Get best of the week

الترحيل من reCAPTCHA إلى hCaptcha في Cloudflare



أعلنت Cloudflare أنها تحولت مؤخرًا من استخدام خدمة reCAPTCHA التي تقدمها Google إلى hCaptcha ، والتي تدعمها Intuition Machines. يسر Cloudflare جدًا أنها تمكنت من إجراء هذا النقل ، حيث إنها تساعد في حل المشكلات المتعلقة بجمع المعلومات السرية ذات الصلة في الوقت الذي اعتمدت فيه الشركة على خدمات Google. هذا ، بالإضافة إلى ذلك ، يساهم في تكوين أكثر مرونة لمهام CAPTCHA المقدمة لزوار الموقع. يؤثر هذا التغيير ، من حيث المبدأ ، على جميع مستخدمي Cloudflare. لذلك ، قررت الشركة مشاركة تفاصيل حول الانتقال إلى reCaptcha وأعدت مادة ، والتي ننشر ترجمتها اليوم.

باستخدام تقنية CAPTCHA في Cloudflare



واحدة من الخدمات التي تقدمها Cloudflare هي أن عملاء الشركة يتم منحهم الفرصة لمنع حركة المرور التلقائية الخبيثة (حركة السير). نستخدم العديد من الآليات التي تهدف إلى حل هذه المشكلة. إذا كنا على يقين تام من أن بعض حركة المرور ضارة ، فإننا نحظرها تمامًا. إذا علمنا على وجه اليقين أن بعض حركة المرور هي نتيجة نشاط بشري طبيعي ، فإننا نتخطاه. وينطبق الشيء نفسه على حركة المرور العادية الناتجة عن الروبوتات - مثل روبوتات محرك البحث. ولكن في بعض الأحيان ، في الحالات التي لا نثق فيها تمامًا بطبيعة حركة المرور ، نخضع هذه الحركة لـ "اختبار".

لدينا اختبارات مختلفة. بعضها أوتوماتيكي بالكامل ، لكن أحد هذه الاختبارات يتطلب تدخلًا بشريًا. تُعرف الاختبارات المماثلة باسم CAPTCHA (بالروسية تسمى "captcha"). يشير هذا الاختصار إلى اختبار تورينج الآلي المؤتمت بالكامل لإخبار أجهزة الكمبيوتر والبشر - وهو اختبار تورينج عام مؤتمت بالكامل للتمييز بين أجهزة الكمبيوتر والأشخاص. كما ترى ، يتم حذف عدد قليل من الأحرف T في كلمة CAPTCHA - وإلا ستبدو مثل CAPTTTCHA. تتكون اختبارات Captcha عادةً من حقيقة مطالبة المستخدم بقراءة النص المشوه وإدخاله في الحقل ، أو الاختيار من مجموعة الصور التي تحتوي على إشارات مرور أو معابر للمشاة. إن جوهر مهام اختبار CAPTCHA هو تسهيل حلها بالنسبة لشخص ما ، ولكن ليس للكمبيوتر.


تستخدم Cloudflare ، منذ بداية وجود الشركة ، خدمة Google reCAPTCHA. ظهرت هذه الخدمة في عام 2007 كمشروع بحثي في ​​جامعة كارنيجي ميلون. اشترت Google هذا المشروع في عام 2009. في نفس الوقت تقريبًا ، ظهر Cloudflare. منحت Google الوصول المجاني إلى reCaptcha في مقابل حقيقة أن البيانات من الخدمة تم استخدامها لتدريب أنظمة التعرف المرئي للشركة. عندما كنا نبحث عن حل CAPTCHA لـ Cloudflare ، اخترنا reCATPCHA لأن هذه الخدمة كانت فعالة وقابلة للتطوير ومجانية. كان العنصر الأخير في هذه القائمة مهمًا لنا نظرًا لحقيقة أن العديد من عملاء Cloudflare يستخدمون خدماتنا المجانية.

حول الخصوصية والأقفال


منذ الأيام الأولى لاستخدام reCAPTCHA على Cloudflare ، أعرب بعض عملائنا عن مخاوفهم من استخدام خدمة Google. تركز أعمال Google على الإعلانات المستهدفة. Cloudflare لا يفعل ذلك. لدينا سياسة خصوصية صارمة. لقد شعرنا بالارتياح تجاه سياسة الخصوصية المرتبطة بـ reCAPTCHA ، لكننا نتفهم أسباب قلق بعض عملائنا من أنه يتعين عليهم نقل بيانات إلى Google أكثر مما يرغبون.

بالإضافة إلى ذلك ، نواجه مشكلات في بعض المناطق ، مثل الصين ، حيث يتم حظر خدمات Google من وقت لآخر. لكن الصين فقط هي 25٪ من مستخدمي الإنترنت. ونتيجة لذلك ، كنا قلقين دائمًا من أن بعض هؤلاء المستخدمين لا يمكنهم العمل مع المواقع المحمية بواسطة Cloudflare إذا طُلب منهم حل مشكلة اختبار CAPTCHA.

كانت هناك بالفعل أسئلة كافية بشأن الخصوصية والأقفال المتراكمة على مر السنين لجعلنا نفكر في تغيير reCAPTCHA لشيء آخر. ولكن بالنسبة لنا ، مثل معظم شركات تكنولوجيا المعلومات ، من الصعب التركيز على التخلي عن بعض التقنيات المستخدمة على نطاق واسع وتغييرها إلى شيء جديد.

نموذج عمل Google المتغير


في وقت سابق من هذا العام ، أبلغتنا Google أنها ستبدأ في فرض رسوم على استخدام خدمة reCaptcha. هذا حقهم الكامل. لا شك في أن خدمة Cloudflare لاحتياجات CAPTCHA ، بالنظر إلى حجمنا ، تستحق الكثير من المال ، وهو أمر ملحوظ حتى على مقياس Google.

ومرة أخرى ، يعد تحصيل رسوم reCAPTCHA خطوة معقولة تمامًا من Google. إذا كانت فائدة الشركة من تدريب أنظمة تصنيف الصور أقل من تكلفة الحفاظ على الخدمة ، فمن الواضح أن Google لديها رغبة في فرض رسوم مقابل العمل مع هذه الخدمة. في حالتنا ، هذا يعني نفقات سنوية بملايين الدولارات ، والتي ستكون مطلوبة فقط للسماح لمستخدمينا المجانيين بمواصلة استخدام reCAPTCHA. هذا ، إلى جانب أسباب أخرى ، كان كافياً بالنسبة لنا لبدء البحث عن بديل لـ reCAPTCHA.

أفضل كلمة التحقق


قمنا بتحليل العديد من موردي حلول CAPTCHA وفكرنا في تطوير خدماتنا الخاصة من هذا النوع. ونتيجة لذلك ، تبين أن أنجح بديل لـ reCAPTCHA هو hCaptcha . لقد أحببنا كثيرًا في هذه الخدمة:

  1. لا يبيعون البيانات الشخصية. إنهم يجمعون فقط الحد الأدنى الضروري من هذه البيانات. تصف الشركة بوضوح المعلومات التي تجمعها وكيف تستخدم البيانات وتكشف عنها. تلتزم الشركة بهذه القواعد من خلال توفير خدمة hCaptcha Cloudflare.
  2. يتمتع نظام hCaptcha بمستوى جيد من الأداء (سواء من حيث السرعة أو من حيث الأداء المرتبط بحل مشكلات اختبار CAPTCHA). يتوافق هذا المستوى مع توقعاتنا أثناء اختبار A / B ، أو حتى يتجاوز مستوى هذه التوقعات.
  3. hCaptcha , - , .
  4.   Privacy Pass, -.
  5. , Google .
  6. hCaptcha , , .

يشبه نموذج أعمال hCaptcha القياسي النموذج المستخدم في بداية خدمة reCAPTCHA. وبالتحديد ، خططت الشركة لتقاضي المستخدمين الذين يحتاجون إلى بيانات تصنيف الصور. وكان أولئك الذين يستخدمون hCaptcha على الموقع يخططون لدفع مكافأة. بدت جذابة بالنسبة لنا ، ولكن للأسف ، على الرغم من أن هذا النهج قد يعمل بشكل جيد لمعظم عملاء hCaptcha العاديين ، إلا أنه لم يكن مناسبًا لمقياسنا.

نحن نتعاون مع خدمة hCaptcha في اتجاهين. أولاً ، نحن بصدد تخصيص سعة منصة العمال لدينا ، والتي ستتحمل معظم العبء عندما يستخدم عملائنا hCaptcha. وبفضل هذا ، سنخفض تكاليف آلات الحدس. ثانياً ، اقترحنا أن تدفع لها الشركة ، بدلاً من ما ستدفعه لنا. وهذا سيزود الشركة بالموارد اللازمة لتوسيع نطاق خدماتها بحيث تلبي احتياجاتنا. على الرغم من أن هذا يعني تكاليف إضافية بالنسبة لنا ، إلا أن هذه التكاليف ليست سوى جزء صغير مما يمكن أن تدفعه reCAPTCHA. في المقابل ، نحصل على منصة CAPTCHA ، وهي أكثر مرونة بكثير من تلك التي استخدمناها من قبل. بالإضافة إلى ذلك ، لدينا الفرصة للتفاعل مع فريق التطوير ،الذي يستجيب بسرعة لطلباتنا.

متى يعرض عملاؤنا اختبار CAPTCHA على مستخدميهم؟


عندما بدأنا العمل في هذا المشروع لأول مرة ، افترضنا أن المستهلكين الرئيسيين لـ CAPTCHA سيكونون حلول Cloudflare Bot Management و Cloudflare Firewall Rules. وقد تأكد هذا الافتراض إلى حد ما. على الرغم من أن حلول Firewall / Bot تبين أنها المستهلك الرئيسي لـ CAPTCHA ، إلا أن حصتها في إجمالي استهلاك هذه الخدمة كانت أكثر بقليل من 50٪.

فيما يلي ملخص لتلك الحلول التي نقدمها ، حيث يطلب المستخدمون ناتج اختبار CAPTCHA.
حل Cloudflareباستخدام اختبار CAPTCHA
قواعد جدار الحماية وإدارة بوت54.8٪
جدار حماية IP18.6٪
مستوى الأمان16.8٪
DDoS6.3٪
تحديد المعدل1.7٪
قواعد WAF1.5٪
آخر0.3٪

توجد حلول جدار الحماية / الروبوت في أعلى هذه القائمة. تمثل الجزء الأكبر من كلمة التحقق. تفرض هذه الحلول القواعد التي كتبها مستخدمينا. عند استيفاء الشروط المحددة في هذه القواعد ، يتم عرض اختبار CAPTCHA. كمثال ، يمكننا هنا الاستشهاد بموقف يتم فيه عرض اختبار CAPTCHA عندما يتم تقييم الطلب بواسطة Cloudflare Bot Managementاتضح أنه غامض. من ناحية ، إنها أقل من قيمة عتبة محددة مسبقًا ، والتي قد تشير إلى أننا نتحدث عن حركة المرور التلقائية. لكنها ، من ناحية أخرى ، فوق قيمة عتبة تشير إلى عدم اليقين من الوضع. هناك حالة استخدام شائعة أخرى لـ CAPTCHA تتعلق بقسم جدار الحماية / Bot وهي إظهار مهام اختبار CAPTCHA لجميع الطلبات إلى موقع معين أو إلى نقطة نهاية معينة للموقع. يمكن لعملائنا القيام بذلك من أجل الحد من عدد الاتصالات بخوادمهم ، أو لإبطاء عمل الأنظمة الآلية التي تقوم بفرز بيانات الاعتماد في صفحة تسجيل الدخول أو إنشاء حسابات وهمية. هذا يؤدي إلى حقيقة أن بعض المواقع المحمية بواسطة Cloudflare تطلب عرض مئات الملايين من كلمة التحقق في اليوم.

الثاني في هذه القائمة هو حل جدار الحماية IP الخاص بنا . بشكل عام ، يشبه حلول جدار الحماية / الروبوت ، ولكنه يسمح لك بتحليل حركة البيانات بشكل أكثر دقة ، والعمل على عنوان IP أو ASN أو على مستوى البلد. يرتبط الحجم الرئيسي لملفات التحقق التي يتم عرضها كجزء من خدمة جدار حماية IP بمستويات ASN والبلدان. على الأرجح ، يتم حماية عملائنا بهذه الطريقة من حركة المرور المرتبطة بـ ASN معينة (على سبيل المثال ، هل يمكن للمستخدمين العاديين إنشاء حركة المرور من مزود خدمة السحابة؟) ، أو محمية من الهجمات التي تتم من بعض البلدان.

بعد ذلك تأتي خدمة مستويات الأمان . تُستخدم هذه الخدمة بطريقتين مختلفتين:

  1. يمكن أن تلعب دور أداة لقياس سمعة عنوان IP.
  2. يمكنها العمل في وضع "أنا تحت الهجوم".

على الرغم من أننا نوصي العملاء باستخدام وضع "أنا تحت الهجوم" فقط عندما يتعرضون لهجوم DDoS نشط ، إلا أن بعض عملائنا يحتفظون بالنظام في هذا الوضع طوال الوقت ، ويستخدمونه كآلية بدائية للحد من سرعة الطلبات إلى الموقع وللتصفية حركة المرور.

ينتمي آخر مجال رئيسي لاستخدام CAPTCHA إلى أحد أنظمتنا الآلية. على سبيل المثال ، قام مهندسو الحماية من هجمات DoS مؤخرًا بتعليم Gatebot كيفية استخدام اختبار CAPTCHA لإصلاح المشكلات الصغيرة في بعض المواقف المحددة. الآن يمكن لـ Gatebot كتابة قواعد مؤقتة ، يؤدي تطبيقها إلى عرض هجوم captcha.

أخيرًا ، يقوم بعض عملائنا بتخصيص عرض captcha من خلال إنشاء مجموعات قواعد تحديد المعدل و WAF المُدارة.

كنا مهتمين أيضًا بمسألة أنواع عملائنا الذين يستخدمون اختبار CAPTCHA. خلال الأسبوع ، طلب عملاؤنا الذين يستخدمون الخدمات مجانًا حوالي 40-60٪ من جميع الكابتشا المعروضة بواسطة Cloudflare. تم الحصول على هذا المؤشر مع مراعاة التأثير على عرض هجمات الكابتشا على المواقع. من بين مجموعتين من عملائنا المدفوعين - الشركات ، وأولئك الذين يدفعون مقابل الخدمات عند تقديمهم ، يتم تقسيم الحجم المتبقي لاستخدام captcha بشكل متساو تقريبًا. بشكل عام ، اكتشفنا أن Cloudflare في كل ثانية تعرض عدة ملايين من اختبار CAPTCHA خلال هجوم على واحد أو أكثر من عملائنا.

حول مشاكل الانتقال إلى تقنية جديدة


عندما نغير جزءًا من نظام Cloudflare ، فإنه يجعل الحياة أسهل لبعض عملائنا ، ولكن العملاء الآخرين يواجهون مشاكل. نحن وفريق تطوير hCaptcha على استعداد لحل أي صعوبات ناشئة. إذا واجهت أنت أو مستخدموك صعوبات عند استخدام hCaptcha - نطلب منك الكتابة عنها في المنتدى أو فتح تذكرة دعم ، مع تقديم وصف تفصيلي لما حدث قدر الإمكان.

إن أمكن ، يرجى تضمين رسالة Ray ID - المعرف الذي يظهر عادةً أسفل صفحة اختبار CAPTCHA. سيساعدنا ذلك على معرفة الخطأ الذي حدث.


معرف راي

ملخص


تخبرنا التجربة أن اختبار CAPTCHA المرئي (والصوت) بعيد عن الحل المثالي للعديد من المشكلات المعقدة. تستمر Cloudflare في العمل لتقليل عدد حروف التحقق التي تظهر للمستخدمين ، وفي النهاية ، التخلي تمامًا عن هذه التقنية. نحن نخطط لكتابة المزيد عن هذا. وبالمناسبة ، هل تعرف ما يسمى محادثتنا الداخلية التي يتواصل فيها الفريق المشارك في تنفيذ hCaptcha؟ قد تعتقد أن هذه المحادثة تسمى CAPTCHA الجديدة. ولكن في الواقع ليس كذلك. يطلق عليه CAPTCHA (لا).

القراء الأعزاء! هل واجهت بالفعل hCaptcha؟

More articles:


All Articles