reCAPTCHA v3

التعريف

reCAPTCHA v3 هو الإصدار الرئيسي الثالث من خدمة CAPTCHA من Google، أُصدر في أكتوبر 2018. وعلى عكس سابقَيه — اللذين كانا يطلبان من المستخدمين تحديد مربع أو حل ألغاز صور — فإن v3 سلبي تمامًا. يعمل بصمت في خلفية المتصفح، فيراقب تفاعلات المستخدم عبر الصفحة، وينتج درجة مخاطر رقمية يستخدمها مالك الموقع ليقرر كيف يتعامل مع الجلسة. درجة 1.0 تمثل ثقة عالية بأن الزائر إنسان؛ ودرجة 0.0 تشير إلى حركة آلية شبه مؤكدة.

يبني النظام على بنية reCAPTCHA v2 لكنه يزيل احتكاك التحديات الصريحة للمستخدم. الهدف المعلن من Google كان إزالة تفاعل “أنا لست روبوتًا” تمامًا للأغلبية الساحقة من المستخدمين الشرعيين، فيقلل معدلات هجر العربة وإسقاط النموذج مع الحفاظ على تغطية كشف البوتات أو تحسينها.

كيف يعمل reCAPTCHA v3

يعمل reCAPTCHA v3 عبر مكتبة JavaScript مُحمَّلة من https://www.google.com/recaptcha/api.js. بمجرد التحميل، يبدأ بجمع بصمة سلوكية بشكل سلبي للجلسة الحالية. تشمل الإشارات المُجمَّعة مسارات حركة الفأرة وسلوك التمرير وأنماط التوقيت بين النقرات وتسلسل تفاعلات DOM وعمر ونشاط كوكي حساب Google في المتصفح (إن وُجد) وخصائص شبكة الاتصال الناشئ.

عندما يرغب مالك الموقع في تقييم إجراء معين — مثل إرسال نموذج أو نقر زر تصويت — يستدعي grecaptcha.execute(siteKey, {action: 'vote'}). يطلق ذلك بنية تحليل المخاطر لدى Google لحساب درجة للجلسة وإرجاع رمز موقّع (JSON Web Token) إلى المتصفح. ثم يُرسل الرمز مع بيانات النموذج.

على جانب الخادم، يرسل التطبيق المستلم الرمز إلى نقطة التحقق لدى Google على https://www.google.com/recaptcha/api/siteverify، إلى جانب المفتاح السري للموقع. تتضمن استجابة Google الدرجة الرقمية والطابع الزمني واسم الإجراء وتأكيد اسم المضيف. يضع مطور التطبيق عتبة — عادةً 0.5 — يُحظر تحتها الإرساليات أو تُعلَّم لمراجعة إضافية أو تُرسل إلى تحدٍّ ثانوي مثل reCAPTCHA v2.

reCAPTCHA Enterprise، وهي الفئة المدفوعة المتاحة عبر Google Cloud، توسّع v3 بإشارات إضافية وشروحات للدرجات مفصّلة بحسب العامل المساهم وميزات Account Defender وضمانات اتفاقية مستوى الخدمة.

أين تصادفه

يُنشر reCAPTCHA v3 عبر طيف واسع من خصائص الويب حيث يكون التحقق الخالي من الاحتكاك أولوية. تدمجه منصات المسابقات والسحوبات على نقطة نهاية إرسال الصوت ونموذج تسجيل الحساب. تستخدمه منصات التجارة الإلكترونية عند السداد لمنع حشو بيانات الاعتماد. تستخدمه المنشورات الإخبارية على نقاط نهاية إرسال التعليقات. تطبقه شركات الخدمات المالية على تدفقات إعادة تعيين كلمة المرور وتحويل الأموال. تستخدمه منصات بيع التذاكر لإبطاء بوتات السماسرة في عمليات البيع المرتفعة الطلب.

ولأن v3 غير مرئي، فوجوده على الصفحة ليس واضحًا للمستخدمين العاديين — فقط المطورون الذين يفحصون مصدر الصفحة أو يراقبون حركة الشبكة سيلاحظون استدعاءات API لـrecaptcha.

أمثلة عملية

تدمج مسابقة تصوير إقليمية مستضافة على موقع مخصص reCAPTCHA v3 على نقطة نهاية التصويت. كل إرسال صوت يُطلق استدعاء grecaptcha.execute. الإرساليات بدرجة أقل من 0.3 تُتجاهل بصمت؛ وبين 0.3 و0.5 تُسجَّل لمراجعة دفعية في نهاية المسابقة؛ وفوق 0.5 تُسجَّل فورًا. يراجع مشغّل المسابقة الإرساليات المحجوزة ويستبعد أيًا منها يتشارك بصمات أجهزة أو ينشأ من نطاقات IP مركزة.

تجري منظمة وطنية غير ربحية مسابقة منح حيث تحدد الأصوات العامة جزءًا من تخصيص التمويل. تستخدم المنصة reCAPTCHA v3 بالاقتران مع تأكيد البريد. تُحفظ درجة CAPTCHA مع كل سجل صوت، مما يتيح للمدير إعادة تعيين عتبة البيانات بعد إغلاق المسابقة — أي ضبط حساسية رفض البوتات بأثر رجعي بناءً على توزيع الدرجات المرصود.

ينشر برنامج جوائز طلابية جامعي reCAPTCHA Enterprise للاستفادة من شروحات الدرجات. يُظهر سجل التدقيق أن طفرة من أصوات منخفضة الدرجة على ترشيح واحد نشأت من شبكة فرعية واحدة، ويُعدَّل عدد أصوات الترشيح وفق ذلك قبل إعلان الفائزين.

مفاهيم ذات صلة

يقع reCAPTCHA v3 إلى جانب أجيال CAPTCHA السابقة في النظام البيئي الكشفي نفسه. يغطي المدخل الأساسي لـreCAPTCHA ميكانيكا v1 وv2 بالتفصيل. hCaptcha وCloudflare Turnstile أنظمة منافسة تقدم تنازلات مختلفة حول الخصوصية ونوع التحدي والاعتماد على المورد. تصف القياسات الحيوية السلوكية الفئة الأوسع لقياس التفاعل السلبي التي تكمن وراء نهج تهديف reCAPTCHA v3.

القيود والملاحظات

يُفوّض reCAPTCHA v3 قرار عتبة المخاطر كليًا إلى مشغّل الموقع، مما يخلق تباينًا عبر النشرات. موقع يضع عتبته عند 0.3 يقبل حركة بوت أكثر بكثير من موقع يضعها عند 0.7. لا تنشر Google الإشارات أو الأوزان المحددة وراء الدرجة، مما يجعل التدقيق المستقل مستحيلًا. كذلك ولأن النظام يعتمد جزئيًا على telemetry حساب Google، قد يتلقى المستخدمون غير المسجلين في حسابات Google — أو الذين يستخدمون متصفحات تحظر كوكيز Google — درجات أقل مما يستحقه سلوكهم، فتُحتمل إيجابيات كاذبة للناخبين الشرعيين.