En mai de cette année, lors de la conférence de conférence, Google I / O 2018 a présenté la troisième version de la technologie
reCAPTCHA -
reCAPTCHA v3 (beta) . Comme vous le savez, il s'agit du système le plus populaire tel que CAPTCHA, qui a été créé pour bloquer les bots, c'est-à-dire des actions automatisées sur différents services.
Le système a été critiqué pour exploiter le travail humain gratuit (dans la première version, que Google utilisait pour numériser les livres), pour compliquer la vie des personnes ayant une déficience visuelle et d'autres maladies comme la dyslexie. ReCAPTCHA est toujours
critiqué pour être trop compliqué : il est difficile voire impossible pour les gens de répondre correctement à la question: le test devient tout simplement absurde. L'illustration de gauche montre quelques exemples de la première version de reCAPTCHA. La situation ne s'est pas beaucoup améliorée avec la sortie de la deuxième version (où vous devez sélectionner les images contenant l'objet spécifié).
Mais la troisième version est une toute autre affaire. Cela ne nuira certainement à personne, car il fonctionne de manière transparente pour les utilisateurs utilisant des méthodes d'analyse comportementale.
Tout d'abord, un peu d'histoire. La première version de reCAPTCHA est apparue en 2007 et a servi un bon objectif: en même temps qu'elle bloquait le spam et les bots, elle a également aidé à numériser des livres. En 2011, il a été utilisé pour affiner les résultats de l'OCR en numérisant les archives du New York Times (plus de 13 millions d'articles depuis 1851) et de Google Books.
Depuis 2012, des fragments de photos de maisons du service Google Street View ont été ajoutés au système. Depuis environ 2013, Google a commencé à appliquer une analyse comportementale des actions des utilisateurs dans le navigateur (
analyse avancée des risques ), et en 2014 une deuxième version du système a été mise en œuvre, où il était nécessaire de sélectionner plusieurs images «correctes» parmi un ensemble de neuf images, mais en même temps, il était possible de passer le test en un clic. Si les actions étaient comme une personne, alors l'utilisateur a réussi le test sans résoudre aucun problème: cliquez simplement sur le bouton «Je ne suis pas un robot» (le soi-disant NoCAPTCHA). Si les actions sont similaires à un bot, il a subi un test sophistiqué avec reconnaissance des objets dans les images.
NoCAPTCHAIci, le problème était qu'en plus de l'analyse comportementale, les cookies étaient également vérifiés sur l'ordinateur - et NoCAPTCHA était pratiquement inaccessible aux navigateurs en mode anonyme ou à ceux qui nettoient les cookies à la fin de la session.
Troisième version
Présentation de la troisième version du système lors de la conférence Google I / O 2018Dans la troisième version de reCAPTCHA, l'analyse comportementale est améliorée (ou Google suit les utilisateurs, si quelqu'un présente cela sous un tel jour), c'est-à-dire le même système d'analyse avancée des risques, l'analyse avancée des risques.
Maintenant, le système fonctionne en arrière-plan et est
invisible pour les utilisateurs. Il suffit de télécharger la bibliothèque reCAPTCHA avec la page et d'exécuter
grecaptcha.execute à un certain moment ou immédiatement au moment du chargement de la page. Et c'est tout. L'utilisateur ne remarque rien - et vous recevrez une évaluation de cet utilisateur du serveur reCAPTCHA via l'
API JavaScript en fonction de son interaction avec le site et d'autres paramètres.
<script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script> <script> grecaptcha.ready(function() { grecaptcha.execute('reCAPTCHA_site_key', {action: 'homepage'}).then(function(token) { ... }); }); </script>
Il est suggéré qu'en plus de déplacer le curseur de la souris, le système a commencé à suivre d'autres paramètres, tels que les clics de souris. On ne peut que le deviner. Google ne donne aucune information sur le travail interne du système afin de ne pas aider les spammeurs et les propriétaires de robots.
Du point de vue du webmaster, peut-être la principale différence entre la troisième version est que, sur demande via l'API, le serveur reCAPTCHA ne produit pas une valeur binaire, mais une estimation dans la plage de 0,0 (bot probable) à 1,0 (personne probable) pour cette demande particulière. La réponse est envoyée au format JSON:
{ "success": true|false, // whether this request was a valid reCAPTCHA token for your site "score": number // the score for this request (0.0 - 1.0) "action": string // the action name for this request (important to verify) "challenge_ts": timestamp, // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ) "hostname": string, // the hostname of the site where the reCAPTCHA was solved "error-codes": [...] // optional }
Comme vous pouvez le voir dans la réponse du serveur, reCAPTCHA v3 introduit un nouveau concept «d'actions». Si vous définissez différents noms d'actions à différents endroits du site, alors le système commencera à «s'adapter» aux différents besoins: il deviendra adaptatif (analyse des risques).
En d'autres termes, le propriétaire du site choisit le «niveau de découpage» et les actions à entreprendre pour les utilisateurs au-dessus ou en dessous de ce niveau sur différentes pages. Par défaut, le niveau est défini sur 0,5. Par exemple, sur la page principale, il est recommandé de bloquer uniquement les grattoirs explicites (par exemple, seulement 0,0). Sur le formulaire d'autorisation, vous pouvez filtrer tout le monde en dessous de 0,5, en leur offrant une authentification à deux facteurs ou une vérification de l'adresse postale afin de vous protéger contre les attaques par force brute. Désormais, le test peut être exécuté plusieurs fois sur une seule page, au bon moment et de manière invisible pour l'utilisateur.
Pour participer aux tests bêta de la troisième version du système, vous devez vous inscrire sur
cette page .
