ما هو Cloudflare Turnstile؟
Cloudflare Turnstile هي خدمة بديلة CAPTCHA أطلقتها Cloudflare في سبتمبر 2022 وأتاحتها للجميع خلال نفس العام. على عكس أنظمة CAPTCHA التقليدية التي تتطلب من المستخدمين حل الألغاز البصرية، يقوم Turnstile بالتحقق بشكل غير مرئي في معظم الحالات، باستخدام مزيج من التحديات المتصفح غير التفاعلية وإشارات توثيق الجهاز وشبكة الذكاء التهديد العالمية لـ Cloudflare لتحديد ما إذا كان الزائر إنسانًا أم روبوتًا.
الآلية التقنية
تعتمد بنية Turnstile على ثلاث آليات رئيسية تعمل بالتسلسل.
رموز الوصول الخاصة (PAT): على المنصات المدعومة — iOS 16+، macOS Ventura+، والمتصفحات التي تدعم HTTP Attestation API — يطلب Turnstile شهادة تشفير من الشركة المصنعة للجهاز (Apple عبر iCloud)، مما يؤكد أن الجهاز حقيقي وليس مخترقًا. هذه الإشارة الواحدة غالبًا ما تكون كافية لإصدار تمرير دون أي تحدٍ إضافي.
تحديات المتصفح: بالنسبة للبيئات التي لا تدعم PAT، يقوم Turnstile بتشغيل سلسلة من إثباتات عمل JavaScript غير التفاعلية وفحوصات التوافقية في المتصفح. تحقق هذه من الفروق الدقيقة في كيفية تنفيذ متصفح حقيقي لـ JavaScript مقابل كيفية محاكاة متصفح بدون رأس أو إطار عمل روبوت له. يرى الزائر أداة دوارة تصل إلى علامة اختيار خضراء في ثانية إلى ثانيتين.
وضع الرجوع المدار: إذا كانت إشارات السلوك والتوثيق غير قاطعة، يمكن لـ Turnstile الصعود إلى تحدٍ مرئي (ولكن خالٍ من الألغاز). يستنير ذكاء التهديد من Cloudflare، المستمد من الملاحظات عبر ملايين المواقع على شبكتها، تسجيل المخاطر في كل خطوة.
التكامل يتطلب إضافة https://challenges.cloudflare.com/turnstile/v0/api.js وعنصر <div class="cf-turnstile">. التحقق من جانب الخادم يستخدم طلب POST إلى https://challenges.cloudflare.com/turnstile/v0/siteverify.
متى يتم استخدام Cloudflare Turnstile؟
Turnstile جذاب بشكل خاص لمشغلي المسابقات لأنه يفرض احتكاكًا صفريًا تقريبًا على الناخبين الشرعيين — لا شبكات صور، لا نصوص مشوهة، لا خانات اختيار. يتم نشره على نماذج تقديم الأصوات وصفحات التسجيل ونقاط نهاية التعليقات وأي تقديم نموذج معرض للجمهور. يغطي المستوى المجاني غير محدود من التحققات، مما يجعله فعالاً من حيث التكلفة بأي حجم.
كيفية تفاعل الأصوات مع Cloudflare Turnstile
عندما يصل الناخب إلى نموذج التقديم، يتم تحميل أداة Turnstile وتبدأ سلسلة التوثيق الصامتة. في غضون ثوانٍ تصدر رمزًا قصير الأجل (صالح لمدة خمس دقائق تقريبًا). يتم تقديم الصوت مع هذا الرمز، ويتحقق الخادم الخلفي للمسابقة من الرمز مقابل API من Cloudflare قبل الحفاظ على سجل الصوت. الرموز المنتهية الصلاحية أو المعاد استخدامها أو المزيفة يتم رفضها.
السرعة واللاوضوح من Turnstile يعني أن الأنماط المؤتمتة لا يمكنها بسهولة تمييز نموذج محمي بـ Turnstile عن نموذج غير محمى من خلال الفحص البصري، ومع ذلك فإن إطارات الروبوت التي تفتقر إلى داخليات متصفح حقيقية أو شهادات جهاز صحيحة تفشل باستمرار في التحديات الأساسية.
تفاصيل بائع Cloudflare
يتم تشغيل Turnstile بواسطة Cloudflare، Inc. ويحكمه سياسة الخصوصية الخاصة بـ Cloudflare، التي تنص صراحةً على أن Turnstile لا تعيّن ملفات تعريف ارتباط التتبع أو تبني ملفات تعريف المستخدم للإعلان. تؤكد Cloudflare أنها لا تحقق ربحًا من البيانات المجمعة أثناء تفاعلات التحدي. يحصل مالكو المواقع على مفتاح الموقع والمفتاح السري من لوحة تحكم Cloudflare ضمن قسم Turnstile، حيث يمكنهم أيضًا مراجعة معدلات النجاح ونتائج التحدي وأنماط حركة المرور الشاذة. يتكامل Turnstile بشكل طبيعي مع Cloudflare Pages و Workers، مما يجعل النشر بسيطًا بشكل خاص للمواقع الموجودة بالفعل على نظام Cloudflare البيئي.
الاستخدامات الشرعية
وراء منع احتيال المسابقات، يتم استخدام Turnstile من قبل منظمات الإعلام لحماية أقسام التعليقات، من قبل شركات SaaS لحماية تدفقات التسجيل وإعادة تعيين كلمات المرور، من قبل منصات الألعاب لمنع الإنشاء المؤتمت للحسابات، وبواسطة تجار التجزئة عبر الإنترنت لحماية عمليات الإفراج عن المنتجات عالية الطلب من روبوتات العاملين بالعمولة.
زاوية منع الاحتيال
يعتمد Turnstile على ذكاء التهديد على نطاق الشبكة من Cloudflare وهو ميزة هيكلية لمنع الاحتيال. يمكن لـ IP روبوت أو بصمة روبوت لوحظ الإساءة على أي من ملايين ممتلكات Cloudflare المحمية أن يتم وضع علامة عليها عالميًا في غضون دقائق. بالنسبة لمشغلي المسابقات، هذا يعني أن حملات احتيال التصويت المنسقة باستخدام البنية التحتية للروبوت المشترك من المرجح أن تواجه معدلات تحدٍ مرتفعة حتى لو لم تتم ملاحظة الحملة على منصة المسابقة المحددة من قبل.
