Логотип «2Captcha»Перейти на главную страницу
Туториалы по обходу капчи

Эта статья была полезной?

Как обойти капчу Press and Hold

Катя Пушкаренва

Технический специалист

Традиционная капча со светофорами и пешеходными переходами больше не работает. Нейросети научились решать визуальные головоломки с точностью свыше 97%. Индустрия отреагировала переходом на поведенческую биометрию.

Для обычного пользователя механика «Press and Hold» выглядит как банальное зажатие мыши на пару секунд. На деле этот интервал работает как honeypot (ловушка). Пока кнопка зажата, скрипты собирают телеметрию и оценивают среду браузера. Масштабы анализа огромны: DataDome обрабатывает каждый HTTP-запрос менее чем за 2 миллисекунды, просеивая триллионы сигналов ежедневно. Cloudflare Turnstile, в свою очередь, динамически переключается между тремя режимами (Invisible, Non-Interactive, Managed) в зависимости от того, насколько подозрительным кажется профиль.

Фундаментальный барьер isTrusted и закрытый Shadow DOM

Первое, на чем ломаются базовые скраперы — аппаратный флаг доверия браузера. Когда клик делает живой человек, браузер помечает событие неизменяемым свойством isTrusted: true. Программный клик через JavaScript всегда отдает false, что ведет к моментальному бану.

Системы вроде PerimeterX (HUMAN) дополнительно усложняют задачу, пряча кнопку в закрытый Shadow DOM. Из-за этого классические локаторы Selenium просто не видят элемент. Рабочий маневр в таких случаях — отказ от мыши в пользу эмуляции клавиатуры: клавиша Tab для фокуса на элементе и Enter для удержания. Это выглядит логично с точки зрения поведения и реже триггерит защиту.

Для имитации настоящего клика фреймворки вроде Playwright используют протокол Chrome DevTools Protocol (CDP). Но антибот-системы научились детектировать инъекции CDP, проверяя специфические глобальные переменные, такие как window.__playwright__binding__.

Радикальное решение 2026 года — патчинг исходного кода на уровне C++. Инструменты вроде Cloakbrowser вносят изменения напрямую в классы диспетчера событий Chromium (например, EventDispatcher). В результате браузер нативно генерирует события с isTrusted: true без использования CDP, что моментально поднимает траст в системах оценки (например, в reCAPTCHA v3 с 0.1 до 0.9).

Сенсорная телеметрия: Touch Events API

Если вы подменяете User-Agent на мобильный, чтобы получить легкую версию сайта, защита переключается на проверку физиологии касания экрана.

Тщательно анализируются свойства объекта Touch:

  • force: сила нажатия от 0.0 до 1.0.
  • radiusX и radiusY: площадь соприкосновения пальца с экраном.
  • altitudeAngle: угол наклона пальца или стилуса.

Человек не способен удерживать палец на дисплее с идеально ровным давлением. Статичное значение force = 1.0 на протяжении всех трех секунд удержания — это стопроцентный маркер бота. Дополнительная проблема мобильной эмуляции кроется в строгих Content Security Policy (CSP). Если политики WebView блокируют загрузку скриптов с challenges.cloudflare.com, виджет зависает.

Квантованный джиттер, энтропия Шеннона и автоэнкодеры

Проверяется не только сам клик, но и траектория курсора. Защита замеряет квантованный джиттер — микро-колебания и корректировки направления с частотой выборки 60+ раз в секунду. Аналитики данных используют метрику «энтропия Шеннона» (Shannon entropy), чтобы оценить математическую хаотичность ускорения мыши в сравнении с естественным тремором человеческой руки.

Для обхода этого барьера разработчики применяют сложную математику:

  • Кубические кривые Безье для построения плавной базовой траектории.
  • Закон Фиттса (Fitts's Law) для расчета реалистичных таймингов разгона и торможения перед целью.
  • Шум Перлина для добавления стохастических микро-корректировок.

Платформы поведенческой аналитики (UEBA) внедряют непрерывную аутентификацию с использованием глубоких нейросетей, в частности LSTM-автоэнкодеров. Если виджет пройден идеально, но после этого мышь начала двигаться по прямым линиям, сессия будет принудительно терминирована.

Сетевые отпечатки: JA4, QUIC и инъекция энтропии

Идеальная кинематика мыши бесполезна, если сетевой уровень (Layer 4/7) выдает скрипт. Проверка на человечность начинается еще на этапе TLS-хендшейка, до отправки HTTP-заголовков.

Алгоритмы JA3 и более современный JA4 формируют отпечаток клиента по списку поддерживаемых шифров и расширений. Дефолтные библиотеки, такие как Python requests, распознаются и блокируются мгновенно. AWS WAF и CloudFront теперь поддерживают нативный форвардинг JA4-отпечатков прямо на edge-серверах, что позволяет отсекать целые ботнеты, даже если они используют ротацию из тысяч IP-адресов. Дополнительно анализируются структура фреймов HTTP/2, HTTP/3 и специфические сигналы QUIC 0-RTT.

Обычный спуфинг (например, через curl-impersonate) теряет эффективность против систем, ищущих статичные паттерны. Актуальный стандарт — «инъекция энтропии». Это динамическая перетасовка протоколов прикладного уровня (ALPN Shuffling) и ротация алгоритмов обмена ключами (Key Shares), благодаря чему каждый новый хендшейк выглядит уникально.

Инструментарий 2026 года и протокол Juggler

Популярный плагин puppeteer-extra-plugin-stealth окончательно устарел. Системы вроде DataDome легко вычисляют его по характерным следам подмены (monkey-patching) объектов JavaScript.

Индустрия перешла на нативные и архитектурно независимые решения:

Инструмент Технология скрытности Обнаружение Примечание
Vanilla Playwright Отсутствует 100% Только для локальных тестов
Puppeteer Stealth JS-инъекции 80% Оставляет следы подмены
Nodriver Асинхронный CDP Низкое Работает без драйверов WebDriver
Camoufox C++ модификация Firefox 0% Использует протокол Juggler вместо CDP
Cloakbrowser C++ патчи Chromium 0% Нативно решает проблему isTrusted

Отдельного внимания заслуживает Camoufox. В то время как защитные скрипты агрессивно ищут следы Chrome DevTools Protocol (CDP), Camoufox управляет браузером через кастомный протокол Juggler, разработанный специально для Firefox. Поскольку Juggler не является частью движка Chromium, он остается полностью невидимым для антибот-систем, обеспечивая нулевой уровень обнаружения в бенчмарках.

Специфика работы с API-солверами

Многие команды предпочитают делегировать прохождение интерактивных вызовов коммерческим API-сервисам (таким как CapSolver). В 2026 году стоимость решения Cloudflare Turnstile составляет около $1.20 за 1000 успешных токенов.

При интеграции таких сервисов есть один критический нюанс. Валидационный токен (например, cf_clearance от Cloudflare) криптографически привязывается к IP-адресу, с которого решалась задача. Нельзя решить вызов на сервере солвера, а затем передать токен вашему скраперу с другим IP. Сервис-солвер и ваш скрипт обязаны проксировать трафик через один и тот же выходной узел, иначе токен будет моментально отклонен.

Итог

Успешный обход «Press and Hold» в требует оркестрации на всех уровнях стека. Агрессивный старт с "холодных" сессий всегда приводит к бану по IP. Базовые правила выживания сегодня — это прогрев профилей (накопление куки), использование качественных резидентных прокси и жесткий контроль консистентности слоев профиля (чтобы User-Agent соответствовал метрикам рендеринга и TLS-отпечатку). Выживают только те скраперы, которые способны синтезировать правильные математические и криптографические несовершенства реального человека.