Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Anunciamos o Turnstile, uma alternativa ao CAPTCHA fácil de usar e que preserva a privacidade

Loading...

Announcing Turnstile, a user-friendly, privacy-preserving alternative to CAPTCHA

Hoje, estamos anunciando o beta aberto do Turnstile, uma alternativa invisível aos CAPTCHAs. Qualquer pessoa, em qualquer lugar da internet, que queira substituir os CAPTCHAs em seu site poderá chamar uma API simples, sem precisar ser cliente da Cloudflare ou enviar tráfego pela Rede global da Cloudflare. Registe-se aqui de graça.

Não faz sentido repetir o fato de que o CAPTCHA fornece uma experiência de usuário terrível. Já foi discutido em detalhes antes neste blog e inúmeras vezes em outros lugares. O criador do CAPTCHA até lamentou publicamente que ele “involuntariamente criou um sistema que estava desperdiçando, em incrementos de dez segundos, milhões de horas de um recurso muito precioso: os ciclos do cérebro humano”. Nós odiamos, você odeia, todo mundo odeia. Hoje estamos dando a todos uma opção melhor.

O Turnstile é nossa alternativa inteligente aos CAPTCHAs. Ele escolhe automaticamente um conjunto rotativo de desafios de navegador não intrusivos com base na telemetria e no comportamento do cliente, exibido durante uma sessão. Falamos em um post anterior sobre como usamos nosso sistema de Desafio Gerenciado para reduzir nosso uso de CAPTCHAs em 91%. Agora qualquer pessoa pode aproveitar essa mesma tecnologia para deixar de usar os CAPTCHAs em seu próprio site.

Além da experiência do usuário, a privacidade também é um grande problema dos CAPTCHAs

Embora ter que resolver um CAPTCHA seja uma experiência frustrante para o usuário, também há uma possível troca oculta que um site deve fazer ao usar o CAPTCHA. Se você é um pequeno site usando CAPTCHA hoje, você tem essencialmente uma opção: um gorila de 800 libras (mais de 360 kg) com98% da participação de mercado CAPTCHA. Essa ferramenta é gratuita, mas na verdade tem um custo de privacidade: você precisa fornecer seus dados a uma empresa de vendas de anúncios.

De acordo com pesquisadores de segurança, um dos sinais que o Google usa para decidir se você é malicioso é se você tem um cookie do Google em seu navegador e se você tiver esse cookie, o Google lhe dará uma pontuação mais alta. O Google diz que não usa essas informações para segmentação de anúncios, mas no final das contas, o Google é uma empresa de vendas de anúncios. Enquanto isso, na Cloudflare, ganhamos dinheiro quando os clientes nos escolhem para proteger seus sites e fazer com que seus serviços funcionem melhor. É uma relação simples e direta que alinha perfeitamente nossos incentivos.

Menos coleta de dados, mais privacidade, mesma segurança

Em junho, anunciamos um esforço com a Apple para usar tokens de acesso privado. Os visitantes que usam sistemas operacionais compatíveis com esses tokens, incluindo as próximas versões do macOS ou iOS, agora podem provar que são humanos sem preencher um CAPTCHA ou fornecer dados pessoais.

Ao colaborar com terceiros, como fabricantes de dispositivos, que já possuem os dados que nos ajudariam a validar um dispositivo, podemos abstrair partes do processo de validação e confirmar os dados sem realmente coletar, tocar ou armazenar esses dados. Em vez de interrogar um dispositivo diretamente, pedimos ao fornecedor do dispositivo que faça isso por nós.

Os tokens de acesso privado são construídos diretamente no Turnstile. Embora o Turnstile precise analisar alguns dados de sessão (como cabeçalhos, agente do usuário e características do navegador) para validar os usuários sem desafiá-los, os tokens de acesso privado nos permitem minimizar a coleta de dados solicitando à Apple que valide o dispositivo para nós. Além disso, o Turnstile nunca procura cookies (como um cookie de login) ou usa cookies para coletar ou armazenar informações de qualquer tipo. A Cloudflare tem uma longa trajetória de investimento na  privacidade do usuário, que continuaremos com o Turnstile.

Estamos abrindo nossa substituição ao CAPTCHA para todos

Para melhorar a internet para todos, decidimos abrir a tecnologia que impulsiona nosso Desafio Gerenciado para todos na versão beta, como um produto autônomo chamado Turnstile.

Em vez de tentar descontinuar unilateralmente e substituir os CAPTCHAs por uma única alternativa, criamos uma plataforma para testar muitas alternativas e alternar novos desafios à medida que se tornam mais ou menos eficazes. Com o Turnstile, adaptamos o resultado real do desafio ao visitante individual/navegador. Primeiro, executamos uma série de pequenos desafios JavaScript não interativos, reunindo mais sinais sobre o ambiente do visitante/navegador. Esses desafios incluem prova de trabalho, prova de espaço, sondagem de APIs da web e vários outros desafios para detectar peculiaridades do navegador e comportamento humano. Como resultado, podemos ajustar a dificuldade do desafio à solicitação específica.

O Turnstile também inclui modelos de aprendizado de máquina que detectam recursos comuns de visitantes finais que conseguiram passar por um desafio antes. A dureza computacional desses desafios iniciais pode variar de acordo com o visitante, mas é direcionada para executar rapidamente.

Substitua seu CAPTCHA em poucos minutos

Você pode aproveitar o Turnstile e parar de incomodar seus visitantes com um CAPTCHA mesmo sem estar na Rede da Cloudflare. Embora facilitemos ao máximo o uso de nossa Rede, não queremos que isso seja uma barreira para melhorar a privacidade e a experiência do usuário.

Para mudar de um serviço CAPTCHA, tudo o que você precisa fazer é:

  1. Crie uma conta na Cloudflare, navegue até a guia "Turnstile" na barra de navegação e obtenha uma chave do site e uma chave secreta.
  2. Copie nosso JavaScript do painel e cole sobre seu JavaScript CAPTCHA antigo.
  3. Atualize a integração do lado do servidor substituindo o URL do siteverify antigo pelo nosso.

Há mais detalhes sobre o processo abaixo, incluindo opções que você pode configurar, mas é simplesmente isto. Estamos entusiasmados com a simplicidade de fazer uma mudança.

Opções de implantação e análises de dados

Para usar o Turnstile, primeiro crie uma conta e obtenha suas chaves do site e secreta.

Em seguida, copie e cole nosso trecho de HTML:


<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Depois que o script for incorporado, você poderá usar a renderização implícita. Aqui, o HTML é verificado em busca de elementos que tenham uma classe cf-turnstile:

<form action="/login" method="POST">
  <div class="cf-turnstile" data-sitekey="yourSiteKey"></div>
  <input type="submit">
</form>

Assim que um desafio for resolvido, um token é injetado em seu formulário, com o nome cf-turnstile-response. Esse token pode ser usado com nosso endpoint de siteverify para validar uma resposta de desafio. Um token só pode ser validado uma vez e um token não pode ser recuperado duas vezes. A validação pode ser feita no lado do servidor ou mesmo em nuvem, por exemplo, usando uma simples busca do Workers (veja uma demonstração aqui):

async function handleRequest() {
    // ... Receive token
    let formData = new FormData();
    formData.append('secret', turnstileISecretKey);
    formData.append('response', receivedToken);
 
    await fetch('https://challenges.cloudflare.com/turnstile/v0/siteverify',
        {
            body: formData,
            method: 'POST'
        });
    // ...
}

Para casos de uso mais complexos, o desafio pode ser invocado explicitamente via JavaScript:

<script>
    window.turnstileCallbackFunction = function () {
        const turnstileOptions = {
            sitekey: 'yourSitekey',
            callback: function(token) {
                console.log(`Challenge Success: ${token}`);
            }
        };
        turnstile.render('#container', turnstileOptions);
    };
</script>
<div id="container"></div>

Você também pode criar o que chamamos de "Ações". Legendas personalizadas que permitem distinguir entre as diferentes páginas em que você está usando o Turnstile, como uma página de login, checkout ou criação de conta.

Depois de implantar o Turnstile, você pode voltar ao painel e ver as análise de dados sobre onde os widgets foram implantados, como os usuários os estão resolvendo e visualizar as ações definidas.

Por que estamos oferecendo isto gratuitamente?

Embora às vezes seja difícil de acreditar, ajudar a construir uma internet melhor é realmente a nossa missão. Esta não é a primeira vez que criamos ferramentas gratuitas pois acreditamos que tornarão a internet melhor e não será a última. Isto é muito importante para nós.

Portanto, se você é ou não um cliente da Cloudflare hoje, se estiver usando um CAPTCHA, experimente o Turnstile gratuitamente. Você deixará seus usuários mais felizes e minimizará os dados enviados a terceiros.

Visite esta página para se inscrever para a melhor substituição de CAPTCHA invisível e com privacidade em primeiro lugar e para recuperar sua chave do site beta do Turnstile.

Nós protegemos redes corporativas inteiras, ajudamos nossos clientes a construírem aplicativos em escala de internet com eficiência, aceleramos qualquer site ou aplicativo de internet , evitamos ataques DDoS, mantemos os invasores afastados, e podemos ajudá-lo em sua jornada para a Zero Trust.

Acesse 1.1.1.1 de qualquer dispositivo para começar a usar nosso aplicativo gratuito que tornará sua internet mais rápida e mais segura.

Para saber mais sobre nossa missão de ajudar a construir uma internet melhor, comece aqui. Se estiver procurando uma nova carreira para trilhar, confira nossas vagas disponíveis.

Português Segurança Semana de aniversário Bots (PT) Turnstile (PT)

Follow on Twitter

Reid Tatoris |@reidtatoris
Benedikt Wolters |@worengawins
Maxime Guerreiro |@punkeel
Miguel de Moura |@miguel_demoura
Cloudflare |Cloudflare

Related Posts