Pular pro conteúdo principal

Cloudflare Turnstile

Cloudflare Turnstile é uma alternativa gratuita ao CAPTCHA, focada na preservação da privacidade, que utiliza atestações não intrusivas no nível do navegador e passes de desafio para verificar visitantes humanos sem exibir quebra-cabeças visuais nem rastrear usuários entre sites.

O que é o Cloudflare Turnstile?

O Cloudflare Turnstile é um serviço de substituição de CAPTCHA lançado pela Cloudflare em setembro de 2022 e disponibilizado para o público em geral no mesmo ano. Diferente dos sistemas tradicionais de CAPTCHA, que exigem que o usuário resolva quebra-cabeças visuais, o Turnstile executa a verificação de forma invisível na grande maioria dos casos, usando uma combinação de desafios não interativos no navegador, sinais de atestação do dispositivo e a rede global de inteligência de ameaças da Cloudflare para determinar se um visitante é humano ou bot.

Mecanismo técnico

A arquitetura do Turnstile depende de três mecanismos principais que funcionam em sequência.

Private Access Tokens (PAT): em plataformas compatíveis — iOS 16+, macOS Ventura+ e navegadores com suporte à HTTP Attestation API — o Turnstile solicita uma atestação criptográfica do fabricante do dispositivo (Apple, via iCloud), confirmando que se trata de um dispositivo de consumo legítimo e sem jailbreak. Esse único sinal costuma ser suficiente para liberar o passe sem nenhum desafio adicional.

Desafios de navegador: em ambientes que não suportam PAT, o Turnstile executa uma série de provas de trabalho (proofs-of-work) JavaScript não interativas e verificações de consistência de API no navegador. Esses testes identificam diferenças sutis entre a forma como um navegador legítimo executa JavaScript e a forma como um navegador headless ou framework de bot o emula. O visitante vê um widget girando que se resolve em um sinal verde dentro de um ou dois segundos.

Fallback em modo gerenciado (managed): quando os sinais comportamentais e de atestação não são conclusivos, o Turnstile pode escalar para um desafio visível (mas ainda sem quebra-cabeças). A inteligência de ameaças da Cloudflare, derivada de observações em milhões de sites em sua rede, alimenta a pontuação de risco em cada etapa.

A integração exige adicionar https://challenges.cloudflare.com/turnstile/v0/api.js e um elemento <div class="cf-turnstile">. A verificação no servidor utiliza uma requisição POST para https://challenges.cloudflare.com/turnstile/v0/siteverify.

Quando o Cloudflare Turnstile é usado?

O Turnstile é especialmente atraente para operadores de concursos porque impõe atrito praticamente nulo aos votantes legítimos — sem grades de imagens, sem textos distorcidos, sem checkboxes. Ele é implantado em formulários de envio de votos, páginas de cadastro, endpoints de comentários e qualquer envio de formulário exposto ao público. Seu plano gratuito cobre verificações ilimitadas, o que o torna custo-efetivo em qualquer escala.

Como os votos interagem com o Cloudflare Turnstile

Quando o votante chega ao formulário de envio, o widget do Turnstile é carregado e inicia sua sequência silenciosa de atestação. Em segundos, ele emite um token de curta duração (válido por aproximadamente cinco minutos). O voto é submetido com esse token, e o backend do concurso valida o token contra a API da Cloudflare antes de persistir o registro do voto. Tokens expirados, reutilizados ou forjados são rejeitados.

A velocidade e a invisibilidade do Turnstile fazem com que scripts automatizados não consigam distinguir facilmente, por inspeção visual, um formulário protegido por Turnstile de um sem proteção. Ainda assim, frameworks de bot que não possuem internais de navegador genuínos nem atestações de dispositivo válidas falham consistentemente nos desafios subjacentes.

Especificidades do fornecedor Cloudflare

O Turnstile é operado pela Cloudflare, Inc. e está sujeito à política de privacidade da Cloudflare, que afirma explicitamente que o Turnstile não define cookies de rastreamento nem cria perfis de usuário para publicidade. A Cloudflare enfatiza que não monetiza os dados coletados durante as interações de desafio. Os proprietários de sites obtêm uma site key e uma secret key no painel da Cloudflare, na seção do Turnstile, onde também é possível analisar taxas de aprovação, resultados de desafios e padrões anômalos de tráfego. O Turnstile se integra nativamente ao Cloudflare Pages e ao Workers, tornando a implantação especialmente simples para sites que já estão no ecossistema Cloudflare.

Usos legítimos

Além da prevenção de fraudes em concursos, o Turnstile é utilizado por organizações de mídia para proteger seções de comentários, por empresas SaaS para blindar fluxos de cadastro e redefinição de senha, por plataformas de jogos para impedir a criação automatizada de contas e por varejistas on-line para proteger lançamentos de produtos de alta demanda contra bots de scalper.

Ângulo de prevenção a fraudes

A dependência do Turnstile em relação à inteligência de ameaças que abrange toda a rede da Cloudflare é uma vantagem estrutural para a prevenção de fraudes. Um IP de bot ou uma impressão digital de bot observada cometendo abusos em qualquer uma das milhões de propriedades protegidas pela Cloudflare pode ser sinalizada globalmente em minutos. Para operadores de concursos, isso significa que campanhas coordenadas de fraude de votos que usam infraestrutura de bot compartilhada provavelmente enfrentarão taxas elevadas de desafio, mesmo que a campanha ainda não tenha sido observada na plataforma de concurso específica.

Do blog — guias e estudos de caso

Guias práticos, deep-dives técnicos, estudos de caso anônimizados.60+ artigos. Seleção gira.

Todos 60 artigos → Navegar por tópico
Victor Williams — founder of Buyvotescontest.com
Victor Williams
Online · responde em 5 min

Olá — manda a URL do concurso, em uma hora te passo o preço. Sem cartão por enquanto.

💬 Abrir chat ao vivo ️ Chat no Telegram 📋 Fazer pedido ou e-mail para [email protected]