เวอร์ชันล่าสุดของตัวตรวจจับบอท reCaptcha นั้นไม่ปรากฏให้ผู้ใช้เห็นและได้แพร่กระจายไปยังเว็บไซต์มากกว่า 650,000 แห่ง เป็นการดีสำหรับการรักษาความปลอดภัย แต่ไม่ค่อยดีนักสำหรับความเป็นส่วนตัวของคุณ

เราทุกคนพยายามลงชื่อเข้าใช้เว็บไซต์หรือส่งแบบฟอร์มเพียงเพื่อจะคลิกช่องสัญญาณไฟจราจรหรือหน้าร้านหรือสะพานเพื่อพยายามโน้มน้าวให้คอมพิวเตอร์เชื่อในที่สุดว่าเราไม่ใช่บอท
หลายปีที่ผ่านมา นี่เป็นหนึ่งในวิธีเด่นๆ ที่ reCaptcha ซึ่งเป็นตัวตรวจจับบอทอินเทอร์เน็ตที่ Google เรียกใช้ - ได้กำหนดว่าผู้ใช้เป็นบอทหรือไม่ แต่เมื่อฤดูใบไม้ร่วงที่ผ่านมา Google ได้เปิดตัวเครื่องมือเวอร์ชันใหม่โดยมีเป้าหมายเพื่อขจัดประสบการณ์ผู้ใช้ที่น่ารำคาญออกไปโดยสิ้นเชิง ตอนนี้เมื่อคุณป้อนแบบฟอร์มบนเว็บไซต์ที่ใช้ reCaptcha V3 คุณจะไม่เห็นช่องทำเครื่องหมาย ฉันไม่ใช่หุ่นยนต์ และคุณจะไม่ต้องพิสูจน์ว่าคุณรู้ว่าแมวหน้าตาเป็นอย่างไร แต่คุณจะไม่เห็นอะไรเลย

[ภาพ: มารยาท Google]
เป็นประสบการณ์ที่ดีกว่าสำหรับผู้ใช้ Cy Khormaee หัวหน้าฝ่ายผลิตภัณฑ์ reCaptcha ของ Google บอกว่าทุกคนเคยทำ Captcha ล้มเหลว แต่ Google จะวิเคราะห์วิธีที่ผู้ใช้สำรวจเว็บไซต์และให้คะแนนความเสี่ยงโดยพิจารณาจากพฤติกรรมที่เป็นอันตราย Khormaee จะไม่แชร์สัญญาณที่ Google ใช้เพื่อกำหนดคะแนนเหล่านี้เพราะเขาบอกว่าจะทำให้ผู้หลอกลวงเลียนแบบผู้ใช้ที่ใจดีได้ง่ายขึ้น แต่เขาเชื่อว่า reCaptcha เวอร์ชันใหม่นี้ทำให้บอทหรือเกษตรกร Captcha ยากอย่างไม่น่าเชื่อ จ่ายเงินจำนวนเล็กน้อยเพื่อทำลาย Captchas ทางออนไลน์—เพื่อหลอกระบบของ Google

reCaptcha เวอร์ชันเก่า [ภาพ: มารยาท Google]
คุณต้องเข้าใจว่าพฤติกรรมบนเว็บไซต์ควรเป็นอย่างไรและเลียนแบบได้ดีพอที่จะหลอกเรา เขากล่าว นั่นเป็นปัญหาที่ยากมากเมื่อเทียบกับปัญหาทั่วไปที่ว่า 'แกล้งทำเป็นว่าฉันเป็นมนุษย์' จากนั้นผู้ดูแลเว็บไซต์จะเข้าถึงคะแนนความเสี่ยงของผู้เยี่ยมชมและสามารถตัดสินใจได้ว่าจะจัดการอย่างไร: ตัวอย่างเช่น หากผู้ใช้ที่คะแนนความเสี่ยงสูงพยายามเข้าสู่ระบบ เว็บไซต์สามารถกำหนดกฎเกณฑ์เพื่อขอให้พวกเขาป้อนข้อมูลการตรวจสอบเพิ่มเติมผ่านสอง - การตรวจสอบปัจจัย ตามที่ Khormaee พูดไว้ กรณีที่เลวร้ายที่สุดคือเรามีความไม่สะดวกเล็กน้อยสำหรับผู้ใช้ที่ถูกกฎหมาย แต่หากมีศัตรู เราจะป้องกันไม่ให้บัญชีของคุณถูกขโมย
ตามเว็บไซต์สถิติเทคโนโลยี Built With มากกว่า 650,000 เว็บไซต์ กำลังใช้ reCaptcha v3 อยู่แล้ว; โดยรวมแล้วมีอย่างน้อย เว็บไซต์ 4.5 ล้านแห่งใช้reCaptcha ซึ่งรวมถึง 25% ของไซต์ 10,000 อันดับแรก ขณะนี้ Google กำลังทดสอบเวอร์ชันองค์กรของ reCaptcha v3 ซึ่ง Google ได้สร้าง reCaptcha แบบกำหนดเองสำหรับองค์กรที่กำลังมองหาข้อมูลที่ละเอียดยิ่งขึ้นเกี่ยวกับระดับความเสี่ยงของผู้ใช้เพื่อปกป้องอัลกอริทึมของไซต์จากผู้ใช้ที่เป็นอันตรายและบอท
แต่ระบบใหม่ที่อิงตามคะแนนความเสี่ยงนี้มาพร้อมกับการประนีประนอมอย่างร้ายแรง นั่นคือ ความเป็นส่วนตัวของผู้ใช้
ตามที่นักวิจัยด้านความปลอดภัยสองคนที่ได้ศึกษา reCaptcha หนึ่งในวิธีที่ Google ตัดสินว่าคุณเป็นผู้ใช้ที่เป็นอันตรายหรือไม่ก็คือว่าคุณมีคุกกี้ของ Google ติดตั้งอยู่บนเบราว์เซอร์ของคุณแล้ว เป็นคุกกี้เดียวกันที่อนุญาตให้คุณเปิดแท็บใหม่ในเบราว์เซอร์ของคุณ และไม่ต้องลงชื่อเข้าใช้บัญชี Google ใหม่ทุกครั้ง แต่ตาม โมฮาเหม็ด อากรุท นักศึกษาปริญญาเอกสาขาวิทยาการคอมพิวเตอร์แห่งมหาวิทยาลัยโตรอนโตซึ่งเคยศึกษาเกี่ยวกับ reCaptcha มาก่อน ปรากฏว่า Google ยังใช้คุกกี้เพื่อระบุด้วยว่ามีใครบ้างที่เป็นมนุษย์ในการทดสอบ reCaptcha v3 Akrout เขียนใน กระดาษเดือนเมษายน เกี่ยวกับการจำลอง reCaptcha v3 ที่ทำงานบนเบราว์เซอร์ที่มีบัญชี Google ที่เชื่อมต่อกันได้รับคะแนนความเสี่ยงต่ำกว่าเบราว์เซอร์ที่ไม่มีบัญชี Google ที่เชื่อมต่อกันอย่างไร หากคุณมีบัญชี Google มีแนวโน้มว่าคุณจะเป็นมนุษย์มากกว่า เขากล่าว Google ไม่ตอบคำถามเกี่ยวกับบทบาทของคุกกี้ Google ใน reCaptcha
ด้วย reCaptcha v3 ที่ปรึกษาด้านเทคโนโลยี Marcos Perona และการทดสอบของ Akrout ทั้งสองพบว่าคะแนน reCaptcha ของพวกเขามีความเสี่ยงต่ำเสมอเมื่อพวกเขาเยี่ยมชมเว็บไซต์ทดสอบบนเบราว์เซอร์ที่พวกเขาลงชื่อเข้าใช้บัญชี Google แล้ว หรือหากพวกเขาไปที่เว็บไซต์ทดสอบจากเบราว์เซอร์ส่วนตัวเช่น Tor หรือ VPN คะแนนของพวกเขาก็มีความเสี่ยงสูง
[ภาพ: มารยาท Google]
Khormaee จะไม่กล่าวถึงวิธีที่ Google ใช้ข้อมูลสำหรับ reCaptcha ในทางใดทางหนึ่งและอ้างอิงแทน บริษัทรวดเร็ว ข้อกำหนดในการให้บริการของ Google ซึ่งเชื่อมโยงอยู่ใต้โลโก้ reCaptcha บนเว็บไซต์ส่วนใหญ่ อย่างไรก็ตาม ไม่มีการอ้างอิงถึง reCaptcha ในเงื่อนไขการให้บริการ หลังจากเผยแพร่เรื่องราวนี้แล้ว Google ได้ติดต่อมาเพื่อแจ้งว่า API ของ reCaptcha จะส่งข้อมูลฮาร์ดแวร์และซอฟต์แวร์ รวมถึงข้อมูลอุปกรณ์และแอปพลิเคชัน กลับไปที่ Google เพื่อทำการวิเคราะห์ และบริการนี้ใช้เพื่อต่อสู้กับสแปมและการละเมิดเท่านั้น
Google สนับสนุนให้ผู้ดูแลไซต์นำ reCaptcha ไปไว้บนไซต์ของตน จากนั้นจึงแชร์คะแนนความเสี่ยงที่ได้รับกับผู้ดูแลระบบเหล่านั้น เป็นการดีสำหรับการรักษาความปลอดภัย Perona คิด เพราะเขากล่าวว่าช่วยให้เจ้าของไซต์ควบคุมและมองเห็นได้มากขึ้นว่าเกิดอะไรขึ้นกับผู้หลอกลวงและบอทที่อาจเกิดขึ้น การโจมตีและระบบจะให้คะแนนที่ถูกต้องแก่ผู้ดูแลระบบมากกว่าถ้า reCaptcha ใช้ข้อมูลจากหน้าเว็บเดียวเพื่อวิเคราะห์พฤติกรรมของผู้ใช้ แต่มีการแลกเปลี่ยน มันสมเหตุสมผลและทำให้เป็นมิตรกับผู้ใช้มากขึ้น แต่ยังให้ข้อมูลแก่ Google อีกด้วย เขากล่าว Google จะไม่ชี้แจงสิ่งที่ทำกับข้อมูลที่รวบรวมเกี่ยวกับพฤติกรรมของผู้ใช้ผ่าน reCaptcha เพียงแต่จะใช้เพื่อปรับปรุง reCaptcha และวัตถุประสงค์ด้านความปลอดภัยทั่วไปเท่านั้น
การรวบรวมข้อมูลโดยใช้คุกกี้ประเภทนี้เกิดขึ้นที่อื่นบนอินเทอร์เน็ต บริษัทยักษ์ใหญ่ใช้วิธีนี้ในการประเมินว่าผู้ใช้ไปที่ใดขณะท่องเว็บ ซึ่งสามารถเชื่อมโยงกับการให้บริการโฆษณาที่ตรงเป้าหมายยิ่งขึ้น ตัวอย่างเช่น คุกกี้ reCaptcha ของ Google จะใช้ตรรกะเดียวกันกับปุ่ม Facebook Like เมื่อฝังอยู่ในเว็บไซต์อื่น ทำให้ไซต์นั้นมีฟังก์ชันการทำงานของโซเชียลมีเดียบ้าง แต่ยัง ทำให้ Facebook รู้ว่าคุณอยู่ที่นั่น . ก่อนหน้านี้ Google ได้กล่าวว่า ข้อมูลที่บันทึกจาก reCaptcha จะไม่ถูกใช้สำหรับการกำหนดเป้าหมายโฆษณาหรือการวิเคราะห์ความสนใจและความชอบของผู้ใช้ หลังจากเผยแพร่เรื่องราวนี้แล้ว Google กล่าวว่าข้อมูลที่รวบรวมผ่าน reCaptcha จะไม่ถูกนำมาใช้สำหรับการโฆษณาที่ปรับให้เหมาะกับแต่ละบุคคลโดย Google
Perona มองว่าการใช้ reCaptcha ของ Google เป็นช่องทางออนไลน์ที่ช่วยเสริมความแข็งแกร่งของ Google ผ่านทางอินเทอร์เน็ต เขาคิดว่า reCaptcha คล้ายกับผลิตภัณฑ์อื่นๆ ของ Google เช่น หน้ามือถือเร่ง (AMP) โปรแกรมทำให้หน้าเว็บไซต์ข่าวโหลดเร็วขึ้นบนอุปกรณ์มือถือ แต่กลับทำให้บ้าง ความตกตะลึงจากสำนักพิมพ์ ว่า Google นำการเข้าชมเว็บออกจากไซต์ข่าวหรือไม่ เช่นเดียวกับ Google Chrome ซึ่ง วอชิงตันโพสต์ เพิ่งเรียกว่าซอฟต์แวร์เฝ้าระวัง (ฉันเป็นหนึ่งในผู้ที่เลิกใช้ Chrome สำหรับ Firefox )
ดูการอภิปรายประธานาธิบดีออนไลน์สด
มันเป็นดาบสองคมเสมอ Perona กล่าว คุณได้รับบางอย่าง แต่คุณยังให้ Google ควบคุมทุกอย่างทางออนไลน์ได้มากขึ้นด้วย ประโยชน์ที่ได้รับคือความปลอดภัยและประสบการณ์ผู้ใช้ที่ดีขึ้น แต่ความเป็นส่วนตัวอาจได้รับผลกระทบ
Google ไม่ได้แก้ไขปัญหาความเป็นส่วนตัวใดๆ ที่อาจเกิดขึ้น และยืนยันว่า reCaptcha v3 เป็นเรื่องของความรับผิดชอบขององค์กร เห็นว่า reCaptcha v3 เป็นวิธีการรับรองประสบการณ์ออนไลน์ที่ปลอดภัยและราบรื่น Google มีการบูรณาการอย่างลึกซึ้งกับอินเทอร์เน็ต Khormaee กล่าว เราต้องการทำทุกอย่างที่ทำได้เพื่อปกป้องมัน