Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Wir präsentieren: Turnstile, eine nutzer- und datenschutzfreundliche Alternative zu CAPTCHA

2022-09-28

Lesezeit: 4 Min.
Dieser Beitrag ist auch auf English, Français, 日本語, Português, Español, und 简体中文 verfügbar.

Heute geben wir die Open Beta von Turnstile bekannt, einer unsichtbaren Alternative zu CAPTCHA. Jeder (und ganz egal wo im Internet), der auf seiner Website CAPTCHA ersetzen möchte, wird eine einfache API aufrufen können, ohne Kunde von Cloudflare sein oder Datenverkehr durch das globale Cloudflare-Netzwerk schicken zu müssen. Melden Sie sich hier kostenlos an.

Wir wissen alle, dass CAPTCHAs das Nutzererlebnis massiv stören. Darüber wurde bereits in diesem Blogbeitrag, und unzählige Male anderswo ausführlich diskutiert. Der Erfinder des CAPTCHA hat sich sogar öffentlich darüber beklagt, dass er „unwissentlich ein System geschaffen hat, das in Zehn-Sekunden-Schritten Millionen von Stunden einer äußerst wertvollen Ressource vergeudet: menschliche Gehirnströme.“ Wir hassen sie, Sie hassen sie, alle hassen sie. Heute geben wir allen eine bessere Option.

Turnstile ist unsere intelligente CAPTCHA-Alternative. Es wählt automatisch aus einer Reihe von nicht-aufdringlichen Browser-Challenges aus, die auf Telemetrie und dem Nutzerverhalten während einer Sitzung basieren. In einem früheren Beitrag haben wir darüber berichtet, wie wir unser Managed Challenge-System genutzt haben, um unsere Verwendung von CAPTCHA um 91 % zu reduzieren. Jetzt kann jeder dieselbe Technologie nutzen, um CAPTCHA auf seiner eigenen Website nicht mehr zu verwenden.

Die Benutzerfreundlichkeit ist nicht das einzige große Problem mit CAPTCHA – auch der Datenschutz leidet darunter.

Das Lösen eines CAPTCHAs ist zwar für den Nutzer frustrierend. Es gibt jedoch auch einen möglichen versteckten Kompromiss, den eine Website bei der Verwendung von CAPTCHAs eingehen muss. Wenn Sie eine kleine Website sind, die heute CAPTCHA verwendet, haben Sie im Wesentlichen nur eine Option: einen 800 Pfund schweren Gorilla mit 98 % des CAPTCHA-Marktanteils. Die Nutzung dieses Tools ist kostenlos, dafür muss man jedoch den Datenschutz opfern: Sie müssen Ihre Daten an ein Werbeunternehmen weitergeben.

Sicherheitsforschern zufolge ist eines der Signale, die Google verwendet, um zu entscheiden, ob Sie bösartig sind, ob Sie ein Google-Cookie in Ihrem Browser haben, und wenn Sie dieses Cookie haben, gibt Google Ihnen einen höheren Score. Google behauptet zwar, diese Informationen nicht für gezielte Werbung zu verwenden, aber letzten Endes ist Google ein Unternehmen, das Werbeanzeigen verkauft. Wir bei Cloudflare hingegen verdienen Geld, wenn Kunden sich für uns entscheiden, um ihre Websites zu schützen und ihre Dienste besser laufen zu lassen. Es ist eine einfache, direkte Beziehung, die unsere Anreize perfekt aufeinander abstimmt.

Weniger Datenerfassung, mehr Datenschutz, gleichwertige Sicherheit

Im Juni gaben wir gemeinsame Anstrengungen mit Apple zur Verwendung von Private Access Tokens bekannt. Besucher, die Betriebssysteme verwenden, die diese Token unterstützen, einschließlich der kommenden Versionen von macOS oder iOS, können nun beweisen, dass sie ein Mensch sind, ohne ein CAPTCHA auszufüllen oder persönliche Daten preiszugeben.

Durch die Zusammenarbeit mit Drittanbietern wie Geräteherstellern, die bereits über die Daten verfügen, die uns bei der Validierung eines Geräts helfen würden, können wir Teile des Validierungsprozesses abstrahieren und Daten bestätigen, ohne diese Daten selbst zu sammeln, anzufassen oder zu speichern. Anstatt ein Gerät direkt abzufragen, bitten wir den Gerätehersteller, dies für uns zu tun.

Private Access Tokens sind direkt in Turnstile integriert. Während Turnstile einige Sitzungsdaten (wie Header, User-Agent und Browser-Merkmale) einsehen muss, um Nutzer zu validieren, ohne eine Challenge auszugeben, können wir mit Private Access Tokens die Datenerfassung minimieren, indem wir Apple bitten, das Gerät für uns zu validieren. Darüber hinaus sucht Turnstile niemals nach Cookies (wie einem Anmelde-Cookie) oder verwendet Cookies, um Informationen jeglicher Art zu sammeln oder zu speichern. Cloudflare investiert seit langem in den Datenschutz und Privatsphäre der Nutzer, was wir mit Turnstile fortsetzen werden.

Wir machen unseren CAPTCHA-Ersatz für alle zugänglich

Um ein besseres Internet für alle zu schaffen, haben wir uns entschlossen, die Technologie, die unserer Managed Challenge zugrunde liegt, in einer Betaphase als eigenständiges Produkt namens Turnstile für alle zugänglich zu machen.

Anstatt zu versuchen, CAPTCHA einseitig abzuschaffen und durch eine einzige Alternative zu ersetzen, haben wir eine Plattform aufgebaut, um viele Alternativen zu testen und neue Challenges ein- und auszutauschen, wenn sie mehr oder weniger effektiv werden. Mit Turnstile passen wir das tatsächliche Ergebnis der Challenge an den jeweiligen Besucher/Browser an. Zunächst führen wir eine Reihe kleiner, nicht interaktiver JavaScript-Challenges durch, um weitere Signale über den Besucher/die Browserumgebung zu sammeln. Zu diesen Herausforderungen gehören Proof-of-Work, Proof-of-Space, die Prüfung auf Web-APIs und verschiedene andere Challenges zur Erkennung von Browser-Fehlern und menschlichem Verhalten. Auf diese Weise können wir den Schwierigkeitsgrad der Challenge genau auf die jeweilige Anfrage abstimmen.

Turnstile enthält auch Modelle für maschinelles Lernen, die gemeinsame Merkmale von Endbenutzern erkennen, die zuvor eine Challenge passieren konnten. Der Schwierigkeitsgrad dieser anfänglichen Challenges kann je nach Besucher variieren, ist aber auf eine schnelle Bearbeitung ausgerichtet.

Tauschen Sie Ihr bestehendes CAPTCHA in wenigen Minuten aus

Sie können die Vorteile von Turnstile nutzen und müssen Ihre Besucher nicht mehr mit einem CAPTCHA belästigen, auch wenn Sie nicht im Cloudflare-Netzwerk sind. Obwohl wir die Nutzung unseres Netzwerks so einfach wie möglich gestalten, möchten wir nicht, dass dies ein Hindernis für die Verbesserung des Datenschutzes und der Nutzererfahrung darstellt.

Um von einem CAPTCHA-Dienst zu wechseln, müssen Sie nur Folgendes tun:

  1. Erstellen Sie ein Cloudflare-Konto, gehen Sie in der Navigationsleiste auf die Registerkarte „Turnstile“ und holen Sie sich einen Sitekey und einen geheimen Schlüssel.

  2. Kopieren Sie unser JavaScript aus dem Dashboard und überschreiben Sie damit Ihr altes CAPTCHA-JavaScript.

  3. Aktualisieren Sie die serverseitige Integration, indem Sie die alte Siteverify-URL durch unsere ersetzen.

Im Folgenden erfahren Sie mehr über den Prozess und die Optionen, die Sie konfigurieren können, aber das war's auch schon. Wir sind begeistert, wie einfach die Änderung vorgenommen werden kann.

Bereitstellungsoptionen und Analytics

Um Turnstile zu verwenden, erstellen Sie zunächst ein Konto und holen Sie sich Ihren Website- und ihren geheimen Schlüssel.

Kopieren Sie dann unser HTML-Snippet und fügen Sie es ein:

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Sobald das Skript eingebettet ist, können Sie das implizite Rendering verwenden. Hier wird der HTML-Code nach Elementen mit der Klasse cf-turnstile:

Sobald eine Challenge gelöst wurde, wird ein Token mit dem Namen cf-turnstile-response in Ihr Formular injiziert. Dieses Token kann mit unserem siteverify-Endpunkt verwendet werden, um eine Challenge-Antwort zu validieren. Ein Token kann nur einmal validiert werden, und ein Token kann nicht zweimal eingelöst werden. Die Validierung kann auf der Serverseite oder sogar in der Cloud erfolgen, zum Beispiel mit einem einfachen Workers-Fetch (sehen Sie hier eine Demo):

<form action="/login" method="POST">
  <div class="cf-turnstile" data-sitekey="yourSiteKey"></div>
  <input type="submit">
</form>

Für komplexere Anwendungsfälle kann die Challenge explizit über JavaScript aufgerufen werden:

async function handleRequest() {
    // ... Receive token
    let formData = new FormData();
    formData.append('secret', turnstileISecretKey);
    formData.append('response', receivedToken);
 
    await fetch('https://challenges.cloudflare.com/turnstile/v0/siteverify',
        {
            body: formData,
            method: 'POST'
        });
    // ...
}

Sie können auch so genannte „Aktionen“ erstellen. Benutzerdefinierte Labels, die es Ihnen ermöglichen, zwischen verschiedenen Seiten zu unterscheiden, auf denen Sie Turnstile verwenden, z. B. einer Login-, Checkout- oder Kontoerstellungsseite.

<script>
    window.turnstileCallbackFunction = function () {
        const turnstileOptions = {
            sitekey: 'yourSitekey',
            callback: function(token) {
                console.log(`Challenge Success: ${token}`);
            }
        };
        turnstile.render('#container', turnstileOptions);
    };
</script>
<div id="container"></div>

Sobald Sie Turnstile eingerichtet haben, können Sie zum Dashboard zurückkehren und die Analysen darüber einsehen, wo Sie Widgets eingerichtet haben, wie die Nutzer sie lösen und welche Aktionen definiert wurden.

Warum bieten wir dies kostenlos an?

Auch wenn es für Außenstehende manchmal schwer zu glauben ist, ist es unsere Mission, ein besseres Internet zu schaffen. Es ist nicht das erste Mal, dass wir kostenlose Tools entwickelt haben, von denen wir glauben, dass sie das Internet besser machen, und es wird auch nicht das letzte Mal sein. Das ist uns wirklich wichtig.

Ob Sie nun bereits Cloudflare-Kunde sind oder nicht, wenn Sie ein CAPTCHA verwenden, sollten Sie stattdessen Turnstile kostenlos ausprobieren. Sie werden Ihre Nutzer zufriedener machen und die Daten, die Sie an Dritte senden, minimieren.Besuchen Sie diese Seite, um sich für den besten unsichtbaren, datenschutzfreundlichen CAPTCHA-Ersatz zu registrieren und Ihren Turnstile Beta-Sitekey abzurufen.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Birthday Week (DE)Produkt-NewsTurnstileCAPTCHASicherheitBots (DE)PrivacyFree (DE)

Folgen auf X

Reid Tatoris|@reidtatoris
Benedikt Wolters|@worengawins
Maxime Guerreiro|@punkeel
Miguel de Moura|@miguel_demoura
Cloudflare|@cloudflare

Verwandte Beiträge

24. Oktober 2024 um 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

08. Oktober 2024 um 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

06. Oktober 2024 um 23:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...

02. Oktober 2024 um 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....