โหวตที่ได้รับการปกป้องด้วย CAPTCHA

นิยาม

โหวตที่ได้รับการปกป้องด้วย CAPTCHA คือการประกวดออนไลน์หรือการส่งการสำรวจใด ๆ ที่ต้องให้ผู้โหวตทำการทดสอบความท้าทาย CAPTCHA ให้สมบูรณ์ก่อนที่แพลตฟอร์มจะยอมรับและนับการส่ง CAPTCHA — ตัวย่อของการทดสอบ Completely Automated Public Turing ที่บอกจะแยกแยะมนุษย์ออกจากคอมพิวเตอร์ — เป็นหมวดหมู่ของระบบชาเลนจ์-การตอบสนองที่ออกแบบมาเพื่อแยกความแตกต่างระหว่างผู้ใช้มนุษย์กับสคริปต์อัตโนมัติและบอท

ในบริบทการประกวด CAPTCHA ไม่ได้แทนที่ตรรกะการขจัดการซ้ำ มันอยู่ที่เหนือการตรวจสอบการขจัดการทำซ้ำ ทำหน้าที่เป็นตัวกรองที่ขจัดเครื่องมืออัตโนมัติออกก่อนที่แพลตฟอร์มจะประเมินว่าการส่งจะเป็นแบบซ้ำหรือไม่ ผู้โหวตที่ผ่านความท้าทาย CAPTCHA ยังคงต้องมีที่อยู่ IP หรือปลายทาง Email ของพวกเขาตรวจสอบกับการจัดเก็บการขจัดการทำซ้ำก่อนที่โหวตจะนับ

วิธีการทำงานของความท้าทาย CAPTCHA

การนำ CAPTCHA มาใช้ที่แตกต่างกันนั้นใช้กลไกความท้าทายที่แตกต่างกัน และความแตกต่างนี้มีผลกระทบในทางปฏิบัติที่สำคัญต่อการได้รับโหวต:

reCAPTCHA v2 นำเสนอช่องทำเครื่องหมายที่มองเห็นได้พร้อมข้อความ “ฉันไม่ใช่หุ่นยนต์” เมื่อคลิก จะเรียกใช้แบ็กเอนด์การให้คะแนนความเสี่ยงของ Google ซึ่งประเมินบริบทพฤติกรรมของการคลิก หากคะแนนความเสี่ยงต่ำ (ผู้ใช้ปรากฏว่าเป็นมนุษย์) ช่องทำเครื่องหมายจะล้าง หากคะแนนความเสี่ยงสูง ผู้โหวตจะได้รับความท้าทายกริดภาพ — การเลือกรูปภาพทั้งหมดที่มีไฟจราจร ทางข้ามถนน ไฮดแรนต์ปล่องดับเพลิง หรือวัตถุอื่นๆ เฉพาะหลังจากผ่านความท้าทายนี้เท่านั้นที่แพลตฟอร์มประกวดจึงได้รับโทเค็นการตอบสนอง reCAPTCHA ที่ถูกต้อง ซึ่งจะทำการตรวจสอบได้ที่ฝั่งเซิร์ฟเวอร์

reCAPTCHA v3 ทำงานโดยไม่มองเห็น — ไม่มีช่องทำเครื่องหมาย ไม่มีกริดภาพ มันตรวจสอบการโต้ตอบทั้งหมดของหน้า (การเคลื่อนไหวของเมาส์ รูปแบบการเลื่อน การกำหนดเวลาการคลิก ประวัติการโต้ตอบ) และกำหนดคะแนนความเสี่ยงอย่างต่อเนื่องระหว่าง 0.0 และ 1.0 แพลตฟอร์มประกวดกำหนดเกณฑ์ (โดยทั่วไป 0.5 หรือ 0.7); การส่งที่มีคะแนนสูงกว่าเกณฑ์จะถูกยอมรับโดยไม่มีความท้าทายที่มองเห็นได้ เซสชันที่มีคะแนนต่ำกว่าเกณฑ์จะถูกบล็อกหรือขอให้มีขั้นตอนการยืนยันเพิ่มเติม เนื่องจากไม่มีปริศนาที่มองเห็นได้ให้แก้ไข v3 จึงยากมากในการผ่านเมื่อไม่มีเซสชันเบราวเซอร์มนุษย์ที่แท้จริง

hCaptcha ทำงานในลักษณะที่คล้ายกับ reCAPTCHA v2 ในรูปแบบความท้าทายการเลือกภาพที่มองเห็นได้ แต่ดำเนินการโดย Intuition Machines แทนที่จะเป็น Google มีการปรับใช้อย่างกว้างขวางบนไซต์ที่ได้รับการป้องกัน Cloudflare เพราะว่ามันเป็นไปตามข้อกำหนด GDPR/CCPA ตามการออกแบบและไม่แบ่งปันข้อมูลพฤติกรรมกับ Google hCaptcha ยังมีเส้นทางการเข้าถึงเสียงสำหรับผู้ใช้ที่มีการมองเห็นที่บกพร่อง

Cloudflare Turnstile เป็นทางเลือก CAPTCHA ที่ทำการตรวจสอบสภาพแวดล้อม JavaScript ในเบื้องหลังแทนที่จะนำเสนอปริศนาที่มองเห็นได้ มันตรวจสอบการแนวทาง TLS ของเบราวเซอร์ สภาพแวดล้อมการดำเนินการ JavaScript และสัญญาณพฤติกรรมพื้นฐาน ผู้ใช้ที่ชอบใจส่วนใหญ่สัมผัส Turnstile เป็นอย่างไม่มองเห็น — มันทำงานเงียบ ๆ และออกโทเค็นความท้าทายโดยไม่ขัดขวางผู้ใช้ เฉพาะเซสชันที่ล้มเหลวในการตรวจสอบสภาพแวดล้อมเท่านั้นที่ได้รับความท้าทายที่มองเห็นได้

Arkose Labs (FunCaptcha) นำเสนอความท้าทายปริศนา 3D ที่มีปฏิสัมพันธ์ — การหมุนวัตถุ เกมจับคู่ งานเหตุผลเชิงพื้นที่ — ออกแบบโดยเฉพาะเพื่อให้ชนะตัวแก้ปัญหาการเรียนรู้ของเครื่อง ปริศนาแต่ละรูปถูกสร้างขึ้นทีละค่าเพื่อป้องกันการจดจำรูปแบบ และประเภทความท้าทายจะปรับเปลี่ยนตามคะแนนความเสี่ยงของเซสชัน

ที่ที่มีการออกแบบโหวตที่ได้รับการปกป้องด้วย CAPTCHA

การป้องกัน CAPTCHA มักถูกเพิ่มเข้าไปในแบบฟอร์มการโหวตประกวดในสภาพแวดล้อมที่ผู้ดำเนินการประกวดเคยประสบการณ์การจัดการโหวตในอดีตหรือเมื่อการตั้งค่าเริ่มต้นของแพลตฟอร์มรวมถึง:

แพลตฟอร์มประกวดที่ใช้การสำรวจ รวมถึง SurveyMonkey และ Typeform นำเสนอการรวม reCAPTCHA v2 เป็นตัวเลือกแบบฟอร์มในตัว ไซต์ข่าวและสื่อที่โฮสต์บน Cloudflare infrastructure ใช้ Turnstile หรือ hCaptcha กับการส่งแบบฟอร์มทั้งหมดโดยอัตโนมัติ การประกวดบริการการเงินและแบรนด์ fintech โดยทั่วไปจะใช้ reCAPTCHA Enterprise — ชั้นความปลอดภัยสูงสุด — เพราะว่าโดเมนแพลตฟอร์มทั้งหมดของพวกเขามีความอ่อนไหวต่อการโกง การประกวดชุมชน Cryptocurrency บนแพลตฟอร์มเช่น Gleam และ CoinMarketCap รวม hCaptcha กับการรับรอง OAuth แพลตฟอร์มการศึกษาและ EdTech เกือบทั้งหมดเป็นเจ้าบ้านบน Cloudflare โดยกำหนดเส้นทางการส่งแบบฟอร์มทั้งหมดผ่าน CAPTCHA ตามค่าเริ่มต้น

วิธีการตรวจสอบโหวตที่ได้รับการปกป้องด้วย CAPTCHA

ห่วงโซ่การตรวจสอบสำหรับโหวตที่ได้รับการปกป้องด้วย CAPTCHA จะผ่านหลายชั้น ประการแรก ความท้าทาย CAPTCHA ต้องเสร็จสิ้นและต้องสร้างโทเค็นความท้าทายที่ถูกต้องที่ฝั่งไคลเอ็นต์ ประการที่สอง แพลตฟอร์มประกวดส่งโทเค็นนั้นไปยัง API การตรวจสอบของผู้ให้บริการ CAPTCHA ที่ฝั่งเซิร์ฟเวอร์เพื่อยืนยันว่ามันแท้จริงและยังไม่ได้ใช้ ประการที่สาม หากโทเค็นถูกต้อง แพลตฟอร์มจะดำเนินการตรวจสอบการลบซ้ำปกติ (ที่อยู่ IP อีเมล หรือบัญชี) การส่งจะล้มเหลวหากชั้นใดชั้นหนึ่งในห่วงโซ่นี้ปฏิเสธ

reCAPTCHA v3 เพิ่มชั้นพฤติกรรมอย่างต่อเนื่อง: คะแนนความเสี่ยงได้รับการประเมินตลอดเซสชัน ไม่ใช่แค่ในช่วงเวลาของการส่ง เซสชันที่เริ่มต้นด้วยพฤติกรรมคล้ายมนุษย์แต่แสดงรูปแบบที่ผิดปกติในระหว่างขั้นตอนการส่งโหวตอาจได้รับการให้คะแนนต่ำกว่าเกณฑ์และปฏิเสธแม้มีโทเค็นที่ถูกต้อง

ตัวอย่างการปฏิบัติ

แบรนด์เครื่องสำอางค์ฝรั่งเศสเรียกใช้การประกวดภาพถ่ายบนไมโครไซต์ที่สร้างบน Cloudflare infrastructure การส่งแบบฟอร์มทั้งหมดจะถูกกำหนดเส้นทางผ่าน Cloudflare Turnstile โดยอัตโนมัติ ผู้โหวตไม่เห็นความท้าทายที่มองเห็นได้ — Turnstile ทำงานในเบื้องหลังและออกโทเค็นสำหรับเซสชันที่ผ่านการตรวจสอบสภาพแวดล้อม โหวตจากเบราวเซอร์ headless หรือสคริปต์อัตโนมัติล้มเหลว เพราะการตรวจสอบสภาพแวดล้อม JavaScript ตรวจพบการขาดหายของบริบทเบราวเซอร์ที่ชอบใจ

สหภาพเครดิตของภูมิภาคสหรัฐอเมริกาเรียกใช้การประกวด “Young Entrepreneur” grant โดยใช้แพลตฟอร์มการสำรวจพร้อม reCAPTCHA v2 ที่เปิดใช้งาน ผู้โหวตแต่ละคนคลิกช่องทำเครื่องหมายและในเซสชันส่วนใหญ่ สร้างความท้าทายกริดภาพสั้น ๆ ก่อนที่โหวตจะถูกยอมรับ เพราะว่าโทเค็น CAPTCHA ได้รับการตรวจสอบที่ฝั่งเซิร์ฟเวอร์ การใส่โทเค็นโกหกลงในการส่งแบบฟอร์มจึงไม่ได้ผล

แพลตฟอร์มสตรีมมิ่งอนิเมะที่ตั้งอยู่ในโตเกียวเรียกใช้การประกวดความนิยมตัวละครตามฤดูกาลพร้อม hCaptcha ในการส่งโหวตทั้งหมด เส้นทางการเข้าถึงเสียงพร้อมใช้งาน และแพลตฟอร์มจำกัดภูมิศาสตร์โหวตไปยังที่อยู่ IP ของญี่ปุ่น ความเป็นไปตาม CAPTCHA และการจับคู่ทางภูมิศาสตร์ทั้งสองจำเป็นสำหรับการนับโหวตแต่ละรายการ