Get best of the week

Bermigrasi dari reCAPTCHA ke hCaptcha di Cloudflare



Cloudflare mengumumkan bahwa mereka baru saja beralih dari menggunakan layanan reCAPTCHA yang disediakan oleh Google ke hCaptcha, yang didukung oleh Mesin Intuition. Cloudflare sangat senang bahwa mereka dapat melakukan transisi ini, karena membantu menyelesaikan masalah dengan pengumpulan informasi rahasia yang relevan pada saat perusahaan mengandalkan layanan Google. Ini, sebagai tambahan, berkontribusi pada konfigurasi tugas CAPTCHA yang lebih fleksibel yang ditawarkan kepada pengunjung situs. Perubahan ini, pada prinsipnya, memengaruhi semua pengguna Cloudflare. Oleh karena itu, perusahaan memutuskan untuk membagikan perincian tentang transisi ke reCaptcha dan menyiapkan bahan, terjemahan yang kami terbitkan hari ini.

Menggunakan Teknologi CAPTCHA di Cloudflare



Salah satu layanan yang disediakan oleh Cloudflare adalah bahwa pelanggan perusahaan diberi kesempatan untuk memblokir lalu lintas otomatis berbahaya (bot traffic). Kami menggunakan banyak mekanisme yang ditujukan untuk menyelesaikan masalah ini. Jika kami benar-benar yakin bahwa beberapa lalu lintas berbahaya, kami sepenuhnya memblokirnya. Jika kita tahu pasti bahwa beberapa lalu lintas adalah hasil dari aktivitas manusia normal, kita lewati saja. Hal yang sama berlaku untuk lalu lintas normal yang dihasilkan oleh bot - seperti mesin pencari. Namun kadang-kadang, dalam kasus di mana kami tidak memiliki kepercayaan penuh pada sifat lalu lintas, kami mengarahkan lalu lintas ini ke "tes".

Kami memiliki tes yang berbeda. Beberapa dari mereka sepenuhnya otomatis, tetapi salah satu dari tes ini memerlukan intervensi manusia. Tes serupa dikenal sebagai CAPTCHA (dalam bahasa Rusia mereka disebut "captcha"). Singkatan ini adalah singkatan dari Tes Turing Publik yang Otomatis Sepenuhnya untuk Memberitahukan Komputer dan Manusia - tes publik Turing yang sepenuhnya otomatis untuk membedakan antara komputer dan manusia. Seperti yang Anda lihat, beberapa huruf T dalam kata CAPTCHA dihilangkan - jika tidak akan terlihat seperti CAPTTTCHA. Tes CAPTCHA biasanya terdiri dari fakta bahwa pengguna diminta untuk membaca teks yang terdistorsi dan memasukkannya ke dalam bidang, atau memilih dari set gambar yang memiliki lampu lalu lintas atau penyeberangan pejalan kaki. Inti dari tugas captcha adalah membuatnya mudah dipecahkan untuk seseorang, tetapi tidak untuk komputer.


Cloudflare, sejak awal keberadaan perusahaan, menggunakan layanan Google reCAPTCHA. Layanan ini muncul pada 2007 sebagai proyek penelitian di Universitas Carnegie Mellon. Google membeli proyek ini pada tahun 2009. Sekitar waktu yang sama, Cloudflare muncul. Google memberikan akses gratis ke reCaptcha sebagai imbalan atas fakta bahwa data dari layanan tersebut digunakan untuk melatih sistem identifikasi visual perusahaan. Ketika kami mencari solusi CAPTCHA untuk Cloudflare, kami memilih reCATPCHA karena layanan ini efisien, terukur, dan gratis. Item terakhir dalam daftar ini penting bagi kami karena kenyataan bahwa begitu banyak pelanggan Cloudflare menggunakan layanan gratis kami.

Tentang privasi dan kunci


Sejak awal menggunakan reCAPTCHA di Cloudflare, beberapa pelanggan kami telah menyatakan keprihatinannya bahwa kami menggunakan layanan Google. Bisnis Google berfokus pada iklan bertarget. Cloudflare tidak melakukan ini. Kami memiliki kebijakan privasi yang ketat. Kami merasa nyaman dengan kebijakan privasi yang terkait dengan reCAPTCHA, tetapi kami memahami alasan mengapa beberapa pelanggan kami khawatir bahwa mereka harus mentransfer lebih banyak data ke Google daripada yang mereka inginkan.

Selain itu, kami mengalami masalah di beberapa kawasan, seperti Cina, tempat layanan Google memblokir dari waktu ke waktu. Tetapi hanya China yang 25% pengguna Internet. Akibatnya, kami selalu khawatir bahwa beberapa pengguna ini tidak dapat bekerja dengan situs yang dilindungi oleh Cloudflare, jika mereka diminta untuk memecahkan masalah captcha.

Sudah ada cukup pertanyaan mengenai privasi dan kunci yang terakumulasi selama bertahun-tahun untuk membuat kami berpikir tentang mengubah reCAPTCHA untuk hal lain. Tetapi bagi kami, seperti kebanyakan perusahaan IT, sulit untuk fokus meninggalkan beberapa teknologi yang banyak digunakan dan mengubahnya menjadi sesuatu yang baru.

Google mengubah model bisnis


Awal tahun ini, Google memberi tahu kami bahwa mereka akan mulai mengenakan biaya karena menggunakan layanan reCaptcha. Ini adalah hak penuh mereka. Layanan captcha-kebutuhan Cloudflare, mengingat ukuran kami, tidak diragukan bernilai banyak uang, yang terlihat bahkan pada skala Google.

Dan lagi, menagih untuk reCAPTCHA adalah langkah Google yang benar-benar masuk akal. Jika manfaat perusahaan dari sistem klasifikasi gambar pelatihan kurang dari biaya pemeliharaan layanan, jelas bahwa Google memiliki keinginan untuk mengenakan biaya untuk bekerja dengan layanan ini. Dalam kasus kami, ini berarti pengeluaran tahunan jutaan dolar, yang hanya akan diperlukan untuk memungkinkan pengguna gratis kami untuk terus menggunakan reCAPTCHA. Ini, bersama dengan alasan lain, pada akhirnya cukup bagi kami untuk mulai mencari alternatif untuk reCAPTCHA.

Captcha terbaik


Kami menganalisis banyak pemasok solusi CAPTCHA dan berpikir untuk mengembangkan layanan kami sendiri seperti ini. Hasilnya, ternyata alternatif paling sukses untuk reCAPTCHA adalah hCaptcha . Kami sangat menyukai layanan ini:

  1. Mereka tidak menjual data pribadi. Mereka hanya mengumpulkan data minimum yang diperlukan. Perusahaan dengan jelas menggambarkan informasi yang dikumpulkannya dan bagaimana ia menggunakan dan mengungkapkan data. Perusahaan mematuhi aturan-aturan ini dengan menyediakan layanan hCaptcha Cloudflare.
  2. Sistem hCaptcha memiliki tingkat kinerja yang baik (baik dalam hal kecepatan maupun dalam hal kinerja yang terkait dengan pemecahan masalah captcha). Tingkat ini sesuai dengan harapan kami selama pengujian A / B, atau bahkan melebihi tingkat harapan tersebut.
  3. hCaptcha , - , .
  4.   Privacy Pass, -.
  5. , Google .
  6. hCaptcha , , .

Model bisnis standar hCaptcha mirip dengan yang digunakan pada awal layanan reCAPTCHA. Yakni, perusahaan berencana membebankan biaya kepada pengguna yang membutuhkan data klasifikasi gambar. Dan mereka yang menggunakan hCaptcha di situs berencana untuk membayar hadiah. Itu terdengar menarik bagi kami, tetapi sayangnya, meskipun pendekatan ini mungkin bekerja dengan baik untuk sebagian besar klien hCaptcha biasa, itu tidak cocok untuk skala kami.

Kami bekerja sama dengan layanan hCaptcha dalam dua arah. Pertama, kami sedang dalam proses mengalokasikan kapasitas platform Pekerja kami, yang akan mengambil sebagian besar beban ketika pelanggan kami menggunakan hCaptcha. Berkat ini, kami akan mengurangi biaya Mesin Intuisi. Kedua, kami menyarankan agar perusahaan membayarnya, daripada membayarnya kepada kami. Ini akan memberi perusahaan sumber daya yang diperlukan untuk meningkatkan layanannya sehingga memenuhi kebutuhan kita. Meskipun ini berarti biaya tambahan bagi kami, biaya ini hanya sebagian kecil dari apa yang dapat dibayarkan reCAPTCHA. Sebagai imbalannya, kami mendapatkan platform CAPTCHA, yang jauh lebih fleksibel daripada yang kami gunakan sebelumnya. Selain itu, kami memiliki kesempatan untuk berinteraksi dengan tim pengembangan,yang menanggapi permintaan kami dengan sangat cepat.

Kapan pelanggan kami menunjukkan captcha kepada pengguna mereka?


Ketika kami pertama kali mulai mengerjakan proyek ini, kami berasumsi bahwa konsumen utama CAPTCHA adalah solusi Cloudflare Bot Management dan Cloudflare Firewall Rules kami. Asumsi ini, sampai batas tertentu, telah dikonfirmasi. Meskipun solusi Firewall / Bot ternyata menjadi konsumen utama CAPTCHA, bagian mereka dalam total konsumsi layanan ini hanya sedikit lebih dari 50%.

Berikut ini adalah ringkasan dari solusi kami, di mana pengguna meminta output captcha.
Solusi CloudflareMenggunakan CAPTCHA
Aturan Firewall dan Manajemen Bot54,8%
IP Firewall18,6%
Tingkat keamanan16,8%
DDoS6,3%
Pembatasan nilai1,7%
Aturan WAF1,5%
Lain0,3%

Solusi Firewall / Bot ada di bagian atas daftar ini. Mereka menjelaskan sebagian besar captcha. Solusi ini menegakkan aturan yang ditulis oleh pengguna kami. Ketika kondisi yang ditentukan oleh aturan ini dipenuhi, captcha ditampilkan. Sebagai contoh, di sini kita dapat mengutip situasi di mana captcha ditampilkan ketika permintaan dievaluasi oleh Cloudflare Bot ManagementTernyata menjadi ambigu. Di satu sisi, itu di bawah nilai ambang batas yang telah ditentukan, yang mungkin menunjukkan bahwa kita berbicara tentang lalu lintas otomatis. Tetapi, di sisi lain, berada di atas nilai ambang yang menunjukkan ketidakpastian situasi. Skrip umum lainnya untuk menggunakan captcha yang terkait dengan bagian Firewall / Bot adalah untuk menunjukkan tugas captcha untuk semua permintaan ke situs tertentu atau ke titik akhir tertentu dari suatu situs. Klien kami dapat melakukan ini untuk membatasi jumlah koneksi ke server mereka, atau untuk memperlambat kerja sistem otomatis yang memilah kredensial pada halaman login atau membuat akun palsu. Ini mengarah pada fakta bahwa beberapa situs yang dilindungi oleh Cloudflare meminta untuk menampilkan ratusan juta captcha per hari.

Kedua dalam daftar ini adalah solusi IP Firewall kami . Secara umum, ini mirip dengan solusi Firewall / Bot, tetapi memungkinkan Anda untuk menganalisis lalu lintas dengan lebih akurat, bekerja pada alamat IP, ASN atau tingkat negara. Volume utama captcha yang ditampilkan sebagai bagian dari layanan IP Firewall terkait dengan tingkat ASN dan negara. Mungkin, klien kami dilindungi dengan cara ini dari lalu lintas yang terkait dengan ASN tertentu (misalnya, bisakah lalu lintas dari penyedia cloud dihasilkan oleh pengguna biasa?), Atau dilindungi dari serangan yang dilakukan dari beberapa negara.

Berikutnya adalah layanan Tingkat Keamanan . Layanan ini digunakan dalam dua cara berbeda:

  1. Itu bisa memainkan peran alat untuk mengukur reputasi alamat IP.
  2. Dia dapat bekerja dalam mode I'm Under Attack.

Meskipun kami menyarankan agar pelanggan menggunakan mode I'm Under Attack hanya ketika mereka berada di bawah serangan DDoS aktif, beberapa pelanggan kami menjaga sistem dalam mode ini sepanjang waktu, menggunakannya sebagai mekanisme primitif untuk membatasi kecepatan permintaan ke situs dan untuk memfilter lalu lintas.

Area utama terakhir penggunaan captcha adalah milik salah satu sistem otomatis kami. Misalnya, baru-baru ini teknisi perlindungan serangan DoS kami mengajar Gatebot cara menggunakan captcha untuk memperbaiki masalah kecil dalam beberapa situasi tertentu. Sekarang Gatebot dapat menulis aturan sementara, aplikasi yang mengarah ke tampilan captcha menyerang.

Terakhir, beberapa klien kami menyesuaikan tampilan captcha dengan membuat set aturan Limit Limiting dan Managed WAF.

Kami juga tertarik dengan pertanyaan tentang jenis klien kami yang menggunakan captcha. Selama minggu ini, pelanggan kami yang menggunakan layanan secara gratis meminta sekitar 40-60% dari semua captcha yang ditampilkan oleh Cloudflare. Indikator ini diperoleh dengan mempertimbangkan dampak pada tampilan serangan captcha di situs. Di antara dua kelompok pelanggan kami yang dibayar - perusahaan, dan mereka yang membayar layanan berdasarkan ketentuan mereka, sisa volume penggunaan captcha dibagi kurang lebih sama. Secara umum, kami mengetahui bahwa Cloudflare setiap detik menunjukkan beberapa juta captcha selama serangan terhadap satu atau lebih pelanggan kami.

Tentang masalah transisi ke teknologi baru


Ketika kami mengubah beberapa bagian dari sistem Cloudflare, itu membuat hidup lebih mudah bagi beberapa pelanggan kami, tetapi pelanggan lain mengalami masalah. Kami dan tim pengembangan hCaptcha siap untuk menyelesaikan kesulitan yang timbul. Jika Anda atau pengguna Anda mengalami kesulitan saat menggunakan hCaptcha - kami meminta Anda untuk menuliskannya di forum atau membuka tiket dukungan , sambil memberikan deskripsi sedetail tentang apa yang terjadi mungkin.

Jika memungkinkan, harap sertakan dalam pesan ID Ray - pengidentifikasi yang biasanya muncul di bagian bawah halaman CAPTCHA. Ini akan membantu kami mencari tahu apa yang salah.


Ray id

Ringkasan


Pengalaman memberi tahu kita bahwa captcha visual (dan suara) masih jauh dari solusi ideal untuk banyak masalah kompleks. Cloudflare terus bekerja untuk meminimalkan jumlah captcha yang ditunjukkan kepada pengguna, dan, pada akhirnya, sepenuhnya meninggalkan teknologi ini. Kami berencana untuk menulis lebih banyak tentang ini. Ngomong-ngomong, tahukah Anda apa sebutan obrolan internal kami di mana tim yang terlibat dalam implementasi hCaptcha berkomunikasi? Anda mungkin berpikir bahwa obrolan ini disebut CAPTCHA Baru. Tapi sebenarnya tidak. Ini disebut (Tidak) CAPTCHA.

Pembaca yang budiman! Sudahkah Anda bertemu hCaptcha?

More articles:


All Articles