Переход от reCAPTCHA к hCaptcha
Недавно компания Cloudflare сменила известную систему защиты сайтов от интернет-ботов reCAPTCHA, принадлежащую Google, на сервис, предоставляемый независимой hCaptcha. Как это поможет решить проблему конфиденциальности службы Google, которая была у Cloudflare в течение длительного времени, и как повлияет их клиентов?
Давайте подробно разбираться!
CAPTCHA в Cloudflare
Одна из услуг, которую предоставляет Cloudflare включает в себя способ блокировки вредоносного автоматизированного трафика или в it-терминологии “ботов”. И для достижения этой цели используется ряд методов. Когда есть уверенность во вредоносной деятельности бота, он полностью блокируется. Когда есть уверенность в обычном человеческом трафике или законном боте, например как поисковый движок, он пропускается. Но когда нет 100% уверенности в действии — предлагается пройти проверку или "испытание".
У Cloudflare, как правило, такие испытания полностью автоматические, но одно из них требует вмешательства человека. Они известны как капчи или CAPTCHAs (Completely Automated Public Turing Test to Tell Computers and Humans Apart) — полностью автоматизированный публичный тест Тьюринга (или обратный тест Тьюринга), созданные для отличия компьютеров и людей. Стандартно они выглядят как подсказки для ввода в поле в виде волнистых букв или как картинки для определения светофора и пешеходных переходов. Они должны быть легкими для людей, но сложными для машин.
С самых ранних дней Cloudflare использовали сервис Google reCAPTCHA. ReCAPTCHA как исследовательский проект начал свою деятельность в Университете Карнеги-Меллона в 2007 году, а уже в 2009 году его приобрел Google. Ориентировочно в то же время состоялось и появление Cloudflare как фирмы.
Google предоставлял reCAPTCHA бесплатно в обмен на данные из сервиса, используемого для обучения систем визуальной идентификации. Когда Cloudflare искали капчу для себя, они остановились на reCAPTCHA, поскольку он был эффективен, мог масштабироваться и предлагался бесплатно - что было важно, поскольку многие клиенты Cloudflare пользовались бесплатно их сервисом.
Конфиденциальность и проблемы блокирования
С тех пор некоторые клиенты выражали беспокойство по поводу использования службы Google для обслуживания CAPTCHA. Ведь бизнес Google рассчитан на рекламу, которая дойдет до конечного пользователя. А вот у Cloudflare — нет.
У нас есть строгие обязательства по конфиденциальности, говорят в Cloudflare. Политика конфиденциальности reCAPTCHA, которая сначала их устраивала, впоследствии стала являться предметом беспокойства их клиентов в связи с передачей дополнительных данных в Google.
Также, в компании отметили, что у них были проблемы в некоторых регионах, например в Китае, где службы Google периодически блокируются. А ведь только на Китай приходится 25% всех пользователей Интернета! Учитывая, что некоторые из них не могли получить доступ к сервисам Cloudflare при вызове CAPTCHA, это всегда оборачивалось проблемой для Cloudflare.
На протяжении многих лет проблем с конфиденциальностью и блокировками было достаточно, чтобы заставить Cloudflare задуматься о переходе с reCAPTCHA. Но, как и большинству технологических компаний, им было сложно расставить приоритеты, отказавшись от уже рабочей модели вместо совершенно новых приятных фишек и функциональности для своих клиентов.
Бизнес-модель Google меняется
И такой момент назрел. Google сообщил Cloudflare, что они собираются начать взимать плату за reCAPTCHA, а это значит, что значительно возрастут и затраты на услугу этого сервиса.
В случае с Cloudflare — это грозило бы компании миллионами долларов годовых затрат, причем продолжая предоставлять reCAPTCHA бесплатно для своих пользователей. А значит, настало время, чтобы искать лучшую альтернативу.
Лучшая капча
Cloudflare оценили ряд поставщиков CAPTCHA, и даже протестировали систему, которую создали самостоятельно. Но в конце концов, hCaptcha стала лучшей альтернативой reCAPTCHA.
Почему? Вот несколько доводов в пользу hCaptcha:
1. Они собирают только минимум необходимых личных данных и не продают их, в отличие от политики Google по сбору конфиденциальных данных, которая давно тревожит Cloudflare. Но теперь Cloudflare больше не придется беспокоиться об этом;
2. Производительность была на уровне и даже лучше, чем ожидалось во время A/B-тестирования;
3. Имеет надежное решение для слабовидящих;
4. Поддерживает Privacy Pass для уменьшения частоты показа CAPTCHAs;
5. Работало в регионах, где Google был заблокирован (та же reCAPTCHA часто блокируется в Китае, а значит, Cloudflare не может использовать этот продукт в данной стране);
6. Сервис hCaptcha был шустр и отзывчив, что было впечатляюще.
Стандартная бизнес-модель hCaptcha была похожа на то, как начиналась reCAPTCHA. Компания Intuition Machines, создавшая hCaptcha, планировала взимать плату с клиентов, которым требовались данные классификации изображений, и платить издателям за установку их капчи на своих сайтах.
Однако, в данном случае Cloudflare сама заплатит Intuition Machines. Почему? Эти вложения будут выступать гарантом для Cloudflare, поскольку в таких условиях они были бы уверены в возможностях ресурсов для нужд их сервиса. Конечно, оплату услуг hCaptcha никто не отменял, но как говорят в Cloudflare, эти расходы — лишь малая часть того, что компании пришлось бы потратить на reCAPTCHA. Зато у них есть более гибкая платформа CAPTCHA и гораздо более отзывчивая команда разработчиков.
Исправление проблем
Cloudflare считает, что со временем визуальные и аудио капчи будут все более несовершенным ответом на ряд сложных проблем. Cloudflare продолжает работу по минимизации и надеется, что в конечном итоге полностью исключит количество выпускаемых CAPTCHA.