security - 此复选框验证码如何工作以及如何使用它？

Question

我最近注册了 oneplusone 网站 https://account.oneplus.net/sign-up ，并注意到这个复选框验证码

它是如何工作的，以及如何在我的网站上使用它？比那些神秘的单词/数字好多了:)

recaptcha 网站没有提到任何新的 recaptcha 方法... https://www.google.com/recaptcha/intro/index.html

Answer 1

此条目没有回答原始问题，但它有助于实现类似的解决方案。 正如@IanM所说，复选框 recaptcha 处于测试阶段，无法使用无需邀请。

重要编辑Google 推出了新的 reCAPTCHA

• Google Online Security blog: Are you a robot? Introducing “No CAPTCHA reCAPTCHA”
• Google reCAPTCHA: Introducing the new reCAPTCHA!

这是一个基于 JavaScript 的验证码。

由于大多数垃圾邮件机器人不执行 JavaScript，并且无法识别显示文本与 DOM 或所需操作之间的相关性，因此它们无法单击该复选框。

请注意，根本没有复选框，它只是一个带有一些 CSS 样式的 div 元素。垃圾邮件机器人正在尝试填写表单输入元素，但验证码中没有输入。复选标记只是另一个 div(css 类)。

当您单击该框时，ajax 请求会通知服务器该 div 已被单击，并且服务器将此信息存储在临时存储中(标记 token :此 token 已由人类激活)。当您提交表单时，隐藏字段会发送已激活的 token ，然后当服务器验证表单信息时，它将识别出该 token 已被激活。如果 token 未激活，表单将失效。

要点中的步骤:

• 生成唯一标识符并将其添加到具有隐藏输入的表单
• 在网站上呈现一个复选框(不使用 <input> 元素，可能使用 <div> )并向其添加之前生成的标识符(您可以使用 html5 data-* 属性)
• 当用户点击复选框时，向服务器发送ajax请求并验证验证码，如果有效则将其标记为 in use 。 (向用户显示结果 - 标识符正常/不正常)
• 当用户发送表单时，表单的数据包含标识符。再检查一次，它应该存在，并且应该在 in use 中。状态。
• 如果所有验证均通过，则表单数据即可使用/处理

您可以将标识符绑定(bind)到用户的 session 、IP 地址，和/或可以使用时间限制来提高安全性。

注意这种验证码仅在启用 JavaScript 时有效!

注意(编辑1)正如@crazypotato所说，有一些自动化工具可以执行JavaScript，这些工具还能够发送正确的AJAX请求并触发复选框div上的Click事件.

注意(编辑 2)请注意，专门为某个站点编写的脚本或用于破解一种类型的验证码的脚本迟早会被通过。没有终极保护，你只能让机器人(或其开发者)更加努力地工作。

注意(编辑3)此答案中的步骤和描述仅包含有关此类验证码的一些基本信息，您始终必须添加额外的验证和安全步骤以使其更安全。例如，Google noCaptcha 在 3 次“div 点击”后系统地触发标准 reCaptcha。