web-dev-qa-db-fra.com

Comment fonctionne reCAPTCHA v3 de Google?

Google a déployé reCAPTCHA v . Il supprime tous les utilisateurs de la friction. Je souhaite l'utiliser pour sécuriser mon site. Cependant, je ne sais pas comment cela va protéger mon site. Que se passe-t-il si un pirate utilise les URL de mon site avec un outil externe sans utiliser l'interface que je propose? Comment reCAPTCHA v3 va-t-il arrêter cela?

12
Chong Lip Phang

Comment reCAPTCHA v3 va-t-il arrêter [Spam]?

Le précédent ReCaptcha (v2) fonctionnait car il suivait le mouvement de l'utilisateur (défilement, clic) pendant que l'utilisateur résolvait le captcha (cliqué sur "Je ne suis pas un robot"). Pour autant que je comprends, la v3 fait la même chose, mais il n'y a tout simplement aucun bouton sur lequel cliquer, Google "surveille" simplement le client et détermine s'il y a un humain contrôlant la souris, etc. de l'autre côté.

Que se passe-t-il si un pirate utilise les URL de mon site avec un outil externe sans utiliser l'interface que je propose?

Google génère un jeton pour le client lorsqu'il passe les contrôles que vous devez valider côté serveur. Si quelqu'un ne passe pas le captcha (un robot), il n'a pas le jeton.

19
Jonas Wilms

En plus du suivi du comportement des utilisateurs sur votre site (comme expliqué par Jonas Wilms), la v3 (et la v2) prend également des décisions en fonction de votre IP, ASN, navigateur et de tout type d'informations sur votre système en fonction des informations envoyées via votre Requête HTTP.

La seule différence est que V2 est une solution complète, c'est-à-dire que s'il pense qu'un utilisateur peut être un bot, il posera des défis supplémentaires jusqu'à ce qu'il soit convaincu que l'utilisateur est un humain. D'un autre côté, V3 est non intrusif. Il génère un score basé sur les paramètres discutés ci-dessus et vous le transmet. Il vous appartient alors de prendre les mesures appropriées (comme publier des défis, ou disposer d'une authentification à deux facteurs, etc.) en fonction de ce score.

OMI, il est préférable de commencer avec une solution V2 et d'implémenter V3 si vous voulez plus de contrôle ou avez une meilleure façon de défier l'utilisateur s'il a un faible score.

( ici est un article intéressant sur les différences)

4
nitarshs

En quelques mots simples google suit l'intégralité du mouvement du curseur et du clavier, du déplacement de la souris pour sélectionner les champs du formulaire à la pression de l'onglet pour changer les champs.

Pour vérifier reCAPTCHA fonctionne ou non -> Soumettez un formulaire puis cliquez sur Actualiser; il demanderait une nouvelle soumission. Cliquez sur continuer. Mais comme c'est un moyen très similaire à l'activité du robot de soumettre un formulaire sans curseur de mouvements de clavier, reCAPTCHA empêchera la soumission du formulaire ou tout autre élément.

0
Guryash Singh