Інтэрнэт не перарос CAPTCHA. Ён перарос старое ўяўленне пра тое, што такое CAPTCHA.
Гадамі слова CAPTCHA выклікала ў галаве адзін вобраз: скажоныя літары, якія лунаюць на шумным фоне, магчыма, скрыўлены лічбавы радок або сетка, якая просіць людзей вызначыць святлафоры. Гэты вобраз усё яшчэ застаецца ў памяці, але ён больш не апісвае рэальны стан Інтэрнэту. Сучасная праверка шырэйшая, цішэйшая і больш стратэгічная, чым старая эпоха галаваломак. Сёння многія з найважнейшых сістэм не ў першую чаргу прымушаюць наведвальніка разгадваць нешта бачнае. Яны займаюцца ацэнкай даверу, праверкай токенаў, чытаннем паводзін браўзера, выяўленнем падазронай аўтаматызацыі і вызначэннем таго, ці заслугоўвае сеанс гладкага шляху ці больш складанага спынення. Напрыклад, Turnstile ад Cloudflare прадстаўлены як альтэрнатыва CAPTCHA, якая можа працаваць на любым вэб-сайце і часта працуе, не паказваючы наведвальнікам бачную CAPTCHA наогул, у той час як AWS WAF разглядае CAPTCHA і Challenge як дзеянні ўнутры больш шырокага механізму палітыкі бяспекі.
Гэты зрух важны, таму што Інтэрнэт змяніўся. Злоўжыванні сталі больш аўтаматызаванымі, больш размеркаванымі і больш эканамічна матываванымі. Пастаўшчыкі цяпер апісваюць свае прадукты не як простыя «чалавечыя тэсты», а хутчэй як абарону ад спаму, парсінгу, запаўнення ўліковых дадзеных, махлярскіх рэгістрацый і падазронага трафіку. AWS сцвярджае, што іх галаваломкі CAPTCHA прызначаны для таго, каб дапамагчы адрозніць ботаў ад людзей і прадухіліць парсінг, запаўненне ўліковых дадзеных і спам. hCaptcha сцвярджае, што дапамагае абараняць сайты і праграмы ад ботаў, спаму і іншых аўтаматызаваных злоўжыванняў. GeeTest апісвае адаптыўную CAPTCHA як кіраванне ботамі на аснове аналізу паводзін для вэб-сайтаў, праграм і API. Збярыце ўсё гэта разам, і гісторыя стане зразумелай: сучасная CAPTCHA — гэта ўжо не адзін тып выкліку. Гэта цэлая катэгорыя сістэм даверу, якія знаходзяцца паміж праграмамі і злоўжываннямі.
Чаму сістэмы выклікаў сталі цэнтральнай часткай сучаснай вэб-архітэктуры
Быў час, калі ўладальнік сайта мог размясціць простую форму абароны на старонцы рэгістрацыі і на гэтым спыніцца. Гэтая эпоха сышла ў нябыт, бо зламыснікі сталі больш настойлівымі і больш спецыялізаванымі. Аўтаматызаваны трафік сёння накіраваны не толькі на раздзелы каментарыяў у блогу або асноўныя кантактныя формы. Ён адлюстроўваецца ў стварэнні ўліковых запісаў, спробах захопу ўліковых запісаў, скідзе пароляў, працэсах афармлення заказаў, злоўжыванні рэкламнымі акцыямі, назапашванні запасаў, зборы цэн, продажы квіткоў і доўгім спісе іншых важных для бізнесу працоўных працэсаў. У выніку сістэмы праверкі перамясціліся бліжэй да цэнтра бяспекі прыкладанняў. Дызайн AWS WAF з'яўляецца добрай ілюстрацыяй гэтай эвалюцыі: CAPTCHA і Challenge — гэта не бакавыя віджэты, прыкручаныя да старонкі, а фармальныя дзеянні правілаў у вэб-спісе кантролю доступу, у камплекце з апрацоўкай токенаў, наладамі імунітэту і API JavaScript для кліенцкіх прыкладанняў.
Такая ж больш шырокая заканамернасць назіраецца і ў іншых месцах. Сямейства reCAPTCHA ад Google ахоплівае бачныя праблемы і чыстую ацэнку на аснове балаў. Turnstile ад Cloudflare абапіраецца на праверкі на баку браўзера, якія ствараюць токены для праверкі на баку сервера. Arkose Labs апісвае платформу глыбока абароненай сістэмы з дынамічным рэагаваннем на атакі. Не ўсе яны робяць адно і тое ж аднолькава, але ўсе яны адлюстроўваюць адну і тую ж вялікую праўду: вэб-сайтам цяпер патрэбен цэлы спектр рэакцый на падазроны трафік, а не проста адна універсальная галаваломка. Вось чаму сучасная размова пра CAPTCHA ў рэшце рэшт тычыцца архітэктуры бяспекі, трэння карыстальнікаў, кіравання рызыкамі і сігналаў даверу, а не толькі таго, ці можа карыстальнік прачытаць скажоную выяву.
Турнікет Cloudflare і мадэль з нізкім трэннем
Cloudflare Turnstile прадстаўляе адзін з самых відавочных адыходаў ад старога падыходу да CAPTCHA. Cloudflare апісвае яго як разумную альтэрнатыву CAPTCHA, якую можна ўбудаваць у любы вэб-сайт без неабходнасці адпраўляць трафік праз Cloudflare. Асноўны працэс просты: віджэт JavaScript запускае запыты ў браўзеры наведвальніка, стварае токен, а затым сервер сайта адпраўляе гэты токен назад у Cloudflare, каб пацвердзіць яго сапраўднасць. Важная не толькі механіка, але і філасофія. Turnstile прызначаны для абароны формаў і патокаў ад ботаў, пазбягаючы пры гэтым непатрэбных бачных праблем для законных карыстальнікаў. Cloudflare сцвярджае, што Turnstile ў многіх выпадках працуе, не паказваючы наведвальнікам CAPTCHA, што шмат што кажа пра тое, у якім кірунку рухаецца галіна.
Такі падыход з нізкім трэннем мае значэнне для бізнесу, таму што кожная бачная праблема стварае кампраміс. Каманды бяспекі могуць вітаць большае трэнне, калі гэта запаволіць злоўжыванні. Каманды распрацоўшчыкаў прадуктаў турбуюцца аб адмове ад карыстальнікаў, даступнасці і канверсіі. Дызайн турнікета — гэта спроба зрушыць гэты кампраміс у лепшы бок: выканаць неабходную працу на баку браўзера, праверыць токен на баку сервера і знізіць бачную нагрузку, калі рызыка здаецца кіравальнай. Гэта карысны прыклад таго, як новыя сістэмы праверкі імкнуцца быць выбарчымі, а не ўніверсальна назойлівымі. Замест таго, каб меркаваць, што кожны наведвальнік павінен даказаць чалавецтву адну і тую ж галаваломку, платформа разглядае праверку як кантэкстуальнае рашэнне аб сесіі перад ёй.
AWS WAF CAPTCHA і Challenge як частка механізму палітыкі бяспекі
AWS WAF падыходзіць да гэтай катэгорыі з больш выразна інфраструктурнага пункту гледжання. У AWS CAPTCHA і Challenge — гэта дзеянні, якія вы наладжваеце ў правілах, якія правяраюць уваходныя запыты. Калі запыт адпавядае крытэрыям правіла з выкарыстаннем аднаго з гэтых дзеянняў, AWS WAF ацэньвае, як яго апрацаваць, на аснове стану запыту, стану токена і канфігурацыі часу імунітэту. AWS таксама дакументуе кліенцкія JavaScript API, якія дазваляюць праграмам запускаць галаваломкі CAPTCHA і выпрабаванні браўзера лакальна. Гэта адрозніваецца ад класічнага падыходу «перакінуць поле ў форму». У AWS узровень выпрабаванняў знаходзіцца ўнутры больш шырокага механізму прыняцця рашэнняў, які ўжо ацэньвае трафік у адпаведнасці з палітыкамі брандмаўэра вэб-праграм.
AWS таксама дакументуе, як токены працуюць у гэтым патоку. Платформа выкарыстоўвае зашыфраваныя токены і файл cookie пад назвай aws-waf-token для адсочвання паспяховых вынікаў CAPTCHA або запытаў для кліенцкага сеансу. Калі прысутнічае сапраўдны, непратэрмінаваны токен, запыт можа працягвацца праз ацэнку правілаў без паўторнага спынення па той жа прычыне. Гэта робіць працэс больш з улікам стану і больш практычным у маштабе. Запыт - гэта не проста аднаразовае візуальнае перапыненне; ён становіцца часткай таго, як платформа будуе і запамінае давер у межах сеансу. Гэта адна з прычын, чаму AWS WAF CAPTCHA павінна быць у любой сур'ёзнай дыскусіі аб сучасных тыпах запытаў: яна паказвае, як праверка цяпер непасрэдна ўплецена ў абарону ўзроўню прыкладання і палітыку трафіку.
Google reCAPTCHA: ад знаёмства з галачкамі да ацэнкі на аснове балаў
Google reCAPTCHA па-ранейшаму застаецца самым вядомым імем у гэтай галіне, але фраза «reCAPTCHA» цяпер ахоплівае некалькі розных аперацыйных мадэляў. reCAPTCHA v2 застаецца знаёмым падыходам, арыентаваным на віджэты, дзе сайт інтэгруе запыт на старонку і можа наладжваць тэму, мову, памер, зваротныя выклікі і апрацоўку адказаў карыстальнікаў. reCAPTCHA v3 працуе зусім інакш. Google сцвярджае, што v3 вяртае бал для кожнага запыту без трэнняў з боку карыстальнікаў, даючы ўладальнікам сайтаў магчымасць вырашаць, як рэагаваць у кантэксце свайго сайта. Гэта азначае, што ўласная лінейка прадуктаў Google адлюстроўвае значны зрух у галіне: ад відавочнай праверкі спачатку з выкарыстаннем запыту да ціхай ацэнкі рызык і выбарачнага прымянення.
Гэтае адрозненне не касметычнае. Бачны віджэт паведамляе карыстальніку прама зараз, што сайт хоча дзеянняў. Ацэнка паведамляе ўладальніку сайта нешта пра ўпэўненасць і рызыку, а потым пакідае выбар прымянення за дадаткам. У дакументацыі Google гаворыцца, што reCAPTCHA v3 можа падтрымліваць такія адказы, як патрабаванне дадатковай аўтэнтыфікацыі, абмежаванне падазронага трафіку або адпраўка кантэнту на мадэрацыю. Іншымі словамі, адна версія reCAPTCHA — гэта прамая задача для карыстальніка, а іншая версія больш падобная на генератар сігналаў даверу ў больш шырокім працоўным працэсе прадухілення злоўжыванняў. Гэта адна з самых яркіх ілюстрацый таго, як катэгорыя паспела. Сама задача — гэта ўжо не заўсёды прадукт. Часта прадукт — гэта ўзровень прыняцця рашэнняў, які стаіць за ім.
hCaptcha і гісторыя кіравання прадпрыемствам
hCaptcha знаходзіцца ў падобнай частцы рынку, але з іншым акцэнтам. У кіраўніцтве распрацоўшчыка гаворыцца, што hCaptcha дапамагае абараніць сайты і праграмы ад ботаў, спаму і аўтаматызаваных злоўжыванняў, а ў раздзеле часта задаваных пытанняў падкрэсліваецца кантроль над складанасцю і прыватнасцю як ключавыя адрозненні ад reCAPTCHA. hCaptcha таксама адзначае, што яна сумяшчальная з API reCAPTCHA v2, што тлумачыць, чаму яе часта ацэньваюць каманды, якія шукаюць альтэрнатыву, якая адпавядае знаёмым шаблонам рэалізацыі. Сумяшчальнасць зніжае трэнне пры міграцыі, што важна, калі каманды бяспекі хочуць праверыць змены, не перапісваючы значныя часткі патоку сваіх праграм.
Галоўнае, што hCaptcha адлюстроўвае тое, як пакупнікі думаюць пра гэтую катэгорыю сёння. Яны не толькі пытаюцца: «Ці можа гэта блакаваць дрэнны трафік?» Яны таксама пытаюцца, ці дае пастаўшчык ім значны кантроль над палітыкай, прымальны ўзровень прыватнасці і рэалістычны шлях міграцыі. Гэта асабліва актуальна ў асяроддзях, дзе розныя бізнес-падраздзяленні клапоцяцца пра розныя кампрамісы. Бяспека патрабуе ўстойлівасці. Прадукт хоча больш плыўнага шляху карыстальніка. Юрыдычны аддзел хоча менш праблем з прыватнасцю. Інжынерны аддзел хоча больш лёгкай рэалізацыі. Пастаўшчыкі, якія застаюцца актуальнымі на гэтым рынку, як правіла, выжываюць, таму што яны задавальняюць больш чым адну з гэтых патрэб адначасова. Пазіцыянаванне hCaptcha мае сэнс у гэтых больш шырокіх рамках прыняцця рашэнняў.
Arkose Labs і пераход да дынамічнага кантролю
Arkose Labs прадстаўляе больш агрэсіўную і відавочна адаптыўную галіну экасістэмы барацьбы са злоўжываннямі. У дакументацыі распрацоўшчыкаў Arkose апісваецца яе платформа кіравання ботамі як такая, што спалучае ў сабе глыбокае выяўленне абароны з дынамічным рэагаваннем на атакі для пераадолення незразумелых сігналаў даверу, не парушаючы добры карыстальніцкі досвед. Гэта фармулёўка вельмі паказальная. Arkose прадае не толькі статычную праблему. Яна прадае мадэль прымусовага выканання, якая можа пагаршацца або карэктавацца ў залежнасці ад характару трафіку. Гэта асабліва актуальна ў адчувальных патоках, такіх як уваход у сістэму, рэгістрацыя, аднаўленне пароля або кантрольныя пункты бяспекі ўліковага запісу, дзе эканамічны ўплыў злоўжыванняў можа быць значным.
Гэтая дынамічная мадэль адлюстроўвае ключавую ісціну пра сучасную верыфікацыю: часам найлепшым адказам з'яўляецца не ўніверсальны выклік, які паказваецца ўсім, а зменлівы адказ, які становіцца больш жорсткім, калі трафік выглядае больш небяспечным. Такія пастаўшчыкі, як Arkose, увасабляюць гэтую ідэю. Замест таго, каб аднолькава ставіцца да ўсіх падазроных сесій, яны спрабуюць інтэрпрэтаваць сігналы даверу, а потым рэагаваць прапарцыйна. Менавіта таму прастора барацьбы са злоўжываннямі цяпер так моцна перасякаецца з абаронай ад махлярства і бяспекай акаўнтаў, а не існуе як вузкая ніша абароны формаў. Чым важнейшы працоўны працэс, тым большая верагоднасць таго, што сайт запатрабуе чагосьці больш разумнага, чым універсальнае поле CAPTCHA.
GeeTest і адаптыўная праверка на аснове паводзін
GeeTest — яшчэ адзін яскравы прыклад таго, як праверка ператварылася з статычных галаваломак у больш адаптыўныя сістэмы. У дакументацыі GeeTest CAPTCHA v4 прадстаўлена як адаптыўная CAPTCHA і апісана яе больш шырокае прапанова па праверцы паводзін, як кіраванне ботамі на аснове аналізу паводзін для вэб-сайтаў, мабільных праграм і API. У дакументацыі таксама гаворыцца, што большасць рэальных карыстальнікаў у інтэлектуальным рэжыме могуць прайсці адным пстрычкай мышы, у той час як больш рызыкоўныя запыты могуць перайсці да больш інтэрактыўнага другаснага этапу праверкі. Гэта апісанне амаль ідэальна адлюстроўвае сучасную філасофію: меншае трэнне для звычайнага трафіку, больш уважлівы кантроль для падазронага трафіку і працоўны працэс, які змяняецца ў залежнасці ад рызыкі.
GeeTest таксама паказвае, як гэты рынак выйшаў за рамкі браўзераў для настольных кампутараў. Яго дакументацыя ўключае матэрыялы па разгортванні для Android і iOS, і ён апісвае адаптыўную CAPTCHA як абарону не толькі для вэб-сайтаў, але і для праграм і API. Гэта важна, таму што праблемы злоўжывання, з якімі сутыкаюцца многія кампаніі, цяпер ахопліваюць вэб, мабільны вэб, натыўныя мабільныя прылады і канчатковыя кропкі API. Пастаўшчык праверкі больш не ацэньваецца толькі па тым, наколькі акуратна віджэт адлюстроўваецца ў выглядзе настольнага кампутара. Ён ацэньваецца па тым, як ён упісваецца ў міжплатформенную стратэгію даверу. Пазіцыянаванне GeeTest вакол адаптыўнага аналізу паводзін і некалькіх паверхняў разгортвання адлюстроўвае гэтае больш шырокае чаканне.
Зручная капча і імкненне да нябачнай абароны, якая надае першае значэнне прыватнасці
Friendly Captcha паходзіць з іншай дызайнерскай культуры. У дакументацыі распрацоўшчыка апісваецца сэрвіс, які абараняе вэб-сайты ад ботаў і злоўжыванняў у зручны для карыстальнікаў і даступны спосаб, у той час як на сайце кампаніі робіцца акцэнт на захаванні прыватнасці, даступнасці і аўтаматычнай працы. Пасыл Friendly Captcha заключаецца не толькі ў тым, што ён блакуе злоўжыванні, але і ў тым, што робіць гэта, не прымушаючы карыстальнікаў выконваць стомныя задачы па маркіроўцы. На старонках прадуктаў выразна гаворыцца, што карыстальнікам не трэба нічога рабіць у звычайным рэжыме, а ў матэрыялах аб даступнасці падкрэсліваецца сертыфікацыя WCAG 2.2 AA і падтрымка праграм чытання з экрана, навігацыі з дапамогай клавіятуры і дапаможных тэхналогій.
Такое пазіцыянаванне сведчыць пра значныя змены ў галіне. Сістэмы праверкі цяпер ацэньваюцца не толькі па тым, наколькі добра яны спыняюць злоўжыванні, але і па тым, наколькі элегантна яны абыходзяцца з законнымі карыстальнікамі. Кампанія, якая абслугоўвае шырокую аўдыторыю, дзяржаўных карыстальнікаў, карыстальнікаў у сферы адукацыі або асяроддзі, адчувальныя да даступнасці, можа клапаціцца як пра трэнне і адпаведнасць патрабаванням, так і пра чыстую антыбот-сілу. Гісторыя прадукту Friendly Captcha пабудавана вакол гэтай рэальнасці. Яна разглядае прыватнасць і даступнасць не як другасныя функцыі, а як цэнтральныя прычыны выбару сучаснай платформы праверкі. У вэб-асяроддзі, якое ўсё больш фарміруецца рэгуляваннем і чаканнямі зручнасці выкарыстання, гэта больш, чым брэндынг. Гэта сур'ёзная прадуктовая стратэгія.
ALTCHA і proof-of-work як іншы адказ на тую ж праблему
ALTCHA яшчэ больш прасоўвае ідэю прыватнасці на першым месцы, выкарыстоўваючы мадэль доказу працы замест класічнага шаблону галаваломкі. У дакументацыі ALTCHA апісваецца як пратакол з адкрытым зыходным кодам і віджэт JavaScript, прызначаны для барацьбы са спамам і злоўжываннямі з выкарыстаннем доказу працы, а не тэсціравання карыстальнікамі або галаваломак. Яго сайт пазіцыянуе яго як арыентаваны на прыватнасць, даступнасць, самастойна размяшчаны і глабальна адпавядае патрабаванням, без адсочвання, файлаў cookie або адбіткаў пальцаў у асноўным падыходзе. У агульных рысах гэта азначае, што ALTCHA спрабуе зрабіць аўтаматызацыю злоўжыванняў больш дарагой у вылічальным плане, не ператвараючы кожнага законнага наведвальніка ў неахвотнага разгадвальніка галаваломак.
Гэта важна, бо даказвае, што больш не існуе адзінай дамінуючай філасофіі праверкі. Некаторыя прадукты ў значнай ступені абапіраюцца на паводніцкі аналіз. Некаторыя робяць акцэнт на ацэнках рызыкі. Некаторыя выкарыстоўваюць праверкі браўзера і праверку токенаў. ALTCHA сцвярджае, што лепшым адказам з'яўляецца лёгкая вылічальная праца, якая яшчэ больш абвастраецца, калі запыт выглядае рызыкоўным. У дакументацыі апісваецца бесперашкодная CAPTCHA з доказам працы для законных карыстальнікаў і больш бяспечныя праверкі кода для выпадкаў з больш высокай рызыкай. Незалежна ад таго, абярэ каманда ў рэшце рэшт гэтую мадэль ці не, ALTCHA каштоўная як маркер катэгорыі. Гэта паказвае, што сучасныя тэхналогіі барацьбы са злоўжываннямі могуць амаль цалкам адысці ад бачных праблем, захоўваючы пры гэтым функцыянальнасць сур'ёзнай лініі абароны.
Prosopo і мадэль замены з адкрытым зыходным кодам
Prosopo Procaptcha — яшчэ адна ілюстрацыя таго, куды рухаецца гэтая катэгорыя. У дакументацыі Procaptcha апісваецца як адкрытая замена reCAPTCHA, hCaptcha і Cloudflare Turnstile, якая абараняе прыватнасць карыстальнікаў, збіраючы пры гэтым мінімум дадзеных. Такое пазіцыянаванне характэрна па дзвюх прычынах. Па-першае, яно сведчыць аб тым, наколькі сталым стаў рынак: цяпер чаканні дастаткова стандартызаваныя, каб пастаўшчык мог апісваць сябе ў адносінах да некалькіх існуючых пастаўшчыкоў адначасова. Па-другое, яно падкрэслівае, наколькі важнымі сталі прыватнасць і зручнасць замены ў перамовах аб закупках і інжынерных пытаннях.
Падыходы з адкрытым зыходным кодам і нізкім аб'ёмам дадзеных прывабліваюць каманды, якія жадаюць большай празрыстасці або меншай залежнасці ад буйных платформаў. Яны таксама могуць быць прывабнымі ў рэгуляваным асяроддзі або асяроддзі, якое ўважліва ставіцца да прыватнасці, дзе юрыдычныя і інжынерныя зацікаўленыя бакі жадаюць больш жорсткага кантролю над тым, што адбываецца ў патоках, якія сутыкаюцца з карыстальнікамі. Пасланне Prosopo аб «замене адразу» паказвае на практычнае жаданне многіх кампаній: яны хочуць сучаснай абароны ад злоўжыванняў, але не жадаюць гіганцкага праекта міграцыі, маштабнага перапрацоўкі або складанай праверкі прыватнасці кожны раз, калі яны мяняюць пастаўшчыкоў. Гэты попыт дапамагае растлумачыць, чаму прадукты, якія можна замяніць, прыцягнулі ўвагу ў апошнія гады.
MTCaptcha і ідэя нябачнага выкліку з нізкім трэннем
MTCaptcha знаходзіцца ў крыху іншым куце рынку, але яна адлюстроўвае некалькі тых жа сучасных прыярытэтаў. У дакументацыі гаворыцца, што яна падтрымлівае нябачную CAPTCHA і выкарыстоўвае адаптыўную складанасць, падмацаваную перадавым алгарытмам рызыкі, каб паменшыць расчараванне рэальных карыстальнікаў. Адаптыўны доказ працы таксама апісваецца як частка ўбудаваных магчымасцей з заяўленай мэтай зрабіць атакі больш дарагімі і павольнымі, захоўваючы пры гэтым практычна незаўважным для большасці законных наведвальнікаў. Акрамя таго, MTCaptcha адрознівае вытворчую і распрацоўчую вобласці, што падмацоўвае ідэю аб тым, што праверка з'яўляецца часткай бягучага аперацыйнага кіравання, а не аднаразовым падзеннем віджэта.
Карыснай MTCaptcha ў больш шырокім тлумачэнні галіны робіць не асобнае сцвярджэнне, а спалучэнне ідэй: нябачныя рэжымы, адаптыўная складанасць, доказ працы, эскалацыя на аснове рызыкі і канфігурацыя з улікам навакольнага асяроддзя. Гэтыя элементы зноў і зноў з'яўляюцца ў сучасным ландшафце CAPTCHA. Нават калі пастаўшчыкі выбіраюць розныя тэхнічныя шляхі, яны ўсё часцей сыходзяцца ў адных і тых жа мэтах. Яны хочуць нізкага трэння для добрых карыстальнікаў, больш высокай кошту для злоўжывальнай аўтаматызацыі, гнуткага разгортвання і больш моцнага адпаведнасці чаканням прыватнасці і даступнасці. MTCaptcha добра адпавядае гэтай мадэлі, таму яна павінна быць у больш шырокай дыскусіі аб тым, як выглядаюць сучасныя тыпы выклікаў.
Катэгорыя больш не арганізавана толькі па тыпу галаваломкі
Адна з прычын, чаму людзі блытаюцца пры параўнанні сістэм выпрабаванняў, заключаецца ў тым, што яны ўсё яшчэ сартуюць іх у сваёй свядомасці па старых бачных катэгорыях: тэкставая CAPTCHA, графічная CAPTCHA, аўдыё CAPTCHA, слайдавая CAPTCHA. Гэтыя цэтлікі ўсё яшчэ часам карысныя, але яны больш не дасягаюць сутнасці праблемы. Больш дакладны спосаб думаць пра рынак - гэта сартаваць сістэмы па тым, як яны будуюць давер і як яны ўзмацняюць трэнне. Некаторыя абапіраюцца на праверкі, якія выконваюцца браўзерам, і праверку токенаў. Некаторыя абапіраюцца на ацэнкі рызыкі. Некаторыя абапіраюцца на адаптыўны аналіз паводзін. Некаторыя абапіраюцца на дынамічны адказ на атаку. Некаторыя абапіраюцца на доказ працы. Бачны досвед можа выглядаць падобным на першы погляд, але логіка прыняцця рашэнняў у аснове можа радыкальна адрознівацца.
Гэта змяненне перспектывы дапамагае растлумачыць, чаму старое агульнае пытанне: «Якую CAPTCHA выкарыстоўвае гэты сайт?» часта занадта павярхоўнае. Лепшыя пытанні: як сістэма правярае давер, якія сігналы яна счытвае, калі яна пераходзіць да эскалацыі, як яна запамінае вырашаныя станы, які тып паводзін сесіі выклікае бачныя праблемы і наколькі добра яна адпавядае канкрэтнаму працоўнаму працэсу, які абараняецца. Як толькі гэтыя пытанні бяруць верх, галіна пачынае мець значна больш сэнсу. Тое, што выглядала як хаатычны спіс назваў брэндаў, ператвараецца ў набор розных архітэктурных рашэнняў адносна бяспекі, прыватнасці і карыстальніцкага досведу.
Праверка на аснове токенаў змяніла ўяўленне вэб-сайтаў пра давер
Асноўнай ніткай, якая праходзіць праз усе сучасныя сістэмы, з'яўляецца такенізацыя. Турнікет стварае токен у браўзеры, а затым чакае яго праверкі серверам. AWS WAF выкарыстоўвае зашыфраваныя токены і адсочвае іх праз aws-waf-tokenПаток сувязі GeeTest таксама ўключае токен пройдзенага запыту, які праходзіць другасную праверку на баку сервера. Гэтая мадэль, арыентаваная на токены, змяняе пункт гледжання ўладальніка сайта. Замест таго, каб проста пытацца, ці вырашыў карыстальнік адну галаваломку на франтальным інтэрфейсе, праграма пытаецца, ці ёсць у яе сапраўдны доказ ад сістэмы праверкі таго, што бягучае ўзаемадзеянне прайшло неабходныя праверкі.
Гэта важна, таму што давер пачынае функцыянаваць менавіта на сервернай праверцы. Сайт не можа бяспечна спадзявацца толькі на тое, што адбылося ў браўзеры. Яму патрэбна пацверджанне ад пастаўшчыка праверкі таго, што токен сапраўдны, актуальны і звязаны з чаканым патокам. Больш шырокі ўрок заключаецца ў тым, што сучасная CAPTCHA — гэта не проста элемент карыстальніцкага інтэрфейсу. Гэта шаблон бэкэнд-інтэграцыі. Інжынерныя каманды, якія выбіраюць пастаўшчыка, часта выбіраюць працоўны працэс з токенамі гэтак жа, як і бачную праблему. Гэта адна з прычын, чаму якасць дакументацыі, яснасць API і логіка праверкі настолькі важныя на гэтым рынку. Складанасць абароны неаддзельная ад складанасці інтэграцыі.
Сістэмы на аснове балаў змянілі значэнне слова «праверка»
Сістэмы на аснове ацэнак змянілі катэгорыю яшчэ адным важным чынам. Google сцвярджае, што reCAPTCHA v3 вяртае ацэнку без трэнняў з боку карыстальніка, і пазіцыянаванне hCaptcha для прадпрыемстваў таксама паказвае на аналіз рызык у рэжыме рэальнага часу. У гэтай мадэлі сістэма не абавязкова прымушае аспрэчваць запыт у момант кантакту. Замест гэтага яна дае сайту сігнал меркавання і дазваляе сайту вырашыць, ці дазволіць, абмежаваць, мадэраваць або эскаляваць. Гэта прынцыпова адрозніваецца ідэя ад старога шаблону CAPTCHA. Праверка перастае быць фіксаваным дзвярным праходам і становіцца часткай гнуткай палітыкі рызык.
Мадэлі, заснаваныя на ацэнках, прывабныя тым, што дазваляюць розныя дзеянні для розных узроўняў рызыкі. Даверанае ўзаемадзеянне можа прайсці бясшумна. Памежнае ўзаемадзеянне можа падвергнуцца дадатковым праверкам. Больш падазроны паток можа быць абмежаваны па частаце, затрыманы для мадэрацыі або прымусова пераведзены на другасную праверку. Такі шматслаёвы адказ часта больш эфектыўны, чым паказ адной і той жа бачнай праблемы кожнаму наведвальніку, таму што ён пакідае трэнне для сеансаў, якія яго апраўдваюць. У выніку атрымліваецца катэгорыя, якая менш падобная на тэст фіксаванага карыстальніка і больш падобная на жывую сістэму даверу да трафіку, убудаваную ў працэс прыняцця рашэнняў у дадатку.
Адаптыўныя і дынамічныя сістэмы становяцца ўсё больш нормай
Калі адна фраза адлюстроўвае цяперашні стан рынку, то гэта, верагодна, адаптыўнае прымяненне. GeeTest літаральна апісвае адаптыўную CAPTCHA. Arkose падкрэслівае дынамічны адказ на атаку. MTCaptcha кажа пра адаптыўную складанасць і адаптыўны доказ працы. Friendly Captcha v2 сцвярджае, што яна збірае сігналы сесіі для генерацыі бала, а затым прызначае вылічальна інтэнсіўную задачу, складанасць якой павялічваецца па меры павелічэння бала. Нават калі пастаўшчыкі выкарыстоўваюць розныя тэрміны, яны сыходзяцца па адным і тым жа прынцыпе: добры трафік павінен сутыкацца з меншым трэннем, падазроны трафік — з большым.
Гэтая тэндэнцыя, верагодна, захаваецца, бо яна лепш адпавядае таму, як насамрэч працуюць злоўжыванні. Шкоднасная аўтаматызацыя рэдка паводзіць сябе аднолькава ва ўсіх сесіях і на ўсіх маршрутах. Рызыка змяняецца ў залежнасці ад канцавой кропкі, геаграфічнага месцазнаходжання, профілю сеткі, паводзін прылады, часу сутак і бізнес-кантэксту. Старонка афармлення замовы пад ціскам інвентара — гэта не тое ж самае, што форма каментарыяў у блогу. Канчатковая кропка скіду пароля — гэта не тое ж самае, што падпіска на рассылку. Адаптыўныя сістэмы дазваляюць сайтам рухацца ў адпаведнасці з гэтай рэальнасцю, замест таго, каб рабіць выгляд, што адзін стыль выкліку падыходзіць для кожнага выпадку. На практыцы гэта часта прыводзіць як да лепшай абароны, так і да лепшага карыстальніцкага досведу, таму што трэнне становіцца больш выбарчым.
Даступнасць больш не з'яўляецца пабочным фактарам
Адно з найбуйнейшых змяненняў у гэтай сферы — гэта тое, наколькі цэнтралізавана стала даступнасць. Friendly Captcha вылучае даступнасць і заяўляе, што яе прадукт сертыфікаваны па WCAG 2.2 AA. ALTCHA прадстаўляе даступнасць і ўніверсальную адпаведнасць як асноўныя каштоўнасці. MTCaptcha рэкламуе адпаведнасць даступнасці як частку сваёй прапановы каштоўнасці. Гэта ўжо не дробныя функцыі. Яны адлюстроўваюць усё большае прызнанне таго, што традыцыйныя візуальныя CAPTCHA часта ствараюць перашкоды для карыстальнікаў з абмежаванымі магчымасцямі, карыстальнікаў дапаможных тэхналогій і карыстальнікаў, якія проста змагаюцца з стомнымі задачамі праверкі чалавекам.
Гэты зрух таксама змяняе тое, як уладальнікі сайтаў павінны ацэньваць пастаўшчыкоў. Сістэма выклікаў, якая тэхнічна блакуе ботаў, але блакуе законных людзей, не з'яўляецца поўным рашэннем. Публічныя сэрвісы, сайты электроннай камерцыі, парталы аховы здароўя, адукацыйныя платформы і ўрадавыя патокі не могуць дазволіць сабе разглядаць даступнасць як неабавязковую. Больш магутныя сучасныя прадукты ўсё часцей прызнаюць гэта, памяншаючы бачнае трэнне, падтрымліваючы навігацыю з дапамогай клавіятуры, паляпшаючы сумяшчальнасць з праграмамі чытання з экрана і пазбягаючы старой мадэлі прымусу карыстальнікаў да бясконцых практыкаванняў па маркіроўцы малюнкаў. У гэтым сэнсе даступнасць не аддзелена ад бяспекі. Яна з'яўляецца часткай таго, што робіць сістэму абароны жыццяздольнай у рэальным свеце.
Канфідэнцыяльнасць і адпаведнасць цяпер вызначаюць выбар прадуктаў
Прыватнасць — яшчэ адзін важны фактар, які змяняе гэту катэгорыю. «Дружная капча» называе сябе дружалюбнай да прыватнасці і адпавядае патрабаванням прыватнасці. ALTCHA падкрэслівае ў сваім пазіцыянаванні пазіцыю самастойнага размяшчэння, адсутнасці адсочвання, выкарыстання файлаў cookie і адбіткаў пальцаў. GeeTest публікуе рэкамендацыі па адпаведнасці, а hCaptcha падкрэслівае прыватнасць у сваёй мове параўнання. Гэта адлюстроўвае рэальную патрэбу рынку. Многія арганізацыі жадаюць надзейнай абароны ад злоўжыванняў, але яны таксама хочуць мець выразны адказ на пытанне, якія дадзеныя карыстальнікаў збіраюцца, якія сігналы апрацоўваюцца і як гэта адпавядае ўнутранай палітыцы і знешняму рэгуляванню.
Для інжынерных і юрыдычных каманд гэта азначае, што выбар задачы больш не з'яўляецца выключна рашэннем аб закупцы бяспекі. Ён тычыцца таксама праверкі прыватнасці, праверкі адпаведнасці, а часам і даверу да брэнда. Кампанія можа аддаць перавагу сістэме, якая мінімізуе адсочванне, пазбягае непатрэбнага абмену дадзенымі або прапануе варыянты самастойнага хостынгу, нават калі іншы прадукт можа здацца больш знаёмым на першы погляд. Гэта не азначае, што прадукты, якія ў першую чаргу арыентаваны на прыватнасць, заўсёды падыходзяць для кожнага выпадку выкарыстання. Гэта азначае, што старой звычкі ацэньваць CAPTCHA выключна па пазнавальнасці брэнда або складанасці задачы больш недастаткова. Сапраўднае рашэнне цяпер прымаецца на скрыжаванні бяспекі, прыватнасці, даступнасці і карыстальніцкага досведу.
Вэб, мабільны вэб, натыўныя праграмы і API змянілі размову
Яшчэ адна прычына, па якой рынак цяпер выглядае больш складаным, заключаецца ў тым, што праверка больш не з'яўляецца праблемай толькі для настольных кампутараў. У дакументацыі Cloudflare гаворыцца, што Turnstile распрацаваны для стандартных асяроддзяў браўзера, працуе ў мабільных браўзерах і патрабуе WebView для натыўных мабільных прыкладанняў, паколькі задача выконваецца ў асяроддзі браўзера. GeeTest дакументуе разгортванне Android і iOS. Arkose прадастаўляе матэрыялы для мабільных SDK. Гэтыя дэталі важныя, таму што многія кампаніі цяпер працуюць у розных сесіях браўзера, убудаваных праглядах браўзера, мабільных прыкладаннях і публічных API, і ўсе яны сутыкаюцца з рознымі рызыкамі злоўжывання.
Гэтая міжплатформенная рэальнасць прасоўвае праверку далей у дызайн прадукту. Каманда не можа меркаваць, што той жа шаблон рэалізацыі, які працуе для старонкі рэгістрацыі ў Інтэрнэце, будзе выразна адлюстраваны на патоку мабільнага прыкладання або шляху карыстальніка, кіраваным API. Вось чаму наймацнейшыя пастаўшчыкі цяпер дакументуюць больш шырокія мадэлі разгортвання, а не толькі рэндэрынг віджэтаў. Калі кампаніі ацэньваюць сістэмы выклікаў сёння, яны часта задаюць больш стратэгічнае пытанне: ці можа гэты прадукт паслядоўна падтрымліваць нашы рашэнні аб даверы ва ўсіх месцах, дзе з'яўляюцца рэальныя карыстальнікі і злоўжывальная аўтаматызацыя? Гэтае пытанне выходзіць далёка за рамкі старога менталітэту эпохі сцяжкоў.
Тэсціраванне і кантроль якасці патрабуюць іншага падыходу, чым абарона вытворчых працэсаў.
Адзін з найважнейшых практычных урокаў у афіцыйнай дакументацыі заключаецца ў тым, што тэставанне антыбот-сістэм — гэта не тое ж самае, што прапуск праз іх прадукцыйнага трафіку. Cloudflare выразна заяўляе, што аўтаматызаваныя тэставыя пакеты, такія як Selenium, Cypress або Playwright, выяўляюцца як боты Turnstile, і рэкамендуе выкарыстоўваць фіктыўныя ключы сайта і сакрэтныя ключы для тэставання. Ён таксама публікуе рэкамендацыі па выключэнні Turnstile з скразных тэстаў з дапамогай спецыяльных ключоў тэставання. Гэта надзвычай важны аперацыйны момант. Гэта азначае, што адказнае забеспячэнне якасці будуецца вакол тэставых шляхоў, якія падтрымліваюцца пастаўшчыком, а не вакол спроб абыйсці логіку абароны ад злоўжыванняў у прадукцыйных сцэнарыях аўтаматызацыі.
Гэта кіраўніцтва таксама адлюстроўвае больш шырокую праўду пра сучасныя сістэмы выпрабаванняў. Яны наўмысна з падазрэннем ставяцца да фрэймворкаў аўтаматызацыі, асяроддзяў без галавы і сцэнарных шаблонаў узаемадзеяння. Каманда, якая спрабуе перабраць прадукцыйную праверку ў аўтаматызаваныя тэсты, часта стварае нестабільныя наборы і зманлівыя вынікі. Лепшы падыход - аддзяліць функцыянальнае тэсціраванне ад жывога кантролю за злоўжываннямі і выкарыстоўваць механізмы, зацверджаныя пастаўшчыком, для праверкі інтэграцый. Іншымі словамі, сучасныя сістэмы CAPTCHA павінны тэсціравацца як інфраструктура бяспекі, а не разглядацца як нязручная кнопка, на якую аўтаматызацыя проста павінна націснуць. Гэта адрозненне можа зэканоміць інжынерным камандам велізарную колькасць часу і знішчыць блытаніну.
Выбар правільнай сістэмы задач залежыць ад працоўнага працэсу, які абараняецца
Пасля таго, як вы зразумееце рынак, відавочная выснова заключаецца ў тым, што універсальнай найлепшай CAPTCHA не існуе. Правільны варыянт залежыць ад таго, што абараняецца і на якія кампрамісы гатовая пайсці арганізацыя. Простая публічная форма можа атрымаць выгаду ад нізкатрывалага рашэння з улікам прыватнасці, якое працуе ў асноўным у фонавым рэжыме. Працэс уваходу ў сістэму або аднаўлення ўліковага запісу падчас актыўнай атакі можа запатрабаваць больш моцнага дынамічнага забеспячэння. Бізнес са строгімі прынцыпамі прыватнасці можа аддаваць перавагу самастойным або нізкааб'ёмным падыходам. Кампанія з вялікім мабільным трафікам можа шанаваць сталасць SDK і яснасць асяроддзя браўзера. Высока рэгуляванае асяроддзе можа надаваць такую ж вялікую ўвагу даступнасці і дакументацыі па адпаведнасці, як і чыстым магчымасцям барацьбы з ботамі.
Вось чаму карысна думаць пра платформы выклікаў як пра розныя адказы на розныя аперацыйныя пытанні. Turnstile добра адказвае на пытанне «як нам паменшыць бачнае трэнне?». AWS WAF добра адказвае на пытанне «як нам інтэграваць выклікі ў вэб-бяспеку, арыентаваную на палітыку?». reCAPTCHA адказвае на пытанне «як нам спалучаць знаёмыя віджэты з ціхай ацэнкай рызык?». Friendly Captcha і ALTCHA моцна сведчаць пра прыватнасць і даступнасць. GeeTest і Arkose моцна схіляюцца да адаптыўнай або дынамічнай абароны. Ні адзін з гэтых адказаў не з'яўляецца аўтаматычна лепшым у любой сітуацыі. Лепшы выбар залежыць ад таго, што сайту патрэбна ад праверкі ў першую чаргу.
Найбольшая памылка заключаецца ў тым, што ўсе гэтыя інструменты — гэта проста фірмовыя версіі аднаго і таго ж.
На першы погляд, рынак можа выглядаць аднастайным. Здаецца, што брэнд за брэндам абяцае абарону ад ботаў, меншае трэнне і сучасную інтэграцыю. Але асноўныя дызайны адрозніваюцца па сутнасці. Некаторыя сістэмы заснаваныя на праверцы токенаў. Некаторыя — на ацэнках рызык. Некаторыя — на доказе працы. Некаторыя — на адаптыўным аналізе паводзін. Некаторыя — на дынамічнай эскалацыі супраць нападаў. Некаторыя аддаюць перавагу дызайну, арыентаванаму на прыватнасць. Некаторыя аддаюць перавагу рашэнням аб пагрозах карпаратыўнага ўзроўню. Нават калі два пастаўшчыкі рэкламуюць «нябачную» або «бяззменную» праверку, яны могуць прыйсці да яе з дапамогай вельмі розных метадаў і здагадак.
Вось чаму сур'ёзнае параўнанне патрабуе большага, чым проста прагляд дэманстрацыі віджэта. Сапраўднае параўнанне назіраецца ў працэсе рэалізацыі, логіцы забеспячэння выканання, адпаведнасці патрабаванням, гісторыі даступнасці, мадэлі тэставання і аперацыйнай прыдатнасці. Добрае рашэнне аб бяспецы тут заключаецца не ў выбары самай вядомай назвы. Гаворка ідзе пра выбар сістэмы даверу, філасофія дызайну якой адпавядае мадэлям злоўжывання, патрэбам прадукту і чаканням карыстальнікаў ад праграмы, якую вы спрабуеце абараніць. Гэта той узровень, на якім сучасны рынак CAPTCHA сапраўды канкуруе.
Як, верагодна, будзе выглядаць будучыня праверкі
Кірунак руху ўжо бачны ў бягучай дакументацыі. Пастаўшчыкі спрабуюць паменшыць непатрэбныя бачныя трэнні, зрабіць рашэнні больш адаптыўнымі, палепшыць даступнасць, умацаваць пазіцыю прыватнасці і больш глыбока інтэграваць праверку ў больш шырокую бяспеку прыкладанняў. Бачныя галаваломкі не знікнуць цалкам, але яны больш не з'яўляюцца цэнтрам катэгорыі. Цэнтр зрушваецца ў бок кантэкстуальнага даверу, праверкі з улікам сеансаў і мадэляў рэагавання, якія ўзмацняюцца толькі тады, калі гэта неабходна. Фрэймаванне нябачнай CAPTCHA ад Cloudflare, мадэль Google, якая спачатку ацэньвае вынікі, адаптыўны паток GeeTest, нябачнасць Friendly Captcha, якая забяспечвае прыватнасць, і дызайн доказу працы ALTCHA — усё гэта паказвае ў гэтым кірунку.
Для ўладальнікаў сайтаў і распрацоўшчыкаў гэта азначае, што стары падыход эпохі сцяжкоў з кожным годам становіцца менш карысным. Лепш думаць з пункту гледжання архітэктуры даверу. Якія сігналы павінны мець значэнне? Колькі трэння можа цярпець гэты паток? Якая пазіцыя прыватнасці нам патрэбна? Які стандарт даступнасці мы павінны адпавядаць? Як выглядае тэставанне ў невытворчым асяроддзі? Гэта пытанні, на якія прызначаны адказы сучасныя сістэмы праверкі. І арганізацыі, якія добра іх задаюць, маюць значна больш шанцаў атрымаць абарону, якая з'яўляецца адначасова эфектыўнай і гуманнай.
Заключныя думкі: сапраўдная гісторыя не ў больш складаных CAPTCHA, а ў больш разумнай праверцы
Найпрасцейшы спосаб няправільна зразумець сучасны рынак — гэта выказаць здагадку, што інтэрнэт проста вынайшаў больш складаныя CAPTCHA. Гэта не зусім так. Адбылося тое, што вэб-сайты перасталі разглядаць прадухіленне злоўжыванняў як адзіную галаваломку на старонцы і пачалі разглядаць яе як пастаянную праблему даверу. У адказ пастаўшчыкі стварылі сістэмы, якія правяраюць токены, аналізуюць паводзіны, ацэньваюць рызыкі, выбарачна эскалююць, абараняюць API, падтрымліваюць мабільныя асяроддзі, запамінаюць вынікі сесій і спрабуюць захаваць вопыт законных карыстальнікаў. Калі вы ўбачыце катэгорыю праз гэтую прызму, блытаніна назваў пачне збірацца ў нешта цэласнае. Гэта не проста розныя брэндыраваныя галаваломкі. Гэта розныя філасофіі праверкі.
Такім чынам, калі людзі гавораць пра Cloudflare, Amazon, Google, hCaptcha, Arkose, GeeTest, Friendly Captcha, ALTCHA, Prosopo або MTCaptcha, яны насамрэч кажуць пра розныя спосабы балансавання аднаго і таго ж набору ціску: бяспека супраць зручнасці выкарыстання, давер супраць трэнняў, абарона ад праблем прыватнасці і барацьба са злоўжываннямі супраць абавязацельстваў па даступнасці. Гэты баланс цяпер з'яўляецца адной з вызначальных праблем дызайну публічнага Інтэрнэту. І кампаніі, якія спраўляюцца з гэтым найлепш, — гэта не тыя, хто проста ўскладняе гэтыя праблемы. Гэта тыя, хто робіць праверку больш разумнай, больш выбарчай і больш паважлівай да людзей, якіх яна павінна абараняць.