Google 去年更新了它的 reCAPTCHA 机器人程序检测技术。reCAPTCHA 是使用最广泛的反机器人技术,reCAPTCHA v1 让用户看模糊扭曲的字符,reCAPTCHA v2 让用户从模糊的图像中间挑选出街道或商店。
而最新的 reCAPTCHA v3 则使用 Google 的私有技术去学习网站的正常流量和用户行为,访问者将会根据访问来源或行为分配一个风险分数。但基于风险分数的系统是需要付出一个巨大代价的:用户的隐私。
两位研究 reCaptcha 的安全研究人员称,Google 判断你是否是恶意用户的一种方法是你的浏览器是否已经安装了 Google cookie。同样的 cookie 允许你无需重新登录就能进入 Google 的服务。
多伦多大学计算机科学博士生 Mohamed Akrout 的测试显示,相对于没有 Google 帐户的浏览器,reCaptcha v3 给了已连接 Google 帐户的浏览器更低的风险分数。如果通过代理访问包含 reCaptcha v3 的网站,风险分数总是更高。为了让风险分数正确的工作,网站需要将每一个网页嵌入 reCaptcha v3 代码,而不仅仅是登录页面。这意味着 Google 会从你访问的每一个网页收集数据,而且没有任何视觉指示显示你正在被监视着。
Google 声称它的 reCaptcha API 会向它发送软件和硬件信息,表示这些信息只是用于对抗垃圾流量和滥用。根据统计网站 Built With 的数据,目前有超过 65 万个网站已经使用了 reCaptcha v3。
來源:Solidot
而最新的 reCAPTCHA v3 则使用 Google 的私有技术去学习网站的正常流量和用户行为,访问者将会根据访问来源或行为分配一个风险分数。但基于风险分数的系统是需要付出一个巨大代价的:用户的隐私。
两位研究 reCaptcha 的安全研究人员称,Google 判断你是否是恶意用户的一种方法是你的浏览器是否已经安装了 Google cookie。同样的 cookie 允许你无需重新登录就能进入 Google 的服务。
多伦多大学计算机科学博士生 Mohamed Akrout 的测试显示,相对于没有 Google 帐户的浏览器,reCaptcha v3 给了已连接 Google 帐户的浏览器更低的风险分数。如果通过代理访问包含 reCaptcha v3 的网站,风险分数总是更高。为了让风险分数正确的工作,网站需要将每一个网页嵌入 reCaptcha v3 代码,而不仅仅是登录页面。这意味着 Google 会从你访问的每一个网页收集数据,而且没有任何视觉指示显示你正在被监视着。
Google 声称它的 reCaptcha API 会向它发送软件和硬件信息,表示这些信息只是用于对抗垃圾流量和滥用。根据统计网站 Built With 的数据,目前有超过 65 万个网站已经使用了 reCaptcha v3。
來源:Solidot
