Get best of the week

Migration von reCAPTCHA zu hCaptcha in Cloudflare



Cloudflare gab bekannt, dass es kürzlich von der Verwendung des von Google bereitgestellten reCAPTCHA-Dienstes auf hCaptcha umgestellt hat, das von Intuition Machines unterstützt wird. Cloudflare ist sehr erfreut darüber, dass sie diesen Übergang durchführen konnten, da dies zur Lösung von Problemen bei der Erfassung vertraulicher Informationen beiträgt, die zu einem Zeitpunkt relevant waren, als sich das Unternehmen auf Google-Dienste stützte. Dies trägt außerdem zu einer flexibleren Konfiguration der CAPTCHA-Aufgaben bei, die den Besuchern der Website angeboten werden. Diese Änderung betrifft im Prinzip alle Cloudflare-Benutzer. Aus diesem Grund hat das Unternehmen beschlossen, Einzelheiten über den Übergang zu reCaptcha mitzuteilen, und ein Material vorbereitet, dessen Übersetzung wir heute veröffentlichen.

Verwenden der CAPTCHA-Technologie in Cloudflare



Einer der von Cloudflare bereitgestellten Dienste besteht darin, dass die Kunden des Unternehmens die Möglichkeit erhalten, böswilligen automatischen Datenverkehr (Bot-Datenverkehr) zu blockieren. Wir verwenden viele Mechanismen, um dieses Problem zu lösen. Wenn wir absolut sicher sind, dass ein Teil des Datenverkehrs schädlich ist, blockieren wir ihn vollständig. Wenn wir sicher sind, dass ein Teil des Verkehrs das Ergebnis normaler menschlicher Aktivitäten ist, überspringen wir ihn. Gleiches gilt für normalen Datenverkehr, der von Bots generiert wird - wie Suchmaschinen-Bots. Aber manchmal, in Fällen, in denen wir nicht volles Vertrauen in die Art des Verkehrs haben, unterziehen wir diesen Verkehr einem „Test“.

Wir haben verschiedene Tests. Einige von ihnen sind vollautomatisch, aber einer dieser Tests erfordert menschliches Eingreifen. Ähnliche Tests sind als CAPTCHA bekannt (auf Russisch heißen sie "captcha"). Diese Abkürzung steht für einen vollständig automatisierten öffentlichen Turing-Test zur Unterscheidung von Computern und Menschen - einen vollautomatischen öffentlichen Turing-Test zur Unterscheidung zwischen Computern und Personen. Wie Sie sehen können, werden einige T-Buchstaben im Wort CAPTCHA weggelassen - ansonsten würde es wie CAPTTTCHA aussehen. CAPTCHA-Tests bestehen normalerweise darin, dass der Benutzer aufgefordert wird, den verzerrten Text zu lesen und in das Feld einzugeben, oder aus den Bildern diejenigen auszuwählen, die Ampeln oder Fußgängerüberwege haben. Die Essenz von Captcha-Aufgaben besteht darin, sie für eine Person leicht zu lösen, nicht jedoch für einen Computer.


Cloudflare nutzte von Anfang an den Google-Dienst reCAPTCHA. Dieser Service erschien 2007 als Forschungsprojekt an der Carnegie Mellon University. Google hat dieses Projekt 2009 gekauft. Etwa zur gleichen Zeit erschien Cloudflare. Google gewährte reCaptcha freien Zugang im Austausch für die Tatsache, dass die Daten des Dienstes zum Trainieren der visuellen Identifikationssysteme des Unternehmens verwendet wurden. Als wir nach einer CAPTCHA-Lösung für Cloudflare suchten, entschieden wir uns für reCATPCHA, da dieser Service effizient, skalierbar und kostenlos war. Der letzte Punkt auf dieser Liste war uns wichtig, da so viele Cloudflare-Kunden unsere kostenlosen Dienste nutzen.

Über Privatsphäre und Schlösser


Seit den Anfängen der Verwendung von reCAPTCHA in Cloudflare haben einige unserer Kunden Bedenken geäußert, dass wir den Google-Dienst nutzen. Das Geschäft von Google konzentriert sich auf gezielte Werbung. Cloudflare macht das nicht. Wir haben eine strenge Datenschutzrichtlinie. Wir waren mit den mit reCAPTCHA verbundenen Datenschutzbestimmungen vertraut, verstehen jedoch die Gründe, warum einige unserer Kunden befürchten, dass sie mehr Daten an Google übertragen müssen, als sie möchten.

Darüber hinaus treten in einigen Regionen wie China Probleme auf, in denen Google-Dienste von Zeit zu Zeit blockiert werden. Aber nur China macht 25% der Internetnutzer aus. Aus diesem Grund waren wir immer besorgt, dass einige dieser Benutzer nicht mit durch Cloudflare geschützten Websites arbeiten können, wenn sie aufgefordert werden, das Captcha-Problem zu lösen.

Im Laufe der Jahre gab es bereits genügend Fragen zum Datenschutz und zu den Sperren, die uns dazu veranlassten, darüber nachzudenken, reCAPTCHA gegen etwas anderes auszutauschen. Aber für uns, wie die meisten IT-Unternehmen, ist es schwierig, sich darauf zu konzentrieren, einige weit verbreitete Technologien aufzugeben und sie auf etwas Neues umzustellen.

Das sich ändernde Geschäftsmodell von Google


Anfang dieses Jahres teilte Google uns mit, dass die Nutzung des reCaptcha-Dienstes in Rechnung gestellt wird. Dies ist ihr volles Recht. Der Captcha-Bedarfsservice von Cloudflare ist angesichts unserer Größe zweifellos viel Geld wert, was sich selbst auf Google-Ebene bemerkbar macht.

Auch hier ist die Erhebung von Gebühren für reCAPTCHA ein absolut vernünftiger Schritt von Google. Wenn der Nutzen des Unternehmens durch die Schulung von Bildklassifizierungssystemen geringer ist als die Kosten für die Wartung des Dienstes, ist klar, dass Google die Kosten für die Arbeit mit diesem Dienst in Rechnung stellen möchte. In unserem Fall würde dies jährliche Ausgaben in Millionenhöhe bedeuten, die nur erforderlich wären, damit unsere kostenlosen Benutzer reCAPTCHA weiterhin nutzen können. Dies und andere Gründe reichten letztendlich aus, um nach einer Alternative zu reCAPTCHA zu suchen.

Das beste Captcha


Wir haben viele Anbieter von CAPTCHA-Lösungen analysiert und darüber nachgedacht, einen eigenen Service dieser Art zu entwickeln. Als Ergebnis stellte sich heraus, dass hCaptcha die erfolgreichste Alternative zu reCAPTCHA ist . Dieser Service hat uns sehr gut gefallen:

  1. Sie verkaufen keine persönlichen Daten. Sie sammeln nur das notwendige Minimum solcher Daten. Das Unternehmen beschreibt klar, welche Informationen es sammelt und wie es die Daten verwendet und weitergibt. Das Unternehmen hält sich an diese Regeln, indem es den hCaptcha Cloudflare-Service bereitstellt.
  2. Das hCaptcha-System weist ein gutes Leistungsniveau auf (sowohl in Bezug auf die Geschwindigkeit als auch in Bezug auf die Leistung im Zusammenhang mit der Lösung von Captcha-Problemen). Dieses Niveau entspricht unseren Erwartungen während der A / B-Tests oder übertrifft sogar das Niveau dieser Erwartungen.
  3. hCaptcha , - , .
  4.   Privacy Pass, -.
  5. , Google .
  6. hCaptcha , , .

Das hCaptcha-Standardgeschäftsmodell ähnelt dem zu Beginn des reCAPTCHA-Dienstes verwendeten. Das Unternehmen plante nämlich, Benutzern Gebühren in Rechnung zu stellen, die Bildklassifizierungsdaten benötigen. Und diejenigen, die hCaptcha auf der Website verwenden, planten, eine Belohnung zu zahlen. Es klang für uns attraktiv, aber obwohl dieser Ansatz für die meisten normalen hCaptcha-Kunden gut funktioniert, war er für unsere Waage leider nicht geeignet.

Wir arbeiten mit dem hCaptcha-Service in zwei Richtungen zusammen. Erstens sind wir dabei, die Kapazitäten unserer Workers-Plattform zuzuweisen, die den größten Teil der Last übernehmen wird, wenn unsere Kunden hCaptcha verwenden. Dank dessen reduzieren wir die Kosten für Intuition Machines. Zweitens schlugen wir vor, dass die Firma sie bezahlt, anstatt was sie uns bezahlen würde. Dadurch erhält das Unternehmen die Ressourcen, die erforderlich sind, um seinen Service so zu skalieren, dass er unseren Anforderungen entspricht. Obwohl dies für uns zusätzliche Kosten bedeutet, sind diese Kosten nur ein kleiner Bruchteil dessen, was reCAPTCHA zahlen könnte. Im Gegenzug erhalten wir eine CAPTCHA-Plattform, die viel flexibler ist als die zuvor verwendete. Darüber hinaus haben wir die Möglichkeit, mit dem Entwicklungsteam zu interagieren,das reagiert sehr schnell auf unsere Anfragen.

Wann zeigen unsere Kunden ihren Nutzern Captcha?


Als wir mit der Arbeit an diesem Projekt begannen, gingen wir davon aus, dass die Hauptverbraucher von CAPTCHA unsere Lösungen für Cloudflare Bot Management und Cloudflare Firewall Rules sein würden. Diese Annahme wurde teilweise bestätigt. Obwohl sich herausstellte, dass Firewall / Bot-Lösungen die Hauptverbraucher von CAPTCHA sind, betrug ihr Anteil am Gesamtverbrauch dieses Dienstes nur etwas mehr als 50%.

Hier finden Sie eine Zusammenfassung unserer Lösungen, bei denen Benutzer eine Captcha-Ausgabe anfordern.
Cloudflare-LösungVerwenden von CAPTCHA
Firewall-Regeln und Bot-Management54,8%
IP-Firewall18,6%
Sicherheitsstufe16,8%
DDoS6,3%
Ratenbegrenzung1,7%
WAF-Regeln1,5%
Andere0,3%

Firewall / Bot-Lösungen stehen ganz oben auf dieser Liste. Sie machen den größten Teil des Captcha aus. Diese Lösungen setzen die von unseren Benutzern geschriebenen Regeln durch. Wenn die in diesen Regeln festgelegten Bedingungen erfüllt sind, wird Captcha angezeigt. Als Beispiel können wir hier eine Situation anführen, in der Captcha angezeigt wird, wenn die Anforderung von Cloudflare Bot Management ausgewertet wirdEs stellt sich als mehrdeutig heraus. Einerseits liegt es unter einem vorgegebenen Schwellenwert, was darauf hindeuten kann, dass es sich um automatisierten Verkehr handelt. Andererseits liegt es jedoch über einem Schwellenwert, der die Unsicherheit der Situation anzeigt. Ein weiteres gängiges Skript für die Verwendung von Captcha im Zusammenhang mit dem Abschnitt Firewall / Bot besteht darin, Captcha-Aufgaben für alle Anforderungen an eine bestimmte Site oder an einen bestimmten Endpunkt einer Site anzuzeigen. Unsere Kunden können dies tun, um die Anzahl der Verbindungen zu ihren Servern zu begrenzen oder um die Arbeit automatisierter Systeme zu verlangsamen, die Anmeldeinformationen auf der Anmeldeseite sortieren oder gefälschte Konten erstellen. Dies führt dazu, dass einige Websites, die durch Cloudflare geschützt sind, die Anzeige von Hunderten Millionen Captcha pro Tag anfordern.

An zweiter Stelle auf dieser Liste steht unsere IP-Firewall- Lösung . Es ähnelt im Allgemeinen Firewall / Bot-Lösungen, ermöglicht Ihnen jedoch eine genauere Analyse des Datenverkehrs auf der Ebene der IP-Adresse, des Lieferavis oder des Landes. Das Hauptvolumen der im Rahmen des IP-Firewall-Dienstes angezeigten Captchas hängt von den ASN-Ebenen und den Ländern ab. Wahrscheinlich sind unsere Kunden auf diese Weise vor Datenverkehr geschützt, der mit einem bestimmten Lieferavis verbunden ist (kann beispielsweise Datenverkehr von einem Cloud-Anbieter von normalen Benutzern generiert werden?), Oder sie sind vor Angriffen aus einigen Ländern geschützt.

Als nächstes kommt der Dienst für Sicherheitsstufen . Dieser Dienst wird auf zwei verschiedene Arten verwendet:

  1. Es kann die Rolle eines Tools spielen, um die Reputation einer IP-Adresse zu messen.
  2. Sie kann im I'm Under Attack-Modus arbeiten.

Obwohl wir Kunden empfehlen, den Modus "Ich bin angegriffen" nur zu verwenden, wenn sie einem aktiven DDoS-Angriff ausgesetzt sind, halten einige unserer Kunden das System ständig in diesem Modus und verwenden ihn als primitiven Mechanismus, um die Geschwindigkeit von Anforderungen an die Site zu begrenzen und zu filtern der Verkehr.

Der letzte Hauptanwendungsbereich von Captcha gehört zu einem unserer automatisierten Systeme. Zum Beispiel haben unsere DoS-Angriffsschutzingenieure Gatebot kürzlich beigebracht, wie man Captcha verwendet, um kleine Probleme in bestimmten Situationen zu beheben. Jetzt kann Gatebot temporäre Regeln schreiben, deren Anwendung zur Anzeige von angreifendem Captcha führt.

Schließlich passen einige unserer Kunden die Captcha-Anzeige an, indem sie Regelsätze für Ratenbegrenzung und verwaltete WAF erstellen.

Wir waren auch an der Frage interessiert, welche Arten von Kunden Captcha verwenden. Während der Woche forderten unsere Kunden, die die Dienste kostenlos nutzen, etwa 40-60% aller von Cloudflare angezeigten Captcha an. Dieser Indikator wurde unter Berücksichtigung der Auswirkungen auf die Anzeige von Captcha-Angriffen auf Websites erhalten. Unter den beiden Gruppen unserer bezahlten Kunden - Unternehmen und diejenigen, die die Dienstleistungen nach ihrer Bereitstellung bezahlen - ist das verbleibende Nutzungsvolumen von Captcha ungefähr zu gleichen Teilen aufgeteilt. Im Allgemeinen haben wir festgestellt, dass Cloudflare bei einem Angriff auf einen oder mehrere unserer Kunden jede Sekunde mehrere Millionen Captcha anzeigt.

Über die Probleme des Übergangs zu einer neuen Technologie


Wenn wir einen Teil des Cloudflare-Systems ändern, erleichtert dies einigen unserer Kunden das Leben, andere Kunden haben jedoch Probleme. Wir und das hCaptcha-Entwicklungsteam sind bereit, alle auftretenden Schwierigkeiten zu lösen. Wenn Sie oder Ihre Benutzer bei der Verwendung von hCaptcha auf Schwierigkeiten stoßen, bitten wir Sie, im Forum darüber zu schreiben oder ein Support-Ticket zu öffnen und dabei so detailliert wie möglich zu beschreiben, was passiert ist.

Wenn möglich, geben Sie in der Nachricht Ray ID die Kennung an, die normalerweise unten auf der CAPTCHA-Seite angezeigt wird. Dies wird uns helfen herauszufinden, was schief gelaufen ist.


Ray id

Zusammenfassung


Die Erfahrung zeigt, dass visuelles (und akustisches) Captcha keine ideale Lösung für viele komplexe Probleme ist. Cloudflare arbeitet weiterhin daran, die Anzahl der den Benutzern angezeigten Captchas zu minimieren und diese Technologie letztendlich vollständig aufzugeben. Wir planen, mehr darüber zu schreiben. Wissen Sie übrigens, wie unser interner Chat heißt, in dem das an der Implementierung von hCaptcha beteiligte Team kommuniziert? Sie könnten denken, dass dieser Chat New CAPTCHA heißt. Aber eigentlich ist es nicht. Es heißt (No) CAPTCHA.

Liebe Leser! Haben Sie hCaptcha bereits kennengelernt?

More articles:


All Articles