即使对于两个不正确的单词，reCAPTCHA 也可以验证为有效

Posted 2023-04-17

【中文标题】即使对于两个不正确的单词，reCAPTCHA 也可以验证为有效

【英文标题】：reCAPTCHA authenticates as valid even for two incorrect words

【发布时间】：2011-08-12 05:56:12

【问题描述】：

只是为了说明我的问题的背景，我正在使用Vanilla Forums 作为我运行的网站。 Vanilla Forums 内置支持使用 reCAPTCHA 来验证网站上的新注册，我已启用该功能。然而，最近在我的论坛上，我看到垃圾邮件注册量激增（明显的“垃圾邮件”用户名、使用相同的电子邮件地址等）

我对此进行了调查，试图了解垃圾邮件机器人如何通过 reCAPTCHA 验证。我知道在 reCAPTCHA 中，one of the words is known by the system and the other isn't，所以it is possible that a form submit might validate even if one incorrect word is entered。

因此，我通过输入无效的 reCAPTCHA 输入在我的网站上的注册表单上尝试了几件事。我发现...

如果每个单词输入的字符数正确 为 BOTH 字词输入的答案响应输入正确，但一个字符除外

...不会引发 reCAPTCHA 错误。

我也不认为这个问题是原版论坛所独有的。当你去demo page for reCAPTCHA时，你自己试试这个。输入两个单词，字符数正确，但单词本身相差一个字符 - 具有“相似”的字符（例如，“a”而不是“d”，“v”而不是“w”。）

Vanilla 的 reCAPTCHA 实现是否有问题，或者这是 reCAPTCHA 本身的已知问题？ （你可以test Vanilla's registration form here。）

可能相关：Has reCaptcha been cracked / hacked / OCR'd / defeated / broken?

【问题讨论】：

我也遇到过同样的行为，有时可能不止两个字符，甚至少一个字符

【参考方案1】：

只要found the answer in the reCAPTCHA wiki:

在验证字上，reCAPTCHA 故意允许“减一” 错误取决于我们信任的程度 给出解决方案的用户。这 在不增加用户体验的情况下 影响安全。重新验证码 工程师监控此功能 滥用。

【讨论】：

那个链接失效了。我找不到任何 wiki.recaptcha.net 网站。既然 Google 从 Carnegie-Mellon 购买了 reCAPTCHA，难道所有文档都在 Google 上吗？

@FeralOink：已更新以将其更改为页面的 Wayback Machine 缓存。我再也找不到 reCAPTCHA 网站上的等效文档了。

+1 谢谢！不幸的是，reCAPTCHA wiki 站点下线了。考虑到我在 SE 上看到的许多参考资料，这是一个真正的损失，因为它有很多很好的信息。仅供参考，至少 reCAPTCHA Google 组保持在线和活跃（维基提到它）：groups.google.com/group/recaptcha?hl=en