Miłosz Ciekalski
Kojarzycie sytuację, kiedy rejestrując się na witrynie lub wypełniając formularz zapisów np. do newslettera wyświetla się Wam prostokąt z treścią “Nie jestem robotem” i checkboxem do zaznaczenia? W niektórych przypadkach musimy dodatkowo wybrać na obrazku wszystkie kwadraty zawierające np. sygnalizację świetlną. Jest to technologia reCaptcha. Warto lepiej poznać to darmowe narzędzie i wiedzieć jak skutecznie z niego korzystać - szczególnie pracując w branży public relations i marketingu. Zanurzmy się więc na moment w świecie sztucznej inteligencji.
Dlaczego musimy kliknąć w wybrane pola na obrazku?
Wyobraźmy sobie, że organizujemy premierę najnowszego produktu naszej firmy i zapraszamy na nią dziennikarzy z całej Polski - w końcu chcemy, żeby jak najwięcej się o tym mówiło. Udostępniamy formularz do rejestracji nie używając narzędzia reCaptcha. Po kilku dniach wchodzimy na listę zapisanych osób, a naszym oczom ukazują się setki leadów, które mają fałszywe dane i okazują się nieistniejącymi osobami. Dodatkowo w gąszczu imion i nazwisk ciężko nam znaleźć prawdziwych dziennikarzy - jednym słowem totalny chaos informacyjny.
Z tego powodu czasami musimy zaznaczyć wszystkie pola na obrazku z np. sygnalizacją świetlną - umiejętność wykonania tak prostego zadania przy rejestracji pozwala odróżnić człowieka od sztucznej inteligencji. To właśnie jest też mechanizm reCaptcha, dzięki któremu właściciele formularza mają większe prawdopodobieństwo, że zapisujące się do wydarzenia osoby są prawdziwe oraz zabezpieczają się przed atakiem coraz sprytniejszych botów. W sieci trwa ciągły wyścig pomiędzy zaawansowaniem złośliwego oprogramowania, a bezpieczeństwem witryn. Jednak przejdźmy dalej i zapoznajmy się lepiej z narzędziem (re)Captcha.
Captcha a reCaptcha
Bardzo często możemy spotkać się z wymiennym używaniem tych dwóch pojęć, ale co ciekawe Captcha i reCaptcha to technicznie nie jest to samo. Pierwsze określenie to ogólna nazwa technologii, a drugi system to już stricte narzędzie wypuszczone na rynek przez firmę Google. Rozwinięcie skrótu Captcha to Completely Automated Public Turing test to tell Computers and Humans Apart, który w wolnym tłumaczeniu znaczy: całkowicie zautomatyzowany, publiczny test Turinga rozpoznający ludzi i komputery. W założeniu test jest prostym zadaniem, z rozwiązaniem którego człowiek nie ma żadnego problemu, a komputer nie potrafi wykonać go wcale.
Historia technologii Captcha rozpoczyna się w 1997 roku, kiedy twórcy systemu AltaVista (wyszukiwarki sprzed czasów Google’a) zauważyli, że ktoś spamuje oprogramowanie automatycznym skryptem dodającym bardzo dużo odnośników do ich bazy danych. Efektem tego ataku było zakłócenie pracy strony, jednak administratorzy wpadli na pomysł, który miał temu zaradzić - zmienili zasady zapisów i zmusili użytkowników chcących się zarejestrować do przepisania zniekształconego tekstu z obrazka. Spam ustał i jednocześnie powstała pierwsza Captcha.
reCaptcha? Tak! Tylko która?
Od tamtego wydarzenia minęło już trochę czasu - narzędzie rozwinięto, spopularyzowano oraz szeroko wypuszczono na rynek. Dużym zaufaniem cieszy się Captcha od firmy Google, czyli reCaptcha v2 Invisible, ale warto zapoznać się ze wszystkimi wydaniami. Co ważne - każda wersja programu opisanego w tekście jest DARMOWA!
reCaptcha v1
To najstarsza wersja i zarazem przeszłość - nie można już jej implementować na swoich stronach internetowych. Weryfikacja użytkownika polegała na założeniu, że sztuczna inteligencja nie będzie w stanie przepisać zniekształconego tekstu, a człowiek bez problemu sobie z tym prostym zadaniem poradzi.
reCaptcha v2
Skuteczniejsza, druga wersja programu jest tą najbardziej rozpoznawalną - to box z treścią “Nie jestem robotem” oraz opcjonalnie koniecznością zaznaczenia wszystkich pól na obrazku z np. sygnalizacją świetlną.
reCaptcha v2 Invisible
To pierwsza wersja narzędzia, która jest częściowo niewidoczna dla użytkownika - w tym przypadku nie występują checkboxy do zaznaczenia czy treści do przepisania. Program działa w tle badając ruch użytkownika na stronie, ale zdarza mu się wywoływać korzystającego z witryny do testu (identycznego jak w drugiej wersji oprogramowania) - dzieje się to tylko w przypadku, kiedy istnieje podejrzenie, że jakaś operacja na stronie WWW nie została wykonana przez człowieka. Aktualnie reCaptcha v2 Invisible to, naszym zdaniem, najlepsze narzędzie do ochrony formularzy rejestracyjnych na witrynach internetowych. Mechanizm zapewnia wysoki poziom bezpieczeństwa wymienionych wcześniej funkcjonalności oraz jest prosty do wdrożenia.
reCaptcha v3
To najnowsza wersja narzędzia od Google i tak jak w przypadku reCaptcha v2 Invisible wyróżnia się tym, że wcale jej nie widać. Jednakże tutaj system działa w inny sposób i jest przeznaczony dla bardziej rozbudowanych projektów niż ochrona formularzy rejestracyjnych.
Główną różnicą w funkcjonowaniu pomiędzy v2 Invisible, a v3 jest to, że we wcześniejszej wersji narzędzie autonomicznie decyduje o weryfikacji korzystającego z witryny, a w trzecim wydaniu mechanizm analizuje w tle podejmowane aktywności oraz ruch użytkownika na całej stronie WWW. Na tej podstawie określa prawdopodobieństwo, że dany użytkownik jest człowiekiem - i koniec - oprócz raportowania wyników do administratora nie są podejmowane inne akcje. Wyeliminowana zostaje konieczność wykonywania dodatkowych interakcji przez użytkownika.
Trzecia wersja programu od Google nie jest odpowiednia do osadzania w przypadku chęci chronienia np. prostych formularzy rejestracyjnych. Usługa wymaga wdrożenia jej do całej witryny, co oznacza śledzenie każdego ruchu użytkownika i większą ingerencję w prywatność. Dodatkowo reCaptcha v3 narzuca konieczność zaprojektowania dużo bardziej skomplikowanego systemu, w którym niezbędne jest przewidzenie wariantów jego działania. Uzależnione jest ono od wielkości prawdopodobieństwa, że dany użytkownik jest człowiekiem. Jednym z wyjść jest moderacja systemu przez człowieka, co znacząco wpływa na koszty utrzymania takiego rozwiązania.
Nic nie jest idealne - wady reCaptcha
Zagrożenia prawne
Musimy pamiętać, że implementacja narzędzia od firmy Google wiążę się z koniecznością podjęcia działań informacyjnych. Chodzi o uwzględnienie, że dane zbierane przez reCaptcha mogą być wysyłane poza Europejski Obszar Gospodarczy, a taki fakt wymaga umieszczenia odpowiednich klauzul w polityce prywatności. W tym przypadku warto skonsultować się ze swoim Inspektorem Ochrony Danych.
Kolejne zagadnienie prawne, na które trzeba zwrócić uwagę przy “włączeniu” reCaptchy na swojej witrynie to osadzanie plików cookies. Zapisy Google mówią, że obowiązek prawny uzyskania zgody na osadzanie plików cookies leży po stronie implementującego narzędzie, więc aby być w 100% pewnym, że postępujemy zgodnie z prawem, również w tej sytuacji rekomendujemy konsultacje z Inspektorem Ochrony Danych lub prawnikiem.
Ominięcie technologii Captcha
Ominięcie dowolnej Captchy jest możliwe i, co ciekawe, pomagają w tym inni ludzie. W krajach słabiej rozwiniętych możemy spotkać się z firmami, które świadczą usługi na rzecz botów - mają one za zadanie ułatwiać sztucznej inteligencji obejście zabezpieczeń. Ludzie pracujący w takich przedsiębiorstwach wyręczają złośliwe programy w zaznaczaniu odpowiednich obrazków, czy (w przeszłości) we wpisaniu odpowiedniego tekstu.
Istnieją również programy wymiany “usług”, w których ludzie wzajemnie sobie pomagają w zamian za wynagrodzenie w postaci punktów. Cały proces wygląda następująco - najpierw my rozwiązujemy kody Captchy dla innych, a następnie za zdobyte punkty możemy zakupić automatyczne rozwiązanie przez innych użytkowników prezentowanych nam zabezpieczeń.
Trudności w korzystaniu z narzędzia
Dla osób niewidomych lub z problemami ze wzrokiem korzystanie z Captchy może okazać się dużym kłopotem - zaznaczenie odpowiednich kwadratów na ekranie, zawierających np. sygnalizację świetlną, jest dla nich bardzo trudne. Google rozwiązało ten problem wprowadzając weryfikację głosową, jednak jest ona dostępna po angielsku, co nie pomoże osobom nie znającym tego języka.
Kolejną niedoskonałością jest to, że zadania wymagane do przejścia zabezpieczenia reCaptcha mogą okazać się czasami... zbyt trudne dla człowieka. Dzieje się tak, ponieważ trwa nieustająca walka pomiędzy twórcami narzędzia reCaptcha i systemami, które chcą ją “złamać” - z tego powodu poziom zadań do rozwiązania nieustannie rośnie.
Zalety dla public relations
Mechanizm reCaptcha można obejść, a do tego dochodzą skomplikowane kwestie prawne, jednak ta technologia jest niezwykle przydatna przy zwiększaniu bezpieczeństwa witryny. Dla firm pracujących w branży komunikacji oraz marketingu poprawne działanie zapisów do newslettera czy formularzy to często kluczowa sprawa, a ochronę tych aspektów w najlepszy sposób zapewnia reCaptcha v2 Invisible. Dlatego korzystając z systemu netPR.pl rekomendujemy używanie tego narzędzia. Gwarantuje ono:
- pewność, że korzystając z formularzy chronionych przez reCaptcha (np. do zapisów do newslettera) rejestrujące się do nich osoby są prawdziwe,
- zwiększone limity rejestracji poprzez formularz. Aby chronić system przed nadużyciami, stosujemy ograniczenie liczby rejestracji z jednego adresu IP w pewnym zakresie czasu. W przypadku zastosowania mechanizmu reCaptcha limity te są zdecydowanie większe.
Korzyści z używania narzędzia reCaptcha są proste - zyskujemy większe bezpieczeństwo formularzy i newsletterów, co przekłada się na bezpieczniejsze korzystanie z serwisów przez dziennikarzy, klientów, czy zwykłych użytkowników. W branży komunikacji jest to istotne, ponieważ jak mówi marketingowe przysłowie “jeden zadowolony klient powie o tym trzem znajomym, a niezadowolony dziesięciu”.
Wdrożenie mechanizmu reCaptcha dla klientów netPR.pl
Jeżeli używasz naszego oprogramowania i chcesz bezpiecznie korzystać z formularzy zabezpiecz je mechanizmem reCaptcha v2 lub reCaptcha v2 Invisible. Wystarczy wypełnić formularz w konsoli zarządzającej Google reCaptcha - dzięki temu otrzymasz specjalny kod potrzebny do uruchomienia narzędzia. Poinformuj nas mailowo o wygenerowaniu kodu - skontaktuj się wysyłając wiadomość na adres support@netpr.pl. Z naszą pomocą skonfigurujesz zabezpieczenie w odpowiednim miejscu na stronie i w poprawny sposób.
Jeżeli nie masz jeszcze naszego oprogramowania to zapraszamy do zmigrowania swoich serwisów na naszą technologię - to jedyne tego typu rozwiązanie na rynku polskim spełniające standardy bezpieczeństwa informacji ISO 27001, ISO 27017 oraz ISO 27018.
netPR.pl sp. z o.o. jest firmą technologiczną, dostawcą oprogramowania w chmurze wspomagającego komunikację firm, marketing, public relations oraz relacje inwestorskie. Firma uzyskała certyfikat ISO/IEC 27001:2013 oraz certyfikaty ISO/IEC 27017:2015 i ISO/IEC 27018:2019, dotyczące bezpieczeństwa przetwarzania danych (w tym danych osobowych) w chmurze.
netPR.pl sp. z o.o. jest właścicielem multimedialnej agencji informacyjnej infoWire.pl.
Zobacz na nasze certyfikaty.