En mayo de este año, en la conferencia de la conferencia, Google I / O 2018 presentó la tercera versión de la tecnología reCAPTCHA : reCAPTCHA v3 (beta) . Como saben, este es el sistema más popular como CAPTCHA, que fue creado para bloquear bots, es decir, acciones automatizadas en diferentes servicios.

El sistema fue criticado por explotar el trabajo humano gratuito (en la primera versión, que Google usó para digitalizar libros), por complicar la vida de las personas con discapacidad visual y otras enfermedades como la dislexia. Todavía se critica a reCAPTCHA por ser demasiado complicado : es difícil o imposible para las personas responder correctamente la pregunta: la prueba se vuelve simplemente absurda. La ilustración de la izquierda muestra algunos ejemplos de la primera versión de reCAPTCHA. La situación no ha mejorado mucho con el lanzamiento de la segunda versión (donde debe seleccionar las imágenes que contienen el objeto especificado).

Pero la tercera versión es una cuestión completamente diferente. Ciertamente, no dañará a nadie, porque funciona a la perfección para los usuarios que utilizan métodos de análisis de comportamiento.

Primero, un poco de historia. La primera versión de reCAPTCHA apareció en 2007 y tenía un buen propósito: al mismo tiempo que bloqueaba el spam y los bots, también ayudaba a digitalizar libros. Para 2011, se utilizó para refinar los resultados de OCR en la digitalización de los archivos de The New York Times (más de 13 millones de artículos desde 1851) y Google Books.

Desde 2012, se han agregado al sistema fragmentos de fotos de casas del servicio Google Street View. Desde aproximadamente 2013, Google comenzó a aplicar el análisis de comportamiento de las acciones del usuario en el navegador ( análisis de riesgo avanzado ), y en 2014 se implementó una segunda versión del sistema, donde fue necesario seleccionar varias imágenes "correctas" de un conjunto de nueve imágenes, pero al mismo tiempo fue posible pasar la prueba en un clic Si las acciones fueron como una persona, entonces el usuario pasó la prueba sin resolver ningún problema: simplemente haga clic en el botón "No soy un robot" (el llamado NoCAPTCHA). Si las acciones son similares a las de un bot, se le realizó una prueba sofisticada con reconocimiento de objetos en imágenes.


NoCAPTCHA

Aquí el problema era que, además del análisis de comportamiento, las cookies también se verificaban en la computadora, y NoCAPTCHA era prácticamente inaccesible para los navegadores en modo anónimo o para aquellos que limpian las cookies al final de la sesión.

Tercera versión

Presentación de la tercera versión del sistema en la conferencia Google I / O 2018

En la tercera versión de reCAPTCHA, se mejora el análisis de comportamiento (o los usuarios de seguimiento de Google, si alguien presenta esto de esta manera), es decir, el mismo sistema de análisis de riesgo avanzado, análisis de riesgo avanzado.

Ahora el sistema funciona en segundo plano y es invisible para los usuarios. Es suficiente descargar la biblioteca reCAPTCHA junto con la página y ejecutar grecaptcha.execute en un momento determinado o inmediatamente en el momento en que se carga la página. Y eso es todo. El usuario no nota nada y recibirá una evaluación de este usuario del servidor reCAPTCHA a través de la API de JavaScript en función de su interacción con el sitio y otros parámetros.

  <script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script> <script> grecaptcha.ready(function() { grecaptcha.execute('reCAPTCHA_site_key', {action: 'homepage'}).then(function(token) { ... }); }); </script> 

Hay sugerencias de que, además de mover el cursor del mouse, el sistema comenzó a rastrear otros parámetros, como los clics del mouse. Uno solo puede adivinar sobre esto. Google no proporciona ninguna información sobre el trabajo interno del sistema para no ayudar a los spammers y propietarios de bots.

Desde el punto de vista del webmaster, quizás la principal diferencia entre la tercera versión es que, a pedido a través de la API, el servidor reCAPTCHA no produce un valor binario, sino una estimación en el rango de 0.0 (bot probable) a 1.0 (persona probable) para esta solicitud en particular. La respuesta se envía en formato JSON:

 { "success": true|false, // whether this request was a valid reCAPTCHA token for your site "score": number // the score for this request (0.0 - 1.0) "action": string // the action name for this request (important to verify) "challenge_ts": timestamp, // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ) "hostname": string, // the hostname of the site where the reCAPTCHA was solved "error-codes": [...] // optional } 

Como puede ver en la respuesta del servidor, reCAPTCHA v3 presenta un nuevo concepto de "acciones". Si define diferentes nombres de acciones en diferentes lugares del sitio, entonces el sistema comenzará a "adaptarse" a diferentes necesidades: se volverá adaptativo (análisis de riesgos).

En otras palabras, el propietario del sitio elige el "nivel de recorte" y qué acciones tomar para los usuarios por encima o por debajo de este nivel en diferentes páginas. Por defecto, el nivel se establece en 0.5. Por ejemplo, en la página principal, se recomienda bloquear solo los raspadores explícitos (digamos, solo 0.0). En el formulario de autorización, puede filtrar a todos por debajo de 0.5, ofreciéndoles autenticación de dos factores o verificación de la dirección postal para protegerse de los ataques de fuerza bruta. Ahora la prueba se puede ejecutar varias veces en una página, en el momento adecuado e invisible para el usuario.

Para participar en las pruebas beta de la tercera versión del sistema, debe registrarse en esta página .

---