scraping.
חזרה לכל המאמרים

המדריך המלא לפתרון CAPTCHAs ב-Web Scraping

8 במאי 20268 דק׳ קריאה
ציור מופשט של מבוך לוגי עם קווים וצורות גיאומטריות בצבעי כחול נייבי וכתום, המסמל את המורכבות של פתרון קאפצ'ה.

למה בכלל צריך לדבר על CAPTCHAs?

כי זה קיר. אתה בונה סקרייפר, הכל עובד חלק, אתה מריץ אותו על 10,000 בקשות, ופתאום נעצר. 95% מהבקשות נכשלות. אתה פותח את ה-HTML ששמרת ורואה את זה: "Verify you are human". זה הרגע שבו פרויקט scraping הופך מפשוט למורכב. זה המחסום שנועד לעצור אותך, והוא הופך נפוץ יותר ויותר.

ב-8 שנותיי בתחום, ראיתי את המחסומים האלה מתפתחים. פעם, קאפצ'ה פשוטה של טקסט מעוות הייתה הבעיה. היום אנחנו מתמודדים עם מערכות מורכבות שמנתחות כל תנועת עכבר. אבל החדשות הטובות הן שגם הכלים שלנו התפתחו. המדריך הזה הוא לא תיאוריה. הוא אוסף של טקטיקות מהשטח, כאלה שעובדות ב-2025.

סוגי ה-CAPTCHA שתפגוש בשטח

לא כל הקאפצ'ות נולדו שוות. זיהוי האויב הוא הצעד הראשון. יש ארבעה סוגים עיקריים שתתקל בהם, ולכל אחד יש ניואנסים משלו.

Google reCAPTCHA (v2/v3)

הסבא של התחום. reCAPTCHA v2 היא תיבת הסימון הקלאסית של "I'm not a robot". לפעמים היא עוברת בלחיצה, ולפעמים היא פותחת רשת של תמונות (תמרורים, אוטובוסים, אופניים). היא מאתגרת אינטראקטיבית. reCAPTCHA v3, לעומת זאת, היא בלתי נראית. היא רצה ברקע ומעניקה לכל משתמש ציון בין 0.0 (בוט ודאי) ל-1.0 (אנושי ודאי). אם הציון שלך נמוך מדי, האתר יחסום אותך או יציג לך אתגר נוסף. היא הרבה יותר קשה לעקיפה כי היא מבוססת על ניתוח התנהגות.

Cloudflare Turnstile

היורש המודרני של reCAPTCHA, וצובר פופולריות במהירות מסחררת. Cloudflare טוענים שהוא פחות פולשני ומתמקד באתגרים חישוביים קלים שרצים ברקע בדפדפן, במקום לבקש ממך לזהות תמונות. הוא נראה כמו ווידג'ט טעינה פשוט שאומר "Verifying..." ולרוב נפתר אוטומטית תוך 1-3 שניות עבור משתמשים לגיטימיים. לסקרייפרים, הוא עדיין מחסום שדורש ביצוע JavaScript מורכב בסביבת דפדפן אמינה. אם אתם נתקלים בחסימות של Cloudflare, סביר להניח ש-Turnstile הוא חלק מהבעיה. תוכלו לקרוא עוד על איך לעקוף את Cloudflare במדריך הייעודי שלנו.

hCaptcha

האלטרנטיבה שמתמקדת בפרטיות. hCaptcha מספקת אתגרים דומים ל-reCAPTCHA v2 (בחירת תמונות לפי נושא), אבל היא לא משתמשת במידע לגוגל. היא נפוצה באתרים שרוצים להתרחק מהאקוסיסטם של גוגל ולעיתים משמשת כשכבת הגנה נוספת על ידי Cloudflare. האתגרים שלה יכולים להיות מעט יותר קשים ומגוונים מאלה של reCAPTCHA.

פאזלים וחידות תמונה

אלה פחות סטנדרטיים אבל קיימים, בעיקר באתרים אסיאתיים או באפליקציות. מותגים כמו GeeTest או FunCAPTCHA מציגים אתגרים כמו הזזת חתיכת פאזל למקום הנכון, סיבוב אובייקט תלת-ממדי או זיהוי תבניות מורכבות. הם דורשים לרוב פתרונות מותאמים אישית או שירותי פתרון שיודעים להתמודד ספציפית איתם.

ארגז הכלים: שירותי פתרון CAPTCHA

אז איך פותרים את כל זה? התשובה הקצרה: אתה לא. אתה נותן למישהו אחר לעשות את זה. שירותי פתרון CAPTCHA הם צבא של עובדים אנושיים ו-AI שמקבלים ממך את פרטי האתגר דרך API ומחזירים לך אסימון (token) פתור.

השחקנים המרכזיים בשוק הם 2Captcha, Anti-Captcha, ו-Capsolver. הרעיון זהה בכולם: אתה שולח להם את ה-`site-key` של הקאפצ'ה (מזהה ייחודי שנמצא ב-HTML של העמוד) ואת כתובת ה-URL, והם מחזירים לך token. את ה-token הזה אתה מצרף לבקשה שלך (למשל, בטופס התחברות) והאתר מקבל אותך כאילו פתרת את הקאפצ'ה בעצמך.

הנה דוגמה בסיסית בפייתון לאיך התהליך נראה מול API של שירות כזה:

import requests
import time

# פרטים לדוגמה עבור שירות פתרון
API_KEY = "YOUR_API_KEY"
SOLVER_ENDPOINT = "https://api.capsolver.com/createTask"
RESULT_ENDPOINT = "https://api.capsolver.com/getTaskResult"
PAGE_URL = "https://example.com/login"
SITE_KEY = "6Le-wvkSAAAAAPBMRTvw0Q4Muexq9bi0DJwx_mJ-" # דוגמה ל-sitekey של reCAPTCHA v2

# 1. יצירת משימה לפתרון
task_payload = {
    "clientKey": API_KEY,
    "task": {
        "type": "ReCaptchaV2TaskProxyLess",
        "websiteURL": PAGE_URL,
        "websiteKey": SITE_KEY
    }
}
response = requests.post(SOLVER_ENDPOINT, json=task_payload)
task_id = response.json().get("taskId")

if not task_id:
    print(f"Failed to create task: {response.text}")
else:
    # 2. המתנה לפתרון (Polling)
    solution = None
    start_time = time.time()
    while not solution and (time.time() - start_time) < 120: # Timeout of 2 minutes
        time.sleep(5)
        result_payload = {"clientKey": API_KEY, "taskId": task_id}
        response = requests.post(RESULT_ENDPOINT, json=result_payload)
        task_data = response.json()
        task_status = task_data.get("status")
        
        if task_status == "ready":
            solution = task_data.get("solution", {}).get("gRecaptchaResponse")
            break
        elif task_status == "failed":
            print(f"CAPTCHA solve failed: {task_data.get('errorDescription')}")
            break

    if solution:
        print(f"Got token: {solution[:30]}...")
        # 3. כאן תשתמש ב-token בבקשה שלך עם Requests או Playwright
    else:
        print("Failed to get solution in time.")

האמת על זמנים ועלויות

פתרון קאפצ'ה הוא לא מיידי. זה לוקח זמן, וזה עולה כסף. הציפייה לקבל פתרון תוך שנייה אינה ריאלית. הנה כמה מספרים מהשטח:

  • reCAPTCHA v2: לרוב לוקח בין 15 ל-45 שניות לקבל פתרון. העובד האנושי בצד השני צריך לראות את התמונות וללחוץ.
  • hCaptcha: דומה ל-reCAPTCHA, לפעמים קצת יותר ארוך, סביב 20-60 שניות.
  • Cloudflare Turnstile: כאן הפתרונות מבוססי AI לרוב מהירים יותר, סביב 5-15 שניות.
  • reCAPTCHA v3/Enterprise: אלו האתגרים הקשים ביותר. הם דורשים מהשירות להשתמש בפרוקסי איכותי עם "ציון אמון" גבוה. הפתרון יכול לקחת 30-90 שניות, והסיכוי לכישלון גבוה יותר.

העלות היא פר פתרון. זה אולי נשמע זניח, אבל כשאתה עושה scraping למאות אלפי עמודים, זה מצטבר מהר מאוד והופך לחלק משמעותי מהוצאות התפעול. לכן, חשוב לנהל את זה חכם.

מתי *לא* לפתור קאפצ'ה (ומה לעשות במקום)

זה אולי יישמע מוזר במדריך על פתרון קאפצ'ות, אבל הטקטיקה הטובה ביותר היא לפעמים פשוט להימנע מהן. פתרון קאפצ'ה צריך להיות המוצא האחרון, לא ברירת המחדל.

למה? כי קאפצ'ה היא סימפטום, לא הבעיה עצמה. היא מופיעה כי האתר זיהה אותך כבוט. אם תשנה את הגישה שלך כך שתיראה פחות כמו בוט, ייתכן שהקאפצ'ה כלל לא תופיע. זו הגישה הנכונה והחסכונית יותר ב-90% מהמקרים.

אז מה עושים? מחליפים פרוקסי. אם אתה משתמש בפרוקסי של דאטה סנטר והאתר מציג לך קאפצ'ה, אל תשלם כדי לפתור אותה. במקום זה, שלח את הבקשה מחדש דרך פרוקסי residencial. כתובת IP של משתמש ביתי אמיתי נראית הרבה יותר אמינה. לעיתים קרובות, עצם המעבר לפרוקסי איכותי יותר יגרום לקאפצ'ה להיעלם לחלוטין. זה אולי נראה יקר יותר פר-GB, אבל זה חוסך את העלות וזמן ההמתנה של פתרון אלפי קאפצ'ות.

תרחיש כישלון קלאסי: לולאת הקאפצ'ות

הנה סיפור אמיתי שהשבית לי סקרייפר לשעות. הייתי צריך לאסוף נתונים מאתר e-commerce גדול שהשתמש ב-reCAPTCHA v3. בניתי את האינטגרציה עם שירות פתרונות, והכל נראה תקין. הסקרייפר התחיל לרוץ, שלח את האתגר הראשון, קיבל token, הגיש אותו והצליח לעבור. הצלחה.

אבל אז, בבקשה הבאה, הוא קיבל עוד קאפצ'ה. ושוב פתר. ושוב קיבל אחת. נכנסתי ללולאה אינסופית. שילמתי על כל פתרון, אבל לא התקדמתי. הבעיה לא הייתה בפתרון עצמו, אלא בציון האמון של הפרוקסי שלי. שירות הפתרונות השתמש בפרוקסי משלו כדי לפתור, מה שנתן לי token תקף. אבל כשאני הגשתי את ה-token מהפרוקסי שלי (שהיה מדאטה סנטר זול), האתר ראה חוסר התאמה ומיד הוריד לי את הציון ודרש אימות נוסף. הפתרון היה להשתמש באופציה של שירות הפתרונות שמאפשרת להם להשתמש *בפרוקסי שלי* כדי לפתור את הקאפצ'ה. כך, ה-IP שפותר וה-IP שמגיש את הפתרון זהים, והכל עובד חלק.

סיכום: קאפצ'ה היא לא סוף הדרך

קאפצ'ות הן חלק מהמשחק ב-web scraping מודרני. הן יכולות להיות מתסכלות, אבל הן בהחלט לא מחסום בלתי עביר. הגישה הנכונה היא לראות בהן אתגר הנדסי שיש לנהל בצורה חכמה.

תמיד תעדיפו להימנע מהן באמצעות פרוקסים טובים יותר וטכניקות התגנבות. אבל כשאין ברירה, השתמשו בשירותי הפתרונות בצורה מושכלת. הבינו את העלויות, את זמני ההמתנה, ובנו את ארכיטקטורת ה-scraping שלכם כך שתהיה עמידה ותדע להתמודד עם כישלונות. עם הכלים והטקטיקות הנכונות, שום קאפצ'ה לא תעמוד בדרככם לאורך זמן.

שאלות נפוצות

פתרון של reCAPTCHA v2 דרך שירות ייעודי לוקח בדרך כלל בין 15 ל-45 שניות. הזמן הזה מושפע מהעומס על השירות ומהקושי של אתגר התמונות הספציפי שמוצג. חשוב לתכנן את הלוגיקה של הסקרייפר שלכם כך שתדע להמתין (לבצע polling) לתשובה מה-API של שירות הפתרונות, עם timeout הגיוני של כ-90 שניות למקרה שהפתרון נכשל או מתעכב.

כן, רוב שירותי הפתרונות המובילים כמו Capsolver או Anti-Captcha תומכים ב-Cloudflare Turnstile. מכיוון ש-Turnstile מסתמך פחות על אינטראקציה אנושית ויותר על אתגרים חישוביים שרצים בדפדפן, הפתרונות עבורו מהירים יותר בדרך כלל, ולוקחים בין 5 ל-15 שניות. השירותים האלה מריצים מנועי דפדפן משלהם כדי לייצר את הטוקן הנדרש.

פתרון 'proxy-less' אומר ששירות הפתרונות משתמש בכתובות ה-IP שלו כדי לפתור את הקאפצ'ה. זה זול ופשוט יותר, אבל עלול להיכשל בקאפצ'ות מתקדמות (כמו reCAPTCHA v3) שקושרות את הפתרון ל-IP. פתרון עם פרוקסי מאפשר לכם לספק לשירות את הפרוקסי שלכם. השירות ישתמש ב-IP שלכם כדי לפתור את הקאפצ'ה, מה שמבטיח שה-IP שפתר וה-IP שמגיש את הטוקן זהים, ומגדיל משמעותית את סיכויי ההצלחה.

תיאורטית כן, אבל מעשית זה כמעט בלתי אפשרי בסקייל. פתרון אתגרי תמונות דורש מודלי Computer Vision מתקדמים מאוד, וגם אז גוגל ו-Cloudflare משנות את האתגרים כל הזמן. האתגר האמיתי הוא לא זיהוי התמונה, אלא חיקוי כל ההתנהגות האנושית שמסביב: תנועות עכבר, קצב הקלדה, וטביעת אצבע של הדפדפן. הרבה יותר יעיל וכלכלי להשתמש בשירות ייעודי שעושה זאת כהתמחות מרכזית.

זו בעיה נפוצה והיא בדרך כלל נובעת מאחת משתי סיבות. הראשונה היא חוסר התאמה בטביעת האצבע הדיגיטלית: ה-User-Agent או מאפיינים אחרים של הדפדפן שהשתמשתם בו שונים מאלה ששירות הפתרונות השתמש. השנייה, והסבירה יותר, היא ציון אמון נמוך של כתובת ה-IP שלכם. הטוקן אולי תקף, אבל כשהוא מוגש מ-IP של דאטה סנטר החשוד כבוט, האתר עדיין דוחה את הבקשה. הפתרון הוא להשתמש בפרוקסי איכותי יותר או להעביר את הפרוקסי שלכם לשירות הפתרונות.

אהבתם את הכתבה? הצטרפו לניוזלטר ה-AI.

סיכום שבועי של כל מה שחדש ב-AI, פרומפטים מעשיים וביקורות כלים — ישר למייל שלכם.

הירשמו עכשיו

עוד לקריאה