Questo post fa riferimento a Google ReCaptcha v2 (non l'ultima versione)
Recentemente Google ha introdotto un sistema di verifica "captcha" semplificato ( video ) che consente agli utenti di passare il "captcha" semplicemente facendo clic su di esso.
Ma come può differenziare un bot da una persona semplicemente con un clic?
In base a questa risposta (presupponendo un'implementazione simile), inizialmente "recaptcha" genera una chiave nascosta e la collega a un elemento di input nascosto e rende pigramente anche una casella di controllo (non una casella di controllo effettiva input
ma a div
) con la stessa chiave che quando si fa clic, invia una richiesta asincrona (XHR) ai server back-end di Google per contrassegnarla come chiave di verifica valida (ovvero una chiave che deve essere convalidata quando viene inviato il modulo).
Ma perché i robot non possono automatizzare quel clic (almeno, i bot basati su browser)?
Come potrebbe funzionare?