Cloudflare, uzun zamandır kullandığı Google reCAPTCHA hizmetini sonlandırarak hCaptcha’ya geçiş yapmaya karar verdi.
Web hizmetleri alanında önemli bir yer tutan Cloudflare, bir süredir Google’ın reCAPTCHA hizmetini kullanıyordu. Ancak kısa bir süre önce bağımsız hCaptcha tarafından sağlanan bir hizmete taşındıklarını açıkladılar. Bu değişiklik, Google hizmetinin doğasında bulunan bir gizlilik sorununu gidermeye yardımcı oluyor ve gösterilen CAPTCHA’ları özelleştirmek için esneklik sağlıyor.
Cloudflare’da CAPTCHA Hizmeti
Cloudflare’in sunduğu hizmetlerden biri de kötü amaçlı (bot) trafiği engellemek. Bunu başarmak için ise bir takım teknikler kullanılıyor. Bir şeyin kötü niyetli (bot) bir etkinlik olduğuna kanaat getirildiğinde bu tamamen engelleniyor. Site zararsız ve iyi niyetli insanlar tarafından ziyaret edildiğinde ise bir problem bulunmuyor. Ancak bazen bir şeyin kötü amaçlı veya zararsız olduğundan emin olunmadığında ise bazı testler karşımıza çıkıyor.
Şirketin farklı zorluk aşamaları var. Bazıları tamamen otomatik ilerlerken bazıları insan müdahalesi gerektiriyor. Bu zorluklar ise CAPTCHA olarak biliniyor. Açılımı ise Completely Automated Public Turing Test to Tell Computers and Humans Apart. Bunlar genel olarak bir kutuya görseldeki harfleri girme, trafik ışıklarını işaretleme veya yaya yolunu seçme gibi seçenekler oluyor. Yani hedef, genel olarak insanların yapması kolay, ancak makineler için zorluk çıkaracak şeyler belirlenmesi.
Cloudflare ilk günden beri Google’ın reCAPTCHA hizmetini kullanıyordu. ReCAPTCHA, 2007 yılında Carnegie Mellon Üniversitesi’nden bir araştırma projesi olarak başladı. Google ise projeyi 2009 yılında satın aldı.
Gizlilik ve Engel Endişeleri
İlk günlerden beri bazı müşteriler, bu Google hizmetini kullanma konusunda endişelerini dile getirdiler. Google, işin reklam boyutunu önemsiyor ve reklam sunan kullanıcıları hedefliyor. Çünkü görsel tanımlama sistemlerini eğitmek için kullanılan sisteme veri sağlama karşılığında reCAPTCHA’yı ücretsiz olarak sunuyorlar. Cloudflare, ReCAPTCHA Gizlilik Politikasını bir nebze değiştirmeyi başardı, ancak bazı müşteriler Google’a sağlanan veriler ile ilgili endişe duymaya devam ediyordu.
Ayrıca Google’ın hizmetlerinin aralıklı olarak engellendiği Çin gibi bazı bölgelerde de sorunlar yaşandı. Sadece Çin, tüm İnternet kullanıcılarının yüzde 25’ini oluşturuyor.
Yıllar boyunca yaşanan gizlilik ve engelleme endişeleri, reCAPTCHA’dan farklı bir hizmete geçiş için yeterli bir nedendi. Ancak müşteriler için yeni özellikler ve işlevsellik sunmak gerekiyordu.
Google’ın Değişen İş Modeli
Bu yılın başlarında Google, reCAPTCHA için ücret almaya başlayacaklarını bildirdi. Bu durum şirketin tamamen kendi hakları dahilinde. Google reCAPTCHA, Cloudflare’in iş hacmi gözü önüne alındığında önemli maliyetleri beraberinde getiriyordu.
Cloudflare’in yıllardır ücretsiz kullanıcıları için reCAPTCHA’yı kullanmaya devam etmesi, yıllık maliyetlere milyonlarca dolar ekleyecekti. Nihayetinde daha iyi bir alternatif arama zamanı gelmişti.
Daha İyi Bir CAPTCHA
Bir dizi CAPTCHA sağlayıcısı değerlendirildi ve Cloudflare tarafından bir sistem kuruldu. Sonunda ise hCaptcha, reCAPTCHA’ya en iyi alternatif olarak ortaya çıktı. hCaptcha çözümleri arasında bir çok artı bulunuyor.
- Kişisel veri satmıyorlar ve yalnızca gerekli asgari kişisel veriler toplanıyor. Topladıkları bilgiler ve bu bilgileri nasıl kullandıklarını açıklarken şeffaf davranıyorlar. Ayrıca bu tür verileri yalnızca Cloudflare’a hCaptcha hizmeti sağlamak için kullanmayı kabul ettiler.
- İkinci etken ise hem hız hem çözüm oranlarına bakılırsa performans. Yapılan testler sonucunda beklenenden daha iyi sonuçlar alındı.
- Görme engelli ve erişilebilirlik sorunları olan diğer kullanıcılar için başarılı bir çözüm sunuluyor.
- CAPTCHA’ların sıklığını azaltmak için Privacy Pass destekleniyor.
- Google’ın engellendiği bölgelerde çalışıyor.
- hCaptcha ekibi oldukça duyarlı ve ilgili.
Müşteriler CAPTCHA’ları Ne Zaman Kullanıyor?
Bu proje üzerinde ilk çalışmaya başlandığında. Cloudflare Bot Yönetimi ve Güvenlik Duvarı Kurallarının CAPTCHA’ların en büyük tüketicisi olacağı düşünülüyordu. Firewall ve Bot Kuralları hizmeti en fazla kullanan kaynak olurken, sunulan CAPTCHA’ların yüzde 50’sinden fazlasını kapsadı. Bu tabloda, Cloudflare müşterilerine sunulan CAPTCHA hizmetlerinin kullanım dağılımı yer alıyor.
| Kaynak | Oran |
|---|---|
| Firewall ve Bot Kuralları | 54.8% |
| IP Firewall | 18.6% |
| Security Level | 16.8% |
| DDoS | 6.3% |
| Rate Limiting | 1.7% |
| WAF Rules | 1.5% |
| Diğer | 0.3% |
Güvenlik Duvarı ve Bot Kuralları çoğunluğu kapsıyor ve en üste bulunuyor. Bunlara örnek olarak, yapılan bir bağlantıdaki etkenlerin oluşturduğu puan, bağlantının otomatik olabileceği puan sınırını aşıyorsa bir CAPTCHA doğrulaması isteniyor. Bu gruptaki bir diğer yaygın kural ise tüm site trafiğinin %100’ünü CAPTCHA’ya emanet etmek. Müşteriler bunu bağlantıları sınırlamak ve kayıt verilerini gereksiz kirletme gibi aşamalarda kullanabilir.
Sırada ise IP Güvenlik Duvarı yer alıyor. Bu, Güvenlik Duvarı ve Bot Kurallarına benzer. Ancak IP, ASN (Autonomous System Number) veya ülke düzeyinde daha az ayrıntı sunmakta. Bu kategori için CAPTCHA’ların çoğu ASN veya ülke düzeyinde belirlenen kurallar üzerinden çalışır. Müşteriler, örneğin bir bulut altyapı sağlayıcısından gelen kullanıcı trafiği olduğunda veya belirli ülkelerden saldırıya uğradığında bunu kullanabilir.
Sorunları Çözme
Cloudflare sistemlerinin herhangi bir bölümünde değişiklikler yapıldığında, işler bazı kullanıcılar için önemli ölçüde iyi hale gelirken, bazıları için geçici olarak daha kötü bir hal alabilir. Cloudflare ve hCaptcha ekibi ortaya çıkan tüm sorunları çözmeye çalışacak. Tüm kullanıcılar veya müşterilerin yeni hCaptcha uygulamasıyla ilgili sorunlar gördüğünde gerekli yerlere yazmaları ve destek çağrısı açmaları isteniyor. Mümkün olduğunda ise CAPTCHA sayfasının altbilgisinde görünen RayID eklenmeli.
Cloudflare, yayınlanan CAPTCHA’ların sayısını en aza indirmek ve mümkün oldukça ortadan kaldırmak için çalışmaya devam ediyor.
