Google introduceert reCaptcha-versie die geen interactie van gebruiker vereist

Google heeft versie 3 van reCaptcha vrijgegeven aan ontwikkelaars. De nieuwe methode om bots te ontmaskeren vereist geen bewuste interactie van de gebruiker meer en levert een score voor de sitebeheerder op.

Bij de reCaptcha v3-api introduceert Google de Action-tag, waarmee sitebeheerders inzicht kunnen krijgen op welke pagina's bots zich richten en hoe verdacht verkeer naar die pagina's was. De engine van Recaptcha zorgt daarbij voor de risico-analyse. Dat gebeurt op de achtergrond, waarbij de engine online gedrag van een menselijke gebruiker kan onderscheiden van die van een bot.

Sitebeheerders krijgen van reCaptcha v3 een score die aangeeft hoe verdacht interacties van gebruikers zijn. De beheerders kunnen zelf aangeven waar de grens ligt voor het blokkeren voor een gebruiker en of verdere verificatie nodig is. Daarnaast kunnen ze de score combineren met eigen methodes om gebruikers te identificeren, zoals profielen en transactiehistorie, schrijft Google. Tenslotte is de score ook te gebruiken in combinatie met machine learning, om modellen op te zetten die gebruikt kunnen worden om misbruik tegen te gaan.

Captcha staat voor completely automated public Turing test to tell computers and humans apart. Bij reCaptcha v1 moesten gebruikers nog een vervormde tekst herkennen en invullen en bij v2 was het klikken op een vakje met 'ik ben geen robot' al voldoende, omdat de engine hierbij al meerdere signalen van gedrag meewoog.

Recaptcha v3

IT-banen

Reacties (141)

Jogai 30 oktober 2018 08:35

V2 deed wel meer als alleen "ik ben geen robot". Op dat moment kon het resultaat nog steeds "misschien robot" zijn waarna je een extra check kreeg zoals selecteer de autos/verkeersborden/winkelramen.
V3 Heeft ook zoiets, en daar heb je nu zelf meer controle over. Je kan ook nog je eigen parameters erin meenemen als je zelf een systeem hebt om bezoekers te herkennen.

Edit: Dat V2 vrij vaak wel input vroeg heeft ook te maken met je verbinding/setup. Op t werk zit ik achter een proxy, en thuis met een vrij strenge adblocker & nocookie plugin, en op beide locaties krijg ik in 95% van de gevallen een zoekplaatje erbij.

[Reactie gewijzigd door Jogai op 22 juli 2024 14:05]

Heedless @Jogai • 30 oktober 2018 08:58

Dat ik meteen door mag is een uitzondering, ik moet eigenlijk altijd op zoek naar auto's, winkels, verkeersborden, zebrapaden, etc. Ben het behoorlijk beu gratis arbeid voor Google te moeten doen. Zelfs als je voor de audio captcha kiest zit je nog data te classificeren. Je hoort dan namelijk stukken audio van gebruikers en moet Google vertellen wat ze zeggen (waarschijnlijk weten ze het van 9/10 fragment al, maar zit er altijd iets tussen waarvan ze het nog niet zeker weten, net als bij de afbeeldingen).

Anoniem: 1111801 @Heedless • 30 oktober 2018 09:18

Hier idem. Vervelende is dat hij het soms niet met me eens is en dan krijg je er rustig 3 achter elkaar. Kennelijk is een plaatje met een halve auto wel een auto, maar een plaat met alleen een motorkap en koplampen weer niet, dat soort dingen.

Anoniem: 24417 @Anoniem: 1111801 • 30 oktober 2018 09:28

Ik ken het, maar vind het wel gek! Als google wil dat jij auto's voor ze gaat classificeren, maar eigenlijk weten ze dus al of iets al dan niet een auto is, waarom vragen ze het je dan nog?

supersnathan94

@Anoniem: 24417 • 30 oktober 2018 09:38

Omdat je anders dus nooit kan controleren of het een mens is of niet.

Het classificeren doen we door met heel veel mensen hetzelfde plaatje te klikken

Het idee is dat je van 9 plaatjes van 4 weet dat er geen auto staat en van 4 dat er geen auto staat. Het laatste plaatje kun je gebruiken om mee te classificeren. Je weet met 4/8 true positives en 4/8 true negatives immers al dat het 9 plaatje waarschijnlijk ook wel goed wordt aangegeven. Als 100 andere mensen met dezelfde scores ook dat negende plaatje met misschien (want het algoritme heeft al wel een vermoeden) auto ook classificeren als auto dan weet het algoritme daar de volgende keer beter mee om te gaan.

Omegium

@Anoniem: 24417 • 30 oktober 2018 09:33

Een deel weten ze al (van andere gebruikers) en een deel niet. Jij weet niet wat wat is, dus zo kunnen ze tegelijkertijd jouw menselijkheid testen, en hun datamodellen extra trainen.

Sharkoon @Anoniem: 24417 • 30 oktober 2018 09:36

Meestal bij VPN verbindingen krijg je dit soort checks.

Alex3 @Anoniem: 24417 • 30 oktober 2018 09:44

Ze laten dezelfde plaatjes ook aan anderen zien en kijken of de antwoorden hetzelfde zijn.

a153957 @Anoniem: 1111801 • 30 oktober 2018 09:53

Google: "Ah mooi! Dit mens is goed in plaatjes herkennen, laat deze er nog maar een paar doen."

David Mulder @Heedless • 30 oktober 2018 09:32

Ik mag meteen door 2 uit de 3 keer. Verrast te horen dat sommige mensen het zo veel meer hebben. Heb je misschien deleten van cookies aan staan ofzo?

Anoniem: 304028 @David Mulder • 30 oktober 2018 09:38

VPN gebruik helpt ook niet mee, merk ik zelf.

sohus @Anoniem: 304028 • 30 oktober 2018 09:47

Dit is precies het probleem. Een VPN is "verdacht" omdat hackers die ook allemaal gebruiken dus ben je snel de sjaak. Ik word er persoonlijk helemaal gek van.

zenlord @sohus • 30 oktober 2018 09:59

Een VPN heeft tot gevolg dat 1 IP-adres 'verdacht' veel verbindingen maakt en bandbreedte verbruikt in vergelijking met een enkele gebruiker op een enkel IP-adres. Exact wat bots ook kunnen teweeg brengen zonder VPN.

Heeft niets met hackers te maken.

nst6ldr @zenlord • 30 oktober 2018 10:31

Dit dus. Via de internet verbinding van het bedrijf hier zit je rustig een stuk of 8 keer die onzin op te lossen. Ik heb zelfs een keer verkeersborden moeten selecteren op een foto van een boom in een leeg veld.

David Mulder @Anoniem: 304028 • 30 oktober 2018 10:45

Ah ja, dat kan ik me inderdaad voorstellen. Zeker als het een consumenten VPN is (ipv eentje van werk).

Anoniem: 426269 @Heedless • 30 oktober 2018 10:09

"Ben het behoorlijk beu gratis arbeid voor Google te moeten doen."

Tsja, moet de websitebeheerder dan maar zijn webformulieren (en zijn pagina's/posts en database) laten misbruiken door spammers? Of zelf aan de slag en een paar dagen uittrekken om zelf een captcha te bouwen, die waarschijnlijk toch veel minder goed is dan die van Google waar een heel team op zit?

Ik vind het in elk geval een mooie service als websitebeheerder. En nu weer wat extra klandizie om de klanten te laten upgraden naar de nieuwe versie.

kozue @Anoniem: 426269 • 30 oktober 2018 13:56

En ik erger me ook rot aan websitebeheerders zoals jij die het nodig vinden mij verplicht data naar Google te laten sturen. Ik vind Google een spywarebedrijf en wil niks met ze te maken hebben, maar door websites zoals o.a. tweakers.net (zucht) wordt je er soms wel toe verplicht. Als je captcha's van derde partijen gebruikt, wees dan op z'n minst netjes en gebruik die van Google niet.

Anoniem: 426269 @kozue • 30 oktober 2018 23:41

"En ik erger me ook rot aan websitebeheerders zoals jij die het nodig vinden mij verplicht data naar Google te laten sturen."

Sorry, maar je valt dan gewoon niet in mijn doelgroep. Ik heb liever een bezoeker minder dan een site met een content/email vol spam.

Maarre, ik sta altijd open voor goede captcha alternatieven hoor.

ThaJens @Heedless • 30 oktober 2018 10:08

Helemaal als je bijvoorbeeld auto's moet klikken en er net een stukje uitsteekt op een volgend vlakje en je dus niet weet of je die nou zou moeten selecteren of niet. Heb je het fout, mag je nog 5 afbeeldingen doen.

Anoniem: 426269 @ThaJens • 30 oktober 2018 23:41

Echt nog nooit last van gehad, ook al klikte ik totaal verkeerde dingen in per ongeluk.

uniquorn @Heedless • 30 oktober 2018 10:24

Hier merk ik dat ook, tenzij ik Chrome gebruik, dan kom ik er eigenlijk altijd door zonder zoekplaatjes. Ik verbaas met er niet over, maar vind dat wel jammer.

vrow @uniquorn • 30 oktober 2018 13:04

Waarschijnlijk ben je in Chrome ingelogd op je Google-account.

Plompie @Heedless • 30 oktober 2018 11:11

Ik heb wel eens gehoord dat Google die captcha input gebruikt voor het verbeteren van zelf rijdende autos? Vandaar vaak auto's en verkeersborden die aangeklikt moeten worden.

Heedless @Plompie • 30 oktober 2018 16:38

Dacht je dat het toeval was dat het altijd beelden van Streetview zijn?

gjmi @Heedless • 30 oktober 2018 11:58

Natuurlijk weet Google het al, daarom kunnen ze ook zien dat jij geen bot bent

Heedless @gjmi • 30 oktober 2018 16:41

Ze weten het niet van alles. Dat is het hele idee, dat je gebruikers een aantal afbeeldingen voorzet waarvan je deels weet wat er op staat (en dus kan checken of de antwoorden goed zijn) en van een deel weet je het nog niet. Maar als 99 van de 100 bezoekers hetzelfde (voor jou onbekende) vlakje aanklikken, dan kan je er vanuit gaan dat dat vlakje ook het object bevat. Dat gebruiken ze vervolgens weer om hun eigen beeldherkenning te verbeteren

Hetzelfde toen ze nog die twee woorden gebruikten voor de recapcha's: van 1 woord wisten ze wat er stond, van het andere niet. Als genoeg mensen zeggen hetzelfde te lezen in dat onbekende woord dan weet je voortaan ook wat daar staat.

Kain_niaK @Heedless • 30 oktober 2018 09:10

Ik vind het best geinig dat je eigenlijk een computer bestuurde auto aan het leren bent wat ie op de weg tegenkomt. T'is wat dat de mens nu het slaafje van de robots aan het worden is! Dat je verplicht bent om die robots te trainen is slavernij!

telenut @Heedless • 30 oktober 2018 09:12

Moet je niet klagen over Google, maar bij de sitebeheerder, die willen de service gratis aanbieden...

Ciske @Jogai • 30 oktober 2018 11:51

Same here. Heb ook het probleem als je afbeeldingen moet aanklikken die weggaan en er komen andere bij, dit heel traag gaat en soms uiteindelijk dan alsnog fout is.

Zyphrax @Ciske • 31 oktober 2018 04:06

Vooral de vertraging tussen de afbeeldingen is zooooo irritant. Ik wil de site gebruiken, maar zit naar fades van seconden te kijken omdat het stomme ding denkt dat ik mogelijk een bot ben.

!mark @Jogai • 30 oktober 2018 09:07

Precies mijn ervaring met v2. Toch zeker 4 vd 5 keer is het klikken op ik ben geen robot niet voldoende en mag je plaatjes aan gaan klikken.

Zeker als er steeds nieuwe plaatjes met het element dat je moet aanklikken bijkomen op de plekken van plaatjes die je al hebt aangeklikt; welke je dan ook weer moet selecteren is het gewoon bloedirritant. Soms duurt het 'laden' van deze nieuwe plaatjes zelf gewoon ~10 seconde; dan ben ik tenzij ik er echt op moet ook gewoon weg...

Echter vraag ik me af in hoeverre dit echt bij Google ligt of gewoon bij site eigenaren die dat ding veel te strak afstellen. Op sommige sites mag ik bijv. vaak meteen naar het klikken op ik ben geen robot door, andere is het eenmalig die plaatjes aanklikken, weer andere ook steeds de nieuw terugkomende plaatjes en bij de ergste duurt het laden van die nieuwe plaatjes een tijdje

[Reactie gewijzigd door !mark op 22 juli 2024 14:05]

Anoniem: 455617 @Jogai • 30 oktober 2018 12:30

V2 deed wel meer als alleen "ik ben geen robot". Op dat moment kon het resultaat nog steeds "misschien robot" zijn waarna je een extra check kreeg zoals selecteer de autos/verkeersborden/winkelramen.
V3 Heeft ook zoiets, en daar heb je nu zelf meer controle over.

Ik vermoed dat bij V2 het ook al mogelijk is om de drempel voor "misschien een robot" als site beheerder in te stellen. Sommige sites (zoals KLM) krijg ik altijd minstens een stuk of vijf keer plaatjes met autos/verkeersborden/winkelramen voorgeschoteld terwijl andere sites altijd alleen een vinkje afdoende is.

BramVroy 30 oktober 2018 08:32

Kan iemand toelichten wat het verschil is met de Invisible Recaptacha? Ik vermoed dat dit een doorontwikkeling is met de nadruk op gedragsanalyse.

Overigens zou een insight leuk zijn waarbij je te zien krijgt hoeveel data er bij zo een captcha naar Google gestuurd wordt. Ze voeren een 'gedragsanalyse' uit, dus ik vermoed dat ze te allen tijde de positie van je cursor in de gaten houden inclusief timestamps en clicks? *vind ik niet leuk*

Aikon @BramVroy • 30 oktober 2018 08:37

Dus ze mogen wel weten welke pagina je bezoekt, maar niet waar je je muis houdt op die pagina? Ik dacht niet dat het nog eens zou zeggen: maar ja, je kan ook overdrijven met privacy.

Cerberus_tm

@Aikon • 30 oktober 2018 08:43

Op basis daarvan kunnen ze wellicht een fingerprint van je maken, waarmee je overal op het internet geïdentificeerd kunt worden zonder dat je het kunt blokkeren...

Blokker_1999

Websites en community's
Google

@Cerberus_tm • 30 oktober 2018 08:45

Next up, software die je muis automatisch verzet op het moment je er niets mee doet.

Gamebuster @Blokker_1999 • 30 oktober 2018 09:16

Dan ben jij nog makkelijker te herkennen: die persoon die zijn muis softwarematig verzet

MsG @Gamebuster • 30 oktober 2018 09:31

Want een website kan uitlezen of dat softwarematig gebeurt of echt is? Lijkt me niet.

Gamebuster @MsG • 30 oktober 2018 10:30

Niet relevant: je ziet bewegingen die uniek zijn.

Ligt eraan hoe je het implementeert ook. Als je vanuit een JavaScript plugin mouse-move events gaat triggeren kan je wel zien of deze echt of nep is.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 14:05]

MsG @Gamebuster • 30 oktober 2018 10:40

Ik denk dat je dat behoorlijk onderschat. Bot- en muisautomatiseringsscripts zijn ook niet achterlijk. Het feit dat men achter een computer met een muis soms ook al de beeldherkenning moet doen, en het vinkje "Ik ben geen robot" niet afdoende is, zegt al genoeg over hoe slecht onderscheidend een menselijke muisbeweging is ten opzichte van een geemuleerd script.

laptopleon @MsG • 30 oktober 2018 11:09

Ehhh… Dat bewijst toch juist hoe betrekkelijk makkelijk een ‘menselijke muisbeweging’ te onderscheiden is van een gerobotiseerde?

Je zou juist verwachten dat een muisbeweging eenvoudig een beetje menselijk-achting te randomizen is maar blijkbaar valt dat erg tegen.

Dat het op enig moment ingehaald wordt door de kat/muis voortschrijdend inzicht was te verwachten maar deze techniek heeft het toch een aardig poosje volgehouden.

[Reactie gewijzigd door laptopleon op 22 juli 2024 14:05]

MsG @laptopleon • 30 oktober 2018 11:11

Pas in het gedeelte met de afbeeldingen, maar het liefst ziet Google én de gebruiker dat alleen het vinkje aanvinken genoeg is, om het onderscheid te maken tussen een computer en een mens. En gezien duizenden mensen dagelijks alsnog die uitgebreidere captcha krijgen, zegt het dus dat met puur dat vinkje aanvinken, dus muisbewegingen en klikacties, er lang niet altijd genoeg is, om je te kunnen onderscheiden van een bot.

laptopleon @MsG • 30 oktober 2018 15:21

Ik heb dat maar eens per jaar, dat ik de uitgebreidere captcha te zien krijg, hooguit. Ik gebruik een IP wat niet door een VPN-server of bedrijfsserver gebruikt wordt. Aan de hand van de discussie hierboven krijg ik daarom de indruk dat de uitgebreidere captcha ingezet wordt als Google inschat dat je een hacker(bot) bent, op basis van zo'n gedeeld IP. Niet omdat je buisbeweging niet echt genoeg is.

Cerberus_tm

@Gamebuster • 30 oktober 2018 16:32

Ik zou software buiten de browser gebruiken dan. Die natuurlijk ogende bewegingen maakt door stukjes opgenomen beweging te combineren en te bewerken.

Unsocial Pixel @Gamebuster • 30 oktober 2018 11:13

Vind ik leuk, ik automatiseert sites die ik veelvuldig gebruik zodat ik mijn bijv. Belangrijke mail in een seconde in overzicht heb dmv Selenium en KeyEvents. Never dat ik die captchas krijg xD plus het is een fijne gedachte dat ikzelf vrij clean de boel kan doorspitten op mijn elke keer schoongeveegte firefox

Cerberus_tm

@Unsocial Pixel • 30 oktober 2018 16:25

Wat is Key Events?

Enai @Blokker_1999 • 30 oktober 2018 09:44

Die bestaat, om geld af te troggelen van mensen die niet weten hoe je de screensaver uitzet.

Cerberus_tm

@Blokker_1999 • 30 oktober 2018 16:33

Goed idee!

BramVroy @Aikon • 30 oktober 2018 09:14

Je kan overdrijven met privacy, en je kan ook oogkleppen ophouden. Het is een spectrum.

Christoxz @BramVroy • 30 oktober 2018 08:35

In principe niks. in 2016 maakte ze de ontwikkeling bekend onder de naam Invisible Recaptcha. Dat is nu dus gewoon V3 geworden.

Wat in mijn ogen de beste keuze is. Makkelijker om de huidige gebruikers van V2 te pushen naar V3.
In plaats van hun kennis te maken met een nieuwe naam, dit voorkomt het gevoel dat je ineens wat anders gebruikt.

[Reactie gewijzigd door Christoxz op 22 juli 2024 14:05]

Blokker_1999

Websites en community's
Google

@BramVroy • 30 oktober 2018 08:37

Dit is waarschijnlijk die recaptcha die nu bijna 2 jaar later eindelijk als klaar voor algemeen gebruik wordt aanzien.

keesdewit @BramVroy • 30 oktober 2018 14:51

*wat kan het kwaad*

z1rconium @BramVroy • 30 oktober 2018 08:43

Bekijk de uitleg van google hoe deze werkt.
Precies wat je zegt: ze houden elke klik bij, maar goed ik had niet anders verwacht van google, dit is hun business.

Vanuit GDPR gezien verplicht dit sites die het gebruiken om hier goedkeuring voor te vragen, nog nooit gezien op een site moet ik zeggen

Zebby @z1rconium • 30 oktober 2018 09:29

Moet al zodra je de tracker voor Google Analytics gebruikt, dus ik vermoed dat de meeste sites een net gooien die zegt "Ga akkoord met alles svp". Of het helemaal zuiver is weet ik niet. Wij gaan binnenkort ook een implementatie doen van Analytics dus moet ook goed gaan kijken naar de cookie eisen. We hebben al ReCAPTCHA, dus kan ik gelijk checken hoe het daarmee staat...

Cerberus_tm

@Zebby • 30 oktober 2018 16:29

Waarom gebruik je niet iets anders dan Google Analytics? Iets dat je zelf kunt hosten?

Zebby @Cerberus_tm • 30 oktober 2018 19:35

De klant wil minimaal betalen maar wel de wereld

Hebben verder totaal geen ervaring in de analytics, dus het is uiteraard mogelijk, maar Google is wel "de" standaard.

Cerberus_tm

@Zebby • 31 oktober 2018 00:11

Ik snap het, maar volgens mij zijn er wel plug-and-play-dingesen die je zelf kunt hosten.

MSalters @z1rconium • 30 oktober 2018 10:21

Er wordt tegenwoordig nogal makkelijk " GDPR" geroepen. Wáárom denk je dat dit onder de GDPR valt? Dat er computers gebruikt worden is onvoldoende, het meeste wat met computers gebeurt valt niet onder de GDPR. Alleen bepaalde persoonsgegevens vallen eronder. "I am not a Robot" is geen persoonsgegeven, dat geldt namelijk voor alle personen in gelijke mate.

FlaffTweakr @MSalters • 30 oktober 2018 11:57

Welke data moet Google verzamelen om te bepalen of je "not a robot" bent dan? Persoonsgegevens. Anders kan je het moeilijk of niet rendabel bepalen.

Stel dat men al die data doorspit om met een algoritme te bepalen:
- hoe sterk je interesse is om iets te kopen
- wanneer jouw geduld op is om verder te zoeken - o.b.v. een persoonlijke karakteristiek
- hoeveel geld je kán uitgeven die dag

Men kent namelijk je gezondheidsstatus, je gemoed, je typische uitgavenpatroon, je agenda/slaappatroon, .. Zo kan men in principe de verkoopsprijs van een product afregelen zodat het uitkomt op je persoonlijke maximum op het moment dat je het mééste kans vertoont dit te kopen. Ook verzekeringen zijn hier veel mee. En denk niet dat de mega-internetbedrijven die per persoon zoveel cpu-cycles 'gratis aanbieden' aan iets anders denken dan winstmaximalisatie. Bovendien kan je politici chanteren en dus het beleid beïnvloeden eenmaal toegang tot persoonlijke profielen mogelijk wordt. Die toegang is waarschijnlijk toch nodig tijdens het debuggen.

MSalters @FlaffTweakr • 30 oktober 2018 12:43

Welke data moet Google verzamelen om te bepalen of je "not a robot" bent dan? Persoonsgegevens.

Dat is niet eens een cirkelredenering. Dat is claimen dat het persoonsgegevens zijn, alleen omdat je zegt dat het persoonsgegevens zijn.

mjz2cool @FlaffTweakr • 30 oktober 2018 14:19

Nee hoor, daar gebruiken ze helemaal geen persoonlijke gegevens voor. Persoonlijke gegevens zijn te koppelen aan een individu.

hoe sterk je interesse is om iets te kopen: geen persoonlijk gegeven
wanneer jouw geduld op is om verder te zoeken: geen persoonlijk gegeven
hoeveel geld je kán uitgeven die dag: ik neem aan dat je bedoelt de kans dat je een bepaald bedrag uit gaat geven, ook geen persoonlijk gegeven.

Al dit soort gegevens valt niet te koppelen aan alleen jou als individu.

dakka @MSalters • 31 oktober 2018 04:37

mensen moeten toch wat roepen om interessant te klinken..

zelfs de mensen die de gdpr moeten handhaven/bedacht hebben snappen er geen bal van, maar tweakertje henk is expert

[Reactie gewijzigd door dakka op 22 juli 2024 14:05]

WillySis @z1rconium • 30 oktober 2018 09:16

Ook bij recaptcha v2 wordt je muis en de clics al gevolgd. Normaal wordt een "i am not a robot" getoond, maar bij verdacht gedrag worden dat een aantal plaatjes waar je huisnummers, of verkeersborden in moet aanwijzen.

Het is me al opgevallen dat die beslissing (vaak) vooraf wordt gemaakt. Ergens moet dus al een hoeveelheid analyses zijn gedaan. Ik vermoed dat die niet aan de website maar aan een persoon worden gekoppeld. Als je één keer de plaatjes krijgt, krijg je die minimaal een aantal dagen na elkaar, zelfs op sites waar je normaal "I am not a robot" krijgt. Zelfs op een nieuwe site die net in elkaar is gesleuteld.

Google doet geen melding over het verzamelen van data op de achtergrond. Een uitspraak als: "The new reCaptcha introduces Actions, a tag that can be used to trigger next steps and perform risk analysis “in context.” Unlike reCaptcha v2 and v1, which were designed to run in isolation on a single webpage, reCaptcha v3 takes into account signals across multiple pages as it attempts to identify potential attackers. From these analyses, a score (between 0 and 1) is generated and displayed in the reCaptcha administrator console, which also shows a breakdown for the stats of the top ten actions on a given site. (bron: https://venturebeat.com/2...tect-potential-attackers/" Doet echter vermoeden dat Google op slinkse wijze allerhande data aan het verzamelen is.
Versie 1 was een simpele recaptcha zonder data-analyse, maar die is sinds maart niet meer beschikbaar.

WillySis @HansvDr • 30 oktober 2018 11:44

Dat is wel een heel vrije vertaling!
De add-blokkers zijn wel een probleem voor Google, maar via de zoekresultaten worden nog voldoende reclames getoond om lekker rijk van te kunnen worden.
Ik maak me eerder zorgen om eventuele analyses die de acties van bots (maar gelijk ook van personen) over verschillende sites.

AerodynamiX 30 oktober 2018 08:30

Ben ik dus niet de enige die vaak moeite heeft om de captcha's juist in te vullen. Vrolijk meerdere malen achter elkaar alle foto's met straatnaambordjes, auto's of etalage's moeten aanklikken terwijl ik zeker wat dat ik bij de eerste poging al correct gehandeld heb

BlueKingNL @AerodynamiX • 30 oktober 2018 08:32

Moet je de palen van het bordje ook meerekenen?

SeenD @BlueKingNL • 30 oktober 2018 08:36

Nee, die horen er niet bij. Het gaat om de borden.

Maar ik heb die captcha's dat ik iets moet selecteren echt zelden, de vink captcha gaat eigenlijk altijd goed. Misschien 2x per jaar niet.

Lagonas @SeenD • 30 oktober 2018 08:43

Vroeger speelde ik erg veel minecraft tijdens een langdurig ziekteverlof (je moet wat), waar elke server dit wel gebruikte om te stemmen voor extra items. Ik merkte al redelijk snel dat gemiddeld de eerste 3 gebruiken er an goed ging waarna je de plaatjes begon te krijgen. Deze werden met de keer moeilijker. Ik heb hem zelfs al eens gehad waar ik bij 3 verschillende plaatjes een figuur om een verkeersbord moest tekenen. Ik ben er nooit achter gekomen hoe die precies werkt.

Caayn @SeenD • 30 oktober 2018 09:03

Dan heb jij geluk. Bij mij is het iedere keer raak en moet ik meerdere malen als een kleuter plaatjes aanklikken

Rinaldootje

@Caayn • 30 oktober 2018 10:00

Dat heb ik ook, lees net, dat het ook privacy badger kan liggen. De volgende keer die maar even uitschakelen, alhoewel ik vaak na twee pogingen de site dan maar voor de site laat en naar een andere ga.
Ik ben geen kleuter en wil ook niet zo behandeld worden.

AerodynamiX @BlueKingNL • 30 oktober 2018 08:35

Dat is mij dus ook altijd onduidelijk. Je zou zeggen van niet, omdat het geen straatnaambordje is...

Brousant @AerodynamiX • 30 oktober 2018 08:34

Dat kan wel zijn, maar hoe weet ik dat jij geen bot bent die hier reageert

Loggedinasroot @AerodynamiX • 30 oktober 2018 08:36

Je doet zo alleen maar meer gratis werk voor Google.

Keypunchie @AerodynamiX • 30 oktober 2018 09:07

Kans is dat je het juist *te* goed doet. Zo'n systeem is er om mensen te detecteren. Mensen maken fouten.

Het vervelende is dat (by design), we niet weten wat Google precies zoekt. Maar 1 van de detectie-criteria die ik weet van een soortgelijk systeem is snelheid tussen twee muiskliks. Een puur geautomatiseerd/gerobotiseerd systeem beweegt te snel vs. een mens. Ook precies evenveel tijd tussen kliks is een aanwijzing.

Dat een bot-maker dan simpelweg zijn kliks vertraagt is overigens al winst. Een van de grote problemen met geautomatiseerde scripts/account-makers is het enorme volume dat ze doen. Door ze te vertragen maak je jouw systeem al minder interessant, heb je meer tijd om ze te detecteren.

(Bijvoorbeeld als iemand bezig is om geautomatiseerd een heel gegevensbestand met usernames/passwords door jouw site te trekken, om te kijken of hij beet krijgt).

[Reactie gewijzigd door Keypunchie op 22 juli 2024 14:05]

thedicemaster @AerodynamiX • 30 oktober 2018 09:35

ik heb een paar "leuke" gehad.
foto van 3 scooters, selecteer de motoren.
foto van een paar auto's, selecteer de bus.
als je dan niks selecteert krijg je een nieuw zoekplaatje voorgeschoteld.

mjz2cool @AerodynamiX • 30 oktober 2018 14:20

vaak moet je het sowieso al vaker doen.

jerheij 30 oktober 2018 08:26

Klinkt me als muziek in de oren. Hopen dat veel websites hier snel naar overschakelen. Niet meer van die "Selecteer de auto's" vijf keer te moeten doen of de gemaskeerde tekst overtypen. De v2 kom ik jammer genoeg bijna niet tegen.

o.t.:
Kan het zijn dat adblockers er voor zorgen dat recaptcha soms niet helemaa lekker werkt?

XyritZz @jerheij • 30 oktober 2018 08:31

Volgens mij is "Selecteer de auto's" nu juist Recaptcha V2. Het selecteren van auto's, verkeersborden etc. wordt gevraagd wanneer de primaire methode (het vinkje inschakelen) faalt.

Blokker_1999

Websites en community's
Google

@XyritZz • 30 oktober 2018 08:34

Ik dacht dat het opkwam wanneer Google weer een nieuwe lading streetview foto's had die hun machine learning niet goed kon herkennen.

WoBBeL

@Blokker_1999 • 30 oktober 2018 09:27

Daar wordt het heel slim voor gebruikt (net zoals het digitaliseren van boeken bij de V1 variant), maar alleen als ze je niet konden onderscheiden van een bot (alleen "ik ben geen robot" aanvinken).

Unsocial Pixel @Blokker_1999 • 30 oktober 2018 11:16

Nooit opgevallen dat die plaatjes altijd detzelfde zijn? Volgens mij hebben ze slechts 3sets ofzo

DrDentz @Blokker_1999 • 30 oktober 2018 11:26

Meer nog, het is live:
https://xkcd.com/1897/

elmuerte @jerheij • 30 oktober 2018 09:15

> Kan het zijn dat adblockers er voor zorgen dat recaptcha soms niet helemaa lekker werkt?

Ja, je gaat met v3 hierdoor een lagere score halen, en waarschijnlijk niet genoeg om in te kunnen loggen.

HansvDr @elmuerte • 30 oktober 2018 10:20

Logisch, want alles staat bij Google in het teken van reclame verkopen. Hiermee schakelen ze mooi de add-blockers uit.

m1dnigh7 @jerheij • 30 oktober 2018 08:54

Ik heb een tijdje privacy badger gebruikt, en daardoor moest ik elke keer opnieuw die fotootjes aanklikken. Dan liever geen privacy badger. Ik heb de indruk dat abp daar dan weer geen impact op heeft.

Anoniem: 30722 30 oktober 2018 08:26

Mooi, want van tig keer de 'juiste' foto's aanklikken haakte ik nogal eens af.

Vreselijke zooi die captcha's!

ManIkWeet @Anoniem: 30722 • 30 oktober 2018 08:32

Die foto's, die langzaam vervagen als je ze aanklikt, zijn verschrikkelijk!

Ik ben alleen benieuwd wat de Europeese tracering wetten hiervan vinden...

Anoniem: 420148 @ManIkWeet • 30 oktober 2018 08:39

Wat zijn “tracering wetten”, en hoe kunnen die een mening hebben over het niet hoeven invullen van captcha? Google volgde je sowieso al via Analytics en de oude captcha, dus het lijkt me niet dat er nu iets anders is op privacy-gebied.

t link @Anoniem: 420148 • 30 oktober 2018 08:51

GDPR. en google analytics kon je nog nee tegen zeggen, captcha niet want dan heb je geen toegang meer tot de site wat volgens GDPR niet mag.

MSalters @t link • 30 oktober 2018 10:25

Je haalt hier niet twee maar drie dingen door elkaar. Cookie-muren zijn geen GDPR, en het maken van een captcha is geen persoonsgegeven dus ook geen GDPR.

t link @MSalters • 30 oktober 2018 12:21

Ik heb het niet over cookiemuren, GDPR gaat over persoonsgegevens inderdaad en hier verzamelen ze gedragsgegevens met zn accuratie dat je personen van elkaar kan onderscheiden wat het dus persoonsgegevens maakt. netzoals dat biometrie, ookal is het gehashed, persoonsgegevens zijn. Via GDPR zijn trouwens de cookiewetgevingen veranderd omdat GDPR de defenitie van consent aangepast heeft. dus GDPR en cookiewet kan je eigenlijk niet echt los zien van elkaar, de cookiewet is afhankelijk van GDPR.

[Reactie gewijzigd door t link op 22 juli 2024 14:05]

MSalters @t link • 30 oktober 2018 12:35

Uit de GDPR (AVG): persoonsgegevens zijn "... een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon".

In welk van die 7 categorieën valt het selecteren van vakjes met daarin een auto?!

t link @MSalters • 30 oktober 2018 14:55

Mooie strooiman, maar ik heb het toch duidelijk niet over klikken op een vakje met een auto, maar de identificatie technologie erachter.

quote: https://termsfeed.com/blog/privacy-policy-recaptcha/
EU User Consent requirement

When users in the EU will be presented with your reCAPTCHA and have their personal information collected during authentication, Google has a special EU User Consent Policy that must be followed.

Screenshot of Google EU User Consent Policy

This consent policy has a few requirements:

You must use “commercially reasonable” efforts to disclose your data collection, sharing and usage practices as a result of your use of Google products,
You must obtain consent to collect, share and use any such data, and
You must also use “commercially reasonable” efforts to provide end users with “clear and comprehensible” information about any cookie accessing and storing, and
You must obtain consent to access and store these cookies.

Required notices can be accomplished through including specific clauses and information in a Privacy Policy and/or Cookie Policy.

Once you have these policies in place and the information is available to your users, obtaining consent can be as easy as having your users actively check a box that shows they consent to your data collection, usage and sharing, as well as to the storing and accessing of cookies.

MSalters @t link • 31 oktober 2018 13:13

Heb je het stukje "and have their personal information collected during authentication" gelezen? Dat is wat de GDPR verplichting veroorzaakt, niet de reCAPTCHA.

t link @MSalters • 31 oktober 2018 16:42

Dus het authenticatieproces van reCAPTCHA verwerkt persoonsgegevens, maar reCAPTCHA als geheel volgens jou niet? je spreekt jezelf behoorlijk tegen.

t link @MSalters • 30 oktober 2018 14:58

quote: https://www.privacy-regul...l-4-definities-EU-AVG.htm
1) "persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Hier valt duidelijk dus ook een identificatienummer of een online identificator onder zoals de cookies die nodig zijn voor reCAPTCHA.

[Reactie gewijzigd door t link op 22 juli 2024 14:05]

MSalters @t link • 31 oktober 2018 13:15

Waarom denk je dat? Sessie-cookies worden in de regel niet gezien als persoonsgegevens.

t link @MSalters • 31 oktober 2018 16:40

Heb je een bron ervoor dat sessie cookies niet worden gezien als persoonsgegevens? sessiecookies worden gezien als vitaal voor basisfunctionaliteit en kan je daarom bijna altijd niet weigeren, dat maakt het niet geen persoonsgegeven.

MSalters @t link • 31 oktober 2018 18:23

Nee - de AVG beschrijft wat wél persoonsgegevens zijn, dus ik kan geen wet laten zien waarin staat dat sessie-cookies dat niet zijn. Dat is nu eenmaal het uitgangspunt.

t link @MSalters • 31 oktober 2018 21:15

GDPR beschrijft identificatie nummers ook als persoonsgegevens, een reclame ID is bijvoorbeeld een persoonsgegeven, een sessieID in een sessie cookie zal dus ongetwijfelt ook gewoon een persoonsgegeven zijn.

MSalters @t link • 1 november 2018 10:22

Waarom? Datzelfde nummer kan in een volgende sessie hergebruikt worden voor een ander persoon, en is dus niet uniek geassocieerd met één enkele persoon.

t link @MSalters • 1 november 2018 16:59

Je geboortedatum is ook niet uniek, toch is dat echt een persoonsgegeven. Het word ook echt specefiek genoemt voor artikel 4.

quote: https://www.gdpreu.org/th...y-concepts/personal-data/
Recital 30 clarifies “online identifier” as mentioned in the Article 4 definition of personal data as below:

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

Mensen onderschatten echt zwaar hoe ver GDPR gaat, GDPR hervormt het internet zoals wij dat kennen, bedrijven kunnen niet meer zomaar een net uitzetten en alle data die ze maar kunnen pakken verzamelen en analyseren zonder dat ik daar expliciet toestemming voor geef en ook de mogelijkheid heb nee te zeggen zonder dat het negatieve gevolgen heeft.

[Reactie gewijzigd door t link op 22 juli 2024 14:05]

Anoniem: 426269 @t link • 30 oktober 2018 23:47

"... dat je personen van elkaar kan onderscheiden ... "

Het is toch personen onderscheiden van robots? Niet echt personen van elkaar lijkt me.

Maar goed, in je AVG/GDPR/Privacy Policy/Cookie Policy dus vermelden dat je Google reCaptcha gebruikt (net zoals zovelen Google Analytics gebruiken en erbij zetten) en dan moet het okee/ingedekt zijn, toch?

t link @Anoniem: 426269 • 31 oktober 2018 08:29

Nee want je krijgt een score per persoon, en recaptcha zelf verwerkt wel persoonsgegevens namelijk een devicefingerprint. een devicefingerprint kan accurater zijn dan vingerafdrukken zoals in de rechtzaal word gebruikt om iemands identiteit te bepalen, al helemaal als je het over telefoons hebt die praktisch maar door een persoon gebruikt worden. En om AVG wetten te volgen moet consent ondubbelzinnig gegeven worden zonder negatieve gevolgen voor weigering. reCAPTCHA kan je nog van argumenteren dat het echt nodig is voor de veiligheid van de site, google analytics niet en moet naar mijn mening echt optioneel zijn. reCAPTCHA zou ik natuurlijk het liefst ook optioneel zien maargoed, er is nietecht een goed alternatief.

[Reactie gewijzigd door t link op 22 juli 2024 14:05]

Anoniem: 420148 @t link • 30 oktober 2018 10:32

Hypewoord. Alleen gebruiken als je het hebt gelezen aub. Captcha slaat geen persoonsgegevens op, dus is niet relevant. Overigens, volgens mij verbied de GDPR nergens dat ik je de toegang niet mag ontzeggen tot mijn site, om wat voor reden dan ook.

[Reactie gewijzigd door Anoniem: 420148 op 22 juli 2024 14:05]

t link @Anoniem: 420148 • 30 oktober 2018 12:31

Je mag geen toegang weigeren op basis van consent behalve in een paar hele specefieke gevallen zoals korting vouchers ofzo.

"What is ‘freely given’?

Consent means giving people genuine choice and control over how you use their data. If the individual has no real choice, consent is not freely given and it will be invalid.

This means people must be able to refuse consent without detriment, and must be able to withdraw consent easily at any time. It also means consent should be unbundled from other terms and conditions (including giving separate granular consent options for different types of processing) wherever possible.

The GDPR is clear that consent should not be bundled up as a condition of service unless it is necessary for that service:

Article 7(4) says:

“When assessing whether consent is freely given, utmost account shall be taken of whether… the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.”

And Recital 43 says:

“Consent is presumed not to be freely given… if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.”

Example

An online furniture store requires customers to consent to their details being shared with other homeware stores as part of the checkout process. The store is making consent a condition of sale – but sharing the data with other stores is not necessary for that sale, so consent is not freely given and is not valid. The store could ask customers to consent to passing their data to named third parties but it must allow them a free choice to opt in or out.

The store also requires customers to consent to their details being passed to a third-party courier who will deliver the goods. This is necessary to fulfil the order, so consent can be considered freely given - although ’performance of a contract’ is likely to be the more appropriate lawful basis.

In some limited circumstances you might be able to overturn this presumption that bundled consent is not freely given, and argue that consent might be valid even though it is a precondition and the processing is not strictly necessary. You need to be able to demonstrate a very clear justification for this, based on the specific circumstances.

However, this is likely to be unusual. Given the language of Article 7(4) and Recital 43, you would always be taking a risk that the consent would be considered invalid as not ‘freely given’. In general, it would be better to rely on ‘legitimate interests’ as your lawful basis in such cases, combined with clear and transparent privacy information.

The GDPR is also clear that people must be able to refuse and withdraw consent without being penalised:

“Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.”

The ICO’s view is that it may still be possible to incentivise consent to some extent. There will usually be some benefit to consenting to processing. For example, if joining the retailer’s loyalty scheme comes with access to money-off vouchers, there is clearly some incentive to consent to marketing. The fact that this benefit is unavailable to those who don’t sign up does not amount to a detriment for refusal. However, you must be careful not to cross the line and unfairly penalise those who refuse consent."

Anoniem: 420148 @t link • 30 oktober 2018 17:38

Goed, daar heb je het al "consent should not be bundled up as a condition of service unless it is necessary for that service"

Dit kun je erg makkelijk meenemen in je dienst, en er zijn zoveel sites dat echte controle, behalve voor de grootsten, volgens mij nauwelijks wordt uitgevoerd. Als ik een site begin als Tweakers, en ik eis je telefoonnummer en email onder de noemer "Op mijn site vereis ik 2traps-authenticatie via SMS" (Zoals de overheid dit ook doet met DigiD) dan is het al gedaan.

t link @Anoniem: 420148 • 30 oktober 2018 18:20

Het klopt dat controle nouwelijks word uitgevoerd, alleen na klachten van consumenten geloof ik in nederland. Je zal er ongetwijfelt mee weg komen, en met iets als 2FA zal het ongetwijfelt toegestaan zijn mitst inloggen echt een vereiste is voor de functionaliteit. voor tweakers zou je dat bijvoorbeeld niet kunnen zeggen, omdat je het nieuws aspect van de site prima zonder in te loggen kan gebruiken, eveneens als met de pricewatch. Wel heb je dat je moet kunnen verantwoorden waarom je een telefoonnummer vraagt, veel beter zou zijn een TOTP seed aan te bieden naast een telefoonnummer, technisch is dit net zo uitvoerbaar zonder dat je persoonsgegevens verwerkt ervoor.

Heedless @ManIkWeet • 30 oktober 2018 09:02

Inderdaad, wat is de deal met die dingen? De normale zijn al irritant maar die plaatjes die er 5 seconden over doen om te wisselen naar een nieuwe (die je dan óók nog eens aan moet klikken) zijn echt verschrikkelijk. Ook geen idee wanneer je die krijgt en wanneer de normale.

119961 @Anoniem: 30722 • 30 oktober 2018 11:17

http://www.commitstrip.com/en/2018/09/24/trolling-the-ai/

xvilo 30 oktober 2018 08:35

For this reason, we recommend including reCAPTCHA verification on forms or actions as well as in the background of pages for analytics.

Lekker data minen dus, persoonlijk stap ik steeds meer af van grote tech/advertentie bedrijven zoals Google. Mij niet gezien hier in iedergeval.

HansvDr @xvilo • 30 oktober 2018 10:50

De meerderheid van de websites zal het vast gaan gebruiken. Ze vertellen dat het tegen spammers is maar eigenlijk is het tegengaan van Add-Blockers en Analytics-Blockers.

Alle data voor Google!

Trommelrem 30 oktober 2018 08:54

Misschien moet Google eerst het systeem eens verbeteren, want het werkt voor geen meter. Het is behalve een ergernis ook gewoon een dom systeem, omdat het systeem mensen niet herkent.

stresstak @Trommelrem • 30 oktober 2018 13:37

Het is behalve een ergernis ook gewoon een dom systeem, omdat het systeem mensen niet herkent.

Te meer omdat men veel van me schijnt te weten. Maar niet dat ik een mens ben.
Hee Google, ik ben het.! Stresstak.

timvisee 30 oktober 2018 08:56

Gaaf, voor de eindgebruiker dan.

Zelf ben ik hier echter geen fan van. Google raad aan reCAPTCHA v3 op zoveel mogelijk pagina's te implementeren om zo'n goed mogelijke score voor gebruikers (en robots) te kunnen bepalen, logisch. Dat betekent dus wel dat je dan op elke pagina een externe blob JavaScript implementeert om bij te houden welke pagina's je bezoekt, waar je naar kijkt, hoe je scroll't, waar je je muis over beweegt, en dat op de achtergrond naar Google servers stuurt.
En blokkeren? Hó maar, dan kom je een dergelijke website niet meer in.

[Reactie gewijzigd door timvisee op 22 juli 2024 14:05]

tom.cx 30 oktober 2018 09:03

Wat is het grote verschil tussen zelf een captcha hosten en die van Google dan? Maakt dit zn groot verschil?

DedSec85 30 oktober 2018 09:11

Ik word altijd helemaal gek van die CAPTCHA meldingen. Soms krijg ik 10 van dat soort acties achter elkaar...eerst zebrapaden, dan bussen, auto's, etalages, stoplichten etc.

Nu gebruik ik ook ad-blockers en zit ik altijd achter een VPN dus wellicht dat dat ermee te maken heeft.

Ik hoorde een tijdje geleden in een podcast van BNR dat die CAPTCHA meldingen voornamelijk bedoeld zijn om de A.I. van zelfrijdende auto's sterk te verbeteren. Je krijgt namelijk ook altijd zaken in het verkeer te zien. Nooit zie je iets van "Klik alle koeien in de wei aan"....

Anoniem: 736981 @DedSec85 • 30 oktober 2018 09:47

Idem, ik zat er altijd 2 of 3x naast. Helemaal klaar met zo'n dingen.

Op dit item kan niet meer gereageerd worden.

Google introduceert reCaptcha-versie die geen interactie van gebruiker vereist

Lees meer

IT-banen

Reacties (141)

Sorteer op:

Weergave: