Birçok CAPTCHA çözümü doğrulama anında istemci IP'sini, tarayıcı bilgisini, header setini ve davranış sinyallerini üçüncü taraf servislerle paylaşır. Bu model bazı sektörler için kabul edilebilir olsa da kamu, finans, sağlık ve kapalı ağ ortamlarında ciddi veri yerleşikliği ve uyumluluk sorunu doğurur.
Regülasyon hassasiyeti olan kurumlar için bir login ekranındaki CAPTCHA çağrısı bile kişisel veri aktarımı tartışmasına dönüşebilir. Açık rıza, yurtdışı veri transferi, sözleşmesel güvence ve tedarikçi bağımlılığı gibi konular basit bir bot korumasını uzun bir uyum projesine çevirebilir.
Dış CAPTCHA servislerine bağımlılık aynı zamanda operasyonel risk üretir. Harici doğrulama servisi yavaşladığında veya erişilemez olduğunda, korunan uygulamanın login, kayıt veya ödeme akışı da etkilenebilir. Bot koruması, uygulamanın kritik dış bağımlılığı haline gelir.
Doğru yaklaşım, challenge üretimini, sunumunu ve doğrulamasını kurumun kendi ADC katmanında yapmaktır. Böylece kullanıcı verisi dışarı çıkmaz, doğrulama süreci lokal kalır, zorluk seviyesi servis riskine göre ayarlanır ve başarısız denemeler karantinaya bağlanabilir.
TR7 Kendi-Sunucumda CAPTCHA bu modeli sunar: bot doğrulamasını self-hosted hale getirir, veri yerleşikliği riskini azaltır ve WAAP karar hattıyla doğrudan entegre çalışır.
TR7, CAPTCHA'yı lokal üretim, ayarlanabilir zorluk, görünür/görünmez doğrulama ve karantina eskalasyonu ile uygular.
CAPTCHA görseli, HTML/JS içeriği, token imzası ve çözüm doğrulaması TR7 üzerinde çalışır. Doğrulama sürecinde kurum dışı bir servise HTTP çağrısı yapılmaz.
Zorluk seviyesi; karakter uzunluğu, görsel gürültü, PoW iş yükü ve minimum çözüm süresiyle birlikte değerlendirilir. Operatör tek ayarla kullanıcı deneyimi ve bot direnci arasında denge kurabilir.
Yüksek riskli istemcilere görsel doğrulama gösterilebilir. Orta riskli istemcilerde kullanıcıya ek ekran göstermeden yalnızca arka planda PoW doğrulaması çalıştırılabilir.
CAPTCHA yalnızca risk eşiği aşıldığında tetiklenir. Yanlış cevaplar takip edilir; eşik aşılırsa deny, redirect, özel içerik veya özel durum kodu gibi karantina aksiyonları uygulanabilir.
Kendi-Sunucumda CAPTCHA, self-hosted challenge üretimini bot skoru, PoW, çerez güvenliği ve karantina akışıyla birleştirir.
TR7, CAPTCHA görselini kendi içinde üretir, challenge sayfasını kendi servisinden döner ve doğrulamayı lokal helper süreciyle yapar. İstemci IP'si, kullanıcı ajanı veya doğrulama sonucu kurum dışı servise gönderilmez. Bu model, veri yerleşikliği hassasiyeti olan kurumlar için kritik avantaj sağlar. CAPTCHA koruması dış servis bağımlılığı olmadan uygulanır.
TR7'de zorluk seviyesi 1–5 aralığında seçilebilir. Bu değer PoW zorluğu (16–20 bit), CAPTCHA karakter uzunluğu (4–7 karakter), görsel çizgi/nokta yoğunluğu ve minimum çözüm süresi gibi parametrelere karşılık gelir. Operatör tek slider ile hem insan deneyimini hem de bot maliyetini yönetir. Daha yüksek riskli servislerde daha yüksek zorluk seviyesi seçilebilir.
CAPTCHA çözümünde PoW kontrolü kullanılabilir. Tarayıcı belirli hesaplama işini tamamlamadan doğrulama kabul edilmez. Sunucu tarafında minimum çözüm süresi de zorlanabilir; bot doğru cevabı anında üretse bile çok hızlı çözüm şüpheli kabul edilir. Bu yaklaşım otomasyon maliyetini artırırken gerçek kullanıcıya sınırlı ek yük getirir.
Doğrulama sonrası üretilen token şifreli çerezle taşınabilir. Token istemcinin IP ve kullanıcı ajanı bağlamıyla ilişkilendirilebilir. Böylece bir istemciden alınan doğrulama token'ının başka istemcide tekrar kullanılması zorlaşır. verifiedTtl süresi boyunca gerçek kullanıcı her istekte tekrar CAPTCHA çözmek zorunda kalmaz.
TR7, her CAPTCHA kuralı için ayrı helper süreci ve ayrı socket yapısı kullanabilir. Bu izolasyon, bir kuralın hata veya yoğunluk durumunun diğer kuralları etkilemesini azaltır. Pool bazlı ayrım sayesinde farklı servislerin CAPTCHA akışları birbirinden bağımsız yönetilir. scalingCount ile aynı kural için birden fazla süreç çalıştırılabilir.
type değeri text olduğunda kullanıcı görsel CAPTCHA ile karşılaşır. invisible modda ise kullanıcıya tam challenge ekranı göstermeden PoW tabanlı doğrulama yapılabilir. Bu sayede orta riskli istemciler daha az sürtünmeyle doğrulanır. Yüksek riskli istemcilerde görsel CAPTCHA tercih edilerek bot maliyeti artırılır.
Servis bazında arka plan rengi, yazı rengi, tema ve boyut seçenekleri tanımlanabilir. Küçük, orta ve büyük CAPTCHA boyutları farklı kullanıcı arayüzlerine uyum sağlar. Böylece doğrulama ekranı kurumun marka deneyiminden kopuk görünmez. Beyaz etiketli B2B SaaS senaryolarında her tenant kendi görsel çizgisine yakın deneyim sunabilir.
CAPTCHA başlıkları, açıklama metinleri ve hata mesajları çoklu dil yapısına bağlanabilir. Dil servis bazında veya istemci bağlamına göre seçilebilir. Bu, kamu, finans ve çok bölgeli servislerde kullanıcıya daha anlaşılır doğrulama akışı sunar. Yeni dil eklemek doğrulama mantığını değiştirmeden yapılabilir.
CAPTCHA her kullanıcıya varsayılan olarak gösterilmek zorunda değildir. TR7 bot skoru, IP itibarı, davranış sinyalleri ve DDoS koşulları üzerinden yalnızca riskli istemcilere challenge uygulayabilir. Bu yaklaşım gerçek kullanıcı sürtünmesini azaltır. Güvenilir trafik normal akışta devam ederken şüpheli trafik doğrulamaya alınır.
Yanlış CAPTCHA cevapları takip edilebilir ve belirli eşik aşıldığında istemci karantinaya alınabilir. Karantina aksiyonu deny, redirect, customContent veya customStatusCode olarak yapılandırılabilir. Bu sayede bot sürekli CAPTCHA denemesi yaparak sistemi yormaya devam edemez. Başarısızlık arttıkça challenge yerine daha sert aksiyon uygulanır.
Kullanıcı CAPTCHA'yı başarıyla geçtiğinde belirli süre boyunca doğrulanmış kabul edilebilir. verifiedTtl süresi dolana kadar aynı kullanıcıya tekrar tekrar CAPTCHA gösterilmez. Bu, gerçek kullanıcı deneyimini korurken botlara karşı ilk doğrulama bariyerini sürdürür. IP+UA bağlama sayesinde doğrulama durumunun çalınıp başka bağlamda kullanılması zorlaşır.
CAPTCHA bağımsız bir ekran değil, TR7 karar hattının aksiyonlarından biridir. DDoS koruması, bot protection, IP reputation veya hesap ele geçirme politikaları showCaptcha aksiyonunu tetikleyebilir. Bu sayede her güvenlik modülü kendi risk sinyalini CAPTCHA ile doğrulama akışına bağlayabilir. Operatör tek bir self-hosted challenge altyapısını farklı risk senaryolarında kullanır.
Self-hosted CAPTCHA; helper süreçleri, secret yönetimi, token bağlama, karantina state machine'i, çoklu dil ve audit kayıtlarıyla birlikte işletilir.
Her CAPTCHA kuralı ayrı helper süreciyle çalışabilir. Süreç beklenmedik şekilde kapanırsa otomatik yeniden başlatılabilir. Bir kuraldaki hata diğer servislerin CAPTCHA doğrulamasını etkilemez.
Her pool ve CAPTCHA kuralı için ayrı socket yolu üretilebilir. Bu yapı, servisler arasında challenge doğrulama trafiğini ayrıştırır. Konfigürasyon tekrar oynatıldığında aynı mantıksal kuralın aynı fiziksel soket yapısıyla eşleşmesi korunur.
Her kural için ayrı secret üretilebilir ve doğrulama token'ları bu secret üzerinden imzalanabilir. Secret rotasyonu yapıldığında mevcut doğrulanmış token'lar geçersiz hale gelebilir. Bu davranış planlı güvenlik yenilemelerinde kullanılabilir.
PoW çözümü modern tarayıcılarda daha verimli API'lerle çalışabilir. Destek olmayan ortamlarda daha yavaş ama uyumlu JavaScript fallback uygulanabilir. Mobil istemcilerde çözüm süreci asenkron yürütülerek kullanıcı arayüzü donmadan devam eder.
Başarısız challenge cevapları ayrı takip edilir. Eşik aşıldığında istemci belirli süre boyunca karantina aksiyonuna yönlendirilir. Bu süre boyunca tekrar CAPTCHA göstermek yerine doğrudan deny, redirect veya özel içerik uygulanabilir.
Her challenge için zaman, kaynak IP, kullanıcı ajanı, kural ID'si, zorluk seviyesi, challenge tipi ve sonuç bilgisi loglanabilir. PoW çözüm süresi de olay inceleme için değerli sinyal üretir. Bu kayıtlar bot analizi ve fraud forensics süreçlerini destekler.
Bankalar CAPTCHA doğrulaması sırasında kullanıcı IP'sini veya tarayıcı bilgisini kurum dışına göndermek istemeyebilir. TR7 self-hosted CAPTCHA ile challenge süreci ADC içinde kalır ve login koruması veri yerleşikliğiyle uyumlu yürütülür.
Kamu kurumları dış doğrulama servislerine erişimi olmayan veya izin vermeyen ortamlarda da bot koruması uygulayabilir. TR7 CAPTCHA üretimi ve doğrulaması dış DNS veya dış HTTP çağrısı gerektirmeden çalışır.
Kupon, sahte hesap veya otomatik kayıt saldırılarında signup endpoint'i bot skoruna göre CAPTCHA'ya alınabilir. Başarısız denemeler karantinaya bağlanarak botların sürekli challenge tüketmesi engellenir.
Sağlık portalları hassas veri içeren randevu veya hasta erişim akışlarında dış CAPTCHA servisi kullanmadan doğrulama yapabilir. Kullanıcı doğrulama süreci kurum kontrolünde kalır.
DDoS veya bot dalgası sırasında TR7 yalnızca risk skoru yüksek istemcilere CAPTCHA veya görünmez PoW uygulayabilir. Gerçek kullanıcıların önemli kısmı ek sürtünme görmeden devam ederken bot maliyeti artırılır.
B2B SaaS sağlayıcıları her tenant için renk, tema ve boyut ayarlarını ayrı yapılandırabilir. CAPTCHA ekranı üçüncü taraf logosu taşımadan müşterinin kendi kullanıcı deneyimine daha yakın görünür.
Veri dışarı çıkmadan çalışan self-hosted CAPTCHA — WAAP, DDoS ve ATO akışlarıyla entegre. Kendi ortamınızda canlı kurulumu birlikte gezdirelim.