全球主机交流论坛

标题: 我又来了弄了个验证码现在只能叫二步验证码 [打印本页]

作者: mimiphp 时间: 2026-2-17 19:27
标题: 我又来了弄了个验证码现在只能叫二步验证码
本帖最后由 mimiphp 于 2026-2-17 19:29 编辑

我又来了弄了个验证码现在只能叫二步验证码，继续帮我测试

如果强度足够，直接开源了。。目的就是弄一个体验感不错，强度足够的防自动化验证码方案。希望不要嘲讽，合理正面沟通交流。逐步加强算法，达到实用价值

https://dev.locauth.com/public/widget.html 自动化脚本获取到token就算突破了

实际第一步就是检测webrtc 环境。。当然目前是可选。。。如果直接强制应该自动化脚本环境就卡在第一步了

作者: 奧巴马 时间: 2026-2-17 19:33
本帖最后由奧巴马于 2026-2-17 19:35 编辑

是不能获取token,我正经浏览器,手机手动操作都获取不到.

太强了. 自带的几个浏览器都获取不到. 我不知道要怎样才能获取到.
做这个的难点就在于不要把正常用户挡在门外.哪怕正常用户有5%挡在门外了,都不会有人用.要不然一会,客服消息就炸了.

作者: mimiphp 时间: 2026-2-17 19:37

奧巴马发表于 2026-2-17 19:33
是不能获取token,我正经浏览器,手机手动操作都获取不到.

我自己测试，所有浏览器都能获取到token，你如果要正面沟通，继续加强，我可以继续弄。你要来阴阳怪气，就不要发言。。对于我来说没有任何意义。。

作者: mimiphp 时间: 2026-2-17 19:38

奧巴马发表于 2026-2-17 19:33
是不能获取token,我正经浏览器,手机手动操作都获取不到.

作者: 奧巴马 时间: 2026-2-17 19:45

mimiphp 发表于 2026-2-17 19:37
我自己测试，所有浏览器都能获取到token，你如果要正面沟通，继续加强，我可以继续弄。你要来阴阳怪气， ...

试了好几次,不可以. chrome上不行. safari可以. 测试下来体验不是很好.电脑,笔记本,没鼠标,长时间点按不适合.

作者: mimiphp 时间: 2026-2-17 19:53

奧巴马发表于 2026-2-17 19:45
试了好几次,不可以. chrome上不行. safari可以. 测试下来体验不是很好.电脑,笔记本,没鼠标,长时间点按不 ...

那就先取消长按模式，再帮我试试。对嘛。。。这才是正常沟通的方式。。。刷新，再试试看

作者: 奧巴马 时间: 2026-2-17 21:30
本帖最后由奧巴马于 2026-2-17 21:32 编辑

mimiphp 发表于 2026-2-17 19:53
那就先取消长按模式，再帮我试试。对嘛。。。这才是正常沟通的方式。。。刷新，再试试看 ...

除了先 hover 圆圈，再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上webdrive脚本.

已连接到 pydev 调试器(内部版本号 252.27397.106)✅ 浏览器初始化完成
token: {
  "ok": true,
  "allow": true,
  "risk": 0,
  "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJsb2NhdXRoIiwiYXVkIjoicHVibGljIiwiYWN0Ijoic3VibWl0IiwiaWF0IjoxNzcxMzM0OTI0LCJleHAiOjE3NzEzNTY1MjQsInJpc2siOjAsImlwSGFzaCI6ImVlNTc2MzFkZTM2MmYxMTY1NzQxZjM0NTBkNzFhZTY3YTFlYTE4NzhiYTRkZTcxZGEzOGQ0ZWUzNzMyODNhYjgiLCJ1YUhhc2giOiI1MGIzMjU4MzY0NDUzYWQ0NjY1YWJlOWFhZjdlYjIwMTYyNTA4ZDgxOTZiNGNmN2JiNDE1NWYwNTgxNjkwMDljIiwiY2lkIjoiYVNoT2ttTTlubXFYaVNlQUFOczlBaGtVIiwibW9kZSI6ImRyYWdfdG9fcmluZyJ9.ZJrnG_ZFP5ASE1G3E2myzZVwjcRmlgYaPm_nVGE-qxM",
  "reasons": [],
  "mode": "drag_to_ring"
}

作者: mimiphp 时间: 2026-2-17 22:14
那就换个思路，直接放弃,提供2fa算了，多谢

作者: Romeoiii 时间: 2026-2-17 23:25
不是嘲讽，什么功能作用效果不清楚，表达能力欠缺。

作者: mimiphp 时间: 2026-2-18 02:03

奧巴马发表于 2026-2-17 21:30
除了先 hover 圆圈，再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上 ...

我又弄了几个小时，你有空再帮忙测试是否能绕过，多谢了。地址还是一样：https://dev.locauth.com/public/widget.html

作者: mimiphp 时间: 2026-2-18 02:21

Romeoiii 发表于 2026-2-17 23:25
不是嘲讽，什么功能作用效果不清楚，表达能力欠缺。

我本来不想回复你的，但既然非要我表达清楚，那我就回复你一次：
首先验证码的作用，是防止自动化脚本绕过直接获取token，在AI时代，传统图片验证码已经百分百可以绕过，原理就是ORC识别，特别是你用杂点，或者色盲内容识别等手段都没用了。
这是我没想到的，因为如果你看过机器人5号的电影，就知道，在之前的人类认知里面，区别AI或者机器人是否有智慧，就是拿它是否能直接根据实物比如树枝，叶子等形状来想象出像什么。。。

现在的人工智能发展，你看一眼今年的春晚机器人表演，已经灵活到各种武术动作都可以完成了。
也就是说，本身验证码的作用就是为了防止自动化脚本绕过，但AI的加持下，已经完全可以自动完成模拟人类的任何动作。。在nodeseek，已经有人帮忙测试，利用chatgpt的agent模式，就是代理人模式，是完全可以去拖拽，点击网页，几乎跟人类操作一模一样了。

我弄这个验证码并不是重复造轮子。cloudflare的无感验证码，我一开始也是学他的方式。但是人家CF真正厉害的是后端风控，拥有庞大的IP池，区分家庭IP，和高风险IP，以及历史风控记录，配合前端的无感JS来处理验证码的问题。但它是在国外，国内在高峰期很不稳定，有时间JS都加载不出来。。。

而其他的验证码思路，就是靠提高复杂度，比如12306，google，让你去区分或者按它的要求来各种操作，选择不同图片的等等。。。体验感实在太差了。

当然还有一个最强思路就是passkey，生物硬件设备识别，比如指纹。。但由于各大发起机构，比如微软，谷歌都有自己的思路。没有真正统一方案，特别离谱的是微软，还要你插入U盘密钥。。。所以这个思路目前不成熟只能放弃。。

那我就只能用AI打败AI了。。我也利用chatgpt，跟他沟通了好几天，各种方案都在讨论。。。算是AI与AI的攻防战。。。目前最新版本已经让chatgpt的agent 无法自动化绕过了。这在nodeseek已经有网友真实有效防住了chatgpt...

那我现在在hostloc同样也需要收集自动化绕过的测试，需要网友帮忙。。

你也看到：奧巴马一开始是直接懒得测试，就因为前端在手机端hover体验太差，直接就说我像小学生一样，根本不懂验证码的目的，还说验证码最起码要让人类便利等等。。

但经过我跟他沟通，他也知道我在做什么，也帮忙测试了。

还有nodeseek 也有部分网友，看到有人第一步AI简单就绕过了。就开始嘲讽。。

但我想说，这对于开发者来说有什么意义？意思是没你强？你要表达什么？

所以本身就是自身问题，我只是提醒了一下网友而已，大家共同讨论一个问题，而我是实践者，你也看到不断进步的过程。有必要发一些废话言论，来表示自己存在感吗？

你也同样可以去测试，逐步提高强度，达到实用性，直接开源发布，大家都能用，不是一件好事吗？

作者: mimiphp 时间: 2026-2-18 02:57

奧巴马发表于 2026-2-17 21:30
除了先 hover 圆圈，再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上 ...

不用测了。。。我自己拿你的脚本思路，还是能绕过获取token，我继续增加强度，如果我自己测试不能绕过，再找你

作者: mimiphp 时间: 2026-2-18 09:45

奧巴马发表于 2026-2-17 21:30
除了先 hover 圆圈，再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上 ...

研究了一个通宵了。。现在的强度应该够了。。如果你有空，再用你的手段测试试试看，能不能绕过。。。。多谢了

作者: 奧巴马 时间: 2026-2-18 10:14

mimiphp 发表于 2026-2-18 09:45
研究了一个通宵了。。现在的强度应该够了。。如果你有空，再用你的手段测试试试看，能不能绕过。。。。多 ...

这样就过了

你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个你就必须要篡改JS才能通过.

作者: mimiphp 时间: 2026-2-18 10:27

奧巴马发表于 2026-2-18 10:14
这样就过了

你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个 ...

好，我拿你的脚本本地测试确实绕过了。。。我再处理加强

作者: mimiphp 时间: 2026-2-18 13:03

奧巴马发表于 2026-2-18 10:14
这样就过了

你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个 ...

睡觉了，扛不住了。但你提交的两个脚本，我最新版都验证不能绕过了。你有空帮忙再测试强度。
最新版本只是判断出你这个脚本有问题，但还没适配后端，如果你确实没办法绕过了，我才开始适配后端。睡觉了拜拜，新年快乐。。https://dev.locauth.com/public/widget.html

作者: Fix 时间: 2026-2-18 13:33
同样不是嘲讽，手动测试三次都是失败的，如果是某个网站接入了这种 captcha，我就不会再访问了。况且，你在这里寻求大家的测试反馈，又不对这些反馈负责，那么你发帖的意义是什么呢？只是宣传推广吗？那么作为一个还在测试开发的产品显然是不够完美的。如果是开源的，那么社区至少还会有反馈的热情，但既然不开源，那么为什么我不去选择其他更成熟的？

作者: Romeoiii 时间: 2026-2-18 15:35
本帖最后由 Romeoiii 于 2026-2-18 15:49 编辑

mimiphp 发表于 2026-2-18 02:21
我本来不想回复你的，但既然非要我表达清楚，那我就回复你一次：
首先验证码的作用，是防止自动化脚本绕 ...

难怪别人嘲讽你，你不加第一句话，就不会暴露你的暴躁症与自大，那时我就会很认真的回复你，但是你自大，总认为自己是特殊的，总认为别人要针对你，实际没人"在意"你的大项目，你什么也不说清楚，而有人要求你说清楚，还觉得别人亏欠你，求着你，大过年的没这么多论坛神仙愿意花时间研究你的内容。提醒你下，chatgpt不怎么靠谱，你用claude吧。

作者: 奧巴马 时间: 2026-2-18 17:22
本帖最后由奧巴马于 2026-2-18 17:25 编辑

mimiphp 发表于 2026-2-18 13:03
睡觉了，扛不住了。但你提交的两个脚本，我最新版都验证不能绕过了。你有空帮忙再测试强度。
最新版本只 ...

同样跟上面两人一样的体验.手动都大概率无法完成验证.手机浏览器测试.电脑没试

作者: mimiphp 时间: 2026-2-18 17:46

奧巴马发表于 2026-2-18 17:22
同样跟上面两人一样的体验.手动都大概率无法完成验证.手机浏览器测试.电脑没试 ...

我刚睡醒。。。很重要，你又误会了。。我说的只针对前端已经区分出你两次脚本了。。这是个突破。
{
  "block": false,
  "finalScore": 27,
  "motion": {
"bot": false,
"score": 27,
"reasons": [
   "integer_coords_weak",
   "too_straight",
   "tail_insufficient"
],
"feat": {
   "dur": 2698.10000000149,
   "straightRatio": 1.0153614249858514,
   "speedCv": 1.9234829534342086,
   "decelRatio": 0,
   "microCorr": 0,
   "jerkTailRatio": 0,
   "angTailRatio": 0,
   "endOk": true,
   "vMean": 0.8449173278730967,
   "vStd": 1.6251840772250836,
   "vTailMean": 0,
   "vTailStd": 0,
   "trustedRatio": 0.9948453608247423,
   "sparsity": 0.5535714285714286,
   "spikeRatio": 13.79600365674981,
   "peakDensity": 0.07142857142857142,
   "tailEnergyRatio": 0,
   "tailOkBins": false,
   "dtCv": 1.3224868433410468,
   "stepCv": 1.5270405966360574,
   "firstMoveDt": 163.60000000149012,
   "earlyMoveCount": 11,
   "turnSum": 31.14424875303279,
   "endD": 2,
   "intRatio": 0.9948453608247423,
   "zeroDtRatio": 0,
   "tailCount": 6,
   "tailLen": 0,
   "tailOk": false,
   "bezErr": 143.191138489516
}
  },
  "env": {
"risk": 0,
"flags": []
  },
  "thr": 74,
  "baseThr": 62
}
以上是真人。。。

下面是脚本：

{
  "block": true,
  "score": 999,
  "reasons": [
"navigator.webdriver"
  ],
  "detail": {
"pluginsLen": 5,
"mimeTypesLen": 2,
"langsLen": 1,
"webglVendor": "Google Inc. (NVIDIA)",
"webglRenderer": "ANGLE (NVIDIA, NVIDIA GeForce GTX 1050 (0x00001C81) Direct3D11 vs_5_0 ps_5_0, D3D11)"
  }
}

意思是，你真人或者电脑，去拖拽，你看到绿色的字，拖拽完成，可以验证。

而自动脚本，直接就监测到环境异常。。

但不要去点击获取token，这是后端签发token的步骤。。。。我睡觉前，还没有弄好，因为版本迭代太多了。我换了思路，必须前端就先识别脚本。。。

作者: mimiphp 时间: 2026-2-18 17:47

Romeoiii 发表于 2026-2-18 15:35
难怪别人嘲讽你，你不加第一句话，就不会暴露你的暴躁症与自大，那时我就会很认真的回复你，但是你自大， ...

你看看，我给奥巴马的回复。。。我怎么感觉你这么关心呢？看到失败了还带有一丝兴奋。别不承认好吧

作者: mimiphp 时间: 2026-2-18 17:48

Fix 发表于 2026-2-18 13:33
同样不是嘲讽，手动测试三次都是失败的，如果是某个网站接入了这种 captcha，我就不会再访问了。况且，你在 ...

你同样误会了。之前的版本全部流程都可以了，能识别chatgpt，但就是被ID奥巴马的webdricve绕过了。所以我才继续加强。。但现在没有完工。。。只是做到自动化脚本一进入浏览器就被检查到环境异常了。

作者: mimiphp 时间: 2026-2-18 17:58

奧巴马发表于 2026-2-18 17:22
同样跟上面两人一样的体验.手动都大概率无法完成验证.手机浏览器测试.电脑没试 ...

已经直接禁用获取token按钮了。。。现在需要你帮忙测试的意思就是，你验证一下你的两次提交的脚本，是否还能拖拽提示：拖拽完成，可提交验证。。

而目前真人是可以成功拖拽提示：拖拽完成，可提交验证。。

也就是分步骤了，暂时不考虑后端签发token的步骤。。先帮忙验证第一步能不能稳定区分真人和脚本。。。。

作者: mimiphp 时间: 2026-2-18 18:00

Fix 发表于 2026-2-18 13:33
同样不是嘲讽，手动测试三次都是失败的，如果是某个网站接入了这种 captcha，我就不会再访问了。况且，你在 ...

你如果看不到【开源】两个字。。。你可以到1楼，按ctrl+F,直接搜索开源两个字。。。会出现黄色背景，黑色字体的。。。你认真点好吗

欢迎光临全球主机交流论坛 (https://loc.528866.xyz/)