Определение
Голос с защитой CAPTCHA — это любая отправка голоса в онлайн-конкурсе или опросе, которая требует избирателя выполнить вызов CAPTCHA перед тем, как платформа примет и подсчитает отправку. CAPTCHA — это аббревиатура, расшифровывающаяся как Completely Automated Public Turing test to tell Computers and Humans Apart — это категория системы вызова-ответа, разработанная для различения пользователей-людей от автоматизированных скриптов и ботов.
В контексте конкурса CAPTCHA не заменяет логику дедупликации. Она находится выше проверки дедупликации, действуя как фильтр, который исключает автоматизированные инструменты перед тем, как платформа даже оценивает, является ли отправка дубликатом. Избиратель, прошедший вызов CAPTCHA, по-прежнему имеет свой IP-адрес или адрес электронной почты, проверенные в хранилище дедупликации перед подсчётом их голоса.
Как механически работают вызовы CAPTCHA
Различные реализации CAPTCHA используют различные механизмы вызова, и различие имеет значительные практические последствия для приобретения голосов:
reCAPTCHA v2 представляет видимый флажок, помеченный как «Я не робот». Нажатие на него запускает модуль оценки риска Google, который оценивает контекст поведения клика. Если оценка риска низкая (пользователь выглядит как человек), флажок очищается. Если оценка риска повышена, избирателю предоставляется вызов сетки изображения — выбор всех изображений, содержащих светофоры, пешеходные переходы, пожарные гидранты или другие объекты. Только после прохождения этого вызова платформа конкурса получает действительный токен ответа reCAPTCHA, который она затем проверяет на сервере.
reCAPTCHA v3 работает невидимо — никакого флажка, никакой сетки изображения. Она контролирует все взаимодействия страницы (движения мыши, паттерны прокрутки, время клика, историю взаимодействия) и назначает непрерывную оценку риска между 0.0 и 1.0. Платформа конкурса устанавливает порог (обычно 0.5 или 0.7); отправки, набирающие выше порога, принимаются без каких-либо видимых вызовов. Сессии, набирающие ниже порога, либо блокируются, либо приглашаются с дополнительным шагом проверки. Поскольку нет видимой головоломки для решения, v3 значительно сложнее пройти без подлинной сессии браузера человека.
hCaptcha функционирует аналогично reCAPTCHA v2 в своём видимом формате вызова с выбором изображения, но управляется Intuition Machines, а не Google. Она широко развёрнута на сайтах, защищённых Cloudflare, потому что она соответствует GDPR/CCPA по проекту и не делится поведенческими данными с Google. hCaptcha также предлагает путь доступности для слабовидящих пользователей через аудио.
Cloudflare Turnstile — это альтернатива CAPTCHA, которая запускает проверку среды JavaScript на фоне, а не представляет видимую головоломку. Она проверяет рукопожатие TLS браузера, среду выполнения JavaScript и основные сигналы поведения. Большинство законных пользователей испытывают Turnstile как невидимую — она работает молча и выдаёт токен вызова без прерывания пользователя. Только сессии, которые не пройдут проверку среды, получают видимый вызов.
Arkose Labs (FunCaptcha) представляет интерактивные 3D-вызовы головоломок — вращающиеся объекты, игры на совпадение, задачи пространственного рассуждения — специально разработанные для разбирания решателей машинного обучения. Каждая головоломка процедурно генерируется, чтобы предотвратить запоминание паттерна, и тип вызова адаптируется на основе оценки риска сессии.
Где появляется защита CAPTCHA при голосовании
Защита CAPTCHA наиболее часто добавляется к формам голосования в конкурсах в средах, где оператор конкурса испытал манипулирование голосами в прошлом или где конфигурация платформы по умолчанию включает её:
Платформы конкурсов, основанные на опросах, включая SurveyMonkey и Typeform, предлагают встроенную интеграцию reCAPTCHA v2 как встроенный вариант формы. Новостные и медиа-сайты, размещённые на инфраструктуре Cloudflare, автоматически применяют Turnstile или hCaptcha ко всем отправкам форм. Конкурсы финансовых услуг и финтеха обычно запускают reCAPTCHA Enterprise — высочайший уровень безопасности — потому что их весь домен платформы чувствителен к мошенничеству. Конкурсы крипто-сообществ на платформах, таких как Gleam и CoinMarketCap, складируют hCaptcha с аутентификацией OAuth. Платформы образования и EdTech почти универсально размещены на Cloudflare, направляя все отправки форм через CAPTCHA по умолчанию.
Как проверяются голоса с защитой CAPTCHA
Цепь проверки для голоса с защитой CAPTCHA проходит через несколько уровней. Во-первых, вызов CAPTCHA должен быть выполнен и действительный токен вызова должен быть сгенерирован на клиентской стороне. Во-вторых, платформа конкурса отправляет этот токен на API проверки поставщика CAPTCHA на стороне сервера, чтобы подтвердить, что он подлинный и неиспользованный. В-третьих, если токен действителен, платформа переходит к своей обычной проверке дедупликации (IP-адрес, адрес электронной почты или аккаунт). Отправка не пройдёт, если любой уровень в этой цепи отклонит её.
reCAPTCHA v3 добавляет непрерывный поведенческий уровень: оценка риска оценивается на протяжении всей сессии, а не только в момент отправки. Сессия, которая начинает с поведения, подобного человеческому, но проявляет аномальные паттерны на этапе отправки голоса, может быть оценена ниже порога и отклонена даже с действительным токеном.
Практические примеры
Французский брендовый конкурс фотографий работает на микросайте, построенном на инфраструктуре Cloudflare. Все отправки форм автоматически направляются через Cloudflare Turnstile. Избиратели не видят видимого вызова — Turnstile работает на фоне и выдаёт токен для сессий, которые проходят проверку среды. Голоса из безголовых браузеров или инструментов автоматизации не пройдут, потому что проверка среды JavaScript обнаруживает отсутствие подлинного контекста браузера.
Региональный кредитный союз США запускает конкурс грантов «Молодой предприниматель» на платформе опросов с включённой reCAPTCHA v2. Каждый избиратель нажимает на флажок и в большинстве сессий выполняет короткий вызов сетки изображения перед тем, как его голос будет принят. Поскольку токен CAPTCHA проверяется на стороне сервера, введение поддельного токена в отправку формы не работает.
Токийская платформа потокового вещания аниме запускает сезонный конкурс популярности персонажей с hCaptcha на каждой отправке голоса. Путь доступности аудио доступен, и платформа ограничивает голоса IP-адресами Японии. Соответствие CAPTCHA и совпадение по географии требуются для каждого голоса, чтобы быть учтённым.
