Czy captchas są warte obniżonej użyteczności?

Kiedy warto skorzystać z captcha? Kiedy jest to niepotrzebna przeszkoda? Czy captcha to tylko szybkie rozwiązanie dla leniwego / niedoświadczonego programisty, czy też są one naprawdę najlepszym sposobem zapobiegania spamowi i botom?

ReCAPTCHA wydaje się być dość bezpieczny i prawdopodobnie przetrwa każde inne rozwiązanie CAPTCHA oparte na OCR. CAPTCHA są przydatne, gdy nie masz pewności, czy jest to bot, czy człowiek - tj. Po drugiej lub trzeciej próbie logowania lub jeśli pozwalasz na anonimowe komentowanie. Po uwierzytelnieniu użytkownika zrzuć CAPTCHA.

Alternatywą, która jeszcze nie pojawiła się, jest „ SAPTCHA ”.

Uwielbiam to, jak ludzie chętnie akceptują „konwencjonalną mądrość” dotyczącą CATPCHA. Jako profesjonalny programista internetowy z dziesięcioletnim doświadczeniem i pewną wiedzą specjalistyczną w zakresie dostępności, moim zdaniem pod żadnym pozorempowinieneś wdrożyć CAPTCHA. Mam na myśli rodzaje, które mają linie, czcionki kursywne, efekty 3D itp. Przede wszystkim uniemożliwiają dużej liczbie użytkowników dostęp do treści, w tym wielu osobom starszym lub osobom z zaburzeniami widzenia na co dzień (np. ślepota kolorów) lub osoby, dla których angielski nie jest ich pierwszym językiem. Po drugie, powoływanie się na „bezpieczeństwo” nie jest wystarczającym powodem. Wynika to z faktu, że w przypadku 99,5% spamu, ponowne wpisanie pięcioliterowego słowa jest wystarczającym „zabezpieczeniem”. Te mityczne „roboty”, o których często mówią ludzie, nie są tak wyrafinowane. I nawet wtedy, dla tych, które są wyrafinowane (ponownie, co jest bardzo małą liczbą), typowe CAPTCHA i tak nie będzie wystarczające. Biorąc pod uwagę, że wszystkie negatywne wartości znacznie przewyższają rzeczywiste korzyści, co zresztą jest w większości wyobrażone, nie ma dobrego powodu, aby z nich korzystać. Jeśli chcesz zapobiec spamowi, wystarczy, że ludzie ponownie wpisają słowo takie jak „blog” (i jest w porządku, jeśli mogą kopiować i wklejać). Jest to całkowicie dostępne i, wierz mi, wystarczające „bezpieczeństwo”. Będziesz zaskoczony, gdy dowiesz się, że cały spam został wyeliminowany, a nawet nie musiałeś odcinać dużych segmentów użytkowników.

skopiowane z innej odpowiedzi tego samego użytkownika

Zgodziłem się z tym postem do pewnego momentu: „Z mojego doświadczenia wynika, że ​​nawet jeśli masz najlepszą captcha na świecie, jest wielu spamerów, którzy obecnie zatrudniają prawdziwych ludzi za bardzo niskie wynagrodzenie, aby po prostu odwiedzić witrynę, zarejestruj się (lub cokolwiek) i wysyłają spam „ręcznie”.

Tak więc każdy system, który wymaga rozróżnienia między „człowiekiem” a „botem”, nie będzie działał w obliczu prawdziwego człowieka. Jakikolwiek system, który wymyślisz, nie będzie niezawodny i będziesz musiał ręcznie zweryfikować anonimową (lub „prawie anonimową” - to znaczy nową rejestrację) treść ”.

Potem opublikowany zaczął sugerować skomplikowane Javascript. Ponownie, jak już wspomniałem powyżej, samo zachęcanie użytkownika do ponownego wpisania czegoś (powinienem dodać losowo wybrany tekst jest idealny) jest tak samo skuteczne, jak pokazywanie niejasnego obrazu czegoś, co należy rozszyfrować. Moim zdaniem aspekt odszyfrowywania jest niepotrzebną warstwą. Ponownie, to tylko moja opinia, ale dla mnie jest to całkowicie skuteczne.

Powinienem również dodać, że CAPTCHA nie mogą być używane na rządowych stronach internetowych, ponieważ naruszają one przepisy sekcji 508.

Z mojego doświadczenia wynika, że ​​nawet jeśli masz najlepszą captcha na świecie , jest wielu spamerów, którzy obecnie zatrudniają prawdziwych ludzi za bardzo niskie zarobki, aby po prostu odwiedzić stronę, zarejestrować się (lub cokolwiek innego) i wysłać spam ręcznie.

Tak więc każdy system, który wymaga rozróżnienia między „człowiekiem” a „botem”, nie będzie działał w obliczu prawdziwego człowieka . Jakikolwiek system, który wymyślisz, nie będzie głupi i będziesz musiał ręcznie zweryfikować anonimową (lub „prawie anonimową” - to znaczy nową rejestrację) zawartość.

Odkryłem, że całkiem niezły system to taki, który wymaga javascript. Oznacza to, że na stronie znajduje się skrypt javascript, który kopiuje losowo wygenerowaną wartość do specjalnego pola w formularzu. Na serwerze sprawdź, czy wartość została skopiowana. Z mojego doświadczenia wynika, że ​​zatrzymało to wielu spamerów. Nie jest w 100% i być może nie tak dobry jak ReCAPTCHA, ale działa wystarczająco dobrze dla witryn, nad którymi pracowałem, i nie musisz się martwić o dostępność (są klienci, którzy nie mają javascript, ale oni jest ich coraz mniej między tymi dniami).

Korzystanie z pól typu plaster miodu jest / było metodą redukcji spamu bez rzeczywistych kosztów użyteczności.

Oto artykuł opisujący, jak działa z pewną magią CSS, i chociaż zauważyli, że jego skuteczność zmniejszyła się, nadal będzie łapał niektóre boty. Prawdopodobnie istnieją również bardziej zaawansowane techniki oprócz CSS (czytaj: JS), które mogą zwiększyć skuteczność honeypots.

Istnieją inne sposoby zapobiegania spamowi i botom, ale Captcha działa najlepiej. Czasami zadaje proste pytanie w formularzu typu „2 + 10 =” lub „Czy jesteś człowiekiem?” działa dobrze jako captcha, przynajmniej przez chwilę.

Używam reCaptcha, ponieważ wycina 90% spamu przy 5% wysiłku.

Nie kazałem ludziom narzekać, że captcha jest trudny, utrudnia rzeczy lub też ma jakąkolwiek obniżoną użyteczność.

Spamerów i botów jest mnóstwo. Bardzo łatwo jest zeskrobać formularz i zacząć masowo wysyłać złe wnioski . Jest to prosty, bezpieczny i sprawdzony sposób na znaczne ograniczenie spamu i botów. Nie jest to szybka naprawa dla leniwych lub niedoświadczonych, raczej doświadczenie doprowadziło do tego rozwiązania i jest teraz łatwe do wdrożenia.

Czy lubię captchas? Piekło nie Dziwne linie, co to znaczy, opps Popełniłem to źle. Jest to jednak skuteczne.

Zgadzam się również, że konieczne jest zmniejszenie ilości otrzymywanego spamu, zanim przejdziemy do wdrożenia jakichkolwiek środków zaradczych, pomyślmy, czy tak?

1. Czy konieczne jest zautomatyzowanie wykrywania? W przypadku witryn o niskim natężeniu ruchu wystarczająca może być ręczna moderacja. W każdym razie chcesz uniemożliwić dodawanie rasistów / obraźliwych komentarzy, prawda?
2. Czy konieczne jest zdanie testu Turinga na komentarz? Spamerzy zazwyczaj próbują przekazywać adresy URL, więc aktywacja środków zaradczych po wykryciu adresu URL wydaje się opłacalna (choć nieco bardziej skomplikowana).
3. Czy za każdym razem konieczne jest zdanie testu Turinga? Anonimowi użytkownicy musieliby zostać odfiltrowani (chociaż moglibyście zapamiętać adresy IP), ale uwierzytelnieni użytkownicy mogliby być filtrowani tylko wtedy, gdy staną się „spamem”, na przykład każdy piąty komentarz w mniej niż godzinę (lub dzień) i tylko do momentu sprawdził się (system oparty na białej liście podawany ręcznie lub automatycznie)

Te 3 pomysły powinny znacznie zmniejszyć liczbę osób narażonych na działanie środków zaradczych oraz liczbę ich ofiar.

Co więcej, są to inne środki zaradcze niż captchas, takie jak proszenie o adres e-mail, wysyłanie wiadomości i czekanie na odpowiedź z określonym tekstem jako tematem (generowanym losowo) przed faktycznym opublikowaniem (z godziną limit czasu przed usunięciem komentarza, powiedzmy).

Z mojego doświadczenia wynika, że ​​captchas to najlepszy sposób na zapobieganie spamowi, bez względu na to, jak dobrze program jest zaprogramowany, zawsze będzie spam bot lepiej niż Twoja aplikacja.