Cloudflareが“見えない”CAPTCHA代替「Turnstile」のベータ版を提供開始

masapoco
投稿日 2022年10月1日 16:25
cloudflare tunrstile

コンテンツ配信ネットワーク(CDN)大手Cloudflareは、バックグラウンドでユーザーの邪魔にならないように動作し、Webサイト訪問者が実際の人間かどうかを自動的に判定するCAPTCHAの代替となる新たな機能「Turnstile」のパブリックベータテストを開始した。

新たなウィジェット「Turnstile」は、今日の信号機をクリックしたり、グチャグチャな文字を判別して入力して人間とボットを判別するCAPTCHAに代わる物だ。ユーザーが人間であることを自動で確認できない場合は、最後の手段として手動テストに戻ることになるようだ。だが、Cloudflareは、従来のCAPTCHAシステムよりも高いレベルのプライバシーを維持しながら、そのすべてを実現できると主張している。

インターネットインフラストラクチャービズによると、Turnstileテストは、参加するWebサイトが非インタラクティブなJavaScriptコードを実行することから始まり、システムとブラウザを調べて、自動化された環境であるか、コンピュータに人間がいる可能性が高いかを判断するという。JSコードは challenges.cloudflare.com から埋め込まれる。

このスクリプトは、「プルーフ・オブ・ワーク、プルーフ・オブ・スペース、Web APIのプローブ、その他ブラウザの癖や人間の行動を検出するための様々なチャレンジなど、ブラウザで多くのバックグラウンドタスクを実行します」と、Cloudflareは述べている。

また、Cloudflareによると、「Turnstileには、以前にチャレンジを通過できたエンドビジターの共通の特徴を検出する機械学習モデルも含まれています。それらの初期チャレンジの計算硬度は訪問者によって異なるかもしれませんが、高速に実行されるようにターゲットが設定されています。」とのことだ。

最終的に、コードは、Webサイトが、広告クリック詐欺や、大量のアカウントへのサインアップ、その他を期待してそこにいるソフトウェア制御のブラウザとは対照的に、人によって訪問されているかどうかを把握するために、たくさんのテクニックを使用する。

人間を検知すると、Cloudflareのバックエンドシステムが訪問者のブラウザにトークンを発行する。そのユーザーがその後、ログイン、検索、サインアップなど、Webサイト上で何かを行おうとすると、トークンをサイトに提示してボットでないことを確認し、すべてが期待通りに動作するようになる。ボットにはトークンが発行されないため、ボットがWebサイト上でこれ以上何もできないようにすることができる。

Turnstileは、CloudflareのManaged Challenge機能から派生したと言われており、これを埋め込みたいWebサイトや、JavaScriptコードをブロックしないネットユーザーなら誰でも無料で利用できるのことだ。

この Not-a-bot トークン(Private Access Tokens または PATs とも呼ばれる)は Apple と共同で開発された。Apple は、iOS(そしてまもなく macOS)ユーザーが CAPTCHA を完了しなくても済むように、同社の OS がWebサイトに自動的にトークンを発行することを望んでいる。

現時点では、TurnstileはAppleのPATsとCloudflareのバックエンドが発行したトークンの両方を扱うことができる。トークンをサポートするOSが増えれば、トークンをTurnstileに追加し、JavaScriptのプロービングをすべて省略できるようになると思われる。

匿名であることが前提のPATs以外では、Turnstileはクッキーを使ったり見たりしないことで、ユーザーのプライバシーを維持するのに役立つとのことだ。Turnstileは、「ユーザーを確認するために、ヘッダー、ユーザーエージェント、ブラウザーの特性などのセッションデータを見る」ものの、Cloudflareは、いかなる種類のデータも保存しないとしている。

その代わり、Cloudflareは機器メーカーと協力して、ハードウェアの迅速な検証を助ける機器のプロファイルを構築し、Turnstileに「検証プロセスの一部を抽象化し、実際にデータを収集、接触、または保存せずにデータを確認」させているという。

Turnstileのように、他のCAPTCHAウィジェットもJavaScriptに依存していることに留意してください。

Cloudflareは、CAPTCHAウィジェットの実装の98パーセントを管理しているのがGoogleであることから、プライバシーのトレードオフが伴うと述べている。

以前、GoogleのreCAPTCHAはGoogleユーザーを優遇し、ユーザーがGoogleアカウントにログインしているとreCAPTCHAが判断できる限り、ユーザーに有利に働くことが発覚した。

Googleは、この情報を広告のターゲティングに使用しないと言っているが、結局のところ、Googleは広告販売会社なのだ。

Cloudflareは2020年までreCAPTCHAを使用していたが、Googleへのデータ送信に関する顧客の懸念とプライバシーの問題を理由に、hCaptchaのためにサービスを停止している。これらの懸念は、GoogleがCloudflareのようなreCAPTCHAのヘビーユーザーにサービスへのアクセスを課金し始めると宣言したこと奇妙に合致してる。


Source



この記事が面白かったら是非シェアをお願いします!



コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です