Czy captchas są warte obniżonej użyteczności?

16

Kiedy warto skorzystać z captcha? Kiedy jest to niepotrzebna przeszkoda? Czy captcha to tylko szybkie rozwiązanie dla leniwego / niedoświadczonego programisty, czy też są one naprawdę najlepszym sposobem zapobiegania spamowi i botom?

Atomix
źródło
Zamiast tego powinieneś o to zapytać na Webmasters.stackexchange.com .
Jonas,
Zamiast Webmasters.SE pytanie to dobrze pasowałoby do User Experience.SE . Nie zamierzam go jednak migrować, ponieważ ta strona jest wciąż w fazie beta, a pytanie jest stare i udzielono odpowiedzi.
Adam Lear

Odpowiedzi:

7

ReCAPTCHA wydaje się być dość bezpieczny i prawdopodobnie przetrwa każde inne rozwiązanie CAPTCHA oparte na OCR. CAPTCHA są przydatne, gdy nie masz pewności, czy jest to bot, czy człowiek - tj. Po drugiej lub trzeciej próbie logowania lub jeśli pozwalasz na anonimowe komentowanie. Po uwierzytelnieniu użytkownika zrzuć CAPTCHA.

Alternatywą, która jeszcze nie pojawiła się, jest „ SAPTCHA ”.

Iiridayn
źródło
2
Twierdzenie, że captcha jest nieetyczne, ponieważ nie jest dostępne dla osób niewidomych, jest dyskusyjne, ponieważ (a) możesz mówić i (b) mniej niż 0,5% osób jest niewidomych.
Josh K
5
@ Josh K: (b) nie czyni tego etycznym. (a) robi, jeśli faktycznie go wdrażasz.
Nemanja Trifunovic
3
@Nemanja: Co robisz z osobami niewidomymi i głuchymi? Co robią szefowie kuchni dla osób, które nie potrafią smakować? Nie możesz powiedzieć, że coś jest „nieetyczne” tylko dlatego, że nie działa na każdą osobę. Co z witrynami, które nie są zgodne z IE? Czy są „nieetyczne”? Aha, a reCAPTCHA ma wbudowaną funkcję mówienia.
Josh K
1
@Josh: dotyczy to nie tylko osób niewidomych, niedowidzących lub niedowidzących (choć w mniejszym stopniu). Potrafię też dobrze czytać po angielsku, ale te mówione captchas są w większości poza moim zasięgiem. Nie nazwałbym tego jednak nieetycznym , ale jest to kwestia dostępności.
Matthieu M.
1
@Josh K .: Nie wiem, co robią szefowie kuchni, ale jako programiści możemy zrobić, aby nasza praca była dostępna. To nie tylko kwestia etyki, ale w niektórych przypadkach także wymóg prawny.
Nemanja Trifunovic
9

Uwielbiam to, jak ludzie chętnie akceptują „konwencjonalną mądrość” dotyczącą CATPCHA. Jako profesjonalny programista internetowy z dziesięcioletnim doświadczeniem i pewną wiedzą specjalistyczną w zakresie dostępności, moim zdaniem pod żadnym pozorempowinieneś wdrożyć CAPTCHA. Mam na myśli rodzaje, które mają linie, czcionki kursywne, efekty 3D itp. Przede wszystkim uniemożliwiają dużej liczbie użytkowników dostęp do treści, w tym wielu osobom starszym lub osobom z zaburzeniami widzenia na co dzień (np. ślepota kolorów) lub osoby, dla których angielski nie jest ich pierwszym językiem. Po drugie, powoływanie się na „bezpieczeństwo” nie jest wystarczającym powodem. Wynika to z faktu, że w przypadku 99,5% spamu, ponowne wpisanie pięcioliterowego słowa jest wystarczającym „zabezpieczeniem”. Te mityczne „roboty”, o których często mówią ludzie, nie są tak wyrafinowane. I nawet wtedy, dla tych, które są wyrafinowane (ponownie, co jest bardzo małą liczbą), typowe CAPTCHA i tak nie będzie wystarczające. Biorąc pod uwagę, że wszystkie negatywne wartości znacznie przewyższają rzeczywiste korzyści, co zresztą jest w większości wyobrażone, nie ma dobrego powodu, aby z nich korzystać. Jeśli chcesz zapobiec spamowi, wystarczy, że ludzie ponownie wpisają słowo takie jak „blog” (i jest w porządku, jeśli mogą kopiować i wklejać). Jest to całkowicie dostępne i, wierz mi, wystarczające „bezpieczeństwo”. Będziesz zaskoczony, gdy dowiesz się, że cały spam został wyeliminowany, a nawet nie musiałeś odcinać dużych segmentów użytkowników.

skopiowane z innej odpowiedzi tego samego użytkownika

Zgodziłem się z tym postem do pewnego momentu: „Z mojego doświadczenia wynika, że ​​nawet jeśli masz najlepszą captcha na świecie, jest wielu spamerów, którzy obecnie zatrudniają prawdziwych ludzi za bardzo niskie wynagrodzenie, aby po prostu odwiedzić witrynę, zarejestruj się (lub cokolwiek) i wysyłają spam „ręcznie”.

Tak więc każdy system, który wymaga rozróżnienia między „człowiekiem” a „botem”, nie będzie działał w obliczu prawdziwego człowieka. Jakikolwiek system, który wymyślisz, nie będzie niezawodny i będziesz musiał ręcznie zweryfikować anonimową (lub „prawie anonimową” - to znaczy nową rejestrację) treść ”.

Potem opublikowany zaczął sugerować skomplikowane Javascript. Ponownie, jak już wspomniałem powyżej, samo zachęcanie użytkownika do ponownego wpisania czegoś (powinienem dodać losowo wybrany tekst jest idealny) jest tak samo skuteczne, jak pokazywanie niejasnego obrazu czegoś, co należy rozszyfrować. Moim zdaniem aspekt odszyfrowywania jest niepotrzebną warstwą. Ponownie, to tylko moja opinia, ale dla mnie jest to całkowicie skuteczne.

Powinienem również dodać, że CAPTCHA nie mogą być używane na rządowych stronach internetowych, ponieważ naruszają one przepisy sekcji 508.

ChrisF
źródło
Właściwie to właściwie to robię. Jak powiedziałem w mojej odpowiedzi, mam tylko trochę javascript, który w zasadzie robi dla ciebie cut'n'paste.
Dean Harding,
Waszą alternatywą jest zasadniczo „SAPTCHA”, o którym wspomniałem w mojej odpowiedzi :).
Iiridayn
7

Z mojego doświadczenia wynika, że ​​nawet jeśli masz najlepszą captcha na świecie , jest wielu spamerów, którzy obecnie zatrudniają prawdziwych ludzi za bardzo niskie zarobki, aby po prostu odwiedzić stronę, zarejestrować się (lub cokolwiek innego) i wysłać spam ręcznie.

Tak więc każdy system, który wymaga rozróżnienia między „człowiekiem” a „botem”, nie będzie działał w obliczu prawdziwego człowieka . Jakikolwiek system, który wymyślisz, nie będzie głupi i będziesz musiał ręcznie zweryfikować anonimową (lub „prawie anonimową” - to znaczy nową rejestrację) zawartość.

Odkryłem, że całkiem niezły system to taki, który wymaga javascript. Oznacza to, że na stronie znajduje się skrypt javascript, który kopiuje losowo wygenerowaną wartość do specjalnego pola w formularzu. Na serwerze sprawdź, czy wartość została skopiowana. Z mojego doświadczenia wynika, że ​​zatrzymało to wielu spamerów. Nie jest w 100% i być może nie tak dobry jak ReCAPTCHA, ale działa wystarczająco dobrze dla witryn, nad którymi pracowałem, i nie musisz się martwić o dostępność (są klienci, którzy nie mają javascript, ale oni jest ich coraz mniej między tymi dniami).

Dean Harding
źródło
Wydaje się, że spamerzy powinni płacić 2 USD za obejście 1000 CAPTCHA w witrynach takich jak decaptcher.com. To okropne - wiele witryn, które odwiedzam, które używają reCAPTCHA, są teraz dotknięte ogromną ilością spamu.
Allon Guralnek
6

Korzystanie z pól typu plaster miodu jest / było metodą redukcji spamu bez rzeczywistych kosztów użyteczności.

Oto artykuł opisujący, jak działa z pewną magią CSS, i chociaż zauważyli, że jego skuteczność zmniejszyła się, nadal będzie łapał niektóre boty. Prawdopodobnie istnieją również bardziej zaawansowane techniki oprócz CSS (czytaj: JS), które mogą zwiększyć skuteczność honeypots.

Nick T.
źródło
+1, tylko dlatego, że uwielbiam ich nowy system Captcha. (Brak głosów, wrócę!)
Josh K
Django używa pola plastra miodu w domyślnym formularzu komentarza, ale nadal otrzymuję spam. Nie wiem jednak, ile prób to blokuje.
jonescb,
+1 Używam ich na swoim blogu. Łapie dużo. Ale z drugiej strony mój blog nie jest popularny, więc może nikt nie chce go spamować.
Tony
3

Istnieją inne sposoby zapobiegania spamowi i botom, ale Captcha działa najlepiej. Czasami zadaje proste pytanie w formularzu typu „2 + 10 =” lub „Czy jesteś człowiekiem?” działa dobrze jako captcha, przynajmniej przez chwilę.

WalterJ89
źródło
3

Używam reCaptcha, ponieważ wycina 90% spamu przy 5% wysiłku.

Nie kazałem ludziom narzekać, że captcha jest trudny, utrudnia rzeczy lub też ma jakąkolwiek obniżoną użyteczność.

Spamerów i botów jest mnóstwo. Bardzo łatwo jest zeskrobać formularz i zacząć masowo wysyłać złe wnioski . Jest to prosty, bezpieczny i sprawdzony sposób na znaczne ograniczenie spamu i botów. Nie jest to szybka naprawa dla leniwych lub niedoświadczonych, raczej doświadczenie doprowadziło do tego rozwiązania i jest teraz łatwe do wdrożenia.

Czy lubię captchas? Piekło nie Dziwne linie, co to znaczy, opps Popełniłem to źle. Jest to jednak skuteczne.

Josh K.
źródło
1
@ josh jest widoczny i łatwo dostępny sposób na „narzekać”? Osobiście ich nienawidzę, ale reCaptcha można łatwo wdrożyć (jak wspomniałeś), a także
Chris
@Chris: Pewnie, że możesz, albo wysłać mi wiadomość e-mail, suka gdzie indziej, albo wypełnić captcha raz i powiedzieć mi w komentarzu.
Josh K
Wierzę, że reCaptcha możesz także słuchać kodu, wiem, że musiałem go użyć raz lub dwa tylko dlatego, że korzystałem z monitora śmieci
WalterJ89,
@ Walter: Zaimplementowanie reCaptcha jest niezwykle proste i dlatego go używam. Możesz zmienić obraz lub słuchać go w trakcie mówienia, prawie bez żadnej pracy z twojej strony.
Josh K
1
Dostajesz też takie badziewie: meta.stackexchange.com/questions/48840/…
TheLQ
3

Zgadzam się również, że konieczne jest zmniejszenie ilości otrzymywanego spamu, zanim przejdziemy do wdrożenia jakichkolwiek środków zaradczych, pomyślmy, czy tak?

  1. Czy konieczne jest zautomatyzowanie wykrywania? W przypadku witryn o niskim natężeniu ruchu wystarczająca może być ręczna moderacja. W każdym razie chcesz uniemożliwić dodawanie rasistów / obraźliwych komentarzy, prawda?
  2. Czy konieczne jest zdanie testu Turinga na komentarz? Spamerzy zazwyczaj próbują przekazywać adresy URL, więc aktywacja środków zaradczych po wykryciu adresu URL wydaje się opłacalna (choć nieco bardziej skomplikowana).
  3. Czy za każdym razem konieczne jest zdanie testu Turinga? Anonimowi użytkownicy musieliby zostać odfiltrowani (chociaż moglibyście zapamiętać adresy IP), ale uwierzytelnieni użytkownicy mogliby być filtrowani tylko wtedy, gdy staną się „spamem”, na przykład każdy piąty komentarz w mniej niż godzinę (lub dzień) i tylko do momentu sprawdził się (system oparty na białej liście podawany ręcznie lub automatycznie)

Te 3 pomysły powinny znacznie zmniejszyć liczbę osób narażonych na działanie środków zaradczych oraz liczbę ich ofiar.

Co więcej, są to inne środki zaradcze niż captchas, takie jak proszenie o adres e-mail, wysyłanie wiadomości i czekanie na odpowiedź z określonym tekstem jako tematem (generowanym losowo) przed faktycznym opublikowaniem (z godziną limit czasu przed usunięciem komentarza, powiedzmy).

Matthieu M.
źródło
1

Z mojego doświadczenia wynika, że ​​captchas to najlepszy sposób na zapobieganie spamowi, bez względu na to, jak dobrze program jest zaprogramowany, zawsze będzie spam bot lepiej niż Twoja aplikacja.

Jeremy
źródło