<b>CAPTCHA ломается не там, где её обходят, а там, где её неправильно ставят</b>
Чаще всего антибот даёт сбой не на самом challenge, а в логике вокруг него: токен живёт слишком долго, проверка идёт только на фронте, а ответ от провайдера не привязан к сессии. В таком сценарии решение можно переиспользовать, подменить или просто унести в другой поток.
Три вещи, которые стоит проверить в первую очередь:
— токен должен быть одноразовым и короткоживущим;
— валидация обязана быть на сервере, а не только в JS;
— результат проверки нужно связывать с IP, UA, cookie или хотя бы сессией, иначе challenge превращается в формальность.
Отдельный риск — избыточная вера в «сложность» капчи. Если у пользователя один и тот же путь для логина, регистрации и восстановления доступа, атакующий быстро находит самый слабый endpoint. CAPTCHA тогда становится не барьером, а подсказкой, где у вас ценная точка входа.
Есть и обратная сторона: слишком агрессивная капча режет нормальный трафик сильнее, чем ботов. Поэтому лучше не вешать её на каждый запрос, а включать по сигналам риска: скорость действий, повторяемость паттернов, несостыковки fingerprint, прокси-аномалии.
Если капча не связана с контекстом и не проверяется сервером, её можно считать декоративной. Надёжнее строить защиту как цепочку: риск-скоринг, challenge, повторная проверка и только потом доступ.
Anti-Bot Arena — Cloudflare, CAPTCHA, fingerprint
@anti_bot_arena
<b>CAPTCHA ломается не там, где её обходят, а там, где её неправильно ставят</b>
Этот пост опубликован в Telegram-канале Anti-Bot Arena — Cloudflare, CAPTCHA, fingerprint. Подписаться можно по ссылке: @anti_bot_arena.