reCAPTCHA ใหม่ของ Google มีด้านมืด

เวอร์ชันล่าสุดของตัวตรวจจับบอท reCaptcha นั้นไม่ปรากฏให้ผู้ใช้เห็นและได้แพร่กระจายไปยังเว็บไซต์มากกว่า 650,000 แห่ง เป็นการดีสำหรับการรักษาความปลอดภัย แต่ไม่ค่อยดีนักสำหรับความเป็นส่วนตัวของคุณ

reCAPTCHA ใหม่ของ Google มีด้านมืด

เราทุกคนพยายามลงชื่อเข้าใช้เว็บไซต์หรือส่งแบบฟอร์มเพียงเพื่อจะคลิกช่องสัญญาณไฟจราจรหรือหน้าร้านหรือสะพานเพื่อพยายามโน้มน้าวให้คอมพิวเตอร์เชื่อในที่สุดว่าเราไม่ใช่บอท



หลายปีที่ผ่านมา นี่เป็นหนึ่งในวิธีเด่นๆ ที่ reCaptcha ซึ่งเป็นตัวตรวจจับบอทอินเทอร์เน็ตที่ Google เรียกใช้ - ได้กำหนดว่าผู้ใช้เป็นบอทหรือไม่ แต่เมื่อฤดูใบไม้ร่วงที่ผ่านมา Google ได้เปิดตัวเครื่องมือเวอร์ชันใหม่โดยมีเป้าหมายเพื่อขจัดประสบการณ์ผู้ใช้ที่น่ารำคาญออกไปโดยสิ้นเชิง ตอนนี้เมื่อคุณป้อนแบบฟอร์มบนเว็บไซต์ที่ใช้ reCaptcha V3 คุณจะไม่เห็นช่องทำเครื่องหมาย ฉันไม่ใช่หุ่นยนต์ และคุณจะไม่ต้องพิสูจน์ว่าคุณรู้ว่าแมวหน้าตาเป็นอย่างไร แต่คุณจะไม่เห็นอะไรเลย

[ภาพ: มารยาท Google]



เป็นประสบการณ์ที่ดีกว่าสำหรับผู้ใช้ Cy Khormaee หัวหน้าฝ่ายผลิตภัณฑ์ reCaptcha ของ Google บอกว่าทุกคนเคยทำ Captcha ล้มเหลว แต่ Google จะวิเคราะห์วิธีที่ผู้ใช้สำรวจเว็บไซต์และให้คะแนนความเสี่ยงโดยพิจารณาจากพฤติกรรมที่เป็นอันตราย Khormaee จะไม่แชร์สัญญาณที่ Google ใช้เพื่อกำหนดคะแนนเหล่านี้เพราะเขาบอกว่าจะทำให้ผู้หลอกลวงเลียนแบบผู้ใช้ที่ใจดีได้ง่ายขึ้น แต่เขาเชื่อว่า reCaptcha เวอร์ชันใหม่นี้ทำให้บอทหรือเกษตรกร Captcha ยากอย่างไม่น่าเชื่อ จ่ายเงินจำนวนเล็กน้อยเพื่อทำลาย Captchas ทางออนไลน์—เพื่อหลอกระบบของ Google



reCaptcha เวอร์ชันเก่า [ภาพ: มารยาท Google]

คุณต้องเข้าใจว่าพฤติกรรมบนเว็บไซต์ควรเป็นอย่างไรและเลียนแบบได้ดีพอที่จะหลอกเรา เขากล่าว นั่นเป็นปัญหาที่ยากมากเมื่อเทียบกับปัญหาทั่วไปที่ว่า 'แกล้งทำเป็นว่าฉันเป็นมนุษย์' จากนั้นผู้ดูแลเว็บไซต์จะเข้าถึงคะแนนความเสี่ยงของผู้เยี่ยมชมและสามารถตัดสินใจได้ว่าจะจัดการอย่างไร: ตัวอย่างเช่น หากผู้ใช้ที่คะแนนความเสี่ยงสูงพยายามเข้าสู่ระบบ เว็บไซต์สามารถกำหนดกฎเกณฑ์เพื่อขอให้พวกเขาป้อนข้อมูลการตรวจสอบเพิ่มเติมผ่านสอง - การตรวจสอบปัจจัย ตามที่ Khormaee พูดไว้ กรณีที่เลวร้ายที่สุดคือเรามีความไม่สะดวกเล็กน้อยสำหรับผู้ใช้ที่ถูกกฎหมาย แต่หากมีศัตรู เราจะป้องกันไม่ให้บัญชีของคุณถูกขโมย

ตามเว็บไซต์สถิติเทคโนโลยี Built With มากกว่า 650,000 เว็บไซต์ กำลังใช้ reCaptcha v3 อยู่แล้ว; โดยรวมแล้วมีอย่างน้อย เว็บไซต์ 4.5 ล้านแห่งใช้reCaptcha ซึ่งรวมถึง 25% ของไซต์ 10,000 อันดับแรก ขณะนี้ Google กำลังทดสอบเวอร์ชันองค์กรของ reCaptcha v3 ซึ่ง Google ได้สร้าง reCaptcha แบบกำหนดเองสำหรับองค์กรที่กำลังมองหาข้อมูลที่ละเอียดยิ่งขึ้นเกี่ยวกับระดับความเสี่ยงของผู้ใช้เพื่อปกป้องอัลกอริทึมของไซต์จากผู้ใช้ที่เป็นอันตรายและบอท



แต่ระบบใหม่ที่อิงตามคะแนนความเสี่ยงนี้มาพร้อมกับการประนีประนอมอย่างร้ายแรง นั่นคือ ความเป็นส่วนตัวของผู้ใช้

ตามที่นักวิจัยด้านความปลอดภัยสองคนที่ได้ศึกษา reCaptcha หนึ่งในวิธีที่ Google ตัดสินว่าคุณเป็นผู้ใช้ที่เป็นอันตรายหรือไม่ก็คือว่าคุณมีคุกกี้ของ Google ติดตั้งอยู่บนเบราว์เซอร์ของคุณแล้ว เป็นคุกกี้เดียวกันที่อนุญาตให้คุณเปิดแท็บใหม่ในเบราว์เซอร์ของคุณ และไม่ต้องลงชื่อเข้าใช้บัญชี Google ใหม่ทุกครั้ง แต่ตาม โมฮาเหม็ด อากรุท นักศึกษาปริญญาเอกสาขาวิทยาการคอมพิวเตอร์แห่งมหาวิทยาลัยโตรอนโตซึ่งเคยศึกษาเกี่ยวกับ reCaptcha มาก่อน ปรากฏว่า Google ยังใช้คุกกี้เพื่อระบุด้วยว่ามีใครบ้างที่เป็นมนุษย์ในการทดสอบ reCaptcha v3 Akrout เขียนใน กระดาษเดือนเมษายน เกี่ยวกับการจำลอง reCaptcha v3 ที่ทำงานบนเบราว์เซอร์ที่มีบัญชี Google ที่เชื่อมต่อกันได้รับคะแนนความเสี่ยงต่ำกว่าเบราว์เซอร์ที่ไม่มีบัญชี Google ที่เชื่อมต่อกันอย่างไร หากคุณมีบัญชี Google มีแนวโน้มว่าคุณจะเป็นมนุษย์มากกว่า เขากล่าว Google ไม่ตอบคำถามเกี่ยวกับบทบาทของคุกกี้ Google ใน reCaptcha

ด้วย reCaptcha v3 ที่ปรึกษาด้านเทคโนโลยี Marcos Perona และการทดสอบของ Akrout ทั้งสองพบว่าคะแนน reCaptcha ของพวกเขามีความเสี่ยงต่ำเสมอเมื่อพวกเขาเยี่ยมชมเว็บไซต์ทดสอบบนเบราว์เซอร์ที่พวกเขาลงชื่อเข้าใช้บัญชี Google แล้ว หรือหากพวกเขาไปที่เว็บไซต์ทดสอบจากเบราว์เซอร์ส่วนตัวเช่น Tor หรือ VPN คะแนนของพวกเขาก็มีความเสี่ยงสูง



[ภาพ: มารยาท Google]

เพื่อให้ระบบคะแนนความเสี่ยงนี้ทำงานได้อย่างถูกต้อง ผู้ดูแลเว็บไซต์ควรฝังโค้ด reCaptcha v3 บน ทั้งหมด ของหน้าเว็บไซต์ ไม่ใช่แค่ในแบบฟอร์มหรือหน้าเข้าสู่ระบบเท่านั้น จากนั้น reCaptcha จะเรียนรู้เมื่อเวลาผ่านไปว่าผู้ใช้เว็บไซต์ของตนทำอะไรตามปกติ ช่วยให้อัลกอริธึมการเรียนรู้ของเครื่องที่ใช้สร้างคะแนนความเสี่ยงที่แม่นยำยิ่งขึ้น เนื่องจาก reCaptcha v3 มีแนวโน้มที่จะอยู่ในทุกหน้าของเว็บไซต์ หากคุณลงชื่อเข้าใช้บัญชี Google ของคุณ ก็มีโอกาสที่ Google จะได้รับข้อมูลเกี่ยวกับทุกหน้าเว็บที่คุณเข้าชมซึ่งฝังด้วย reCaptcha v3 และหลายๆ เว็บก็ไม่มีภาพ บ่งชี้ในไซต์ว่ากำลังเกิดขึ้น นอกเหนือจากโลโก้ reCaptcha ขนาดเล็กที่ซ่อนอยู่ในมุม

Khormaee จะไม่กล่าวถึงวิธีที่ Google ใช้ข้อมูลสำหรับ reCaptcha ในทางใดทางหนึ่งและอ้างอิงแทน บริษัทรวดเร็ว ข้อกำหนดในการให้บริการของ Google ซึ่งเชื่อมโยงอยู่ใต้โลโก้ reCaptcha บนเว็บไซต์ส่วนใหญ่ อย่างไรก็ตาม ไม่มีการอ้างอิงถึง reCaptcha ในเงื่อนไขการให้บริการ หลังจากเผยแพร่เรื่องราวนี้แล้ว Google ได้ติดต่อมาเพื่อแจ้งว่า API ของ reCaptcha จะส่งข้อมูลฮาร์ดแวร์และซอฟต์แวร์ รวมถึงข้อมูลอุปกรณ์และแอปพลิเคชัน กลับไปที่ Google เพื่อทำการวิเคราะห์ และบริการนี้ใช้เพื่อต่อสู้กับสแปมและการละเมิดเท่านั้น

Google สนับสนุนให้ผู้ดูแลไซต์นำ reCaptcha ไปไว้บนไซต์ของตน จากนั้นจึงแชร์คะแนนความเสี่ยงที่ได้รับกับผู้ดูแลระบบเหล่านั้น เป็นการดีสำหรับการรักษาความปลอดภัย Perona คิด เพราะเขากล่าวว่าช่วยให้เจ้าของไซต์ควบคุมและมองเห็นได้มากขึ้นว่าเกิดอะไรขึ้นกับผู้หลอกลวงและบอทที่อาจเกิดขึ้น การโจมตีและระบบจะให้คะแนนที่ถูกต้องแก่ผู้ดูแลระบบมากกว่าถ้า reCaptcha ใช้ข้อมูลจากหน้าเว็บเดียวเพื่อวิเคราะห์พฤติกรรมของผู้ใช้ แต่มีการแลกเปลี่ยน มันสมเหตุสมผลและทำให้เป็นมิตรกับผู้ใช้มากขึ้น แต่ยังให้ข้อมูลแก่ Google อีกด้วย เขากล่าว Google จะไม่ชี้แจงสิ่งที่ทำกับข้อมูลที่รวบรวมเกี่ยวกับพฤติกรรมของผู้ใช้ผ่าน reCaptcha เพียงแต่จะใช้เพื่อปรับปรุง reCaptcha และวัตถุประสงค์ด้านความปลอดภัยทั่วไปเท่านั้น

การรวบรวมข้อมูลโดยใช้คุกกี้ประเภทนี้เกิดขึ้นที่อื่นบนอินเทอร์เน็ต บริษัทยักษ์ใหญ่ใช้วิธีนี้ในการประเมินว่าผู้ใช้ไปที่ใดขณะท่องเว็บ ซึ่งสามารถเชื่อมโยงกับการให้บริการโฆษณาที่ตรงเป้าหมายยิ่งขึ้น ตัวอย่างเช่น คุกกี้ reCaptcha ของ Google จะใช้ตรรกะเดียวกันกับปุ่ม Facebook Like เมื่อฝังอยู่ในเว็บไซต์อื่น ทำให้ไซต์นั้นมีฟังก์ชันการทำงานของโซเชียลมีเดียบ้าง แต่ยัง ทำให้ Facebook รู้ว่าคุณอยู่ที่นั่น . ก่อนหน้านี้ Google ได้กล่าวว่า ข้อมูลที่บันทึกจาก reCaptcha จะไม่ถูกใช้สำหรับการกำหนดเป้าหมายโฆษณาหรือการวิเคราะห์ความสนใจและความชอบของผู้ใช้ หลังจากเผยแพร่เรื่องราวนี้แล้ว Google กล่าวว่าข้อมูลที่รวบรวมผ่าน reCaptcha จะไม่ถูกนำมาใช้สำหรับการโฆษณาที่ปรับให้เหมาะกับแต่ละบุคคลโดย Google

Perona มองว่าการใช้ reCaptcha ของ Google เป็นช่องทางออนไลน์ที่ช่วยเสริมความแข็งแกร่งของ Google ผ่านทางอินเทอร์เน็ต เขาคิดว่า reCaptcha คล้ายกับผลิตภัณฑ์อื่นๆ ของ Google เช่น หน้ามือถือเร่ง (AMP) โปรแกรมทำให้หน้าเว็บไซต์ข่าวโหลดเร็วขึ้นบนอุปกรณ์มือถือ แต่กลับทำให้บ้าง ความตกตะลึงจากสำนักพิมพ์ ว่า Google นำการเข้าชมเว็บออกจากไซต์ข่าวหรือไม่ เช่นเดียวกับ Google Chrome ซึ่ง วอชิงตันโพสต์ เพิ่งเรียกว่าซอฟต์แวร์เฝ้าระวัง (ฉันเป็นหนึ่งในผู้ที่เลิกใช้ Chrome สำหรับ Firefox )

ดูการอภิปรายประธานาธิบดีออนไลน์สด

มันเป็นดาบสองคมเสมอ Perona กล่าว คุณได้รับบางอย่าง แต่คุณยังให้ Google ควบคุมทุกอย่างทางออนไลน์ได้มากขึ้นด้วย ประโยชน์ที่ได้รับคือความปลอดภัยและประสบการณ์ผู้ใช้ที่ดีขึ้น แต่ความเป็นส่วนตัวอาจได้รับผลกระทบ

Google ไม่ได้แก้ไขปัญหาความเป็นส่วนตัวใดๆ ที่อาจเกิดขึ้น และยืนยันว่า reCaptcha v3 เป็นเรื่องของความรับผิดชอบขององค์กร เห็นว่า reCaptcha v3 เป็นวิธีการรับรองประสบการณ์ออนไลน์ที่ปลอดภัยและราบรื่น Google มีการบูรณาการอย่างลึกซึ้งกับอินเทอร์เน็ต Khormaee กล่าว เราต้องการทำทุกอย่างที่ทำได้เพื่อปกป้องมัน