych – systemowa przeglądarka oparta na Google Chrome (zwykle o nazwie Internet) lub właściwy Chrome także dostają dodatkowe punkty zwłaszcza, że przesyłają do systemów Google informację o tym, jaki użytkownik korzysta z telefonu (zwykle Android jest powiązany z jakimś faktycznym kontem Google w celu korzystania np. ze sklepu z aplikacjami Play).

Wnioski nasuwają się same: wpisujmy poprawnie kody, w przypadku niepewności używajmy guzika odśwież kod (nie odświeżajmy całej strony przyciskiem przeglądarki lub kombinacją klawiszy Ctrl-R lub F5), logujmy się do usług Google. To samo dotyczy komputerów, jak i smartfonów i tabletów.

Konto Google

Od razu pojawia się pytanie – jak założyć konto w serwisach Google. Jeżeli korzystamy już z Gmail lub podobnych usług firmy Google – mamy już konto i po prostu nie wylogowujmy się z nich po zakończeniu korzystania z sieci. Jeżeli konta jeszcze nie mamy- warto je założyć choćby z powodu kodów w Aero2. Można to zrobić na specjalnej stronie firmy Google - strona jest po Polsku i prowadzi krok po kroku przez całą procedurę. Oczywiście bez dostępu do Internetu nic nie zrobimy – najpierw musimy mieć jakieś połączenie z Internetem.

Pamiętajmy, aby na koniec się zalogować i nie wylogowywać się bez potrzeby – usługi Google na szczęście zwykle mają głęboko pochowany przycisk wylogowania.

Jeżeli obawiamy się o prywatność, możemy zalogować się tylko w jednej przeglądarce internetowej, którą przeznaczymy sobie do obsługi kodów CAPTCHA – np. Google Chrome, albo nawet Internet Explorer, jeżeli mamy odpowiednio nową wersję (w starszych mogą być problemy z działaniem strony wpisywania kapcia).

Procedura postępowania – sposób na łatwiejsze kody

W świetle powyższych wyjaśnień proponuję następującą procedurę korzystania ze strony do wpisywania kodów CAPTCHA.

1. Bądźmy zawsze zalogowani do konta Google (np. w wybranej przeglądarce internetowej w systemie).
2. Korzystajmy z przeglądarki lubianej przez Google, np. Google Chrome – przy wpisywaniu kodów.
3. Gdy pojawi się żądanie wprowadzenia kodu i pojawi się nieczytelny kapeć, kliknijmy przycisk Odśwież kod . Zwykle wtedy pojawi się prostszy do wpisania kod.

Zwykle pierwsze wyświetlenie ramki Aero2 będzie zawierało trudniejszy kod, a po naciśnięciu przycisku odświeżania kodu – otrzymamy prostszy do odczytania kod. Jeżeli zrobimy odświeżenie całej strony – znowu otrzymamy trudniejszy kod.

Czego unikać podczas wpisywania kodów:

• Nie odświeżajmy całej strony wpisywania kodu.
• Jeżeli mamy wątpliwość, nie wpisujmy czegokolwiek w pole sprawdzania kodu.
• Jeżeli mamy wątpliwość, nie naciskajmy przycisku Sprawdź.
• Jeżeli chcemy wyświetlić kolejny kod – stosujmy przycisk Odśwież kod (dwie niebieskie strzałki).
• Pamiętajmy o oddzieleniu wyrazów spacją i kolejności ich wpisywania.
• Nie kasujmy plików cookie (tzw. ciasteczek) i nie wylogowujmy się z konta Google.

Dzięki temu prawie zawsze po odświeżeniu kodu będziemy mieli do dyspozycji łatwiejszy kapeć do wpisania, czego wszystkim życzę. Oczywiście bardziej życzę likwidacji kodów lub zmiany systemu ich generowania, jednak na razie takiej możliwości nie ma i radzimy sobie z tym, co mamy.

Bardzo proszę o sprawdzenie opisanej metody i komentarze, czy ta procedura ułatwia korzystanie z Aero2 BDI.

1. Aero2 i CAPTCHA – znowu nieczytelne kody
2. Aero2 i CAPTCHA – sytuacja się poprawia, kody wyraźniejsze
3. Aero2 i CAPTCHA – trudne kody to efekt ataku?
4. Aero2 zmienia kody CAPTCHA na prostsze
5. Aero2 i CAPTCHA – były trudniejsze kody