Sürekli gelişme hâlinde olan teknolojinin günümüzde “otomasyon” alanında büyük avantajlar sağladığını görüyoruz. Bu bağlamda birbirinden işlevsel robotların ve botların hem endüstri (otomobil üretimi gibi) hem de eğlence (Discord botları gibi) alanlarda kendilerini gösterdiklerine şahit oluyoruz.
Fakat sıfırdan uygulama yapabilen, kusursuz malzeme işleyebilen, insanları eğlendirebilen ve daha nice becerilere sahip olan programlanmış botların, “Ben robot değilim” kutucuğunu geçemediği görülüyor. Peki saç baş yolduran ve sayısız internet meme'ine malzeme olmuş bu durumun ardında ne var?
Baştan yanlışı çözelim; robotların mükemmel olduğu birçok konu olabilir. Fakat biz kusurluyuz
Karşınıza söz konusu kutucuk çıktığında öncelikle imlecinizi oraya doğru götürüyorsunuz. Hatta belki de biraz fazla gittiniz ve geri getiriyorsunuz. Tıkladığınızda ise örneğin yaya geçidi içeren tüm görselleri seçmeniz isteniyor. Ufak çaplı olarak düşünüyorsunuz ve yaya geçidi olan görselleri işaretliyorsunuz. Ve tebrikler, insan olduğunuzu kanıtladınız, artık siteye girebilirsiniz.
Şimdi de arkanızdan programlanmış bir bot girmeye çalışsın. Karşısına o kutucuk çıktığında bizim gibi imleci oraya sürüklemekle uğraşmayacaktır. Onun yerine söz konusu kutucuğun hangi piksel aralığında olduğunu bildiğinden imleci nokta atışıyla oraya ulaştıracak ve tıklayacaktır. Daha sonra yaya geçidi içeren tüm görselleri de anında seçip içeri girmeyi deneyecektir.
Ama sizin gibi doğru görselleri seçmiş olmasına rağmen bot, siteye giremeyecektir.
[GIPHY:oJnyoa01w8sSWqtqgD][/GIPHY]
Onun yerine doğrulama kısmında hata kodu görünebilir ya da CAPTCHA (İnsanları ve Botları Ayırmak için Otomatik Turing Testi) kutucuğu döngüye girerek bottan sürekli görsel bulmasını isteyebilir. Bu da onu siteden uzak tutar. Peki bu doğrulama, doğru görsellerin seçilmesiyle aşılmıyor muydu?
Arkada çok daha fazlası dönüyor ve asıl doğrulama orada gerçekleşiyor:
Google bünyesinde olan ve aşağı yukarı her site üyeliğinin sonunda görebileceğiniz reCAPTCHA, o anki internet etkinliği geçmişinizle de ilgileniyor. Örneğin birkaç saat internette gezinip sonra söz konusu siteye üye olduysanız, ki özellikle o amaçla internete girmediysek çoğumuz böyle yaparız, insan olma ihtimaliniz daha yüksek sayılıyor.
Fakat direkt o sayfaya girip o kutucuğu nokta atışıyla milisaniyeler içinde işaretlemek pek de insan işi değil. Nokta atışıyla kutucuğa gitmek demişken, fare hareketlerinizin de siz o sayfada olduğunuz sırada anlık olarak izlendiğini biliyor muydunuz? Hadi gelin birlikte buna hemen şimdi şahit olalım.
Klavyenizde CTRL+SHIFT+J kombinasyonunu yapın ve yanda çıkan alana bir kez tıklayıp tırnak içindeki “onmousemove = function(e){console.log("mouse location:", e.clientX, e.clientY)}” komutunu tırnak kısmını dahil etmeden yapıştırın. Enter’a bastıktan sonra da sitede fare imlecinizi gezdirin. Gördünüz mü? Bu hareketleri izlemek bu kadar kolay.
Kendi imleç hareketlerinize baktığınızda bir yerden diğerine giderken belli bir yol izlediğiniz görülür:
[GIPHY:OEeK7LFxO3IallraxP][/GIPHY]
Fakat botlar bunu yapmayıp direkt hedefe gittiği için insan olma ihtimalleri imkânsıza yakındır. Zira uğraşsanız bile bir makine gibi o kutucuğu işaretleyemezsiniz. Yani sayfadaki etkinliğiniz, imleç hareketleriniz, YouTube’dan Twitter’a, Webtekno’dan üye olacağınız siteye kadar uzanan internet aktiviteniz ve daha niceleri analiz ediliyor ve insan olup olmadığınıza karar veriliyor. Dolayısıyla da interneti kullanış şeklimiz, her seferinde bizim bu kutucukları sorunsuz geçmemizi sağlıyor.
Ama eğer VPN tarzı araçlar kullanıyorsanız anlık konum değişimleri, tıpkı botlarda olduğu gibi doğrulama sürecini kötü etkileyebilir. Bu bağlamda tekrar tekrar görsel seçmek zorunda kalabilirsiniz veya doğrulama kutucuğu direkt hata verebilir. Doğrulama türüne göre VPN kullanıp kullanamadığınız fark etmeksizin geçme imkânınız da olabilir.
Kısaca hepimizin aşina olduğu doğrulama türlerini ve bunların kullandığı yöntemleri anlatalım:
Çözmeye çalışırken kör olduğumuz CAPTCHA ve kendisinin reCAPTCHA’dan farkı:
CAPTCHA, 1997 yılında ortaya çıktı ve ilk hâlinde “robot muyuz acaba?” diye sorgulatan, farklı çizgilerle ve yöntemlerle zar zor okunan kelimeleri içeriyordu. Daha sonra botlar bunu aşmaya başlayınca güvenliği korumak adına CAPTCHA’ya farklı zorluklar getiren görseller eklendi.
[GIPHY:WjLM3luIWZ6IEXJzUE][/GIPHY]
- CAPTCHA testini arka arkaya 10 kez yapamayınca hissettiğim
Gelelim reCAPTCHA’ya:
[GIPHY:ONKWcLP9pQGc5VY7uM][/GIPHY]
reCAPTCHA’yı “Google’ın CAPTCHA’sı” şeklinde niteleyebiliriz. Zira farklı şirketlerin bunu kendilerine göre işleme imkânları bulunuyor. Kendisi 2007 yılında ortaya çıktı ve 2 yıl sonra Google bünyesine alındı. Bunun ilk sürümlerinde yine orijinal CAPTCHA’da gördüğümüz gibi görseldeki kelimeyi yazmak gerekiyordu.
İlk sürümünün 2018’de fişi çekildiği reCAPTCHA, ikinci sürümünde bugün en yaygın olarak gördüğümüz kutucuğuyla karşımıza çıktı. Bu sürümde kullanıcılardan kutucuğu işaretlemeleri isteniyor ve yukarıda belirttiğimiz şartlara göre ya otomatik olarak içeri alınıyorlar ya da “yaya geçidi”, “trafik lambası” gibi Street View’den alınan görselleri seçmeleri gerekiyor. Daha sonra da siteye alınıyorlar.
Ek Bilgi: Bu sürümde doğrulama kutucuğu farklı butonlara da gizlenebiliyor. Yani kaydol tuşuna bastığınızda haberiniz olmadan robot olduğunuzu doğruluyor olabilirsiniz. Fakat bir arkadaşınız bunu yaptığında, o anki internet aktivitesine göre doğrulamayla karşılaşabilir.
Üçüncü sürümde ise direkt kutucuk işaretleme şartı ortadan kalkıyor:
Bunun yerine sistem, internet aktivitenizi göz önünde bulundurarak insan olup olmadığınıza işaret eden bir skor belirliyor. Eğer skorunuz şüpheli seviyedeyse tıpkı öncekinde olduğu gibi doğrulama yapmanız isteniyor. Daha sonra da siteye girebiliyorsunuz.
Sonuç olarak kusurlarımız sayesinde internette gezinebildiğimizi ve kusursuz oldukları için botların sitelere alınmadığını söyleyebiliriz. Fakat botların bir noktada bu sistemlere de uyum sağlayacağını biliyoruz. O zaman geldiğinde sizce nasıl doğrulama yöntemleri kullanılacak. Düşüncelerinizi yorum kısmında paylaşabilirsiniz.
Kaynaklar: Google, DataDome, Logically Answered