我又来了弄了个验证码现在只能叫二步验证码

mimiphp

Romeoiii 发表于 2026-2-17 23:25
不是嘲讽，什么功能作用效果不清楚，表达能力欠缺。

我本来不想回复你的，但既然非要我表达清楚，那我就回复你一次：
首先验证码的作用，是防止自动化脚本绕过直接获取token，在AI时代，传统图片验证码已经百分百可以绕过，原理就是ORC识别，特别是你用杂点，或者色盲内容识别等手段都没用了。
这是我没想到的，因为如果你看过机器人5号的电影，就知道，在之前的人类认知里面，区别AI或者机器人是否有 智慧，就是拿它是否能直接根据实物比如树枝，叶子等形状来想象出像什么。。。

现在的人工智能发展，你看一眼今年的春晚机器人表演，已经灵活到各种武术动作都可以完成了。
也就是说，本身验证码的作用就是为了防止自动化脚本绕过，但AI的加持下，已经完全可以自动完成模拟人类的任何动作。。在nodeseek，已经有人帮忙测试，利用chatgpt的agent模式，就是代理人模式，是完全可以去拖拽，点击网页，几乎跟人类操作一模一样了。

我弄这个验证码并不是重复造轮子。cloudflare的无感验证码，我一开始也是学他的方式。但是人家CF真正厉害的是后端风控，拥有庞大的IP池，区分家庭IP，和高风险IP，以及历史风控记录，配合前端的无感JS来处理验证码的问题。但它是在国外，国内在高峰期很不稳定，有时间JS都加载不出来。。。

而其他的验证码思路，就是靠提高复杂度，比如12306，google，让你去区分或者按它的要求来各种操作，选择不同图片的等等。。。体验感实在太差了。

当然还有一个最强思路就是passkey，生物硬件设备识别，比如指纹。。但由于各大发起机构，比如微软，谷歌都有自己的思路。没有真正统一方案，特别离谱的是微软，还要你插入U盘密钥。。。所以这个思路目前不成熟只能放弃。。

那我就只能用AI打败AI了。。我也利用chatgpt，跟他沟通了好几天，各种方案都在讨论。。。算是AI与AI的攻防战。。。目前最新版本已经让chatgpt的agent 无法自动化绕过了。这在nodeseek已经有网友真实有效防住了chatgpt...

那我现在在hostloc同样也需要收集自动化绕过的测试，需要网友帮忙。。

你也看到：奧巴马 一开始是直接懒得测试，就因为前端在手机端hover体验太差，直接就说我像小学生一样，根本不懂验证码的目的，还说验证码最起码要让人类便利等等。。

但经过我跟他沟通，他也知道我在做什么，也帮忙测试了。

还有nodeseek 也有部分网友，看到有人第一步AI简单就绕过了。就开始嘲讽。。

但我想说，这对于开发者来说有什么意义？意思是没你强？你要表达什么？

所以本身就是自身问题， 我只是提醒了一下网友而已，大家共同讨论一个问题，而我是实践者，你也看到不断进步的过程。有必要发一些废话言论，来表示自己存在感吗？

你也同样可以去测试，逐步提高强度，达到实用性，直接开源发布，大家都能用，不是一件好事吗？

mimiphp

奧巴马 发表于 2026-2-17 21:30
除了先 hover 圆圈，再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上 ...

不用测了。。。我自己拿你的脚本思路，还是能绕过获取token，我继续增加强度，如果我自己测试不能绕过，再找你

mimiphp

奧巴马 发表于 2026-2-17 21:30
除了先 hover 圆圈，再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上 ...

研究了一个通宵了。。现在的强度应该够了。。如果你有空，再用你的手段测试试试看，能不能绕过。。。。多谢了

奧巴马

mimiphp 发表于 2026-2-18 09:45
研究了一个通宵了。。现在的强度应该够了。。如果你有空，再用你的手段测试试试看，能不能绕过。。。。多 ...

这样就过了

你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个你就必须要篡改JS才能通过.

mimiphp

奧巴马 发表于 2026-2-18 10:14
这样就过了

你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个 ...

好，我拿你的脚本本地测试确实绕过了。。。我再处理加强

mimiphp

奧巴马 发表于 2026-2-18 10:14
这样就过了

你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个 ...

睡觉了，扛不住了。但你提交的两个脚本，我最新版都验证不能绕过了。你有空帮忙再测试强度。
最新版本只是判断出你这个脚本有问题，但还没适配后端，如果你确实没办法绕过了，我才开始适配后端。睡觉了拜拜，新年快乐。。https://dev.locauth.com/public/widget.html

Fix

同样不是嘲讽，手动测试三次都是失败的，如果是某个网站接入了这种 captcha，我就不会再访问了。况且，你在这里寻求大家的测试反馈，又不对这些反馈负责，那么你发帖的意义是什么呢？只是宣传推广吗？那么作为一个还在测试开发的产品显然是不够完美的。如果是开源的，那么社区至少还会有反馈的热情，但既然不开源，那么为什么我不去选择其他更成熟的？

Romeoiii

mimiphp 发表于 2026-2-18 02:21
我本来不想回复你的，但既然非要我表达清楚，那我就回复你一次：
首先验证码的作用，是防止自动化脚本绕 ...

难怪别人嘲讽你，你不加第一句话，就不会暴露你的暴躁症与自大，那时我就会很认真的回复你，但是你自大，总认为自己是特殊的，总认为别人要针对你，实际没人"在意"你的大项目，你什么也不说清楚，而有人要求你说清楚，还觉得别人亏欠你，求着你，大过年的没这么多论坛神仙愿意花时间研究你的内容。提醒你下，chatgpt不怎么靠谱，你用claude吧。

奧巴马

mimiphp 发表于 2026-2-18 13:03
睡觉了，扛不住了。但你提交的两个脚本，我最新版都验证不能绕过了。你有空帮忙再测试强度。
最新版本只 ...

同样跟上面两人一样的体验.手动都大概率无法完成验证.手机浏览器测试.电脑没试

mimiphp

奧巴马 发表于 2026-2-18 17:22
同样跟上面两人一样的体验.手动都大概率无法完成验证.手机浏览器测试.电脑没试 ...

我刚睡醒。。。很重要，你又误会了。。我说的只针对前端已经区分出你两次脚本了。。这是个突破。
{
  "block": false,
  "finalScore": 27,
  "motion": {
    "bot": false,
    "score": 27,
    "reasons": [
      "integer_coords_weak",
      "too_straight",
      "tail_insufficient"
    ],
    "feat": {
      "dur": 2698.10000000149,
      "straightRatio": 1.0153614249858514,
      "speedCv": 1.9234829534342086,
      "decelRatio": 0,
      "microCorr": 0,
      "jerkTailRatio": 0,
      "angTailRatio": 0,
      "endOk": true,
      "vMean": 0.8449173278730967,
      "vStd": 1.6251840772250836,
      "vTailMean": 0,
      "vTailStd": 0,
      "trustedRatio": 0.9948453608247423,
      "sparsity": 0.5535714285714286,
      "spikeRatio": 13.79600365674981,
      "peakDensity": 0.07142857142857142,
      "tailEnergyRatio": 0,
      "tailOkBins": false,
      "dtCv": 1.3224868433410468,
      "stepCv": 1.5270405966360574,
      "firstMoveDt": 163.60000000149012,
      "earlyMoveCount": 11,
      "turnSum": 31.14424875303279,
      "endD": 2,
      "intRatio": 0.9948453608247423,
      "zeroDtRatio": 0,
      "tailCount": 6,
      "tailLen": 0,
      "tailOk": false,
      "bezErr": 143.191138489516
    }
  },
  "env": {
    "risk": 0,
    "flags": []
  },
  "thr": 74,
  "baseThr": 62
}
以上是真人。。。


下面是脚本：

{
  "block": true,
  "score": 999,
  "reasons": [
    "navigator.webdriver"
  ],
  "detail": {
    "pluginsLen": 5,
    "mimeTypesLen": 2,
    "langsLen": 1,
    "webglVendor": "Google Inc. (NVIDIA)",
    "webglRenderer": "ANGLE (NVIDIA, NVIDIA GeForce GTX 1050 (0x00001C81) Direct3D11 vs_5_0 ps_5_0, D3D11)"
  }
}

意思是，你真人或者电脑，去拖拽，你看到绿色的字，拖拽完成，可以验证。

而自动脚本，直接就监测到环境异常。。

但 不要去点击获取token，这是后端签发token的步骤。。。。我睡觉前，还没有弄好，因为版本迭代太多了。我换了思路，必须前端就先识别脚本。。。