Что такое Cloudflare Turnstile?
Cloudflare Turnstile — это сервис защиты от ботов, запущенный Cloudflare в сентябре 2022 года. В отличие от традиционных CAPTCHA, требующих решения визуальных головоломок, Turnstile проверяет пользователя невидимо почти во всех случаях. Система использует комбинацию неинтерактивных вызовов безопасности на уровне браузера, сигналов аутентификации устройства и глобальной сети угроз Cloudflare для определения, является ли посетитель человеком или ботом.
Технический механизм
Архитектура Turnstile основана на трёх основных компонентах, работающих последовательно.
Приватные токены доступа (PAT): На поддерживаемых платформах — iOS 16+, macOS Ventura+ и браузерах с поддержкой HTTP Attestation API — Turnstile запрашивает криптографический аттестат от производителя устройства (Apple через iCloud), подтверждающий, что устройство является подлинным потребительским устройством без модификаций. Этого одного сигнала часто достаточно для выдачи допуска без дополнительных проверок.
Вызовы безопасности в браузере: Для окружений без поддержки PAT Turnstile выполняет серию неинтерактивных проверок доказательства работы JavaScript и проверок согласованности API в браузере. Эти тесты выявляют различия в том, как настоящий браузер выполняет JavaScript по сравнению с эмуляцией в headless браузере или фреймворке для ботов. Пользователь видит вращающийся виджет, который преобразуется в зелёную галочку за одну-две секунды.
Резервный режим: Если поведенческие и аттестационные сигналы неоднозначны, Turnstile может перейти к видимой проверке (но всё ещё без головоломок). Система использует разведданные об угрозах Cloudflare, собранные с миллионов сайтов в сети, для оценки риска на каждом этапе.
Интеграция требует добавления скрипта https://challenges.cloudflare.com/turnstile/v0/api.js и элемента <div class="cf-turnstile">. Проверка на стороне сервера осуществляется через POST-запрос к https://challenges.cloudflare.com/turnstile/v0/siteverify.
Когда используется Cloudflare Turnstile?
Turnstile особенно привлекателен для организаторов конкурсов, так как почти не создаёт трения для законных голосующих — нет решётки с изображениями, искажённого текста или чекбоксов. Система развёртывается на формах отправки голосов, страницах регистрации, эндпоинтах комментариев и любых публичных отправках форм. Бесплатный тариф покрывает неограниченное количество проверок, обеспечивая рентабельность в любом масштабе.
Как голоса взаимодействуют с Cloudflare Turnstile?
Когда голосующий попадает на форму отправки, виджет Turnstile загружается и начинает свою тихую последовательность аттестации. За считанные секунды он выдаёт краткий токен (действителен примерно пять минут). Голос отправляется вместе с этим токеном, и бэкенд конкурса проверяет токен через API Cloudflare перед сохранением записи о голосе. Истекшие, повторно использованные или поддельные токены отклоняются.
Скорость и прозрачность Turnstile означают, что автоматические скрипты не могут легко отличить защищённую форму Turnstile от незащищённой при визуальном осмотре. Однако фреймворки для ботов, лишённые настоящих внутренних компонентов браузера или действительных аттестатов устройств, неизменно не проходят базовые проверки.
Особенности поставщика Cloudflare
Turnstile управляется компанией Cloudflare, Inc. и подчиняется политике конфиденциальности Cloudflare, которая явно указывает, что Turnstile не устанавливает отслеживающие cookies и не строит профили пользователей для рекламы. Cloudflare подчёркивает, что не монетизирует данные, собранные во время взаимодействия с проверками. Владельцы сайтов получают ключ сайта и секретный ключ из панели управления Cloudflare в разделе Turnstile, где они также могут просмотреть показатели пропусков, результаты проверок и аномальные схемы трафика. Turnstile интегрируется естественно с Cloudflare Pages и Workers, что делает развёртывание особенно простым для сайтов, уже находящихся в экосистеме Cloudflare.
Законные применения
Помимо предотвращения мошенничества в конкурсах, Turnstile используется медиаорганизациями для защиты разделов комментариев, компаниями SaaS для защиты потоков регистрации и сброса пароля, игровыми платформами для предотвращения автоматизированного создания учётных записей и онлайн-розничными торговцами для защиты редких товаров от ботов скальперов.
Угол предотвращения мошенничества
Опора Turnstile на разведданные об угрозах сети Cloudflare — это структурное преимущество для предотвращения мошенничества. IP-адрес бота или отпечаток бота, обнаруженный при совершении злоупотреблений на любом из миллионов защищённых Cloudflare свойств, может быть отмечен глобально в течение минут. Для организаторов конкурсов это означает, что скоординированные кампании голосового мошенничества, использующие общую инфраструктуру ботов, вероятно, столкнутся с повышенными темпами проверок даже если кампания ранее не наблюдалась на конкретной платформе конкурса.
