Spis treści:
Każdy użytkownik Internetu chociaż raz w życiu spotkał się z trudnym do wymowy terminem, jakim jest „CAPTCHA”. Jest on powszechny, znany i sprowadza się do prostej czynności, którą trzeba po prostu „odbębnić”. Niewiele jednak osób zdaje sobie sprawę, co za tym hasłem tak naprawdę się kryje – w praktyce jest to nic innego, jak bezpieczeństwo stron internetowych, a także ich użytkowników.
CAPTCHA i reCAPTCHA – co to jest i do czego służy?
CAPTCHA (z języka angielskiego: Completely Automated Public Turing test to tell Computers and Humans Apart) jest zautomatyzowanym systemem ochronnym przed spamem. Jego celem jest odróżnienie ludzi od komputerów (botów, robotów spamowych). Sposób takiej weryfikacji opiera się głównie na prostych zadaniach, takich jak np. odczytanie zniekształconego wyrazu lub ciągu cyfr z wyświetlonego obrazu czy rozwiązanie zadania matematycznego. Procedury CAPTCHA wykorzystywane są głównie na stronach internetowych w celu umocnienia profilu bezpieczeństwa i ochrony formularzy rejestracyjnych lub innych wrażliwych działań na witrynie. Rozwiązanie to było skuteczne przeciwko wszechobecnemu spamowi i działalności botów, jednak bardzo męczące oraz nieprzyjazne dla użytkownika.
Wychodząc naprzeciw oczekiwaniom użytkowników, firma Google stworzyła nowy system ochrony przed spamem – reCAPTCHA. Polega on na potwierdzeniu przez użytkownika, że jest człowiekiem, a nie robotem. Dokładnie tak samo, jak jego poprzednik, reCAPTCHA służy do wzmocnienia bezpieczeństwa stron internetowych przed różnego rodzaju skryptami i botami. Jest o wiele skuteczniejszy niż tradycyjne CAPTCHA, ponieważ jego działanie oparte zostało na uczeniu maszynowym oraz innych metodach analitycznych, takich jak analiza aktywności użytkownika, danych urządzenia oraz reputacji adresu IP.
Uważa się, że reCAPTCHA jest swoistym następcą i ewolucją systemu CAPTCHA. Obecnie obu tych terminów używa się zamiennie pomimo znaczących różnic technologicznych czy fundamentów ich działania.
reCAPTCHA – rodzaje i wersje
Istnieje wiele rodzajów i wersji reCAPTCHA, które różnią się między sobą sposobem prezentacji zadania, a także poziomem trudności. Oto kilka przykładów.
- reCAPTCHA v1: najstarsza wersja tego systemu uwierzytelniania, która aktualnie nie jest objęta wsparciem technicznym. Wersja ta wykorzystywała zniekształcone słowa przeskanowane przez oprogramowanie typu OCR, co sprawiało, że komputer nie był w stanie ich odczytać, użytkownik jednak radził sobie z nimi bezproblemowo.
- reCAPTCHA v2: najpopularniejsza wersja systemu reCAPTCHA. Polega ona na wybraniu odpowiedniej grafiki / odpowiednich fragmentów grafiki na podstawie wyświetlonego polecenia w formie tekstowej (np. zaznaczenie wszystkich kafelków występujących na grafice, które przedstawiają samochód).
- reCAPTCHA v2 (Invisible): ulepszona wersja opisanego powyżej rozwiązania, która częściowo jest „niewidzialna”. W przypadku zaistnienia podejrzenia o zautomatyzowane działania symulujące naturalne zachowanie użytkownik zostanie poproszony o zaznaczenie checkboxa „Nie jestem robotem” w celu weryfikacji swojej tożsamości. Jednak przy wzmożonych podejrzeniach (po wielokrotnym wykryciu nienaturalnego zachowania) użytkownik zostanie poproszony o wykonania zadania z wersji v2 (np. wybór odpowiednich kafelków na grafice).
- reCAPTCHA v3: najnowsza i jednocześnie najbardziej zalecana przez firmę Google wersja reCAPTCHY. Wyróżnia ją całkowita niewidoczność i nieinwazyjny sposób działania dla użytkownika. Opiera się ona na ocenie ryzyka zachowania użytkownika na podstawie generowanego przez niego ruchu. Google nie informuje, w jaki sposób działa algorytm trzeciej wersji reCAPTCHY w celu maksymalizacji bezpieczeństwa stron wykorzystujących tę wersję tego systemu.
reCAPTCHA – czy warto?
Jeśli chcemy zadbać o ochronę naszej strony i zwiększyć poziom jej bezpieczeństwa, to reCAPTCHA nadaje się do tego idealnie. W ten sposób chronimy naszą witrynę przed np. złośliwym oprogramowaniem lub niepożądanym m.in. ze strony Google spamem. Taki system pozwala również kontrolować liczbę rejestracji czy wypełnionych ankiet ludzi – prawdziwych użytkowników, a nie robotów sztucznie podbijających statystyki. Co więcej, dodatkowa weryfikacja na etapie rejestracji lub dokonania zakupu/transakcji zwiększa poczucie bezpieczeństwa użytkownika i pozytywnie wpływa na wiarygodność witryny.
Przy zastosowaniu technologii reCAPTCHA należy pamiętać o kilku kwestiach. Takie rozwiązanie może drastycznie obciążyć moce przerobowe serwera i w pierwszej kolejności trzeba upewnić się, czy implementacja narzędzia nie spowolni działa strony, tym samym utrudniając użytkownikom korzystanie z niej. Kolejną kwestią jest dostępność. Internet jest miejscem dla każdego, w tym osób z niepełnosprawnościami i dysfunkcjami. Trzeba zadbać o niezwykle ważny aspekt, jakim jest dostępność (accessibility). Dobrą praktyką – a w przyszłości zapewne wymaganą na każdej stronie internetowej – jest zadbanie o użytkowników i zaprojektowanie weryfikacji reCAPTCHA tak, aby posiadała ona alternatywne wersje dla użytkowników ze specjalnymi potrzebami np. możliwość zmiany tradycyjnej weryfikacji na weryfikację dźwiękową/głosową.
reCAPTCHA – podsumowanie
System weryfikacji reCAPTCHA jest z pewnością godny uwagi. Zdecydowanie warto mu się bliżej przyjrzeć i zastanowić się nad wdrożeniem tego rozwiązanie w celu maksymalizacji ochrony i bezpieczeństwa przed spamem oraz bezwartościowymi, a czasami wręcz szkodzącymi witrynie linkami. Wyjątku nie stanowią tutaj również ataki za pomocą złośliwego oprogramowania. Wszelkie technologie, a także metody, na podstawie których działają boty, roboty spamerskie oraz skrypty, prężnie się rozwijają, dlatego też trzeba być uważnym i na bieżąco w tej sprawie, aby w porę zareagować na liczne niebezpieczeństwa.
