显微镜下的Google reCAPTCHA服务

网络巨头坚称反机器人服务不是用于个性化广告，但cookie声称不合情理。

分析六年前，谷歌修改了其reCAPTCHA服务，旨在过滤机器人、刮刀和其他自动网页浏览，并允许人类访问网站。

2014年的v2更新增加了IFRAME或HTML内联框架，这是一种将一个网页嵌入到另一个网页中的方式。然后是2018年的v3更新，它将机器学习添加到混合中，以减少与机器人检测挑战的交互需求。

ReCAPTCHA使这家互联网巨头有可能通过完成图片拼图等游戏，挑战网民证明自己是真人，同时提供管道，潜在地将人们的信息输送到其广告业务中。谷歌坚称，它没有将reCAPTCHA数据用于个性化广告，并在reCAPTCHA服务条款中做出了同样的规定。

然而，硅谷公司(Silicon Valley Corp)的细则和其他披露内容并未表示，reCAPTCHA完全隔离于所有与广告相关的数据收集。隐私研究人员现在认为，该公司需要澄清这一点。

扎克·爱德华兹(Zach Edwards)是网络分析公司“商业胜利媒体”的联合创始人，他发现谷歌的reCAPTCHA的JavaScript代码可以让这个大公司进行三角形同步，这是两个不同的网站域名将他们为特定个人设置的cookie关联起来的一种方式。在这样的事件中，如果一个人访问实现绑定到这两个广告域之一的跟踪脚本的网站，则两个公司都将接收链接到该访问者的网络请求，并且任一公司都可以显示针对该特定个人的广告。

根据Web浏览器安全模型中第一方资源和第三方资源之间的区别，两个不同的域通常不应该访问同一组cookie数据。但是三角形同步消除了这种分离。

爱德华兹在接受“注册”采访时表示，三角同步扩大了广告的范围，使人们有可能在更多的领域瞄准某人。

他说，这是广告中的一种常见做法，这样拥有两个不同域名的两家不同公司就可以共享数据，比如与特定个人相关的标识符。而且，它也是在像谷歌这样的单一公司内完成的，该公司运营着多个域名，并希望跟踪不同域名的互联网用户。

爱德华兹说，所以reCAPTCHA的gstatic.com域名与google.com进行三角同步，基本上可以确保只要其中任何一个域名嵌入网站，就能找到/跟踪用户。

CloudFlare抛弃了谷歌的reCAPTCHA，在免费乘车结束后转而使用hCaptcha(以及一些关于隐私的东西)。

多读。

根据谷歌的说法，该公司不使用reCAPTCHA进行三角形同步，reCAPTCHA从gstatic.com上的两个地方加载静态资源，没有写入或读取cookie。我们被告知，在此过程中不会进行三角形请求或同步。Gstatic.com域被认为是无Cookie的，因为它被设计为无法收集Cookie数据。

然而，托管在Google的gstatic.com域中的reCAPTCHA JavaScript代码包含对cookie的多个引用。而且，即使您试图阻止第三方cookie，访问嵌入了reCAPTCHA小工具的网页也会设置google.com；nid&34；首选cookie。

爱德华兹说，正在进行的不是典型的三角同步。他说，例如，如果你在ncrts.com这样的网站上嵌入reCAPTCHA，gstatic.com请求就会重定向到google.com的新请求，然后google.com会设置它的cookie。他说，这是一种三角形同步，不是在传统的cookie匹配同步中，而是在请求+cookie匹配的情况下。

他还指出，谷歌的隐私政策明确指出，gstatic.com域名是用于为其广告产品设置cookie的众多域名之一。

谷歌坚称gstatic.com不读写cookie，但似乎该域名邀请google.com来设置它们。

爱德华兹辩称，谷歌在如何处理Cookie方面并不直截了当，他指出，在他进行的一次Safari浏览器测试中，Google域设置的是会话密钥(一种链接到服务器的临时浏览器数据存储形式)，而不是Cookie。

谷歌的reCAPTCHA服务条款规定，该服务向公司发送设备和应用程序数据。它规定了如何处理这些数据，因此：与您使用服务相关收集的信息将用于改进reCAPTCHA和一般安全目的。谷歌不会将其用于个性化广告。

注册中心特别询问谷歌，除了个性化广告之外，reCAPTCHA数据是否可以用于广告业务的某些方面。例如，它可能有助于打击广告欺诈。

谷歌的一位发言人引用了上面阐述的政策--这些数据改善了reCAPTCHA，并可能用于一般安全目的，无论这意味着什么。

隐私研究员、前美国联邦贸易委员会(Federal Trade Commission)技术专家阿什坎·索尔塔尼(Ashkan Soltani)通过Twitter表示，谷歌正在做的事情看起来与该公司在2011年和2012年绕过Safari第三方Cookie屏蔽的做法非常相似。

这里有一个快速剪辑，展示了即使@Mozilla@Firefox被设置为阻止“跨站点跟踪cookie”#Privacy#cookiewars pic.twitter.com/vWgibJ20ty，Google的ReCaptcha如何设置第三方cookie。

-阿什坎·索尔塔尼(@ashk4n)2020年10月30日

2012年，美国消费者监管机构联邦贸易委员会(FTC)对谷歌处以2250万美元罚款，原因是谷歌向Safari用户谎报它不会放置跟踪cookie。

索兰蒂还暗示，Facebook与联邦贸易委员会2019年达成的和解协议可能是相关的。在这种情况下，Facebook因出于一个目的(安全)而收集数据，并将其用于另一个目的(广告)而受到惩罚。

在给注册中心的一封电子邮件中，索尔塔尼表示，他已经测试了爱德华兹的说法，并证实reCAPTCHA设置了google.com cookie，即使用户的浏览器被配置为阻止第三方cookie。

他随后发布了一段视频，描述了访问hubpot.com/Abuse-Projects页面的网络请求，该页面调用google.com托管的reCAPTCHA脚本，该脚本运行gstatic.com托管的代码来调用reCAPTCHA谜题。

在谈到正在发生的事情时，索尔塔尼表示，主要问题是那些依赖reCAPTCHA进行安全保护的人是否出于广告的目的让用户暴露在谷歌的分析之下。

如果谷歌的隐私披露被发现在该公司的广告业务中扮演了一个角色，那么它可能足以涵盖reCAPTCHA；的角色。谷歌确实披露，它通过其gstatic.com域名设置广告cookie。

他说，对于关心用户隐私的出版商来说，这是有问题的，因为如果你在自己的网站上安装了reCAPTCHA，而不披露你设置了google.com cookie，那么就有可能违反“加州消费者隐私法案”(California Consumer Privacy Act)中关于知情权的某些方面的要求。

爱德华兹认为，欧洲的网站将需要重新考虑如何使用reCAPTCHA进行BOT防御。

在我看来，在欧洲使用reCAPTCHA进行垃圾邮件保护的组织现在需要将reCAPTCHA移到他们的同意墙后面，他说。

以任何方式将cookie同步到google.com都是强制性的，这是一种巨大的延伸，而且似乎不可能再以任何方式部署reCAPTCHA，因为它不会进行这种同步。"；在这种情况下，将cookie同步到google.com是一种巨大的牵强，而且似乎不可能再以任何方式部署reCAPTCHA，因为它不会进行这种同步。

谷歌已经建议，在reCAPTCHA的服务条款中，对于欧盟的用户，您和您的API客户必须遵守欧盟用户同意政策。

The Register-独立于科技界的新闻和观点。情况发布的一部分