Im Mai dieses Jahres stellte Google I / O 2018 auf der Konferenzkonferenz die dritte Version der reCAPTCHA-Technologie vor - reCAPTCHA v3 (Beta) . Wie Sie wissen, ist dies das beliebteste System wie CAPTCHA, das entwickelt wurde, um Bots zu blockieren, dh automatisierte Aktionen für verschiedene Dienste.

Das System wurde dafür kritisiert, freie menschliche Arbeit (in der ersten Version, mit der Google Bücher digitalisierte) auszunutzen, um das Leben von Menschen mit Sehbehinderungen und anderen Krankheiten wie Legasthenie zu verkomplizieren. Trotzdem wird reCAPTCHA als zu kompliziert kritisiert : Es ist schwierig oder unmöglich für Menschen, die Frage richtig zu beantworten: Der Test wird einfach absurd. Die Abbildung links zeigt einige Beispiele aus der ersten Version von reCAPTCHA. Mit der Veröffentlichung der zweiten Version (in der Sie die Bilder auswählen müssen, die das angegebene Objekt enthalten) hat sich die Situation nicht wesentlich verbessert.

Aber die dritte Version ist eine ganz andere Sache. Es wird sicherlich niemanden verletzen, da es für Benutzer, die Verhaltensanalysemethoden verwenden, nahtlos funktioniert.

Zunächst ein wenig Geschichte. Die erste Version von reCAPTCHA erschien 2007 und diente einem guten Zweck: Gleichzeitig mit dem Blockieren von Spam und Bots half sie auch bei der Digitalisierung von Büchern. Bis 2011 wurden damit die OCR-Ergebnisse bei der Digitalisierung der Archive der New York Times (mehr als 13 Millionen Artikel seit 1851) und von Google Books verfeinert.

Seit 2012 wurden dem System Fragmente von Fotos von Häusern aus Google Street View hinzugefügt. Seit etwa 2013 beginnt Google mit der Verhaltensanalyse von Benutzeraktionen im Browser ( erweiterte Risikoanalyse ). 2014 wurde eine zweite Version des Systems implementiert, bei der mehrere „korrekte“ Bilder aus neun Bildern ausgewählt werden mussten, gleichzeitig aber der Test bestanden werden konnte mit einem Klick. Wenn die Aktionen wie eine Person waren, hat der Benutzer den Test ohne Probleme bestanden: Klicken Sie einfach auf die Schaltfläche „Ich bin kein Roboter“ (das sogenannte NoCAPTCHA). Wenn die Aktionen einem Bot ähnlich sind, wurde er einem anspruchsvollen Test mit Erkennung von Objekten in Bildern unterzogen.


NoCAPTCHA

Hier bestand das Problem darin, dass neben der Verhaltensanalyse auch Cookies auf dem Computer überprüft wurden - und NoCAPTCHA für Browser im anonymen Modus oder für diejenigen, die Cookies am Ende der Sitzung bereinigen, praktisch nicht zugänglich war.

Dritte Version

Präsentation der dritten Version des Systems auf der Google I / O 2018-Konferenz

In der dritten Version von reCAPTCHA wird die Verhaltensanalyse verbessert (oder Google verfolgt Benutzer, wenn jemand dies in einem solchen Licht darstellt), dh dasselbe System der erweiterten Risikoanalyse, der erweiterten Risikoanalyse.

Jetzt arbeitet das System im Hintergrund und ist für Benutzer unsichtbar . Es reicht aus, die reCAPTCHA-Bibliothek zusammen mit der Seite herunterzuladen und grecaptcha.execute zu einem bestimmten Zeitpunkt oder sofort zum Zeitpunkt des grecaptcha.execute der Seite auszuführen. Und das ist alles. Der Benutzer bemerkt nichts - und Sie erhalten vom reCAPTCHA-Server über die JavaScript-API eine Bewertung dieses Benutzers basierend auf seiner Interaktion mit der Site und anderen Parametern.

  <script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script> <script> grecaptcha.ready(function() { grecaptcha.execute('reCAPTCHA_site_key', {action: 'homepage'}).then(function(token) { ... }); }); </script> 

Es gibt Vorschläge, dass das System nicht nur den Mauszeiger bewegt, sondern auch andere Parameter wie Mausklicks verfolgt. Das kann man nur erraten. Google gibt keine Informationen über die interne Arbeit des Systems, um Spammern und Bot-Besitzern nicht zu helfen.

Aus Sicht des Webmasters besteht der Hauptunterschied zwischen der dritten Version möglicherweise darin, dass der reCAPTCHA-Server auf Anfrage über die API keinen Binärwert erzeugt, sondern eine Schätzung im Bereich von 0,0 (wahrscheinlicher Bot) bis 1,0 (wahrscheinliche Person) für diese bestimmte Anfrage. Die Antwort wird im JSON-Format gesendet:

 { "success": true|false, // whether this request was a valid reCAPTCHA token for your site "score": number // the score for this request (0.0 - 1.0) "action": string // the action name for this request (important to verify) "challenge_ts": timestamp, // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ) "hostname": string, // the hostname of the site where the reCAPTCHA was solved "error-codes": [...] // optional } 

Wie Sie der Antwort des Servers entnehmen können, führt reCAPTCHA v3 ein neues Konzept von "Aktionen" ein. Wenn Sie unterschiedliche Namen von Aktionen an verschiedenen Stellen der Site definieren, beginnt sich das System an unterschiedliche Anforderungen anzupassen: Es wird anpassungsfähig (Risikoanalyse).

Mit anderen Worten, der Websitebesitzer wählt auf verschiedenen Seiten die „Beschneidungsstufe“ und die Aktionen aus, die für Benutzer über oder unter dieser Stufe ausgeführt werden sollen. Standardmäßig ist der Pegel auf 0,5 eingestellt. Auf der Hauptseite wird beispielsweise empfohlen, nur explizite Scraper zu blockieren (z. B. nur 0.0). Auf dem Autorisierungsformular können Sie alle Personen unter 0,5 filtern und ihnen eine Zwei-Faktor-Authentifizierung oder Überprüfung der Postanschrift anbieten, um sich vor Brute-Force-Angriffen zu schützen. Jetzt kann der Test mehrmals auf einer Seite zum richtigen Zeitpunkt und unsichtbar für den Benutzer ausgeführt werden.

Um am Betatest der dritten Version des Systems teilnehmen zu können, müssen Sie sich auf dieser Seite registrieren.

---