Web Scraping'de reCAPTCHA v3 Atlatma: Otomasyonda Yüksek Trust Score Nasıl Alınır

Web Scraping'de reCAPTCHA v3 Atlatma: Otomasyonda Yüksek Trust Score Nasıl Alınır

Web scraping, trafik arbitrajı veya SEO izleme ile uğraşıyorsanız, muhtemelen şu durumla karşılaşmışsınızdır: mobil proxy'leriniz mükemmel yapılandırılmış, Playwright veya antidetect tarayıcıdaki parmak izleriniz maskelenmiş ve düzgün çalışıyor, ama hedef site yine de erişimi reddediyor. Bunun nedeni çoğu zaman görünmez reCAPTCHA v3'tür.

Önceki sürümlerden farklı olarak bu versiyon trafik ışığı aramanızı veya bozuk metni çözmenizi istemez. Arka planda çalışır, davranışsal faktörleri analiz eder ve Trust Score'unuzu site sahibine iletir.

Google'ın puanlama sisteminin gerçekte nasıl çalıştığını, proxy'lerle klasik yaklaşımın neden her zaman işe yaramadığını ve yüksek puan garantisi için 2Captcha API'nin nasıl doğru kullanılacağını inceleyelim.

reCAPTCHA v3 "İnsanlığı" Nasıl Değerlendirir

reCAPTCHA v3, sayfa yüklendiği andan itibaren arka planda çalışır. Script bir dizi veri toplar: IP adresi, tarayıcı oturum geçmişi, fare hareketleri, tıklamalar ve diğer davranışsal kalıplar. Bu bilgilere dayanarak Google, sunucuya 0.0 ile 1.0 arasında bir Score döndürür.

Google tam olarak hangi sinyalleri toplar? Yerleşik script, yüzlerce parametreyi sürekli değerlendiren Advanced Risk Analysis sistemi üzerinden çalışır. Algoritma fare hareket yörüngesini, sayfa kaydırma hızını ve kalıplarını, ayrıca klavye yazma ritmini okur. Buna teknik metrikler de eklenir: IP adresi itibarı, tarayıcı parmak izi tutarlılığı ve hedef eylemden önce sitede geçirilen süre. Script'iniz anında bir sayfa açıp bir milisaniye sonra "Gönder"e tıklarsa, algoritma size hemen bot statüsü atar.

Resmi puanlama ölçeği şöyledir:

• 0.9 - 1.0: Büyük olasılıkla insan (tam erişim)
• 0.7 - 0.8: Muhtemelen insan (site geçirebilir veya eylemi kaydedebilir)
• 0.4 - 0.6: Belirsizlik bölgesi (site ek doğrulama isteyebilir, ör. 2FA)
• 0.1 - 0.3: Muhtemelen bot (eylem engellenir veya tamamen erişim reddedilir)
• 0.0: Kesinlikle şüpheli ve kötü niyetli trafik

Siteler Score'unuza nasıl tepki verir? Şunu anlamak önemlidir: reCAPTCHA kendi başına kimseyi engellemez, yalnızca siteye puanınızı iletir. Hedef kaynağın sunucu tarafı mantığı sizinle ne yapacağına karar verir. Genellikle şöyle çalışır: 0.9 alırsanız sorgusuz geçersiniz. Puan 0.5'e düşerse site ek bir kontrol devreye sokabilir, örneğin SMS kodu gönderme veya e-posta doğrulama isteme. 0.1 alırsa bağlantı kesilir veya form sessiz bir hata verir. Dolayısıyla başarılı veri toplama için her zaman maksimum puanı kovalamak gerekmez: scraper'ınız ara doğrulamaları yönetebiliyorsa, tutarlı bir ortalama puanı korumak yeterlidir.

Otomasyonun sorunu şudur: temiz bir mobil IP ile bile, çerez geçmişi olmayan yeni oluşturulmuş bir script oturumu genellikle 0.3'ün altında Score alır.

2Captcha Yaklaşımı: Emülasyon Yerine Profilleme

Score'u programatik olarak manipüle etmeye çalışmak külfetli ve pahalı bir iştir. 2Captcha tanıma servisi bu problemi daha basit çözer: algoritmaları anlık olarak kandırmaz, bunun yerine gerçek çalışanlarının önceden profillenmesine dayanır.

Sistem içinde her çalışana periyodik olarak kişisel Trust Score'unu ölçmek için bir test captcha verilir. Bu puanlar veritabanına kaydedilir. Script'iniz 0.9 puanlı bir token talep eden bir API isteği gönderdiğinde, 2Captcha sistemi bu görevi yalnızca Google profilinde 0.9 puan tutan çalışanlara yönlendirir.

Çözüm Mimarisi: v3 Neden Proxy'lerinize İhtiyaç Duymaz?

Scraper geliştiricileri arasındaki en yaygın yanılgı burada yatar. Mantıklı görünür: script'iniz mobil proxy'ler üzerinden çalışıyorsa, aynı proxy'yi 2Captcha API'ye de iletmelisiniz ki çalışan captcha'yı aynı IP adresinden çözsün.

Resmi gerçek: 2Captcha, reCAPTCHA V3 ve Enterprise V3 için özel proxy iletimini desteklemez. API yalnızca RecaptchaV3TaskProxyless görev tipini kullanır.

Neden? Servisin deneyimi gösteriyor ki, v3 çözerken üçüncü taraf proxy sunucuları kullanmak başarı oranını ciddi şekilde düşürür. Çalışan hedef siteyi kendi gerçek IP adresinden ve doğal, birikmiş tarayıcı geçmişiyle açar. Yüksek Score'u sağlayan tam olarak budur. Oluşturulan token API aracılığıyla script'inize döndürülür. Şunu anlamak çok önemlidir: sitedeki son formu gönderirken istemcinin IP adresi, tokeni alan çalışanın IP adresiyle eşleşmek zorunda değildir.

API Entegrasyonu: Zorunlu Parametreler

Bir çözüm talep etmek için v2 API'nin createTask metoduna POST isteği göndermeniz gerekir. JSON'daki temel parametreler:

• type: Her zaman RecaptchaV3TaskProxyless
• websiteURL (zorunlu): Captcha scriptinin yüklendiği sayfanın tam URL'si
• websiteKey (zorunlu): Site anahtarı. Kaynak kodda data-sitekey parametresinde kolayca bulunabilir veya ağ isteklerinde yakalanabilir
• minScore (zorunlu): İstenen puan. Kullanılabilir değerler: 0.3, 0.7 ve 0.9
• pageAction (isteğe bağlı): Sitenin kodundaki action parametresi (ör. action: 'login'). Sitede varsa iletilmelidir
• apiDomain (isteğe bağlı): Script yükleme alanı. Varsayılan olarak google.com, ancak bazı bölgelerde recaptcha.net kullanılır

API hazır tokeni döndürdüğünde (03ADUVZwB7... gibi uzun bir dize), script'iniz bunu gizli g-recaptcha-response alanına yerleştirmeli veya sitenin callback fonksiyonuna iletmelidir, örneğin window.verifyRecaptcha(token).

Token Entegrasyonu: Scraper'ın Çalışma Mantığı

API'den başarıyla token almak savaşın yalnızca yarısıdır. Ayrıca tokeni siteye doğru şekilde "beslemek" gerekir. Ancak gizli alandaki değeri basitçe değiştirmek çoğu zaman yeterli olmaz.

Çoğu durumda g-recaptcha-response ID'li gizli alanı bulup, sayfa bağlamında JavaScript çalıştırarak tokeni oraya yerleştirmeniz gerekir (örneğin page.evaluate() kullanarak). Ancak siteler sıklıkla verileri doğrulayan ve formu ileten bir callback fonksiyonunun çağrılmasını da gerektirir. Gönder düğmesinin kaynak kodunu her zaman kontrol ederek tokeninizi hangi scriptin beklediğini anlayın.

Otomasyonu Gizleme: Stealth Modüllerinin Önemi

Python'da scraper yazarken çoğu kişi kritik bir ayrıntıyı gözden kaçırır: "çıplak" bir headless tarayıcı anında tespit edilir. Standart Playwright kullanıyorsanız, güvenlik algoritmaları görevi 2Captcha API'ye göndermeden önce bile otomasyonu tanıyabilir. playwright-stealth gibi maskeleme paketlerini mutlaka kullanın. Bunlar otomatik davranış işaretçilerini gizler (örneğin navigator.webdriver bayrağını kaldırır) ve tarayıcınızı sıradan bir kullanıcının Chrome'undan ayırt edilemez hale getirir. Bu hazırlık olmadan, gerçek bir çalışan tarafından mükemmel çözülmüş bir captcha bile paranoyak bir site tarafından reddedilebilir, çünkü sizin ilk tarayıcı parmak iziniz zaten lekelenmiştir.

reCAPTCHA v3'ün Karmaşık Dolandırıcılık Önleme Sistemleriyle Etkileşimi

Şunu anlamak önemlidir: büyük siteler nadiren yalnızca tek bir captcha ile korunur. Google'dan gelen puan genellikle aşağıya, Akamai veya Imperva gibi güçlü WAF (Web Application Firewall) sistemlerine aktarılır. Bunlar tüm verileri bir araya getirir.

Bu, sunucunun 2Captcha'dan gelen tokeni basitçe kontrol etmediği anlamına gelir; onu ağ parmak izlerinizle (TLS handshake'leri ve TCP/IP parametreleri gibi) ilişkilendirir. Scraper'ınızın "kirli" bir ağ izi varsa, WAF captcha doğrulanmadan önce isteği reddeder. Bu senaryoda token üretmek anlamsızdır: sorunun kökü daha derinde, ağ bağlantısı seviyesindedir.

reCAPTCHA Enterprise'ın Özellikleri

Standart reCAPTCHA V3'ün yanı sıra bazı platformlar gelişmiş kurumsal sürümü, reCAPTCHA Enterprise'ı kullanır. Dolandırıcılığı çok daha sıkı analiz eder.

Tanımak kolaydır: standart api.js yerine sitede enterprise.js scripti yüklenir ve kodda grecaptcha.enterprise.execute çağrıları görünür.

Bu tür captcha'yı çözmek için aynı RecaptchaV3TaskProxyless görev tipi kullanılır, ancak isteğe "isEnterprise": true boolean parametresi eklenmelidir. Süreleri göz önünde bulundurun: normal bir v3 ortalama ~5 saniyede çözülürken, Enterprise sürümü yaklaşık ~13 saniye sürer. Bunu scriptlerinizin timeout'larına eklemeniz gerekir.

Otomasyon Ekonomisi: Maliyet Optimizasyonu

Sitenin gerçekten ihtiyaç duyduğundan emin değilseniz, her zaman maksimum minScore: 0.9 talep etme cazibesine kapılmayın. Doğru yapılandırma bütçenizi korur.

2Captcha'nın v3 fiyatlandırması talep edilen puana bağlıdır:

• minScore <= 0.3 olan istekler 1.000 çözüm için $1.45
• minScore > 0.3 olan istekler (yani 0.7 veya 0.9) 1.000 çözüm için $2.99

Resmi dokümantasyondan en iyi uygulama: Scraper'ınızın test ve hata ayıklama aşamasında her zaman kabul edilebilir minimum puan olan 0.3 ile başlayın. Gereksinimleri 0.7 veya 0.9'a yalnızca hedef kaynak gönderilen tokenlerin %50'sinden fazlasını reddetmeye başlarsa yükseltin.

Kendi Scriptleri ve Sinir Ağları Neden Burada İşe Yaramaz

Birçok kişi basit görüntü captcha'larını kendi scriptleri veya açık kaynak OCR modelleriyle çözmeye alışkındır. v3 için bu yaklaşım kesinlikle işe yaramaz. Yerel sinir ağınız fiziksel olarak bir g-recaptcha-response tokeni üretemez, çünkü token canlı bir profil değerlendirmesinin ardından Google'ın kapalı sunucularında kriptografik olarak imzalanır. Bu görevi Proxyless istekler aracılığıyla gerçek insanlara devretmek teknik olarak tek geçerli yoldur.

Kaliteli mobil IP'ler ve 2Captcha API'nin Proxyless istekler üzerinden doğru kullanımının birleşimi, hiçbir görünmez Trust Score kontrolünden etkilenmeyen, neredeyse aşılmaz bir veri toplama sistemi oluşturmanıza olanak tanır.