Представляем Turnstile — удобную альтернативу CAPTCHA с сохранением конфиденциальности.

Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.

Сегодня мы анонсируем открытую бета-версию Turnstile, невидимой альтернативы CAPTCHA. Любой человек в любой точке Интернета, желающий заменить CAPTCHA на своем сайте, сможет вызвать простой API без необходимости быть клиентом Cloudflare или отправлять трафик через глобальную сеть Cloudflare. Зарегистрируйтесь здесь бесплатно.

Нет смысла повторять тот факт, что CAPTCHA обеспечивает ужасный пользовательский опыт. Это подробно обсуждалось ранее в этом блоге и бесчисленное количество раз в других местах. Создатель CAPTCHA даже публично посетовал на то, что он «невольно создал систему, которая растрачивает с шагом в десять секунд миллионы часов самого ценного ресурса: циклов человеческого мозга». Мы ненавидим это, вы ненавидите это, все ненавидят это. Сегодня мы даем всем лучший выбор.

Турникет — это наша интеллектуальная альтернатива CAPTCHA. Он автоматически выбирает из чередующегося набора ненавязчивых вызовов браузера на основе телеметрии и поведения клиента, демонстрируемого во время сеанса. В предыдущем посте мы говорили о том, как мы использовали нашу систему управляемых испытаний, чтобы сократить использование CAPTCHA на 91%. Теперь любой желающий может воспользоваться этой же технологией, чтобы отказаться от использования CAPTCHA на своем собственном сайте.

UX — не единственная большая проблема с CAPTCHA, так же как и конфиденциальность.

Хотя необходимость решать CAPTCHA разочаровывает пользователя, существует также потенциальный скрытый компромисс, на который веб-сайт должен пойти при использовании CAPTCHA. Если вы являетесь небольшим сайтом, использующим CAPTCHA сегодня, у вас, по сути, есть один вариант: 800-фунтовая горилла с 98% долей рынка CAPTCHA. Этот инструмент можно использовать бесплатно, но на самом деле он требует конфиденциальности: вы должны предоставить свои данные компании по продаже рекламы.

По мнению исследователей в области безопасности, один из сигналов, которые Google использует, чтобы решить, являетесь ли вы злонамеренным, заключается в том, есть ли у вас файл cookie Google в вашем браузере, и если у вас есть этот файл cookie, Google поставит вам более высокий балл. Google заявляет, что не использует эту информацию для таргетинга рекламы, но, в конце концов, Google — это компания по продаже рекламы. Между тем, в Cloudflare мы зарабатываем деньги, когда клиенты выбирают нас для защиты своих веб-сайтов и улучшения работы своих сервисов. Это простая, прямая связь, которая идеально согласовывает наши стимулы.

Меньше сбора данных, больше конфиденциальности, та же безопасность

В июне мы объявили о сотрудничестве с Apple по использованию токенов частного доступа. Посетители, использующие операционные системы, поддерживающие эти токены, включая будущие версии macOS или iOS, теперь могут подтвердить, что они люди, не вводя CAPTCHA и не раскрывая личных данных.

Сотрудничая с третьими сторонами, такими как производители устройств, у которых уже есть данные, которые помогут нам проверить устройство, мы можем абстрагироваться от частей процесса проверки и подтверждать данные, фактически не собирая, не затрагивая и не сохраняя эти данные самостоятельно. Вместо того, чтобы опрашивать устройство напрямую, мы просим поставщика устройства сделать это за нас.

Токены частного доступа встроены непосредственно в турникет. В то время как Turnstile должен просматривать некоторые данные сеанса (такие как заголовки, пользовательский агент и характеристики браузера) для проверки пользователей, не вызывая у них вопросов, токены частного доступа позволяют нам минимизировать сбор данных, запрашивая у Apple проверку устройства для нас. Кроме того, Turnstile никогда не ищет файлы cookie (например, файлы cookie для входа) и не использует файлы cookie для сбора или хранения информации любого рода. Cloudflare имеет большой опыт инвестирования в конфиденциальность пользователей, и мы продолжим это делать с Turnstile.

Мы открываем нашу замену CAPTCHA для всех

Чтобы сделать Интернет доступным для всех, мы решили открыть бета-версию технологии, которая лежит в основе нашего управляемого соревнования, в виде отдельного продукта под названием Turnstile.

Вместо того, чтобы пытаться в одностороннем порядке отказаться от CAPTCHA и заменить ее одной альтернативой, мы создали платформу для тестирования многих альтернатив и чередования новых задач по мере того, как они становятся более или менее эффективными. С помощью Turnstile мы адаптируем фактический результат вызова к индивидуальному посетителю/браузеру. Сначала мы запускаем серию небольших неинтерактивных вызовов JavaScript, собирая больше сигналов о среде посетителя/браузера. Эти проблемы включают в себя доказательство работы, доказательство пространства, поиск веб-API и различные другие проблемы для обнаружения особенностей браузера и поведения человека. В результате мы можем точно настроить сложность задачи под конкретный запрос.

Турникет также включает модели машинного обучения, которые выявляют общие черты конечных посетителей, которые ранее смогли пройти испытание. Вычислительная сложность этих первоначальных задач может варьироваться в зависимости от посетителя, но нацелена на быстрое выполнение.

Замените существующую CAPTCHA за несколько минут

Вы можете воспользоваться преимуществами Turnstile и перестать беспокоить своих посетителей CAPTCHA, даже не находясь в сети Cloudflare. Хотя мы максимально упрощаем использование нашей сети, мы не хотим, чтобы это стало препятствием для улучшения конфиденциальности и удобства пользователей.

Чтобы переключиться с службы CAPTCHA, все, что вам нужно сделать, это:

1. Создайте учетную запись Cloudflare, перейдите на вкладку «Turnstile» на панели навигации и получите ключ сайта и секретный ключ.
2. Скопируйте наш JavaScript с панели управления и вставьте старый JavaScript CAPTCHA.
3. Обновите интеграцию на стороне сервера, заменив старый URL-адрес siteverify нашим.

Ниже приведено более подробное описание процесса, включая параметры, которые вы можете настроить, но это действительно так. Мы в восторге от простоты внесения изменений.

Варианты развертывания и аналитика

Чтобы использовать Turnstile, сначала создайте учетную запись и получите свой сайт и секретные ключи.

Затем скопируйте и вставьте наш фрагмент HTML:

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

После внедрения скрипта вы можете использовать неявный рендеринг. Здесь HTML сканируется на наличие элементов, которые имеют cf-turnstile учебный класс:

<form action="/login" method="POST">
  <div class="cf-turnstile" data-sitekey="yourSiteKey"></div>
  <input type="submit">
</form>

Как только задача решена, в вашу форму вводится токен с именем cf-turnstile-response. Этот токен можно использовать с нашим siteverify конечная точка для проверки ответа на вызов. Токен можно проверить только один раз, и его нельзя активировать дважды. Проверка может быть выполнена на стороне сервера или даже в облаке, например, с помощью простой выборки Workers (см. демонстрацию здесь):

async function handleRequest() {
    // ... Receive token
    let formData = new FormData();
    formData.append('secret', turnstileISecretKey);
    formData.append('response', receivedToken);
 
    await fetch('https://challenges.cloudflare.com/turnstile/v0/siteverify',
        {
            body: formData,
            method: 'POST'
        });
    // ...
}

Для более сложных вариантов использования вызов можно вызвать явно через JavaScript:

<script>
    window.turnstileCallbackFunction = function () {
        const turnstileOptions = {
            sitekey: 'yourSitekey',
            callback: function(token) {
                console.log(`Challenge Success: ${token}`);
            }
        };
        turnstile.render('#container', turnstileOptions);
    };
</script>
<div id="container"></div>

Вы также можете создать то, что мы называем «Действия». Пользовательские метки, которые позволяют различать разные страницы, на которых вы используете Turnstile, например страницы входа, оформления заказа или создания учетной записи.

После развертывания Turnstile вы можете вернуться на панель мониторинга и просмотреть аналитику о том, где у вас развернуты виджеты, как пользователи решают их, а также просмотреть любые определенные действия.

Почему мы раздаем это бесплатно?

Хотя людям извне иногда трудно поверить в это, наша миссия действительно состоит в том, чтобы помочь сделать Интернет лучше. Это не первый раз, когда мы создаем бесплатные инструменты, которые, как мы думаем, сделают Интернет лучше, и не последний. Это действительно важно для нас.

Так что независимо от того, являетесь ли вы сегодня клиентом Cloudflare или нет, если вы используете CAPTCHA, вместо этого попробуйте Turnstile бесплатно. Вы сделаете своих пользователей счастливее и сведете к минимуму данные, которые вы отправляете третьим лицам.

Посетите эту страницу, чтобы подписаться на лучшую невидимую, конфиденциальную замену CAPTCHA и получить ключ сайта бета-версии Turnstile.