7

如果用户(或机器人)重复做同样的事情,我预计 recaptcha v3 的分数会下降,但情况似乎并非如此。

这是我在登录我正在构建的网站时尝试不同密码时从我的日志中提取的简短摘录。

2018-07-19T17:24:04.580129+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:24:08.764677+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:24:11.441256+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:24:14.697840+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:24:17.074292+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:24:19.477029+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:24:21.962033+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:25:14.458404+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:25:18.515887+00:00: grecaptcha success, score=0.900, action=login_password
2018-07-19T17:25:21.599782+00:00: grecaptcha success, score=0.900, action=login_password

这是 beta 版 v3 的问题吗?如果我尝试更多次(数百次)分数会下降,或者无论用户行为如何,给定会话的分数是否不变?

抱歉,如果这太特定于产品,但谷歌似乎没有建议更好地提出这样的问题,而且他们经常推荐 SO。

4

1 回答 1

18

好吧,我已经在很多方面测试了recaptcha v3....

好东西是:

  • 大多数嵌入式浏览器无法通过所有安全检查(到目前为止我还没有找到),但真正的浏览器,如 Internet Explorer、Firefox、safari、chrome 等,可以轻松通过所有检查。
  • 它不需要用户输入或交互,因此,您网站上的用户体验保持不变。

不好的地方是:

  • 如果您在未登录 google 帐户时尝试解决验证码,recaptcha 返回的分数将低于您在浏览器中登录 google 帐户时的分数
  • 在 50 个请求之后,即使您是人类,谷歌也会继续发送较低的分数,例如 0.3-0.5(现在,由于高端设备、互联网速度等原因,任何人都可以在 10 分钟内打开 50 个页面)
  • 似乎 google 阻止了用户 IP 地址,这意味着,如果您在网站 A 上的得分是 0.3,那么您很可能也会在网站 B 上获得 0.3 分。这意味着,如果您向具有recaptcha v3 的网站发送垃圾邮件,而不是为具有recaptcha v3 的整个网站发送垃圾邮件(这对网站所有者来说是一件坏事,因为一个网站的垃圾邮件发送者可能是另一个网站的好客户)

更新 (21/08/2019)

  • Recaptcha v3 现在有点更新,现在您可以将分数等于或低于 0.3 视为垃圾邮件(如果最终用户在您的网站上进行一些自动化或执行一些脚本任务,则会收到该分数)
  • 所有合法用户都获得 0.9-0.7 分,但有时仍会向合法用户返回 0.3 分,但在刷新时它会自动得到修复并且用户获得正确的分数,但它仍然是一个错误或评分出现问题。因此,检查分数是否 <= 0.3 比检查垃圾邮件更好,否则不检查。

更新(2021 年 13 月 2 日)

  • Recaptcha V3 通过监控用户与它的交互来研究网页并相应地给出分数,这意味着如果您的网站收到很多垃圾邮件请求,那么任何合法用户都会收到垃圾邮件/较低的分数,这使得 recaptcha v3 无法在具有较高垃圾邮件的网站上使用速度。
  • Recaptcha v3 现在比以前更好,因此,如果分数低于 0.5(之前是 0.3),您可以将请求标记为垃圾邮件
于 2018-09-04T16:36:10.957 回答