CAPTCHA, introdusert i 2014, er en sikkerhetstjeneste levert av Google. Brukes i dag av mer enn 6 millioner nettsteder. Formålet med tjenesten er å beskytte nettsidene fra uønsket trafikk fra roboter. Google markedsfører reCaptcha som en gratis tjeneste, men i virkeligheten er den bare gratis for kontoer som genererer mindre enn 1 million API-kall per måned.
Teknisk benytter reCaptcha bilde-, lyd- eller tekstutfordringer for å bekrefte at det er et menneske logger på en konto. Vi har alle prøvd å logge på et nettsted eller sende inn et skjema bare for å bli sittende fast ved å klikke på ruter med trafikklys eller butikkfronter eller broer i et desperat forsøk på å endelig overbevise datamaskinen om at vi faktisk er et menneske. Denne utgaven kjenner vi som reCaptcha V2.
I 2018 lanserte Google en ny versjon (V3) av verktøyet, med mål om å eliminere den irriterende brukeropplevelsen. Nå når du skriver inn i et skjema på et nettsted som bruker reCaptcha V3, ser du ikke avkrysningsruten "Jeg er ikke en robot", og du må heller ikke bevise at du vet hvordan en katt ser ut. I stedet vil du ikke se noe i det hele tatt.
En teknisk utfordring med V3 er at vi ikke vet hvordan Google sporer brukeren for å identifisere om det er et menneske eller en robot. Trolig bruker Google informasjon fra informasjonskapsel/cookie for å bestemme om sesjonen er et menneske i reCaptcha V3 tester. Logikken er, har du en Google konto så er du sikkert et menneske ;). Generelt har det blitt stilt spørsmål rundt privacy og V3, spesielt for de nettsteder som har valgt å legge inn reCaptcha på alle sider. I Gurusoft har vi kun bruk av reCaptcha under registrering og glemt passord funksjon. Følgelig ikke den samme utfordring med at Google eventuelt (vi vet ikke dette) tracker sine innloggede brukere på alle sider.
ReCaptcha kan være krevende for administrator av nettstedet. I reCaptcha v2 var det kun nødvendig å verifisere om brukeren løste utfordringen riktig eller ikke. Med reCaptcha V3 må du nå bestemme hvilken handling du vil ta, avhengig av poengsummen. Å få denne konfigurasjonen riktig er en vanskelig oppgave for selv den mest erfarne nettredaktøren.
For hver bruker-forespørsel, returnerer reCaptcha V3 en poengsum mellom 0 og 1 som representerer hvor sannsynlig det er at forespørselen stammer fra en robot. Nær 0: beklager, du er en robot. Nær 1: gratulerer, du er et menneske.
For hver bruker-forespørsel på nettstedet ditt, er det tre mulige responser administrator kan definere:
- Gi brukeren tilgang til den forespurte ressursen
- Be brukeren om å løse en v2 reCaptcha for å finne ut om de er menneske
- Blokker brukeren (hard blokk).
Dette betyr at du for hver forespørsel må bestemme hvor du vil plassere terskelen for et bestemt svar. Vil du blokkere brukeren når poengsummen deres faller under 0,25, eller vil du gi dem en v2 reCaptcha? Hva med 0,15? Vil du blokkere dem fullt ut da, eller virker 0,10 mer passende? Det er ingen klare svar, og det er det som gjør disse spørsmålene vanskelige.
Problemet her er at jo strengere du setter terskelen, desto mer sannsynlig er det at du blokkerer faktiske brukere. Det motsatte er også tilfelle: jo løsere terskler, jo mer sannsynlig er det at roboter ikke blir stoppet. Du må inngå et ubehagelig kompromiss mellom å ikke blokkere for mange brukere og ikke tillate for mange roboter.
For dere som tar i bruk reCaptcha V3 er det viktig å følge opp nettopp disse problemstillingene som blokkerer brukeren. Dersom dere opplever det som komplisert, kan dere under oppsett i Gurusoft Adminverktøy definere reCaptcha til å bruke V2.