reCAPTCHA v3: normale user experience, (veel) minder privacy?

imageDe term CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) is ooit bedacht door wetenschappers om spam tegen te gaan. En hun bedenksel was geen onverdeeld genoegen voor het enige slachtoffer ervan; de mens. Ruim 10 jaar geleden gaf ik al uiting aan mijn frustratie over CAPTCHA’s met de blog posting Captchas, ideaal voor luie sites en beledigend voor bezoekers:

[…] met captchas wentel je het spam probleem dus af op de mensen die de moeite hebben genomen jouw site te bezoeken. Beledigend en onnadenkend. Om niet te zeggen ongelofelijk stom.

Het is vrijwel onvoorstelbaar dat in de huidige user-centric (misschien overdrijf ik hier een beetje) online wereld bezoekers nog altijd naar ‘proof of life’ wordt gevraagd door op allerlei vlakken te moeten klikken die een auto, een stoplicht, een winkeletalage of weet-ik-wat representeren. Om bij succesvolle afronding dat mooie, groene vinkje te zien te krijgen in combinatie met de tekst I’m not a robot. Die bevestiging had ik echt even nodig…

Hoera(?) Er is licht aan het eind van de tunnel
We zijn ondertussen bijna 11 jaar verder en sinds enkele maanden is reCAPTCHA v3 gearriveerd. En verdraaid nog aan toe, eindelijk is de mens niet langer lijdend voorwerp:

Now with reCAPTCHA v3, we are fundamentally changing how sites can test for human vs. bot activities by returning a score to tell you how suspicious an interaction is and eliminating the need to interrupt users with challenges at all. reCAPTCHA v3 runs adaptive risk analysis in the background to alert you of suspicious traffic while letting your human users enjoy a frictionless experience on your site.

Dat klinkt allemaal prachtig en dat is het ook. De gebruiker wordt niet langer geconfronteerd met een stompzinnig of onleesbaar testje. De slechte user experience van de voorgaande CPATCHA versies is geëlimineerd. Maar is het dan uitsluitend rozen, rumbonen en rode wijn? Nee.

Maar dat tunnellicht toont ook een zwart gat
Wat leveren wij in voor een normale user experience? Eén keer raden! Privacy!! En omdat reCAPTCHA van Google is, leveren wij dus op privacy in aan Google.Jippie!!

According to two security researchers who’ve studied reCaptcha, one of the ways that Google determines whether you’re a malicious user or not is whether you already have a Google cookie installed on your browser. It’s the same cookie that allows you to open new tabs in your browser and not have to re-log in to your Google account every time. […], it appears that Google is also using its cookies to determine whether someone is a human in reCaptcha v3 tests. […]. Google did not respond to questions about the role that Google cookies play in reCaptcha.

To make this risk-score system work accurately, website administrators are supposed to embed reCaptcha v3 code on all of the pages of their website, not just on forms or log-in pages. Then, reCaptcha learns over time how their website’s users typically act, helping the machine learning algorithm underlying it to generate more accurate risk scores. Because reCaptcha v3 is likely to be on every page of a website,  if you’re signed into your Google account there’s a chance Google is getting data about every single webpage you go to that is embedded with reCaptcha v3—and there many be no visual indication on the site that it’s happening, beyond a small reCaptcha logo hidden in the corner.

Wel eens van Big Brother gehoord?

Wat cijfertjes
Volgens Fast Company is reCAPTCHA wel een dingetje:

According to tech statistics website Built With, more than 650,000 websites are already using reCaptcha v3; overall, there are at least 4.5 million websites use reCaptcha, including 25% of the top 10,000 sites.

Conclusie
Google zegt dat er met reCAPTCHA v3 sprake is van een verbeterde user experience, maar dat is natuurlijk niets meer dan marketing praat. Feitelijk keert de user experience terug naar het normale niveau van vóór de uitvinding van de perfide (re)CAPTCHA. We zijn tien jaar lang getiranniseerd en nu ‘bevrijd’. Maar tegenover een normale ux staat nu een potentieel buitensporige datacollectie van Google aan de achterkant van de site. Volledig ongemerkt maar met een ontwrichtende impact die ver uitstijgt boven het wegvallen van het reCAPTCHA ongemak.

Geef een antwoord