Cloudflareが“見えない”CAPTCHA代替「Turnstile」のベータ版を提供開始

masapoco
投稿日 2022年10月1日 16:25
テクノロジー
cloudflare tunrstile

 本記事は広告およびアフィリエイトプログラムによる収益を得ています。

コンテンツ配信ネットワーク(CDN)大手Cloudflareは、バックグラウンドでユーザーの邪魔にならないように動作し、Webサイト訪問者が実際の人間かどうかを自動的に判定するCAPTCHAの代替となる新たな機能「Turnstile」のパブリックベータテストを開始した。

新たなウィジェット「Turnstile」は、今日の信号機をクリックしたり、グチャグチャな文字を判別して入力して人間とボットを判別するCAPTCHAに代わる物だ。ユーザーが人間であることを自動で確認できない場合は、最後の手段として手動テストに戻ることになるようだ。だが、Cloudflareは、従来のCAPTCHAシステムよりも高いレベルのプライバシーを維持しながら、そのすべてを実現できると主張している。

インターネットインフラストラクチャービズによると、Turnstileテストは、参加するWebサイトが非インタラクティブなJavaScriptコードを実行することから始まり、システムとブラウザを調べて、自動化された環境であるか、コンピュータに人間がいる可能性が高いかを判断するという。JSコードは challenges.cloudflare.com から埋め込まれる。

このスクリプトは、「プルーフ・オブ・ワーク、プルーフ・オブ・スペース、Web APIのプローブ、その他ブラウザの癖や人間の行動を検出するための様々なチャレンジなど、ブラウザで多くのバックグラウンドタスクを実行します」と、Cloudflareは述べている。

また、Cloudflareによると、「Turnstileには、以前にチャレンジを通過できたエンドビジターの共通の特徴を検出する機械学習モデルも含まれています。それらの初期チャレンジの計算硬度は訪問者によって異なるかもしれませんが、高速に実行されるようにターゲットが設定されています。」とのことだ。

最終的に、コードは、Webサイトが、広告クリック詐欺や、大量のアカウントへのサインアップ、その他を期待してそこにいるソフトウェア制御のブラウザとは対照的に、人によって訪問されているかどうかを把握するために、たくさんのテクニックを使用する。

人間を検知すると、Cloudflareのバックエンドシステムが訪問者のブラウザにトークンを発行する。そのユーザーがその後、ログイン、検索、サインアップなど、Webサイト上で何かを行おうとすると、トークンをサイトに提示してボットでないことを確認し、すべてが期待通りに動作するようになる。ボットにはトークンが発行されないため、ボットがWebサイト上でこれ以上何もできないようにすることができる。

Turnstileは、CloudflareのManaged Challenge機能から派生したと言われており、これを埋め込みたいWebサイトや、JavaScriptコードをブロックしないネットユーザーなら誰でも無料で利用できるのことだ。

この Not-a-bot トークン(Private Access Tokens または PATs とも呼ばれる)は Apple と共同で開発された。Apple は、iOS(そしてまもなく macOS)ユーザーが CAPTCHA を完了しなくても済むように、同社の OS がWebサイトに自動的にトークンを発行することを望んでいる。

現時点では、TurnstileはAppleのPATsとCloudflareのバックエンドが発行したトークンの両方を扱うことができる。トークンをサポートするOSが増えれば、トークンをTurnstileに追加し、JavaScriptのプロービングをすべて省略できるようになると思われる。

匿名であることが前提のPATs以外では、Turnstileはクッキーを使ったり見たりしないことで、ユーザーのプライバシーを維持するのに役立つとのことだ。Turnstileは、「ユーザーを確認するために、ヘッダー、ユーザーエージェント、ブラウザーの特性などのセッションデータを見る」ものの、Cloudflareは、いかなる種類のデータも保存しないとしている。

その代わり、Cloudflareは機器メーカーと協力して、ハードウェアの迅速な検証を助ける機器のプロファイルを構築し、Turnstileに「検証プロセスの一部を抽象化し、実際にデータを収集、接触、または保存せずにデータを確認」させているという。

Turnstileのように、他のCAPTCHAウィジェットもJavaScriptに依存していることに留意してください。

Cloudflareは、CAPTCHAウィジェットの実装の98パーセントを管理しているのがGoogleであることから、プライバシーのトレードオフが伴うと述べている。

以前、GoogleのreCAPTCHAはGoogleユーザーを優遇し、ユーザーがGoogleアカウントにログインしているとreCAPTCHAが判断できる限り、ユーザーに有利に働くことが発覚した。

Googleは、この情報を広告のターゲティングに使用しないと言っているが、結局のところ、Googleは広告販売会社なのだ。

Cloudflareは2020年までreCAPTCHAを使用していたが、Googleへのデータ送信に関する顧客の懸念とプライバシーの問題を理由に、hCaptchaのためにサービスを停止している。これらの懸念は、GoogleがCloudflareのようなreCAPTCHAのヘビーユーザーにサービスへのアクセスを課金し始めると宣言したこと奇妙に合致してる。

Source

,

この記事が面白かったら是非シェアをお願いします!

  • art contest winner 800x450 1
    次の記事

    AIは賞を取るような芸術を生み出すことができるが、それでも人間の創造性には勝てない

    2022年10月1日 17:48
  • 前の記事

    テスラが初の人型ロボット「オプティマス」の実機プロトタイプを公開

    2022年10月1日 14:19
    tesla humanoid

スポンサーリンク

この記事を書いた人
masapoco
TEXAL管理人。中学生の時にWindows95を使っていたくらいの年齢。大学では物理を専攻していたこともあり、物理・宇宙関係の話題が得意だが、テクノロジー関係の話題も大好き。最近は半導体関連に特に興味あり。アニメ・ゲーム・文学も好き。最近の推しは、アニメ『サマータイムレンダ』

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

おすすめ記事

  • Radar Year in Review 2023

    Cloudflare、2023年インターネットトラフィックに関する様々な統計データを発表

  • server large 2

    Cloudflareが次世代サーバーの設計を発表、増加するCPUのTDPに対応し1Uから2Uサーバーへ

  • security 2023.max 2436x985 1

    Amazon、Cloudflare、Google、Microsoftが史上最大のDDoS攻撃の背景を解説

  • tunnel

    Cloudflare Tunnelを悪用してステルス接続を行うハッカーが増加中

  • cloudflare observatory

    Cloudflare、Web監視を強化するツール「Observatory」を提供開始

今読まれている記事