Aero2 i CAPTCHA – sposób na nieczytelne kody
Od 26 kwietnia 2014 roku zostaliśmy przez Aero2 zmuszeni do radzenia sobie z trudniejszymi kodami. Co prawda operator zrzuca winę na nas, jako użytkowników usługi bezpłatnej, jednak powinien był przewidzieć tego typu problemy. Ponieważ na razie niewiele się zmienia w tej kwestii (czekamy na reakcję UKE, minęło już kilka dni i nic się nie zmienia), czas sprawdzić, co ułatwić nam może korzystanie z Aero2 zwłaszcza, że zaczęła się majówka i ani Urząd, ani Operator raczej nam w tym czasie nijak nie pomogą.
Przeanalizowałem sposoby opisywane przez użytkowników Aero2 i przygotowałem metodę (a właściwie procedurę) sugerowaną pośrednio przez operatora uzupełnioną o wyniki moich eksperymentów oraz uwagi od faktycznych użytkowników. Dzięki kilku prostym czynnościom możemy sobie poradzić z nieczytelnymi kodami.
Zapraszam do lektury.
Z czym walczymy – nieczytelne kody
W tej chwili serwery firmy Google realizujące kdy reCAPTCHA bronią się przed rzekomym atakiem ze strony Aero2 poprzez wyświetlanie trudniejszych kodów CAPTCHA. Różnica jest znacząca:
Od razu widać, że pierwszy kod jest celowo utrudniony tak, aby nawet człowiek musiał zastanowić się dużo dłużej, a następnie przemyślał swoją postawę, zanim znowu zmusi systemy reCAPTCHA do wykrycia ponownego rzekomego ataku na system. Drugi kod też nie należy do najłatwiejszych, ale już działa tak, jak to normalnie zaleca serwis reCAPTCHA: jeden wyraz sprawdza nas, czy jesteśmy ludźmi (w tym wypadku ten po lewej), a drugi to standardowa procedura rozpoznawania tekstów z książek (ew. pojawi się zdjęcie z numerem i liczba do przepisania, choć to rzadziej).
Jak to działa
Skąd usługa Google wie, że jesteśmy dobrym, albo złym użytkownikiem Internetu, który chce zaatakować ich serwery? Na to składa się wiele czynników. Podstawowe zebrałem w krótkiej liście.
- Strona internetowa i konto administracyjne w usłudze Google założone na potrzeby reCAPTCHA.
Aero2 ma założone konto w serwisie Google, przez które realizowana jest usługa. Jeżeli serwery zauważa podejrzany ruch związany z tym kontem, oznacza go odpowiednio i w związku z tym może podjąć działania zaradcze takie, jak trudniejsze kody dla wszystkich użytkowników korzystających z tej strony i autoryzujących się przez to konto. - Adres IP, z którego przychodzą do serwerów Google próby rozwiązania CAPTCHA.
Nie wiemy, jak dokładnie odbywa się komunikacja z serwerami Google, jednak możemy założyć, że firma Google widzi wszystkie nasze próby skorzystania z reCAPTCHA jako przychodzące zawsze z jednego lub kilku adresów IP (technicznie: w trybie wpisywania kapcia jesteśmy w sieci tzw. lokalnej – pula adresów 10.x.x.x i nie widzę powodu, dla którego funkcja NAT łącząca nas wtedy z Internetem wykorzystywałaby więcej, niż 1, najwyżej kilka bramek – zewnętrznych adresów IP do komunikacji z reCAPTCHA). I właśnie ta mała pula adresów została oznaczona prze firmę Google jako źródło nieustającego ataku na ich serwery. - Stosunek liczby prawidłowych do nieprawidłowych odczytań kodu.
To statystyczny system analizujący, czy reCAPTCHA jest atakowana przez jakieś automaty. Im więcej nieprawidłowych rozpoznań kodu, tym bardziej serwery Google uznają konto z punktu 1 i adresy IP z punktu 2 jako źródło domniemanego ataku. - Zachowanie w obrębie sesji z danym użytkownikiem.
Serwery Google analizują zachowanie w ramach konkretnej sesji wpisywania kodu bądź kodów. Zachowania poprawne mogą być nagradzane np. przez prezentację łatwiejszych kodów, a nieprawidłowe – przez trzymanie się trudniejszych. Z pewnością za niewłaściwe zachowania uznawane jest nieprawidłowe odczytanie kodu oraz odświeżenie całej strony. Natomiast za poprawne uznawane jest rozwiązanie kodu , a także jego odświeżenie przyciskiem Odśwież kod (niebieskie strzałki), jeżeli kod okazał się nieczytelny. - Identyfikacja konkretnego użytkownika.
Jeżeli jest to możliwe, serwery Google starają się zidentyfikować użytkownika usługi. Służą do tego między innymi ciasteczka google.com o nazwach SID i HSID (przechodzą one do firmy Google nawet przy połączeniu blokowanym przez Aero2 w trybie kapcia), w których zawarta jest informacja o tym, czy i kiedy ostatnio logowaliśmy się do usług firmy Google. Jeżeli rozpoznani zostaniemy jako faktyczni i prawdziwi użytkownicy usług Google, na których nie ciąży podejrzenie o nadużycia wobec usług tej firmy – także możemy zostać nagrodzeni za to łatwiejszym kodem. - Przeglądarka internetowa.
Google, można powiedzieć, że preferuje niektóre przeglądarki. Z pewnością Google Chrome tutaj dostaje więcej pozytywnych punktów, niż inne. Podobnie jest w przypadku systemów mobilnych – systemowa przeglądarka oparta na Google Chrome (zwykle o nazwie Internet) lub właściwy Chrome także dostają dodatkowe punkty zwłaszcza, że przesyłają do systemów Google informację o tym, jaki użytkownik korzysta z telefonu (zwykle Android jest powiązany z jakimś faktycznym kontem Google w celu korzystania np. ze sklepu z aplikacjami Play).
Wnioski nasuwają się same: wpisujmy poprawnie kody, w przypadku niepewności używajmy guzika odśwież kod (nie odświeżajmy całej strony przyciskiem przeglądarki lub kombinacją klawiszy Ctrl-R lub F5), logujmy się do usług Google. To samo dotyczy komputerów, jak i smartfonów i tabletów.
Konto Google
Od razu pojawia się pytanie – jak założyć konto w serwisach Google. Jeżeli korzystamy już z Gmail lub podobnych usług firmy Google – mamy już konto i po prostu nie wylogowujmy się z nich po zakończeniu korzystania z sieci. Jeżeli konta jeszcze nie mamy- warto je założyć choćby z powodu kodów w Aero2. Można to zrobić na specjalnej stronie firmy Google - strona jest po Polsku i prowadzi krok po kroku przez całą procedurę. Oczywiście bez dostępu do Internetu nic nie zrobimy – najpierw musimy mieć jakieś połączenie z Internetem.
Pamiętajmy, aby na koniec się zalogować i nie wylogowywać się bez potrzeby – usługi Google na szczęście zwykle mają głęboko pochowany przycisk wylogowania.
Jeżeli obawiamy się o prywatność, możemy zalogować się tylko w jednej przeglądarce internetowej, którą przeznaczymy sobie do obsługi kodów CAPTCHA – np. Google Chrome, albo nawet Internet Explorer, jeżeli mamy odpowiednio nową wersję (w starszych mogą być problemy z działaniem strony wpisywania kapcia).
Procedura postępowania – sposób na łatwiejsze kody
W świetle powyższych wyjaśnień proponuję następującą procedurę korzystania ze strony do wpisywania kodów CAPTCHA.
- Bądźmy zawsze zalogowani do konta Google (np. w wybranej przeglądarce internetowej w systemie).
- Korzystajmy z przeglądarki lubianej przez Google, np. Google Chrome – przy wpisywaniu kodów.
- Gdy pojawi się żądanie wprowadzenia kodu i pojawi się nieczytelny kapeć, kliknijmy przycisk Odśwież kod . Zwykle wtedy pojawi się prostszy do wpisania kod.
Zwykle pierwsze wyświetlenie ramki Aero2 będzie zawierało trudniejszy kod, a po naciśnięciu przycisku odświeżania kodu – otrzymamy prostszy do odczytania kod. Jeżeli zrobimy odświeżenie całej strony – znowu otrzymamy trudniejszy kod.
Czego unikać podczas wpisywania kodów:
- Nie odświeżajmy całej strony wpisywania kodu.
- Jeżeli mamy wątpliwość, nie wpisujmy czegokolwiek w pole sprawdzania kodu.
- Jeżeli mamy wątpliwość, nie naciskajmy przycisku Sprawdź.
- Jeżeli chcemy wyświetlić kolejny kod – stosujmy przycisk Odśwież kod (dwie niebieskie strzałki).
- Pamiętajmy o oddzieleniu wyrazów spacją i kolejności ich wpisywania.
- Nie kasujmy plików cookie (tzw. ciasteczek) i nie wylogowujmy się z konta Google.
Dzięki temu prawie zawsze po odświeżeniu kodu będziemy mieli do dyspozycji łatwiejszy kapeć do wpisania, czego wszystkim życzę. Oczywiście bardziej życzę likwidacji kodów lub zmiany systemu ich generowania, jednak na razie takiej możliwości nie ma i radzimy sobie z tym, co mamy.
Bardzo proszę o sprawdzenie opisanej metody i komentarze, czy ta procedura ułatwia korzystanie z Aero2 BDI.
Odnośnie pkt. 2 – rozwiązując kapcia wysyłamy go na adres strony bramki aero2: bdi.free.aero2.net.pl:8080, po czym rozwiązanie wysłane jest z serwera/ów będących w adresacji firmy aero2. W związku z powyższym google stosuje reakcję obronną na ruch generowany przez serwery aero2.
Jeśli chodzi o dostęp do bardziej czytelnych kodów (tych z przed "ataków"), mam pewną teorię, którą wypróbuje jutro i jeśli się sprawdzi to zaimplementuje ją w moim Programiku http://chomikuj.pl/sebus1201/aero3
Możesz coś wiecej npisać o tym programie ?
Nie, niestety nie tak to się dzieje. W trybie kapcia cały czas bezpośrednio komunikujemy się z serwerami google w domenie google.com. Serwer transparent proxy izoluje nas jednak od wszystkich innych usług poza tymi niezbędnymi do obsługi recaptcha.
a dałoby radę zrobić wersję takiego programiku dla modemu 3g z wbudowanym routerem wifi ?
Zgodnie z obietnicą dzielę się spostrzeżeniami z mojej "teorii", dzięki której możliwy jest dostęp do "przyjaźniejszych" obrazków, bez posiadania konta google, ale do rzeczy: programik z linku powyżej, przerobiłem tak, aby pobierał obrazki (1 szt. co 2 min.) podczas normalnego dostępu do internetu – tzn. adres IP komputera jest z puli normalnie dostępnej dla BDI.
Wtedy okazuje się, że obrazki nie są naznaczone "krowimi plackami", a programik zapamiętuje linki do w/w obrazków. Gdy wystąpi żądanie rozwiązania kapcia (ładuje się obrazek z "plackiem" – trudny), wtedy klikam z listy dostępnych obrazków ten który mi pasuje, przepisuje jeden wyraz, wysyłam i… działa.
Dwie uwagi:
a) obrazki prawdopodobnie mają czas życia 30min., stąd pobieranie co 2 min. – bo nigdy nie wiadomo kiedy nastąpi żądanie kapcia i jest zawsze z czego wybierać ,
b) okazuje się, że w trybie nazwijmy to "odświeżania obrazka" – to samo co używanie strzałek "odśwież", po około 100 odświeżeniach następuje znana już reakcja obronna google w postaci "trudnych" obrazków z kleksem, dla konkretnego adresu IP z puli BDI (właśnie jeden taki naznaczyłem, ciekawe czy to jest permanentne ?).
Programik jeszcze nie jest udostępniony z tą funkcjonalnością, bo występują pewne błędy, które poprawię w poniedziałek – źródła mam w robocie. Błąd polega na tym, że trzeba ręcznie z okienka logów programiku przekopiować link obrazka do przeglądarki i wtedy przepisać.
Jeszcze jedno: mając taki obrazek (i soft/skrypt który to obsłuży ), jesteśmy ok. 30min. do przodu przed aero2 – teoretycznie można go wysłać e-mailem/udostępnić/itp. wraz z rozwiązaniem innym urządzeniom /osobą. Jedynie co, nie mam na razie jak sprawdzić czy ten sam obrazek mógłby odblokować w tym samym czasie kilka kart aero2
Pzdr.
Nie korzystam z chrome i nie mam żadnego konta google ( korzystam z firefoxa ),a mimo to nieczytelne kody mam już w standardzie (
Coś zakręciłeś – nie korzystasz z opisanej procedury, więc masz nieczytelne kody.
Solorz nie lubi biednych?
U mnie zawsze kleksy i gdy korzystam z firefoksa i nie jestem zalogowany do konta googla jak i w tedy gdy korzystam z chroma z zalogowaniem
Po odświeżeniu przyciskiem "Odśwież kod' także?
Tak. Odświeżałem kilkakrotnie i zawsze dostawałem z kleksami. Może dodam, że korzystam nie z chome a z chromium – nie wiem czy może to mieć znaczenie.
Dziś trafiłem na takiego kapcia – niby prosty a jednak mnie zaskoczył http://www.fotosik.pl/pokaz_obrazek/pelny/0f85279…
Coś takiego! Działa
Bogu dzięki, że istnieje p.Jakub!
Aero2 traktuje nas jak pariasów, bo "daje za darmo".
Ciekawe tylko, Że UKE nie reaguje.
Ale po odejściu poprzedniej szefowej, tam tylko marazm i rutyna.
Nie wychylają się!
Czekają do wyborów, bo wówczas może okazać się ze trzeba szukac nowej roboty! Może właśnie w AERO2!!!
Faktycznie, w przeglądarce chrome gdzie jestem wylogowany z usług google+ i gmail, kody które odświeżam cały czas są nie do odczytania, i cudem czasem się udaje wpisać poprawnie, ale wystarczy że jestem zalogowany do google+ i do gmail, i pierwszy kod pojawia się nieczytelny, ale przy odświeżeniu zaraz jest łatwy do odczytania, także to działa.
u mnie bez różnicy,czy jestem zalogowany czy nie…
Jest dokladnie jak poradniku. To dziala, ale i tak nie wpisujcie obu slow, tylko to pokrecone. Niech gogiel nie ma z tego rekapcia zadnego pozytku.
mam telefon htc desire c, czego może brakować że wogóle nie wyświetlają się strzałeczki do odświerzania kodu? przegladarka systemowa, java właczona, flash włączony
A wszystko inne jest? Ikonka pomocy ze znakiem zapytania także?
wszystko inne jest, ikonka pomocy nie pamietam, chyba tez nie ma, teraz nie moge sprawdzić bo nie wyskakuje captcha
Tak sobie zmyśle, skoro nasze zapytania ,skargi itp kierowane do UKE i podobnych pozostają spławiane czy nie wystosować zapytań w trybie informacji publicznej ? Wiem że na takie zapytania UKE odpowiada, bywa różnie nieraz 'zbywczo' nieraz dokładnie . Nawet na pierwszą odpowiedź zbywczą ponownie zapytanie ze wskazaniem uprawnień wynikających z ustawy UKE udzieliło odpowiedzi rzeczowej.
przykład
"Dane publikowane o pozwoleniach …… przez Prezesa Urzędu Komunikacji Elektronicznej budzą wątpliwości, co do ich wiarygodności oraz kompletności. Jak wynika z informacji publicznej uzyskanej przez nas na proste pytanie, kiedy zostanie opublikowany kompletny wykaz …. Prezes UKE Magdalena Gaj nie jest w stanie odpowiedzieć."
Ale na sprecyzowane pytanie już udzieliła odpowiedzi dokładnej.
Może tą drogą ? W końcu ustawa o informacji publicznej daje nam prawo zaskarżenia zgodnie z "jej" treścią