طراحی سایت

ریکپچا ورژن2 یا ورژن3


وعده Google reCaptcha v3 جلوگیری از ترافیک ربات در وب سایت شما است ، بدون اینکه کاربرمانند v2 قدیمی با آزمون های مختلف روبرو شود. اما آیا reCaptcha v3 به قول خود عمل می کند؟
نگاهی داشته باشیم به اینکه reCaptcha v3 برای امنیت وب سایت شما چه کاری می تواند انجام دهد و چه کاری نمی تواند انجام دهد

reCAPTCHA چیست؟

اول ، یک جمع بندی سریع: reCaptcha یک سرویس امنیتی است که توسط Google ارائه می شود و در حال حاضر بیش از 6 میلیون وب سایت از آن استفاده می کنند. هدف آن محافظت از وب سایت ها در برابر سو استفاده ناشی از ربات هاست.
گوگل ریکپچا به عنوان یک سرویس رایگان می باشد ، اما در واقع این سرویس فقط برای حساب هایی است که ماهانه کمتر از 1 میلیون تماس API برقرار می کنند.
برای کاربردهای سنگین reCaptcha ، اخیراً Google شروع به دریافت هزینه کرده است. حساب هایی که بیش از 1000 تماس در ثانیه یا 1 میلیون تماس در ماه ایجاد می کنند باید برای یک حساب reCaptcha Enterprise ثبت نام کنند.
برای حداکثر 10 میلیون تماس در ماه ، هزینه 1 دلار در هر 1000 تماس دریافت میشود (بشتر از 10 میلیون تماس ، هزینه ها سفارشی می شود). بنابراین به عنوان مثال ، اگر وب سایت شما هر ماه 3 میلیون تماس ایجاد کند ، صورتحساب reCaptcha شما 3000 دلار خواهد بود.

ریکپچا ورژن 2: سخت برای انسان,خیلی آسان برای ربات ها

اکثر وب سایت ها هنوز از reCaptcha v2 استفاده می کنند که در سال 2014 راه اندازی شده است. اگر رفتار بازدیدکننده وب سایت باعث سو ظن شود ،در reCaptcha v2 باید به چالشی پاسخ دهد که بازدید کننده برای اثبات انسان بودن باید آن را حل کنید.
ما به عنوان کاربر ، با نسخه های مختلف reCaptcha v2 آشنا هستیم. بعضی اوقات ، تنها کاری که شما باید انجام دهید این است که کادر علامت گذاری کنید که “من یک روبات نیستم”.
در موارد دیگر ، reCaptcha با یک کار تشخیص تصویر یا صدا شما را به چالش می کشد. اینکه چالش کامل را دریافت کنید یا نه به میزان اطمینان گوگل از اینکه شما واقعاً یک انسان هستید بستگی دارد.

reCAPTCHA چیست؟


ریکپچا ورژن 2 مبتنی بر “سیستم پیشرفته تجزیه و تحلیل خطر” است که کاملاً به کوکی های گوگل متکی است. اگر شخصی با استفاده از Chrome در حال مرور وب است یا مدتی است که به یک حساب Google وارد شده است ، به احتمال زیاد فقط باید یک کادر را علامت گذاری کند
از طرف دیگر ، یک کاربر فایرفاکس که کوکی های شخص ثالث را غیرفعال کرده است ،یک چالش دشوار برای شناسایی تصویر را تجربه می کند.
اما همه از Chrome استفاده نمی کنند و همه با استفاده از خدمات Google راحت نیستند.
مردم به دلیل نگرانی از حریم خصوصی خود مرورگرهای محرمانه مانند Firefox یا Brave را ترجیح می دهند و حتی ممکن است از VPN برای مرور اینترنت استفاده کنند. ReCaptcha v2 چالش های سخت تری را به این کاربران ارائه می دهد ، که باعث کاهش تجربه کاربری آنها و کاهش نرخ تبدیل خواهد شد.

علاوه بر این ، به دلیل فراگیر بودن reCaptcha v2 ، مجرمان اینترنتی راه حل های خودکار کارآمدتری را برای دور زدن حتی سخت ترین چالش های reCaptcha v2 پیدا کرده اند.

برخی از ربات ها برای حل چالش های reCaptcha v2 از پیشرفت های اخیر در هوش مصنوعی استفاده می کنند. به طور خاص ، شبکه های عصبی پیشرفته به آموزش مدل های هوش مصنوعی کمک می کنند به گونه ای که بتوانند به صورت خودکار کپچاها را حل کنند.
گوگل برای آموزش reCaptchas از مدل های هوش مصنوعی تشخیص تصویر و صدا استفاده میکند و مجرمان اینترنتی از این پیشرفت های AI برای غلبه بر reCaptchas استفاده می کنند. دایره زندگی دیجیتال!


مزارع Captcha

به لطف مزارع Captcha ، مهاجمان می توانند از رباتهایی استفاده کنند که حتی قادر به اجرای JavaScript نیستند.
زیرا تمام آنچه برای تصویب reCaptcha v2 لازم است ارسال درخواست پاسخگویی حاوی رمز پاسخ است و مزرعه Captcha این رمز را ارائه می دهد.
بدون نیاز به جاوا اسکریپت ، مهاجمان می توانند ربات هایی را ایجاد کنند که به جای استفاده از مرورگرهای کاملاً خودکار مانند سلنیوم یا Puppeteer با کروم بدون دردسر ، از کتابخانه های درخواست HTTP ساده استفاده کنند.


ریکپچا ورژن 3:آسان برای انسان ، به جز سرپرست وب سایت

گوگل با گوش دادن به برخی از شکایات کاربران خود ، reCaptcha v3 را توسعه داد تا تجربه کاربری بهتری را ارائه دهد.
ریکپچا ورژن 3 برخلاف v2 برای بازدیدکنندگان وب سایت شفاف است. هیچ چالشی برای حل وجود ندارد. در عوض ، reCaptcha v3 به طور مداوم رفتار بازدید کننده را کنترل می کند تا تعیین کند انسان است یا ربات.
ریکپچا ورژن 3 برای هر درخواستی که کاربر ارائه می دهد ، نمره ای بین 0 تا 1 را برمی گرداند که نشان دهنده احتمال منشأ درخواست از یک ربات است. نزدیک به 0: ببخشید شما ربات هستید. نزدیک به 1: تبریک ، شما یک انسان هستید.

برای بهبود دقت این امتیاز ، مدیران وب سایت می توانند اقدامات خاصی مانند “ارسال درخواست دوستانه” یا “صفحه اصلی” را برای کمک به reCaptcha برای درک نحوه تغییر رفتار عادی کاربر بسته به زمینه ، تعریف کنند.

ریکپچا ورژن 3 با حذف نیاز به ایجاد اختلال در مرور با چالش های reCaptcha ، به وضوح تجربه را برای کاربران انسانی بهبود می بخشد ، همچنین مشکلات جدیدی را برای مدیران وب سایت ایجاد می کند.
با reCaptcha v2 ، تنها اقدام لازم این بود که بررسی کنید آیا کاربر چالش را به درستی حل کرده است یا خیر.
با reCaptcha v3 ، اکنون باید تصمیم بگیرید که بسته به نمره ، کدام اقدام را انجام دهید که این پیکربندی حتی برای باتجربه ترین مدیر وب نیز کاری دشوار است.


نقشه برداری امتیازات کاربران reCaptcha v3 به اقدامات

برای هر عملی که کاربر در وب سایت شما انجام می دهد ، سه پاسخ احتمالی دارید:

  1. به کاربر اجازه دهید به منبع درخواستی دسترسی پیدا کند
  2. از کاربر بخواهید یک reCaptcha v2 را حل کند تا انسان را تشخیص دهد
    3.کاربر را مسدود کنید (hard block).

این بدان معناست که شما باید برای هر عملی تصمیم بگیرید که در کجا می خواهید آستانه یک پاسخ خاص را قرار دهید
آیا وقتی کاربر به کمتر از 0.25 رسید ، کاربر را مسدود خواهید کرد یا یک reCaptcha v2 به او ارائه می دهید؟ 0.15 چطور؟ آیا آنگاه آنها را بطور کامل مسدود خواهید کرد یا 0.10 مناسب تر به نظر می رسد؟
هیچ پاسخ صریح و روشن وجود ندارد ، همین مسئله این سوالات را بسیار دشوار می کند.
مسئله در اینجا این است که هرچه آستانه خود را سختگیرانه تر کنید ، احتمال مسدود کردن کاربران واقعی بیشتر است.
برعکس این امر نیز صادق است: هرچه آستانه های شما شل شود ، احتمال اینکه ربات ها را ردیابی نکنید بیشتر است.
شما باید بین عدم مسدود کردن کاربران زیاد و اجازه دادن به تعداد زیادی ربات ، سازش ناخوشایندی برقرار کنید.


هیچ حلقه بازخوردی وجود ندارد

ریکپچا ورژن 3 داشبورد توزیع امتیازات کاربران را برای هر اقدام در وب سایت شما نشان می دهد.
اما این برای کمک به شما در درک اینکه آیا شما آستانه های مناسبی را تعیین کرده اید کافی نیست ، زیرا اطلاعات دیگری برای درک بهتر آن کاربران وجود ندارد.
این امر به ویژه هنگامی درست است که شما فکر می کنید اینترنت بسیار متنوع تر از آن است که ما اغلب تصور می کنیم
مطمئناً ، اکثر کاربران قانونی شما ممکن است با Chrome ، Edge یا Safari در اینترنت مرور کنند ، اما در مورد 10٪ افرادی که این کار را نمی کنند ، چه می کنید؟ کاربران باهوش حریم خصوصی شما چطور؟
امتیازات کاربران آنها به طور قابل توجهی پایین می آید و آیا واقعاً می خواهید کار آنها را با v2 reCaptchas سخت تر کنید یا بدون هیچ شانس دیگری آنها را مسدود کنید؟
با این حال ، جمع آوری ، ذخیره و تجزیه و تحلیل داده های کافی برای تنظیم دقیق این آستانه ها به دانش تشخیص ربات عمیق نیاز دارد و هزینه های قابل توجهی برای توسعه نرم افزار به همراه دارد.


کیفیت تشخیص

یک مشکل دیگر با reCaptcha v3 وجود دارد. با استفاده از تشخیص رفتاری پیش بینی می کند که آیا یک درخواست مشخص از یک انسان سرچشمه می گیرد یا خیر.
در حالی که تشخیص رفتار در واقع برای تشخیص ربات های پیشرفته بسیار مفید است ، اما یادگیری نحوه تشخیص دقیق ربات ها از انسان به حجم زیادی از داده ها نیاز دارد.
قبل از اینکه reCaptcha v3 بر اساس رفتار تصمیم بگیرد ، همچنین قبل از تصمیم گیری دقیق به کاربری نیاز دارد که برای مدتی با وب سایت شما تعامل کند.
هنگامی که به تنهایی استفاده می شود ، سایت شما را در برابر خزنده های توزیع شده در مقیاس بزرگ که از چرخش IP برای تغییر مکرر آدرس IP خود استفاده می کنند ، آسیب پذیر می کند.


چرا reCaptcha یک راه حل مدیریت ربات نیست

در حالی که reCaptcha v2 و v3 می تواند به کاهش بازدید ربات کمک کند ، هر دو نسخه با مشکلات مختلفی روبرو هستند:

1.تجربه کاربر: کاربران انسانی از چالش های تشخیص تصویر / صدا متنفر هستند
2.مزارع Captcha و پیشرفت در AI به مجرمان سایبری اجازه می دهد reCaptchas را دور بزنند
3.تعریف آستانه های مناسب برای امتیازات کاربران v3 کار بسیار دشواری است
4.هیچ راهی برای نظارت بر مثبت و منفی کاذب وجود ندارد
5.ربات های پیشرفته قادر به دور زدن آنها هستند.

نکته اصلی این است که نه v2 و نه v3 به عنوان جایگزینی برای یک راه حل مناسب مدیریت ربات عمل نمی کنند.


جمع بندی
در حالی که reCaptcha v2 و v3 می تواند به جلوگیری از برخی از بازدیدهای بات کمک کند ، اما آنها مشکلات زیادی دارند. آنها تجربه کاربری را پایین می آورند ،با مزارع Captcha یا AI قابل عبور است ، هیچ مکانیسم بازخورد واقعی ندارد ، می تواند منجر به مثبت و منفی کاذب شود و ربات های پیشرفته را تشخیص ندهد.
بنابراین هیچ یک از نسخه های reCaptcha نباید به عنوان یک راه حل مناسب برای مدیریت ربات در نظر گرفته شوند.

برای یادگیری ایندیزاین(Adobe indesign)بر روی لینک کلیک کنید

امیرحسین باقری

امیرحسین باقری هستم عاشق طراحی سایت در زمینه python و همینطور طراح قالب و متخصص فرانت اند؛ از دانشی که تو این مدت بدست آوردم میشه به: html&css , ,bootstrap, C#, flexbox , sass , javascript , Django,celery,Django channels,DRF,Ruby ,Ruby on Railsاشاره کرد.

دیدگاهتان را بنویسید

دکمه بازگشت به بالا