Cloudflare Turnstileとは何か
Cloudflare Turnstileは、2022年9月にCloudflareが発表し同年中に一般公開されたキャプチャ置換サービスです。ユーザーが視覚的パズルを解く必要がある従来のキャプチャシステムとは異なり、Turnstileはほとんどの場合に見えず検証を実行し、非対話的なブラウザチャレンジ、デバイス証明信号、Cloudflareのグローバル脅威インテリジェンスネットワークの組み合わせを使用して、訪問者が人間またはボットであるかを判定します。
技術的メカニズム
Turnstileのアーキテクチャは、順序で機能する3つの主要なメカニズムに依存しています。
プライベートアクセストークン(PAT): サポートされているプラットフォーム(iOS 16+、macOS Ventura+、HTTP Attestation APIサポートのあるブラウザ)では、Turnstileはデバイス製造業者(Appleのicloud経由)からの暗号化証明をリクエストし、デバイスが本物で脱獄されていないコンシューマーデバイスであることを確認します。この単一シグナルはしばしば追加のチャレンジなしでパスを発行するために十分です。
ブラウザチャレンジ: PATをサポートしない環境では、Turnstileはブラウザで一連の非対話的なJavaScript作業証明とAPI一貫性チェックを実行します。これらは、本物のブラウザがJavaScriptをどのように実行するかと、ヘッドレスブラウザまたはボットフレームワークがどのようにエミュレートするかの微妙な違いをプローブします。訪問者は、1~2秒以内に緑のチェックマークに解決される回転ウィジェットを見えます。
マネージドモードフォールバック: 行動および証明信号が決定的でない場合、Turnstileは表示(ただしパズルなし)チャレンジにエスカレートできます。Cloudflareの脅威インテリジェンス(そのネットワーク上の数百万のWebサイトからの観察から引き出された)はすべてのステップでリスク採点を通知します。
統合にはhttps://challenges.cloudflare.com/turnstile/v0/api.jsの追加と<div class="cf-turnstile">要素が必要です。サーバー側検証はhttps://challenges.cloudflare.com/turnstile/v0/siteverifyへのPOSTリクエストを使用しています。
Cloudflare Turnstileはいつ使用されるか
Turnstileは、正当な投票者に本質的にゼロの摩擦を課すため、コンテスト運用者に特に魅力的です。画像グリッドなし、歪んだテキストなし、チェックボックスなし。投票送信フォーム、登録ページ、コメントエンドポイント、パブリックに露出されているフォーム送信に展開されています。その無料層は無制限検証をカバーしており、あらゆる規模でコスト効果的です。
投票がCloudflare Turnstileとどのように相互作用するか
投票者が送信フォームに到達すると、Turnstileウィジェットが読み込まれ、その黙った証明シーケンスが開始します。数秒以内に短時間のトークン(約5分間有効)を発行します。投票はこのトークン付きで送信され、コンテストバックエンドはCloudflareのAPIに対してトークンを検証してから投票レコードを永続化します。期限切れ、再利用、または改竄トークンは拒否されます。
Turnstileのスピードと非表示の性質は、自動化スクリプトがTurnstile保護フォームを視覚的検査によって未保護のフォームから容易に区別することができないことを意味しますが、本物のブラウザの内部またはいくつかの有効なデバイス証明がないボットフレームワークは、基礎となるチャレンジで一貫して失敗します。
Cloudflare ベンダー仕様
Turnstileはクラウドフレア社により操作され、Cloudflareのプライバシーポリシーで管理されており、Turnstileが追跡クッキーを設定したり広告用ユーザープロファイルを構築しないことを明示的に述べています。Cloudflareはチャレンジインタラクション中に収集されたデータを収益化しないことを強調しています。サイト所有者はCloudflareダッシュボードのTurnstileセクションからサイトキーとシークレットキーを取得します。ここでは、通過率、チャレンジの結果、異常なトラフィックパターンも確認できます。Turnstileはクラウドフレアページおよびワーカーとネイティブに統合し、既にCloudflareエコシステム上のサイトへの展開を特に単純にしています。
正当な使用法
コンテスト不正防止を超えて、Turnstileはコメント投稿欄を保護するためにメディア組織、登録およびパスワード リセットフローを保護するためにSaaS企業、自動化アカウント作成を防ぐためにゲーミングプラットフォーム、高需要製品ドロップをスカルパーボットから保護するためにオンライン小売業者によって使用されます。
不正防止の観点
Turnstileのネットワーク全体の脅威インテリジェンスへの依存は、不正防止の構造的な利点です。数百万のCloudflareで保護されたプロパティのいずれかで悪用を実行している観察されたボットIPまたはボットフィンガープリントは、数分以内にグローバルにフラグが立てられることができます。コンテスト運用者にとって、これは共有ボットインフラを使用した調整された投票不正キャンペーンが、キャンペーンが特定のコンテストプラットフォームで観察されていなくても、上昇したチャレンジレートに遭遇する可能性があることを意味しています。
要約。 Cloudflare Turnstileは視覚的パズルなしでブラウザレベル証明と脅威インテリジェンスを使用するキャプチャ代替物です。正当なユーザーに摩擦なし、ボットに対して高い検出率を提供しています。
