Lompat ke konten Lompat ke sidebar Lompat ke footer

Cloudflare ingin mengganti CAPTCHA dengan Turnstile

Menjelang konferensi Connect-nya pada bulan Oktober, Cloudflare minggu ini mengumumkan proyek baru yang ambisius yang disebut Turnstile, yang berusaha untuk menghilangkan CAPTCHA yang digunakan di seluruh web untuk memverifikasi bahwa orang-orang adalah siapa yang mereka katakan. Tersedia untuk pemilik situs tanpa biaya, pelanggan Cloudflare atau tidak, Turnstile memilih dari rangkaian "tantangan browser" yang berputar untuk memeriksa bahwa pengunjung ke halaman web sebenarnya bukan bot.

CAPTCHA, tes respons tantangan yang sebagian besar dari kita temui saat mengisi formulir, telah ada selama beberapa dekade, dan mereka relatif berhasil menjaga lalu lintas bot tetap di teluk. Tetapi munculnya tenaga kerja murah, bug dalam berbagai rasa CAPTCHA dan pemecah otomatis telah mulai membuat lubang dalam sistem. Beberapa situs web menawarkan layanan pemecahan CAPTCHA yang didukung manusia dan AI dengan harga serendah $0,50 per seribu CAPTCHA yang diselesaikan, dan beberapa peneliti mengklaim serangan berbasis AI dapat berhasil memecahkan CAPTCHA yang digunakan oleh situs web paling populer di dunia.


Cloudflare sendiri pernah menjadi pengguna CAPTCHA. Tetapi menurut CTO John Graham-Cumming, perusahaan tidak pernah cukup puas dengan itu — jika seruan reli publik Cloudflare tidak menjelaskan hal itu. Dalam percakapan dengan TechCrunch, Graham-Cumming mencantumkan apa yang dia lihat sebagai banyak kelemahan teknologi CAPTCHA, termasuk aksesibilitas yang buruk (cacat visual dapat membuat tidak mungkin untuk menyelesaikan CAPTCHA), bias budaya (CAPTCHA mengasumsikan keakraban dengan objek seperti taksi AS) dan ketegangan yang ditempatkan CAPTCHA pada paket data seluler.

"Masalah terbesar dengan CAPTCHA adalah bahwa pengalaman pengguna sangat buruk. Karena komputer menjadi lebih baik dalam menyelesaikannya, pengalaman pengguna semakin memburuk," kata Graham-Cumming dalam sebuah wawancara email.

Cloudflare pada satu titik pindah ke layanan yang disebut hCaptcha — ke ulasan yang beragam. Satu tantangan yang sering meminta pengguna untuk memasukkan nama mereka, katakan apakah mereka lebih suka terong atau wortel dan klik setiap satu dari 27 gambar yang menunjukkan kereta api. Blowback — dan biaya yang dikenakan oleh beberapa layanan CAPTCHA — adalah bagian dari apa yang mendorong Cloudflare untuk mengembangkan alternatifnya sendiri, menurut Graham-Cumming.

"Kami telah mengerjakan solusi selama beberapa tahun dan menulis blog beberapa bulan yang lalu tentang bagaimana kami telah mengurangi penggunaan CAPTCHA kami sendiri sebesar 91%. Karena kami telah membuktikan itu berhasil untuk kami, kami ingin memberi semua orang pilihan untuk menyingkirkan CAPTCHA," tambahnya.

Turnstile secara otomatis memilih tantangan browser berdasarkan "telemetri dan perilaku klien yang ditunjukkan selama sesi," kata Cloudflare, daripada faktor-faktor seperti cookie login. Setelah menjalankan tantangan JavaScript non-interaktif untuk mengumpulkan sinyal tentang pengunjung dan lingkungan browser dan menggunakan model AI untuk mendeteksi fitur dan pengunjung yang telah melewati tantangan sebelumnya, Turnstile menyempurnakan kesulitan tantangan untuk permintaan tertentu — menghindari pengguna memecahkan teka-teki.

Untuk menyebarkan Turnstile, admin web membuat akun Cloudflare dan mendapatkan kode semat yang diperlukan, yang kemudian mereka tempel ke kode situs web mereka. Setelah menambahkan panggilan sisi server ke API Turnstile Cloudflare, layanan akan ditayangkan. Situs mana pun dapat memanggil API.

"Jika Anda menggunakan layanan CAPTCHA yang ada hari ini, itu hanya temuan dan penggantian pada string kode," kata Graham-Cumming. "Ini kompatibel dengan penyedia jaringan lain ... Anda tidak perlu menggunakan layanan Cloudflare lainnya, seperti jaringan pengiriman konten kami, untuk menggunakan Turnstile."


Cloudflare mengklaim bahwa Turnstile sama amannya dengan CAPTCHA, memanfaatkan fitur seperti token akses pribadi untuk meminimalkan jumlah data yang dikumpulkan. Baru diterapkan di iOS 16 dan macOS Ventura, token akses pribadi berfungsi dengan meminta perangkat mengirim informasi autentikasi anonim — token — ke situs web yang kompatibel tanpa mengekspos informasi sensitif apa pun tentang dirinya sendiri.

Cloudflare dan layanan saingan fastly termasuk di antara yang pertama mengumumkan dukungan untuk token akses pribadi dengan perangkat keras Apple.

Pertanyaannya adalah apakah situs akan dibujuk untuk menyebarkan Turnstile di atas CAPTCHA petahana. Dengan satu ukuran, 97.7% dari juta situs web teratas berdasarkan lalu lintas menggunakan reCAPTCHA Google, saat ini layanan CAPTCHA paling populer di pasar. Cloudflare mengatakan sedang mengerjakan plugin untuk platform utama seperti WordPress untuk membuat Turnstile lebih mudah diterapkan, tetapi kemungkinan akan membutuhkan waktu untuk meyakinkan admin bahwa itu sepadan dengan usaha — dengan asumsi mereka selalu yakin.

Graham-Cumming tampaknya sebagian besar acuh tak acuh, mencatat bahwa Cloudflare tidak memiliki insentif bisnis yang jelas untuk mendorong adopsi.

"Kami membangun alternatif, membuktikannya bekerja dengan baik untuk kami dan membukanya ke situs lain sesegera mungkin," katanya. "Karena kami telah membuktikan itu berhasil untuk kami, kami ingin memberi semua orang pilihan untuk menyingkirkan CAPTCHA. Membantu membuat internet lebih baik benar-benar adalah misi kami. Kami pikir memberikan ini ke situs web mana pun adalah cara untuk melakukannya."

Sejauh menyangkut langkah selanjutnya, Graham-Cumming mengatakan bahwa token akses pribadi adalah indikator terbaik untuk ke mana Cloudflare ingin pindah di masa depan. Perusahaan menguji sistem keamanan berbasis USB di masa lalu, tetapi membutuhkan perangkat keras menambah tingkat gesekan yang tinggi, ia mengakui.

"Pelanggan dan jaringan semakin peduli tentang privasi dan segmentasi data. Kemampuan bagi kami untuk mengabstraksi bagian-bagian validasi kepada pihak lain tanpa harus mengumpulkan data sendiri kemungkinan akan terus berlanjut," tambah Graham-Cumming. "Misalnya, [orang] menyebutkan otentikasi biometrik. Saya pikir kemungkinan besar kami bermitra dengan pembuat perangkat keras untuk menggunakan token akses pribadi untuk melakukan validasi biometrik bagi kami dan meneruskan token terenkripsi yang membuktikan validasi itu kepada kami daripada melakukan otentikasi biometrik sendiri."

Posting Komentar untuk "Cloudflare ingin mengganti CAPTCHA dengan Turnstile"