Definicja
reCAPTCHA v3 to trzecia główna iteracja usługi CAPTCHA Google’a, wydana w październiku 2018 roku. W przeciwieństwie do swoich poprzedników — które prosiły użytkowników o zaznaczenie pola lub rozwiązanie zagadek obrazkowych — v3 jest całkowicie pasywna. Działa cicho w tle przeglądarki, obserwując interakcje użytkownika na stronie, i produkuje numeryczny wynik ryzyka, którego właściciel witryny używa do podjęcia decyzji o tym, jak obchodzić się z sesją. Wynik 1,0 reprezentuje wysoką pewność, że odwiedzający jest człowiekiem; wynik 0,0 wskazuje niemal pewny ruch zautomatyzowany.
System buduje na infrastrukturze reCAPTCHA v2, ale usuwa tarcie wyraźnych wyzwań użytkownika. Deklarowanym celem Google było wyeliminowanie interakcji „Nie jestem robotem” całkowicie dla zdecydowanej większości prawowitych użytkowników, redukując wskaźniki porzucania koszyka i opuszczania formularzy przy zachowaniu lub poprawie pokrycia detekcji botów.
Jak działa reCAPTCHA v3
reCAPTCHA v3 działa za pośrednictwem biblioteki JavaScript ładowanej z https://www.google.com/recaptcha/api.js. Po załadowaniu zaczyna pasywnie zbierać behawioralny odcisk dla bieżącej sesji. Zbierane sygnały obejmują trajektorie ruchów myszy, zachowanie przewijania, wzorce czasowe między uderzeniami w klawisze, sekwencję interakcji DOM, wiek i aktywność cookie konta Google w przeglądarce (jeśli obecne) oraz charakterystykę sieciową połączenia źródłowego.
Gdy właściciel witryny chce ocenić konkretną akcję — taką jak przesłanie formularza lub kliknięcie przycisku głosowania — wywołuje grecaptcha.execute(siteKey, {action: 'vote'}). Wyzwala to infrastrukturę analizy ryzyka Google do obliczenia wyniku dla sesji i zwrócenia podpisanego tokena (JSON Web Token) do przeglądarki. Token jest następnie przesyłany wraz z danymi formularza.
Po stronie serwera odbierająca aplikacja wysyła token do endpointu weryfikacji Google pod https://www.google.com/recaptcha/api/siteverify, wraz z tajnym kluczem witryny. Odpowiedź Google zawiera numeryczny wynik, znacznik czasu, nazwę akcji i potwierdzenie nazwy hosta. Deweloper aplikacji ustawia próg — zwykle 0,5 — poniżej którego przesłania są blokowane, oznaczane do dodatkowej weryfikacji lub wysyłane do drugorzędowego wyzwania, takiego jak reCAPTCHA v2.
reCAPTCHA Enterprise, płatna warstwa dostępna przez Google Cloud, rozszerza v3 o dodatkowe sygnały, wyjaśnienia wyników podzielone przez czynniki przyczyniające się, funkcje account defender oraz gwarancje umowy o poziomie usług.
Gdzie się z tym spotkasz
reCAPTCHA v3 jest wdrożona w szerokim zakresie właściwości internetowych, gdzie weryfikacja bez tarcia jest priorytetem. Platformy konkursowe i sweepstakes integrują ją na endpoincie przesyłania głosu i formularzu rejestracji konta. Platformy e-commerce używają jej przy checkout, aby zapobiec credential-stuffing. Publikacje informacyjne używają jej na endpointach przesyłania komentarzy. Firmy usług finansowych stosują ją na przepływach resetu hasła i transferu funduszy. Platformy sprzedaży biletów używają jej do spowolnienia botów scalper podczas sprzedaży o wysokim popycie.
Ponieważ v3 jest niewidzialna, jej obecność na stronie nie jest widoczna dla zwykłych użytkowników — tylko deweloperzy badający źródło strony lub monitorujący ruch sieciowy zauważą wywołania API recaptcha.
Praktyczne przykłady
Regionalny konkurs fotografii hostowany na niestandardowej mikrostronie integruje reCAPTCHA v3 na swoim endpoincie głosowania. Każde przesłanie głosu wyzwala wywołanie grecaptcha.execute. Przesłania osiągające poniżej 0,3 są po cichu odrzucane; przesłania między 0,3 a 0,5 są logowane do batchowego przeglądu na końcu konkursu; przesłania powyżej 0,5 są rejestrowane natychmiast. Operator konkursu przegląda zatrzymane przesłania i dyskwalifikuje te, które dzielą odciski urządzenia lub pochodzą ze skoncentrowanych zakresów IP.
Krajowa organizacja non-profit prowadzi konkurs grantowy, w którym publiczne głosy określają część alokacji funduszy. Platforma używa reCAPTCHA v3 w połączeniu z potwierdzeniem email. Wynik CAPTCHA jest przechowywany z każdym rekordem głosu, pozwalając administratorowi przeprogowiać dane po zamknięciu konkursu — efektywnie dostosowując wrażliwość odrzucania botów retroaktywnie na podstawie obserwowanego rozkładu wyników.
Program nagród studenckich uniwersytetu wdraża reCAPTCHA Enterprise, aby skorzystać z wyjaśnień wyników. Dziennik audytu pokazuje, że skok niskopunktowych głosów na jednym zgłoszeniu nominacyjnym pochodził z jednej podsieci, a liczba głosów zgłoszenia jest dostosowywana odpowiednio przed ogłoszeniem zwycięzców.
Powiązane pojęcia
reCAPTCHA v3 stoi obok wcześniejszych generacji CAPTCHA w tym samym ekosystemie detekcji. Bazowy wpis o reCAPTCHA szczegółowo opisuje mechanikę v1 i v2. hCaptcha i Cloudflare Turnstile to konkurujące systemy oferujące różne kompromisy wokół prywatności, typu wyzwania i zależności od dostawcy. Biometria behawioralna opisuje szerszą kategorię pasywnego pomiaru interakcji, która leży u podstaw podejścia oceniania reCAPTCHA v3.
Ograniczenia / zastrzeżenia
reCAPTCHA v3 deleguje decyzję o progu ryzyka całkowicie operatorowi witryny, co tworzy niespójność między wdrożeniami. Witryna ustawiająca swój próg na 0,3 akceptuje znacząco więcej ruchu botów niż ta ustawiona na 0,7. Google nie publikuje konkretnych sygnałów ani wag stojących za wynikiem, czyniąc niezależny audyt niemożliwym. Ponadto, ponieważ system polega częściowo na telemetrii konta Google, użytkownicy, którzy nie są zalogowani na konta Google — lub którzy używają przeglądarek blokujących cookies Google — mogą otrzymywać niższe wyniki niż uzasadniałoby to ich zachowanie, potencjalnie wyzwalając fałszywe pozytywy dla prawowitych wyborców.
