ما هي reCAPTCHA؟
reCAPTCHA هي نظام أمان استجابة تحدي طُورت في الأصل في جامعة Carnegie Mellon واستحوذت عليها Google في عام 2009. والغرض الأساسي منها هو منع البرامج الآلية — الشائعة تسمى بوتات — من تقديم النماذج وإنشاء الحسابات أو الإدلاء بالأصوات على تطبيقات الويب، مع السماح للمستخدمين البشريين الحقيقيين بالمرور بدون احتكاك.
الآلية التقنية
أصدرت Google ثلاث إصدارات رئيسية من reCAPTCHA، كل منها يقلل بشكل تدريجي من الاحتكاك المرئي للمستخدمين الشرعيين.
reCAPTCHA v1 — قدمت اللغز النصي المشوه الكلاسيكي الذي كان يتطلب من المستخدمين فك تشفير الأحرف الملتوية. بينما كان فعالاً في البداية، تم في النهاية هزيمة هذا النهج بواسطة التعرف على الصور المدفوع بالتعلم الآلي.
reCAPTCHA v2 — قدمت خانة “أنا لست روبوت” المألوفة الآن. خلف هذه النقرة الواحدة، يحلل محرك المخاطر من Google بصمة من الإشارات السلوكية: مسار حركة الماوس، نمط التوقيت للضغطات على لوحة المفاتيح التي تسبق النقرة، سمات الجهاز والمتصفح، وسجل التصفح السابق المرتبط بـ Google cookies للمستخدم. تتلقى الجلسات المريبة تحدياً ثانوياً لتحديد الصور (على سبيل المثال، “حدد كل إشارات المرور”).
reCAPTCHA v3 — الإصدار الموصى به الحالي من Google، غير مرئي تماماً. يعمل بشكل مستمر في الخلفية ويعيد درجة عائمة بين 0.0 (من المحتمل جداً أن تكون بوتة) و 1.0 (من المحتمل جداً أن تكون بشراً). يقرر مالك الموقع أي حد درجة يؤدي إلى حظر أو تحدٍ ثانوي أو التحقق الإضافي. لا يتطلب أي تفاعل من المستخدم أبداً لجلسات عالية الثقة.
متى يتم استخدام reCAPTCHA؟
تنشر منصات المسابقات والتصويت reCAPTCHA في نقطة نهاية تقديم الأصوات وغالباً ما يتم نموذج تسجيل الحساب. التكامل يتطلب وضع مقتطف JavaScript صغير من google.com/recaptcha/api.js على الصفحة والتحقق من الرمز الناتج من جانب الخادم بنشره على https://www.google.com/recaptcha/api/siteverify جنباً إلى جنب مع مفتاح السر للموقع. يحتوي رد الخادم على قرار النجاح / الفشل ولـ v3 درجة المخاطر الرقمية.
كيف تتفاعل الأصوات مع reCAPTCHA
عندما ينقر الزائر على زر الصوت على مسابقة محمية بـ reCAPTCHA، تجمع الأداة بصمت لقطة سلوكية وترسلها إلى بنية تحتية لتحليل المخاطر العالمية من Google. يتم إرفاق رمز الاستجابة (JWT موقعة) بتقديم الصوت. ثم يستدعي الخادم الخلفي للمسابقة واجهة برمجية التحقق من Google قبل تسجيل الصوت. يتم رفض صوت بوتة التي لا تستطيع تنتج رمزاً صحيحاً وجديداً — أو تنتج رمزاً بدرجة v3 منخفضة — بصمت أو تم وضع علم عليه للمراجعة.
يجب على خدمات شراء الأصوات بالتالي الحصول على رموز reCAPTCHA صحيحة لتقديم الأصوات بنجاح. تحدث Google باستمرار نماذج الكشف الخاصة بها، مما يعني أن الأساليب التي عملت في الأشهر السابقة قد تتوقف عن العمل مع إعادة تدريب محرك المخاطر.
تفاصيل بائع Google المحددة
يتم تشغيل reCAPTCHA بموجب البنية التحتية وشروط خدمة Google. تستهلك أنظمة Google سجل التصفح والبيانات الوصفية السلوكية المرتبطة بحسابات Google لتحسين دقة كشف البوتات. يسجل مالكو الموقع مجالهم على https://www.google.com/recaptcha/admin للحصول على زوج مفتاح الموقع ومفتاح السر. يمكن لعملاء المؤسسات الوصول إلى reCAPTCHA من خلال منتج reCAPTCHA Enterprise من Google Cloud، الذي يوفر إشارات إضافية وتفسيرات درجات دقيقة وضمانات وقت التشغيل المدعومة بـ SLA.
الاستخدامات الشرعية
بعيداً عن تصويت المسابقات، يتم نشر reCAPTCHA على صفحات سحب التجارة الإلكترونية لمنع هجمات ملء بيانات الاعتماد، على نماذج التعليقات لحظر البريد العشوائي، على تدفقات إعادة تعيين كلمة المرور لمنع محاولات الاستيلاء على الحسابات الآلية، وعلى منصات بيع التذاكر لمنع بوتات المتداولين من شراء كل المخزون من الحدث في الميلي ثانية من الإصدار.
زاوية منع الاحتيال
من وجهة نظر منع الاحتيال، يكون نموذج التصنيف المستمر لـ reCAPTCHA v3 ذا قيمة خاصة لمشغلي المسابقات لأنه يمكنه تطبيق تصنيف المخاطر على كل عرض صفحة، وليس فقط لحظة تقديم الصوت. يمكن وضع علم على الأنماط الشاذة — مثل مئات الأصوات من نفس الشبكة الفرعية في ثوانٍ، أو الجلسات بدون سجل التنقل السابق — بأثر رجعي، مما يتيح إلغاء الأصوات الجماعية دون التأثير على تجربة المشاركين الحقيقيين.
