Разделы

Безопасность Пользователю Интернет Веб-сервисы Техника

Создан «убийца» ненавистной CAPTCHA. В нем не нужно вводить символы и искать картинки

Cloudflare создала сервис Turnstile на замену CAPTCHA. Он работает в полностью автоматическом режиме – не нужно вводить текст и искать изображения. Продвигая Turnstile, Cloudflare не скрывает свою нелюбовь к CAPTCHA и уверяет, что этот сервис раздражает всех пользователей без исключения. В России тоже есть аналоги CAPTCHA – один из них разработан «Яндексом».

У CAPTCHA появился достойный конкурент

Американская компания Cloudflare создала сервис Turnstile, призванный заменить собой CAPTCHA. Это тест «на робота», но, в отличие от CAPTCHA, в десятки раз более удобный.

CAPTCHA или (Completely Automated Public Turing test to tell Computers and Humans Apart – «полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей»). В одном из существующих вариантов тест представляет собой изображение, на котором искаженным шрифтом выведено слово или фраза. Пользователю предлагается распознать «шифр» и ввести его в единственное поле ввода.

В интернете CAPTCHA используется с 1997 г. в 2007 г. вышла его улучшенная версия reCAPTCHA с возможностью поиска подходящих по смыслу изображений, а через два года сервис перешел под контроль Google. В настоящее время reCAPTCHA обновлен до версии v3, вышедшей в октябре 2018 г.

capt601.jpg
Чтобы «магия» Cloudflare сработала, нужно лишь один раз кликнуть по кнопке «Я человек»

Оригинальный тест CAPTCHA, несмотря на десятилетия своего развития, в большинстве случаев по-прежнему заставляет пользователей искать подходящие изображения или, того хуже, пытаться разобраться, что написано на картинке, и вводить текст в соответствующее поле. Turnstile, по заявлениям разработчиков, лишен этих раздражающих всех пользователей недостатков – тест «на робота» проходит в автоматическом режиме без какого-либо участия человека. Даже сама Cloudflare прямым текстом говорит на своем сайте, что CAPTCHA обеспечивает «ужасный пользовательский опыт» (CAPTCHA provides a terrible user experience). «Мы ненавидим это, вы ненавидите это, все ненавидят это. Сегодня мы даем всем лучший выбор» (We hate it, you hate it, everyone hates it), – заявили разработчики Turnstile.

Одна из особенностей проекта – полностью открытый исходный код. Он находится в свободном доступе на GitHubрепозитории открытых проектов, принадлежащем Microsoft.

Что внутри

Новое творение Cloudflare базируется на алгоритмах искусственного интеллекта. Они оценивают несколько параметров, включая телеметрию браузера и поведение пользователя на сайте, где используется Turnstile.

Если верить разработчикам, то все данные, используемые Turnstile для анализа поведения пользователя, нигде не хранятся. Они собираются в режиме «здесь и сейчас», затем передаются в зашифрованном виде и после проверки сразу удаляются.

Пользователи, у которых данный тест вызывает положительные эмоции, в абсолютном меньшинстве

Пользоваться Turnstile можно на бесплатной основе, но для этого нужно завести аккаунт на сайте Cloudflare. После этого владельцы веб-сайтов могут встроить код, отвечающий за работу Turnstile, в структуру своего ресурса. При желании им можно заменить код оригинального теста CAPTCHA.

Разработчики несколько раз подчеркнули, что Turnstile – это именно бесплатный сервис. «Почему мы раздаем это бесплатно? Хотя людям извне иногда трудно поверить в это, но наша миссия действительно состоит в том, чтобы помочь сделать интернет лучше, – заявили создатели сервиса. – Это не первый раз, когда мы создаем бесплатные инструменты, которые, как мы думаем, сделают интернет лучше, и не последний. Это действительно важно для нас».

Cloudflare ненавидит CAPTCHA

Cloudflare довольно давно пытается избавить мир от CAPTCHA. Предыдущая относительно успешная попытка была предпринята в мае 2021 г., когда Cloudflare создала специализированную криптографическую проверку личности. По их заверениям, она занимает всего пять секунд и три клика мышкой.

Анализ угроз и киберразведка: какие проблемы решает обновленная TIP Security Vision
Безопасность

Для этого нужно нажать кнопку «Я человек» и выбрать идентификацию при помощи доверенного USB-ключа. После этого нужно вставить ключ в компьютер или поднести его к смартфону. В последнем случае считывание ключа будет проходить по NFC.

capt604.jpg
CAPTCHA на мобильном устройстве - очень изощренная пытка

Стремясь сделать СAPTCHA частью прошлого, Cloudflare приводит четыре аргумента в свою пользу. Первый – данный тест мешает пользователям концентрироваться на задачах, выполняемых ими в интернете. Второй – CAPTCHA может быть трудно пройти людям с ограниченными возможностями. Третий – зацикленность теста на культуре одной-двух стран мира. не все знают, как выглядят пожарные гидранты в США или машины такси в Британии. Четвертый – неудобство прохождения теста с мобильных устройств.

Российские аналоги

Cloudflare – это американская компания, а США – это один из крупнейших «поставщиков» антироссийских санкций. Пока неясно, будет ли работать новый сервис Turnstile в России, если Cloudflare решит по максимуму подключиться к этим ограничениям.

В России существует импортонезависимый заменитель CAPTCHA под названием SmartCaptcha. Это детище интернет-гиганта «Яндекс», доступ к которому открыт с июня 2022 г. На тот момент он тестировался 30 российскими компаниями.

Отечественный заменитель CAPTCHA

По заверениям разработчиков, тест в большинстве случаев проходится автоматически. Но иногда пользователю все же будет необходимо вручную ввести текст, изображенный на картинке.

Андрей Голов, «Код безопасности»: В многополярном мире мы могли бы создать киберальянсы
Безопасность

В отличие от Cloudflare, «Яндекс» не планирует открывать бесплатный доступ к SmartCaptcha. На этапе тестирования платить за сервис действительно не было необходимости. Однако после выхода сервиса в статус General available тарифицируется количество запросов на валидацию к API SmartCaptcha. Если их будет меньше 250 тыс. в месяц, оплата не потребуется. При превышении этого порога цена составит 100 руб. за каждую тысячу запросов. При этом заплатить придется только за фактическое количество запросов. К примеру, стоимость 250001 запроса составит 0,1 руб.

Евгений Черкесов