Определение
reCAPTCHA v3 — третья крупная итерация CAPTCHA-сервиса Google, выпущенная в октябре 2018 года. В отличие от предшественников — где требовалось поставить галочку или решить визуальную головоломку — v3 полностью пассивна. Она работает в браузере незаметно, наблюдая за взаимодействиями со страницей, и выдаёт числовую оценку риска, которую вы как владелец сайта используете, чтобы решить, как поступить с сессией. Оценка 1,0 — высокая уверенность, что перед нами человек; 0,0 — почти достоверно автоматизированный трафик.
Система основана на инфраструктуре reCAPTCHA v2, но снимает трение явных задач. Декларируемая Google цель — устранить взаимодействие «Я не робот» для подавляющего большинства легитимных пользователей, снизив отказы от корзины и брошенные формы при сохранении или росте покрытия обнаружения ботов.
Как работает reCAPTCHA v3
reCAPTCHA v3 работает через JavaScript-библиотеку, загружаемую с https://www.google.com/recaptcha/api.js. После загрузки она пассивно собирает поведенческий отпечаток текущей сессии. Сигналы включают траектории мыши, поведение прокрутки, тайминги между нажатиями, последовательность DOM-взаимодействий, возраст и активность куки Google-аккаунта в браузере (если есть) и сетевые характеристики исходного соединения.
Когда вы хотите оценить конкретное действие — отправку формы, клик кнопки голоса — вы вызываете grecaptcha.execute(siteKey, {action: 'vote'}). Это запускает риск-аналитику Google, рассчитывающую оценку для сессии и возвращающую браузеру подписанный токен (JSON Web Token). Токен затем отправляется вместе с данными формы.
На стороне сервера приложение отправляет токен на эндпоинт верификации Google https://www.google.com/recaptcha/api/siteverify вместе с секретным ключом сайта. Ответ Google содержит числовую оценку, временную метку, имя действия и подтверждение хоста. Разработчик задаёт порог — обычно 0,5, — ниже которого отправки блокируются, помечаются для проверки или направляются на дополнительную задачу типа reCAPTCHA v2.
reCAPTCHA Enterprise — платный уровень в Google Cloud — расширяет v3 дополнительными сигналами, объяснениями оценки по факторам, функциями защиты аккаунта и SLA-гарантиями.
Где вы это встречаете
reCAPTCHA v3 развёрнут на широком спектре веб-сайтов, где приоритетна верификация без трения. Платформы конкурсов и sweepstakes интегрируют его на эндпоинте отправки голоса и в форме регистрации. E-commerce-сайты используют его на оформлении заказа против credential stuffing. Новостные издания применяют на эндпоинтах отправки комментариев. Финансовые сервисы — на сбросе пароля и переводе средств. Билетные платформы — для замедления ботов-скальперов на продажах высокого спроса.
Поскольку v3 невидима, её присутствие на странице незаметно случайному пользователю — увидеть вызовы API recaptcha могут лишь разработчики, изучающие исходный код или сетевой трафик.
Практические примеры
Региональный фотоконкурс в России на собственном микросайте интегрирует reCAPTCHA v3 на эндпоинте голосования. Каждая отправка инициирует вызов grecaptcha.execute. Отправки с оценкой ниже 0,3 молча отбрасываются; от 0,3 до 0,5 логируются для пакетного просмотра в конце конкурса; выше 0,5 — записываются сразу. Оператор конкурса просматривает отложенные отправки и дисквалифицирует те, что разделяют отпечатки устройства или поступают из концентрированных диапазонов IP.
Национальная НКО проводит грант-конкурс, где публичные голоса определяют часть распределения финансирования. Платформа сочетает reCAPTCHA v3 и подтверждение по email. Оценка CAPTCHA сохраняется с каждой записью голоса, что позволяет администратору после закрытия конкурса перенастроить порог, ретроактивно регулируя чувствительность отбраковки ботов на основе фактического распределения оценок.
Программа университетских студенческих премий разворачивает reCAPTCHA Enterprise ради объяснений оценки. Журнал аудита показывает: всплеск низкооцененных голосов на одной номинации поступил из единой подсети, и счёт этой номинации корректируется до объявления победителей.
Связанные понятия
reCAPTCHA v3 стоит рядом с предыдущими поколениями CAPTCHA в той же экосистеме обнаружения. Базовая запись о reCAPTCHA подробно описывает механики v1 и v2. hCaptcha и Cloudflare Turnstile — конкурирующие системы с иными компромиссами по приватности, типу задачи и зависимости от вендора. Поведенческая биометрия описывает более широкую категорию пассивного измерения взаимодействий, лежащую в основе подхода к оценке reCAPTCHA v3.
Ограничения / Оговорки
reCAPTCHA v3 целиком делегирует решение о пороге оператору сайта, что создаёт несоответствия между развёртываниями. Сайт с порогом 0,3 пропускает существенно больше ботового трафика, чем с порогом 0,7. Google не публикует конкретные сигналы и веса за оценкой, что делает независимый аудит невозможным. Кроме того, поскольку система частично опирается на телеметрию Google-аккаунтов, вы как пользователь, не вошедший в Google или использующий браузер, блокирующий куки Google, можете получать более низкие оценки, чем заслуживает поведение, и тем самым ловить ложноположительные срабатывания при настоящем голосовании.
