Cloudflare пропонує позбавити користувачів регулярних натискань галочки в рядку «Я не робот» та вибору пішохідних переходів або світлофорів у традиційному тесті CAPTCHA. У якості альтернативи компанія розробила технологію Turnstile, яка перевіряє браузер, а не користувача.
Turnstile використовує систему Managed Challenge від Cloudflare, яка враховує поведінку користувачів, дані браузера та токени приватного доступу на пристроях Apple, щоб відрізняти відвідувачів-людей від ботів та скриптів.
Компанія стверджує, що ця система змогла скоротити 91 відсоток CAPTCHA, які відправляються відвідувачам її клієнтів за рік. А сам процес зменшився з 32 секунд (у середньому необхідних для перевірки CAPTCHA) до 1 секунди.
Turnstile використовує набір викликів на основі JavaScript, які зчитують середовище веб-браузера та шукають сигнали, що вказують на те, що реальна людина входить на сайт, циклічно проводячи тести – підтвердження роботи, підтвердження розташування, пошук веб-API та інші. Також за допомогою машинного навчання порівнюються успішні задачі з новими, що прискорює процес проходження перевірки. Користувач лише на мить бачить віджет «Підтвердження…», який потім змінюється на «Успішно!».
Cloudflare нагадує, що, крім “роздратування і марнування часу”, CAPTCHA (що означає Completely Automated Public Turing Test to Tell Computers and Humans Apart – Повністю автоматизований публічний тест Тьюринга для розрізнення комп’ютерів і людей) тепер має значний контроль з боку Google, яка купила її в 2009 році і тепер пропонує користувачам у вигляді оновленого сервісу reCAPTCHA.
“Google заявляє, що не використовує цю інформацію для таргетингу реклами, але, зрештою, Google – це компанія з продажу реклами”, – йдеться у повідомленні Cloudflare.
Google reCAPTCHA пропонував “невидимий” режим у другій версії 2017 року та у третій, стверджуючи, що “вони ніколи не заважатимуть користувачам”. Однак більшість людей, як і раніше, часто бачать “сітки” для вибору фотографій та прапорці-антироботи – ймовірно, через сайтів та розробників, які не оновилися до новіших версій, або, потенційно, здаються «підозрілими».
Це не перший “удар” Cloudflare по CAPTCHA. Минулого року компанія пообіцяла «повністю позбутися» тесту і створила апаратний аутентифікатор, який використовує фізичні USB-ключі, такі як YubiKey або FIDO key. Хоча вони й добре працюють, але потреба завжди мати ключі при собі не є дуже зручною.
За словами Аккермана Юрія, генерального директора консалтингової компанії WebAuthn Works, метод, який тестувала Cloudflare, не підтверджує, чи справді пристроєм керує людина. Однак у партнерстві з Apple, Cloudflare змогла використовувати токени приватного доступу як ще один метод довести це.
Turnstile не залежить від апаратного забезпечення, на відміну від попередньої спроби Cloudflare. Зараз він доступний у бета-версії безкоштовно. Процес налаштування детально описаний на веб-сайті Cloudflare і включає заміну вашого поточного CAPTCHA JavaScript на той, який викликає API Turnstile.
Джерело: Arstechnica, The Verge