Что такое reCAPTCHA?
reCAPTCHA — это система вызов-ответ для безопасности, первоначально разработанная в Университете Карнеги-Меллона и приобретённая компанией Google в 2009 году. Её основная цель — блокировать автоматизированные программы — обычно называемые ботами — от отправки форм, создания учётных записей или голосования на веб-приложениях, при этом позволяя подлинным человеческим пользователям проходить без трения.
Техническая механика
Google выпустил три основные версии reCAPTCHA, каждая последовательно сокращающая видимое трение для законных пользователей.
reCAPTCHA v1 предоставляла классическую головоломку с искажённым текстом, требующую расшифровки деформированных символов. Хотя первоначально эффективная, этот подход в конечном счёте был обойден машинным обучением распознавания изображений.
reCAPTCHA v2 введала теперь знакомый флажок «Я не робот». За этим одиночным щелчком механизм риска Google анализирует отпечаток сигналов поведения: траекторию движения мыши, характер синхронизации нажатий клавиш перед щелчком, атрибуты устройства и браузера, и предыдущую историю просмотра, связанную с файлами cookie Google пользователя. Подозрительные сеансы получают вторичную задачу выбора изображения (например, «выберите все светофоры»).
reCAPTCHA v3, текущая рекомендуемая версия Google, полностью невидима. Она работает непрерывно в фоне и возвращает число с плавающей точкой между 0,0 (вероятно, бот) и 1,0 (вероятно, человек). Владелец сайта решает, какой порог оценки запускает блокировку, вторичный вызов или дополнительную проверку. Взаимодействие пользователя никогда не требуется для сеансов высокого доверия.
Когда используется reCAPTCHA?
Платформы конкурсов и голосования развёртывают reCAPTCHA в конечной точке отправки голоса, форме регистрации учётной записи и иногда на странице входа. Интеграция требует размещения небольшого фрагмента JavaScript из google.com/recaptcha/api.js на странице и проверки полученного токена на стороне сервера путём отправки его в https://www.google.com/recaptcha/api/siteverify вместе с секретным ключом сайта. Ответ со стороны сервера содержит вердикт прохождения/отказа и, для v3, числовой балл риска.
Как голоса взаимодействуют с reCAPTCHA
Когда посетитель нажимает кнопку голосования на защищённом reCAPTCHA конкурсе, виджет молча собирает снимок поведения и отправляет его в глобальную инфраструктуру анализа рисков Google. Токен ответа (подписанный JWT) прикрепляется к отправке голоса. Затем бэкенд конкурса вызывает API проверки Google перед регистрацией голоса. Бот, который не может создать действительный, свежий токен — или создаёт токен с низкой оценкой v3 — имеет свой голос молча отклонённым или помечённым для проверки.
Сервисы покупки голосов должны поэтому приобрести действительные токены reCAPTCHA для успешной отправки голосов. Google непрерывно обновляет свои модели обнаружения, что означает подходы, которые работали в предыдущих месяцах, могут перестать работать, так как механизм риска переучивается.
Особенности поставщика Google
reCAPTCHA работает под инфраструктурой Google и условиями использования. Системы Google поглощают историю просмотра и поведенческую телеметрию, связанную с учётными записями Google, для улучшения точности обнаружения ботов. Владельцы сайтов регистрируют свой домен по адресу https://www.google.com/recaptcha/admin для получения пары ключа сайта и секретного ключа. Корпоративные клиенты могут получить доступ к reCAPTCHA через продукт reCAPTCHA Enterprise Google Cloud, который предлагает дополнительные сигналы, детальные объяснения баллов и гарантированное SLA для времени безотказной работы.
Законное использование
Помимо голосования в конкурсах, reCAPTCHA развёртывается на страницах оформления заказа электронной коммерции для предотвращения атак с подбором учётных данных, на формах комментариев для блокирования спама, на потоках сброса пароля для блокирования автоматизированных попыток перехвата учётной записи и на платформах продажи билетов для предотвращения ботов перепродавцов от покупки целых инвентарей события в течение миллисекунд после выпуска.
Угол профилактики мошенничества
С точки зрения профилактики мошенничества, модель непрерывного оценивания v3 reCAPTCHA особенно ценна для операторов конкурсов, поскольку она может применять оценку риска к каждому просмотру страницы, а не только в момент отправки голоса. Аномальные закономерности — такие как сотни голосов, происходящих из одной подсети за секунды, или сеансы без предыдущей истории навигации — могут быть помечены ретроспективно, позволяя массовую инвалидацию голосов без влияния на опыт подлинных участников.
