進去館長的網站 https://notorious-2019.com/ 會發現需要先驗證 hCaptcha , 能理解這個原理 , 是自己做不到完善惡意流量抵擋 , 所以想要依靠第三方。
但是會導致使用者覺得很莫名其妙 , 原本期待是像 pchome 的頁面出現 , 結果變成一個奇怪網頁
請問抵擋惡意流量的第三方服務 , 是否這樣是主流做法 ?
是否有可以不顯示第三方驗證畫面 , 也能達到同樣效果的服務呢 ?
已邀請的邦友 {{ invite_list.length }}/5
惡意流量的定義範圍很廣泛, 但 Captcha 通常只能用來防止惡意流量其中的機器人爬蟲而已, 並沒有辦法阻擋所有的惡意流量 (例如: UDP Flooding, Slowloris...等等)
回到 Captcha, 本來就有隱形版的 reCaptcha 可用:
reCAPTCHA v2 Invisible,不用再把「我不是機器人」列入頁面設計考量
但 reCaptcha 是 Google 提供的服務, 如果你的商業服務跟 Google 有競爭性的話 (例如: Cloudflare 的 Anti-DDoS 服務 vs. GCP 的 Armor 服務), 這時候, 你怎知 Google 會不會私底下亂搞你使用的 reCaptcha API, 讓你的服務出錯?....
所以, Cloudflare 自己開發了一個 hCaptcha 出來, 主要是為了要擺脫 Google 的服務 (當然, 他的技術文件裡面寫了一大堆好處, 想研究的可以去看看; 但它們雙方在商業利益上有衝突是顯而易見的)
套用 Cloudflare hCaptcha 的好處是: 你不需要改自己的程式, 只要套上他的 CDN, 開啟 Captcha 功能, 她就會自動幫你做出來. 若要用 Google 的 reCaptcha 的話, 你就要自己寫程式串接, 還要去申請帳號驗證....
所以 hCaptcha 也可以看成是懶人的 Captcha
(但並不是說他不好喔...要看你自己怎麼想...)
iThome鐵人賽
看影片追技術