מה זה reCAPTCHA?
reCAPTCHA היא מערכת אתגר-תגובה לאבטחה שפותחה במקור בכללת קרנגי מלון וברכשה Google בשנת 2009. התכליתה העיקרית היא לחסום תוכניות אוטומטיות — הנקראות בדרך כלל בוטים — מהגשת טפסים, יצירת חשבונות או הצבעה על יישומי אינטרנט, תוך מתן היתר למשתמשים אנושיים להעביר ללא חיכוך.
מנגנון טכני
Google שחררה שלוש גרסאות ראשיות של reCAPTCHA, כל אחת מכיווד הפחתה נראה לחיכוך משתמשים חוקיים.
reCAPTCHA v1 הציגה את הפאזל הטקסט-עיוות הקלאסי המדורג הדורש משתמשים לפענח דמויות מעוקלות. בעוד זה היה יעיל בתחילה, גישה זו בסופו של דבר היתה מנוצחת על-ידי הכרת תבנית מכונות למידה של תמונה.
reCAPTCHA v2 הכניסה את תיבת ה-”אני לא רובוט” המוכרת עכשיו. מאחורי הלחיצה היחידה הזו, מנוע הסיכון של Google מנתח טביעת אצבע של איתות התנהגות: מסלול התנועה של העכבר, דפוס תזמון של הקלות מקש עד ללחיצה, תכונות מכשיר וגלוג תצפית, והיסטוריית גלישה קודמת הקשורה לעוגיות Google של המשתמש. פגישות החשודות מקבלות אתגר תמונה משנית (למשל, “בחר את כל רמזורים”).
reCAPTCHA v3, הגרסה הנוכחית המומלצת של Google, בלתי נראה לחלוטין. זה פועל ברציפות ברקע ומחזיר ציון מספר בחיבור בין 0.0 (כמעט בטוח רובוט) ו-1.0 (כמעט בטוח אנושי). בעל האתר מחליט איזה סף ציון זוקק חסימה, אתגר משנית, או אימות נוסף. אנושות לא נדרשת אף פעם לפגישות בעלות אמון גבוה.
מתי משתמשים ב-reCAPTCHA?
פלטפורמות תחרות והצבעה משדרות reCAPTCHA בנקודת-קצה הגשת-קול, בטופס הרישום לחשבון, ולעתים גם בדף הכניסה. השילוב דורש הצבת קטע ג’אווה קטן מ-google.com/recaptcha/api.js בעמוד ואימות האסימון המתקבל בצד השרת על-ידי שליחתו ל-https://www.google.com/recaptcha/api/siteverify יחד עם מפתח הסוד של האתר. תגובת השרת מכילה את הגזר/הישיבה עדכניות ועבור v3, את ציון הסיכון המספרי.
כיצד קולות מתקשרים עם reCAPTCHA
כאשר מבקר לוחץ על כפתור הצבעה בתחרות מוגנת reCAPTCHA, הווידג’ט בשקט אוסף תמונת התנהגות וקובע אותה לתשתית ניתוח סיכונים גלובלית של Google. אסימון התגובה (JWT חתום) מצורף להגשת הקול. תא האתר לאחר מכן קורא ל-API אימות של Google לפני הרישום של הקול. רובוט שלא יכול להפקת אסימון reCAPTCHA תקף טרי — או מפיק אסימון עם ציון v3 נמוך — יש הצבעה שלו בשקט נדחתה או סימנו לסקירה.
שירותי קניית קול חייבים לכן לרכוש אסימוני reCAPTCHA תקפים כדי להגיש קולות בהצלחה. Google ברציפות מעדכנת את דגמי הגילוי שלה, מה שאומר שגישות שעבדו בחודשים קודמים עלולות להפסיק לעבוד כמנוע הסיכון מתרגל מחדש.
מפרטי ספק Google
reCAPTCHA מופעלת תחת תשתיות Google ותנאי שירות. מערכות Google סופגות היסטוריית גלישה ותלמטריית התנהגות הקשורה לחשבונות Google כדי לשפר דיוק גילוי בוטים. בעלי אתרים רושמים את הדומיין שלהם ב-https://www.google.com/recaptcha/admin כדי לקבל זוג מפתח אתר ומפתח סוד. לקוחות Enterprise יכולים לגשת ל-reCAPTCHA דרך מוצר reCAPTCHA Enterprise של Google Cloud, המציע איתות נוסף, הסברי ציון חלקיקים, וערבויות SLA בעלות זמן פעולה.
שימושים חוקיים
מעבר להצבעות בתחרויות, reCAPTCHA מופעלת בדפי תשלום תמורה-מסחר כדי למנוע הצבעת רישום כושר, בטפסי הערה כדי לחסום דואר זבל, בתזרימי אפס סיסמה כדי לחסום ניסיונות השתלטות חשבון אוטומטיים, ובפלטפורמות מכירת כרטיסים כדי למנוע בוטי מוכרים מלקנות מלאי אירוע שלם תוך מילישניות של שיחרור.
זווית מניעת הונאה
מנקודת מבט מניעת הונאה, מודל ניקוד עם סיכון מתמשך של reCAPTCHA v3 חשוב במיוחד עבור מפעילי תחרויות מכיוון שיכול להחיל ניקוד סיכון לכל צפייה בעמוד, לא רק ברגע הגשת-קול. דפוסים אנומליים — כגון מאות קולות המקורם מאותו תת-רשת תוך שניות, או פגישות ללא היסטוריית ניווט קודמת — יכולות להיות מסומנו לאחרונה, מה שאפשר שלילת קול בתפזורת ללא השפעה על חוויית משתתפים אמיתיים.
