VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
reCAPTCHA v3 - новый продукт от Google, который проводит проверку ботов в фоновом режиме. Больше нет никаких витрин, поездов, переходов, надписей и т.п., которые были в рекаптче первой и второй версии. Обратная сторона медали: если гугл решил, что юзер бот, то в reCAPTCHA v3 юзер не сможет доказать гуглу обратное с помощью витрин, поездов, переходов и пр.
Валидация посетителя в reCAPTCHA v3 проводится без каких-либо специальных действий пользователя. На странице, в которую встроена reCAPTCHA v3, работает специальный скрипт от гугла, который возвращает т.н. score от 0 до 1.
Чем ближе значение score к нулю, тем скорее посетитель бот, чем ближе к единице - тем скорее человек.
Значение score для разделения людей от ботов по умолчанию - 0,5. Это значение Google рекомендует изменять после анализа статистики проверок в административной панели reCAPTCHA v3 для вашего сайта.
Продукт Recaptcha v3 для vBulletin 3.х основан на New reCAPTCHA Human Verification (вторая версия рекаптчи) - добавлено, допилено и выброшено то, что нужно добавить, допилить и выбросить.
Внимание!
Свободное распространение данного продукта прекращено. Убедительная просьба: уважать авторские права и не распространять продукт.
Если вы уже используете продукт, то можете продолжать его использовать только, если Вы уверены, что у вас актуальная (последняя) версия.
В ранних версиях (опубликованных до 31 декабря 2019 года) мной была обнаружена ошибка обработки хэша рекаптчи, позволявшая злоумышленникам пытаться делать sql-инъекции.
Ошибка была исправлена в начале 2020. Если вы не уверены, что у вас актуальная (последняя) версия продукта, прекратите использование продукта т.к. это может быть небезопасно.
Все вопросы и замечания по продукту можно присылать мне в личные сообщения (продукт поддерживается).
Обратите внимание: я не рекомендую применять любые исправления данного продукта, опубликованные не мной или полученные не от меня (в том числе и по защите от sql-инъекций), т.к. не могу гарантировать, что они являются полными/безопасными.
Установка Recaptcha v3 в vBulletin 3.х
---------------------------------------------
1. Откройте Admin Console на https://www.google.com/recaptcha/ и создайте ключи reCAPTCHA v3 для своего сайта (не забудьте указать все домены сайта, причем кириллические домены - в Punycode.
2. Загрузите содержимое папки upload в папку форума на сервере.
3. Импортируйте продукт их xml-файла (Админка -> Продукты и модули -> Управление продуктами -> Добавить/Импортировать продукт). К сообщению приложены две версии продукта - в кодировках UTF8 и CP1251.
4. Выберите reCAPTCHA v3 в качестве основной системы отделения людей от роботов в форуме (Админка -> Управление отделением людей от роботов -> reCAPTCHA v3).
5. Скопируйте ключи, полученные в пункте 1, в поля настроек "Ключ сайта reCAPTCHA v3" и "Секретный ключ reCAPTCHA v3".
6. Проверьте работу reCAPTCHA v3 на странице по ссылке "Кликните здесь для тестовой проверки". Примечание: на инициализацию reCAPTCHA v3 после загрузки страница обычно требуется несколько секунд. Если очень быстро нажать на кнопку проверки, то результат скорее всего будет отрицательный (вы - бот и вам стоит задуматься об этом).
Дополнительные замечания
---------------------------------------------
В ответе Гугла приходит значение "hostname" - доменное имя сайта, на котором проведена проверка рекаптчи. В коде продукта это значение hostname сравнивается с $_SERVER['HTTP_HOST']. Это должно работать правильно на большинстве сайтов. Но, если вы по каким-то причинам не относитесь к большинству, то удалите фрагмент AND $result['hostname'] == $_SERVER['HTTP_HOST'] в строке 64 файла class_humanverify_recaptcha3.php
Last edited by tays : 04-17-2020 at 10:54 AM.
Reason: Update
Версия продукта не поднималась, поэтому достаточно обновить только файл class_humanverify_recaptcha3.php
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,711
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20257
Репутация в разделе: 8432
0
на сколько эта капча лучше, чем вторая реинкарнация?
@AlexBlack
Продвинутый
Join Date: Dec 2013
Posts: 209
Версия vB: 4.2.х
Reputation:
Опытный 21
Репутация в разделе: 11
Аллея Звезд
0
Господа хорошие, а есть v3 для движка 4.2?
@tays
Эксперт
Join Date: Jun 2006
Posts: 369
Версия vB: 3.8.x
Пол:
Reputation:
Professional 1064
Репутация в разделе: 746
0
Quote:
Originally Posted by kerk
на сколько эта капча лучше, чем вторая реинкарнация?
Я описал плюсы в первом сообщении: нет дурацких витрин, пешеходных переходов и автомобилей.
С точки зрения отсеивания явных ботов пока ничего сказать не могу - либо не приходят, либо отсеиваются другими механизмами.
Из относительных минусов пока замечено пара:
1) Если регистрация в форуме достаточно долгая (например, много доп. полей), то токен рекаптчи успевает устареть. В принципе, в этом нет большой беды, достаточно снова нажать "Зарегистрироваться" - при каждой перегрузке страницы создает новый токен.
2) На страницах с проверкой рекаптчи, где юзер практически ничего не делает (например, на странице поиска по форуму с рекаптчей), результат проверки может быть отрицательный (нейроны гугла не успевают понять, что это человек).
Quote:
Originally Posted by AlexBlack
Господа хорошие, а есть v3 для движка 4.2?
Честно говоря, в планах не было. Но, если очень надо и готовы выступить спонсором разработки, то пишите в ЛС.
@tays
Эксперт
Join Date: Jun 2006
Posts: 369
Версия vB: 3.8.x
Пол:
Reputation:
Professional 1064
Репутация в разделе: 746
4
Опубликована версия 1.0.3.
Новое:
- решена проблема устаревания токена рекаптчи (ошибка timeout-or-duplicate) на страницах, где пользователь проводит достаточно много времени (например, при регистрации в форуме). Теперь проверка recaptcha v3 проводится в фоне еще до нажатия кнопки на странице. В настройках появился соответствующий параметр.
Обновление: скопировать все файлы из upload в папку форума и импортировать продукт с перезаписью.
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,711
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20257
Репутация в разделе: 8432
0
Quote:
Originally Posted by eska
решена проблема устаревания токена рекаптчи
при тесте из админки, если я нахожусь в другой вкладке более 5 минут, нажимаю на кнопку "Отправить" - проверка провалена
@tays
Эксперт
Join Date: Jun 2006
Posts: 369
Версия vB: 3.8.x
Пол:
Reputation:
Professional 1064
Репутация в разделе: 746
0
Quote:
Originally Posted by kerk
при тесте из админки, если я нахожусь в другой вкладке более 5 минут, нажимаю на кнопку "Отправить" - проверка провалена
Вы жалуетесь мне на Гугл? Польщен )
Для того, чтобы Гугл мог определить человека/бота, нужно делать какие-то действия на странице (перемещать курсор, делать прокрутку, набивать текст и т.п.). Если сразу тупо нажать кнопку, то score скорее всего будет низким.
Из личного опыта могу отметить, что score будет тем ниже, чем больше запросов рекаптчи делается за короткий промежуток времени с одного устройства. Таким образом, открытие рекаптчи в нескольких вкладках одновременно - прямой способ понизить свой score. Множественные тестовые запросы - аналогично.
Кстати, схожим образом работает и recaptcha v2, где в подобной ситуации предлагается для проверки все больше и больше переходов, автобусов, витрин, светофоров и т.п.
И еще - в тестовой проверке в админке фоновая работа не проводится:
Quote:
Originally Posted by eska
Теперь проверка recaptcha v3 проводится в фоне еще до нажатия кнопки на странице. В настройках появился соответствующий параметр.
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,711
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20257
Репутация в разделе: 8432
0
нет, не жалуюсь, просто констатирую факт =)
на одном подшефном форуме боты проскочили кейкапчу, вот решил поставить и проверить эту
если при проверке ничего не делать вообще, а просто подождать секунд 20 и затем нажать "проверку" - тест пройден
если кнопку нажать сразу - тест провален
если ждать более 4-5 минут - тест провален
хрюк
Гость
Posts: n/a
Quote:
Originally Posted by AlexBlack
Господа хорошие, а есть v3 для движка 4.2?
В июле этого года на орге, буржуй зарелизил похожий хак с названием [BetoPho] reCaptcha v3 Login Integration. Не сравнивал с хаком от нашего камрада eska, но судя по описанию, буржуйский хак:
- не имеет файлов для загрузки
- работает на vB3, VB4, vB5
TAIFUN добавил 06.09.2019 в 13:15
Quote:
Originally Posted by kerk
если при проверке ничего не делать вообще, а просто подождать секунд 20 и затем нажать "проверку" - тест пройден
если кнопку нажать сразу - тест провален
если ждать более 4-5 минут - тест провален
Google применяет целую цепочку из факторов, по всей видимости там не только таймер. Но они не разглашают какие факторы задействованы.
Тоже пришлось отказаться от кейкапчи. Как я понял, проект стух. Забили на реализацию поддержки https сайтов; русскоязычный сайт уже несколько месяцев отдаёт 502 ошибку; пользователи начали жаловаться что на странице регистрации нет никакой картинки; в подвале на их сайте год стоит прошлый, в некоторых случаях позапрошлый.
Пришлось поставить пока что 2-ую версию гугл капчи. Через минут 20 просочились боты. Перевёл настройку защиты в максимальный режим, посмотрим что будет.
Гугл ещё те мудаки. Они своими масштабами тушат других ребят. Например, зашёл посмотреть капчи о которых знал ранее, так почти все закрылись.. у кого-то сайт прекратил своё существование, кто-то вывесил плашку о том что проект закрыт.
Хуже только майкрософт, который выкупая проекты, делает из них редкостное гавно. Чего только стоит скайп.. пару дней назад в очередной раз пытался отправить голосовые сообщение, в итоге бесконечная отправка. Пришлось записать свои голосовые сообщения на диктофон и отправить человеку свои сообщения отдельным файлом. Facepalm.
TAIFUN добавил 06.09.2019 в 14:46
UPD [BetoPho] reCaptcha v3 Login Integration у меня на vB3 форуме не работает (ошибка 500).
Хак от камрада eska работает чётко.
Last edited by TAIFUN : 09-06-2019 at 06:46 PM.
Reason: Добавлено сообщение
reCAPTCHA v3 Human Verification
