Практически каждый владелец сайтов в интернете сталкивался с проблемой вредоносных ботов, которые начинают атаковать формы обратной связи, окна регистрации на сайте, комментарии под постами и так далее. Если не защитить данные объекты, то это может привести к серьезным проблема. IP-адрес сайта может попасть в спам базы, комментарии под записями на сайте могут стать рассадником вредоносных ссылок, почтовые сервера могут начать считать что ваш сайт используется для рассылки спама, что приведет к проблемам с отправкой писем с вашего почтового домена, иными словами, нормальные письма с вашего сайта начнут попадать в папку «Спам» у пользователей вашего сайта. Мы перечислили только несколько основных проблем, однако, уже по ним можно понять, что негативное воздействие ботов на сайтах необходимо пресекать.
Исторически сложилось, что самым оптимальным решением данной проблемы является ввод на сайт капчи. Самым распространенным видом капчи является reCAPTCHA от Google. В данной статье мы рассмотрим принципы работы двух актуальных на текущий момент версий этой капчи – v2 и v3.
Просим вас заметить, что в данной статье не будет идти речь о reCAPTCHA v1. Данная версия капчи не поддерживается Google с марта 2018 года.
В чем отличия reCAPTCHA v2 и v3?
Если вкратце, то v2 проверяет запросы с помощью заданий, а v3 с выполняет проверку с учетом оценок пользователя на веб-сайте.
Разберем данные версии более детально:
reCAPTCHA v2
При обычной настройке, данный вид капчи, после выполнения какого-либо запроса, например, по отправке информации из формы обратной связи, или при запросе на регистрацию на сайте, попросит пользователя поставить флажок возле надписи «Я не робот»:
После того, как пользователь установит флажок, google, с помощью своих алгоритмов, проанализирует риски на основе активности данного пользователя в интернете и определит, является ли он роботом или нет. Если google решит, что пользователь вероятнее всего является человеком, то запрос пользователя обработается. Данный способ с установкой флажка также называется «NoCAPTCHA». Если система посчитает что пользователь может быть роботом, то появится окно с задачей, которую пользователю предстоит решить. Например, это может быть запрос найти все изображения с грузовиками, лодками, светофорами и другими объектами из предоставленных 9 картинок. Для ботов эта задача довольно проблематичная, поэтому данная капча является надежным вариантом для защиты вашего сайта от вредоносного воздействия. Если пользователь правильно решит задачу, то его запрос на сайте будет выполнен, либо ему откроется следующая страница, в зависимости от изначального запроса.
В чем недостатки такой капчи?
Алгоритмы google могут принять обычного пользователя за подозрительного, в силу чего, посетителю вашего сайта может не понравится решение задачи капчи, вместо простого использования функционала сайта. Зачастую данные «головоломки» являются довольно сложными и для обычного человека, так как восприятие объектов у каждого человека свое и порой отличить грузовик от внедорожника для некоторых людей может быть проблемой, особенно учитывая низкое качество предоставляемых картинок.
Вторым немаловажным моментом в минусах у данной версии капчи является особенность ее работы. Для анализа поведения человека в интернете также используются куки его браузера. Если куки были очищены, либо пользователь сидит в анонимном режиме браузера (инкогнито), то с большей долей вероятности, посетитель вашего сайта в любом случае будет вынужден решать задачу капчи, то есть «NoCAPTCHA» для данных посетителей будет недоступна.
У reCAPTCHA v2 есть еще один режим работы, так называемая невидимая версия работы. В данном режиме, вместо появления окна с чекбоксом «Я не робот», система автоматически начнет проверять пользователя с помощью своих алгоритмов.
reCAPTCHA v3
Это самая новая версия reCAPTCHA, которая фактически является невидимой для обычных пользователей, или, другими словами, фоновой. В данной версии используется более сложная система продвинутого анализа риска с усовершенствованным поведенческим анализом. Теперь, скрипты на сайте анализируют поведение посетителя и ставят ему оценку от 0.0 до 1.0. Чем выше оценка поставлена посетителю вашего сайта, тем с большей вероятностью он является реальным человеком. По умолчанию данная оценка для пользователя является 0.5. Исходя из этих цифр, вы можете настраивать, какое значение оценки должно быть, чтобы клиент мог выполнить определенное действие на вашем сайте. Например, на форму входа в аккаунт вы можете задать значение 0.7, чтобы только более достоверные пользователи без проблем заходили в аккаунт. Если оценка посетителя будет ниже установленной, то система сможет запросить у пользователя двухфакторную аутентификацию или различные другие действия, которые вы зададите для определенного сценария.
Какие минусы могут быть у данного метода?
Google скрывает принципы работы своих алгоритмов, связанных с reCAPTCHA v3, поэтому как точно будет поставлена оценка в определенных моментах работы вашего сайта трудно сказать. Кроме того, есть информация, что использование VPN или блокировщиков рекламы может негативно сказываться на оценке пользователя, то есть данные пользователи могут считаться скорее ботами, чем людьми.
Также, в соответствии с пользовательским соглашением google, на вашем сайте будет висеть логотип, что сайт защищен от спама с помощью reCAPTCHA:
Однако, данное лицензионное соглашение также допускает скрывать логотип с помощью CSS кода:
.grecaptcha-badge {
visibility: hidden;
}
Но скрыв данный баннер, вам необходимо будет под каждой формой использующей капчу написать: «Защита от спама reCAPTCHA Конфиденциальность и Условия использования» со ссылками на соответствующие страницы Google. Подробнее про данные нюансы вы можете узнать в официальном FAQ по reCAPTCHA от google.
Подведем итоги. Не смотря на сказанные в данной статье минусы, reCAPTCHA v2 и v3 остаются одними из самых надежных способов защиты вашего сайта от спама, брутфорса и прочих негативных воздействий ботов. Кроме того, описанные решения являются бесплатными и простыми в использовании, что делает данные капчи отличным инструментом, который мы рекомендуем использовать на ваших сайтах.