Nedir? Nasıl?

CAPTCHA Nedir, Ne İşe Yarar?

İnternet sitelerinde gezinirken muhtemelen “Ben Robot Değilim” yazan bir kutucuğa tıklamanızı, fotoğraf içerisinde bulunan trafik lambalarını seçmeniz veya renk körü testindeymişsiniz gibi karışık bir resimde bulunan yazıları yazmanız istenmiş olabilir. Bu durum çoğu internet kullanıcısı için can sıkıcı bir durum olarak görünse de internet sitelerinde önemli bir güvenlik önlemidir. Bu makalemizde can sıkıcı olduğu düşünülen CAPTCHA doğrulamasının ne olduğu ve neden kullanılması gerektiğini paylaşıyoruz.

CAPTCHA Nedir?

İnternet sitelerine giren kullanıcıların bot mu yoksa gerçekten bir insan mı olup olmadığını belirlemek için tasarlanan doğrulama yöntemine CAPTCHA denir. CAPTCHA “Completely Automated Public Turing test to tell Computers and Humans Apart” yani “Bilgisayarları ve İnsanları Ayırmak İçin Tamamamen Otomatik Genel Turing Testi” anlamına gelen bir kısaltmadır.

CAPTCHA’nın Özellikleri Nedir?

  • Bir anket veya üyelik sisteminiz bulunuyorsa otomatik olarak doldurulmasının önüne geçerek doğru anket verilerine ulaşmanıza yardımcı olur.
  • Üyelik sisteminizde bir bot yardımıyla toplu bir şekilde üyelik oluşturulmasını önlemenize yardımcı olur.
  • İnternet sitenizde bulunan yorum bölümüne otomatik olarak gönderilen SPAM yorumların önüne geçer.
  • Oturum açma sayfanızda kaba kuvvet (Brute-force) saldırılarını durdurarak üyeliklerinizin güvenliğini artırır.
  • E-ticaret sisteminin daha güvenli bir şekilde çalışmasını sağlar.

CAPTCHA Nasıl Çalışır?

Klasik CAPTCHA’lar, botların kolayca tanıyamayacakları şekilde metinler oluşturur, bu metin farklı yazı tipleri ve şekiller kullanarak tasarlanır. Bu tasarım, sadece insanların yorumlayabileceği şekilde değiştirilmiş bir metni kullanıcıların doğrulamasını gerektirir. Eğer harfler eşleşmezse, kullanıcılardan tekrar denemeleri istenir. Bu sayede botlar testi geçemezken, insanlar normal işlemlerine devam edebilirler.



Tabii ki teknoloji geliştikçe makine öğrenmesiyle güçlendirilen zararlı botlar, karmaşık karakterleri tanımaya başlayarak bu doğrulamayı geçmeyi başarabildi. Bu durumun önüne geçebilmek için daha karmaşık testlere ihtiyaç duyuldu ve Google, reCAPTCHA adında farklı bir test teknolojisi geliştirdi.

Google reCAPTCHA Nedir?

Klasik CAPTCHA’lardan daha gelişmiş testlere sahip olan reCAPTCHA, gerçek dünyadaki görüntüler alarak botların ilgili metni veya seçimleri yapmasını zorlaştıran bir teknoloji ile geliştirilmiştir. Öncelikle sizden “Ben robot değilim” butonuna tıklamanızı ister.

Onay Kutulu reCAPTCHA Testi

“Ben Robot Değilim” yazan bir metni onaylamanız için kutucuk bulunur ve kutucuğa tıklayarak testi geçersiniz. Geçilmesi çok kolay gözükse de bu testin arka planda yapmış olduğu sorgulamalar botlara karşı güçlü bir koruma sağlar. Onay kutusuna tıklayana kadar arka planda imleç hareketleri, kutucuğa tıklama hızı, tarayıcı çerezleri ve geçmiş kontrol edilerek bot olup olmadığınızı tespit edebilmektedir. Eğer şüphelenmeye devam ederse Görüntü Tanıma veya klasik CAPTCHA’lar gibi metin doğrulaması isteyebilmektedir.

Ardından bir görüntü seçme ekranı karşınıza çıkar. Bu görüntü tanıma, onay kutusu, ziyaretçi davranışı değerlendirmesi gibi doğrulamalar ile daha da güçlenmiştir. Eğer reCaptcha size güvenmezse veya web sitesinin sahibi zorluk derecesinde “çok zorla kimseye güvenme” gibi ayar seçmişse, 9 veya 16 parçadan oluşan bir fotoğraf ile doğrulama yapılır. Fotoğraf içerisinde trafik işaretleri ve lambaları, ağaçlar, hayvanlar, araçlar, sokak işaretleri bulunur. Kullanıcılardan fotoğraf içerisinde bulunan belirli nesneleri seçmesi istenir. Aynı testi yapan kullanıcıların, karelere tıklama oranı göz önüne alarak seçimlerin geneline göre eşleşirse test geçilir.

Bulanık ve karmaşık fotoğraflarda bulunan nesneler, insanlar tarafından günlük yaşamda sık sık gözlemlendiği için insanlar testi kolaylıkla geçebilirler. Ancak botlar, sürekli aynı testlerle karşılaşamadıkları için nesneleri algılamaları önemli ölçüde zor olacaktır.

reCAPTCHA Skorunun Önemi Nedir?

Google tarafından geliştirilen bir algoritma ile kullanıcıların bot mu yoksa bir insan mı olduğunu tanımlayan puanlama sistemi bulunuyor. Puanlama sistemi 0 ila 1 arasında belirlenmektedir. Skor 0’a ne kadar yakınsa bot olduğu 1’e yakınsa normal bir kullanıcı olduğu düşünülür. Kullanıcının siteyle etkileşimi sırasında skor sürekli olarak güncellenir ve kullanıcının davranışlarına göre değişiklik gösterebilmektedir.

reCAPTCHA skorunu belirleyen en önemli faktörlerse kullanıcın IP adresi, tarayıcı kullanımı, sayfa içi ziyaretler, imleç hareketleri, klavye girişleri gibi bir çok farklı parametre bulunuyor. reCAPTCHA skorunu API üzerinden alarak ziyaretçilerinizin erişim izinlerini ayarlayabilir ve bot olarak düşünülen kullanıcılara özel hata sayfaları oluşturabilirsiniz. Bu sayede kötü amaçlı erişim denemelerinin önüne geçerek projenizin güvenliğini artırabilirsiniz.

Cloudflare Turnstile Nedir?

Cloudflare Turnstile, CAPCTHA kullanımı için güçlü bir alternatiftir. İnternet sitenize kolaylıkla eklenebilen basit bir API yardımıyla ziyaretçilerinize CAPTCHA doğrulaması göstermeden otomatik bir şekilde arka planda kendisi doğrulamayı gerçekleştirir. Bu sayede robot doğrulama arka planda çalıştığından güvenlik zafiyeti problemi yaşatılmayacak, gerçek kullanıcılarınızın önüne CAPTCHA doğrulaması çıkmadığı içinse kullanıcı deneyimini artırmaktadır.

Cloudflare Turnstile robot doğrulama algoritması, Cloudflare’in Managed Challange teknolojisi ile aynı yapıya sahiptir. Managed Challange teknolojisi ziyaretçilerin ortak özelliklerini inceler ve makine öğrenimi sayesinde daha güçlü bir koruma sunar. Bu korumaya örnek olarak internet sitenizi ziyaret eden IP adresinin sizin yönetmiş olduğunuz veya farklı internet sitelerinde şüpheli davranışları tespit etmesi halinde, zararlı bağlantı olarak işaretlenip internet sitenize ulaşmadan erişimi engellenecektir.

Robot Doğrulamaları Kötü Amaçlı Botları Durdurmak İçin Yeterli Olur Mu?

CAPTCHA’lar ve reCAPTCHA’lar, kullanıcılardan belirli bir görevi tamamlamalarını veya bir resimdeki belirli bir nesneyi seçmelerini isteyerek, botların otomatik olarak veri toplamalarını veya işlemlerini yapmasını engellerler.

Ancak, bazı botlar CAPTCHA’ları geçmek için çeşitli yöntemler kullanabilirler. Örneğin, optik karakter tanıma (OCR) teknolojisi kullanarak, görsel bir CAPTCHA’yı çözmek için insan gözüne benzer bir şekilde karakterleri tanıyabilirler. Bu nedenle, bazı CAPTCHA’lar, daha karmaşık matematiksel veya mantıksal sorular veya testler gibi diğer güvenlik önlemlerinin kullanılması gerekebilir.

reCAPTCHA’lar, daha gelişmiş bir güvenlik önlemi olarak kabul edilir, çünkü kullanıcıların bot olup olmadığını tespit etmek için daha fazla veri noktasını analiz ederler. Ancak yine de bazı kötü amaçlı botlar, reCAPTCHA’ları da geçebilirler. Bu nedenle, CAPTCHA’lar ve reCAPTCHA’lar, tek başlarına yeterli bir güvenlik önlemi olmayabilirler. CAPTCHA veya reCAPTCHA doğrulamalarıyla birlikte ek güvenlik önlemleri de almanızı öneririz.

Ek güvenlik önlemi olarak CloudFlare üzerinden projenize özel WAF kuralları oluşturabilirsiniz. Bu sayede hem güvenliğinizi artırabilir hem de gerçek kullanıcıların robot doğrulaması yapma zorunluluğunu azaltarak kullanıcı deneyimini artırabilirsiniz.


Projelerinizin bulunduğu sunucuların saldırılara karşı güvenlik önlemleri alınması önemlidir. Hosting, SSD VDS ve NVMe VDS Sanal sunucu hizmetlerimizde DDoS türü saldırılara karşı Voxility, TTDDoS Anti-DDoS servislerini kullanıyoruz. Bu sayede saldırıların daha iç ağa ulaşamadan önce erişimini engelleyebiliyoruz. Eğer projeniz için yüksek performanslı bir barındırma hizmetine ihtiyaç duyuyorsanız Yüksek Performanslı NVMe VDS Sanal Sunucu paketlerimize göz atmanızı öneririz.

Subscribe
Bildir
guest
0 Yorum
En Yeniler Eskiler
Inline Feedbacks
View all comments