Cloudflare sta testando un nuovo tipo di CAPTCHA che testa il tuo browser invece che te. L’azienda lo chiama Turnstile ed è progettato per evitarci di eseguire quei banali tipi di attività da fare clic sul semaforo per verificare che tu sia un essere umano e non un bot.
Il tornello viene presentato come “un’alternativa di facile utilizzo che preserva la privacy” al CAPTCHA. Secondo un comunicato stampa, eliminerà le sfide interattive utilizzate per verificare le persone, che secondo Cloudflare normalmente impiegano in media 32 secondi per superare e ridurrà l’intero processo a un secondo.
Un test senza interazioni che riduce il tempo di conferma a un secondo
Invece di presentare un puzzle visivo a un utente, Turnstile applica una delle tante sfide del browser attraverso le quali ruota per cercare il comportamento umano, aumentando la difficoltà se un visitatore mostra “comportamenti non umani”. Turnstile utilizza le sfide basate su JavaScript che leggono l’ambiente del browser Web per i segnali che indicano che c’è una persona che entra nel sito, che esegue cicli di test come prova di lavoro, prova di spazio e sondaggi per le API Web. Utilizza anche modelli di apprendimento automatico per confrontare le sfide precedentemente riuscite con quelle nuove, accelerando il processo di superamento.
Questa non è la prima stretta di pugno di Cloudflare ai CAPTCHA. L’anno scorso, la società ha promesso di “sbarazzarsi completamente dei CAPTCHA” e ha creato un autenticatore abilitato all’hardware che utilizza chiavi fisiche basate su USB come YubiKey o FIDO key .
Sebbene le chiavi hardware possano funzionare bene, richiedono che gli utenti abbiano sempre accesso a una. Quindi, l’azienda ha anche realizzato una versione che può “chiedere” a un dispositivo affidabile (smartphone o altro) se, in effetti, non è gestito da un bot.
Tuttavia, ci sono state preoccupazioni sul fatto che i dispositivi affidabili possano essere ingannati. Secondo Ackermann Yuriy, CEO della società di consulenza WebAuthn Works, il metodo che Cloudflare stava testando non conferma se il dispositivo è veramente operato dall’uomo . Ma in collaborazione con Apple, Cloudflare è stata in grado di sfruttare i token di accesso privato come un altro metodo per dimostrare che una persona è veramente quella che utilizza il dispositivo. Ma questo metodo si basa ancora sull’hardware, mentre il nuovo metodo Turnstile potrebbe saltarlo.
Turnstile di Cloudflare è ora disponibile in versione beta, è gratuito e non è necessario utilizzare gli altri servizi Web dell’azienda o inviare il traffico attraverso la sua rete. Il processo di configurazione è dettagliato sul sito Web di Cloudflare e prevede la sostituzione del JavaScript CAPTCHA corrente con uno che richieda l’API Turnstile.