Ho letto che captcha non è una soluzione perfetta per proteggere un sito web dove ad esempio l'utente può creare un account, dal momento che ci sono molte persone in diversi paesi che praticamente leggono i captcha per vivere, quindi sto pensando di usare la posta elettronica conferma invece sul mio sito.
Ma è una soluzione migliore o ci sono anche alcune vulnerabilità con quel metodo? Ci sono forse altre soluzioni che non ho incontrato?
Nessuno dei due metodi è infallibile nel bloccare richieste automatizzate, ma entrambi sono stati efficaci per me in passato. Lasciami spiegare:
L'automazione di una risposta a un'e-mail è abbastanza semplice, e quindi non può essere presa come garanzia che il client non è un bot. Allo stesso modo, captcha si rompe facilmente (nemmeno usando gli umani). Ad esempio, il gruppo di hacker DC949 ha recentemente rilasciato stiltwalker , che può bypassare in modo affidabile recaptcha e molti altri servizi captcha popolari. Come spesso accade nella sicurezza, se qualcuno è determinato a sufficienza, può intervenire.
Tuttavia, in passato la verifica e il recaptcha delle e-mail hanno avuto un grande impatto per me nella lotta contro account / recensioni di spam. Mentre può essere aggirato, molti spammer non sanno come e / o non si preoccupano. Quindi, anche se non è "sicuro", è comunque efficace.
P.S. Un'altra tecnica di cui ho sentito parlare è l'uso di javascript per misurare la quantità di tempo che l'utente ha speso nella pagina web prima di inviarlo. La maggior parte dei bot invierà le cose quasi istantaneamente (se addirittura eseguono il javascript), quindi controlla che sia trascorso un secondo o due poiché la pagina visualizzata può bloccare anche molto spam.
Entrambi risolvono diversi problemi.
Come tale, dovresti usare entrambi. Tuttavia, uno spammer determinato esternalizza semplicemente la risoluzione CAPTCHA basata sulle immagini in paesi del terzo mondo, o ottiene utenti ignari per risolverli tramite attacchi di phishing.
Il miglior tipo di CAPTCHA è uno che l'utente non vede mai. Pertanto, un Honeypot CAPTCHA è una delle opzioni più efficaci e facili da usare.
Conferma e-mail e CAPTCHA risolve diversi problemi. Il primo dovrebbe essere implementato quando si desidera che gli utenti utilizzino il proprio indirizzo di posta elettronica nel processo di registrazione. Anche la conferma via email ci protegge dal furto di identità . Non riesco a registrarmi digitando l'indirizzo email di whitehouse.gov e facendo finta di essere il Presidente (perché non sono in grado di cliccare sul link di conferma inviato a whitehouse.gov, perché non sono il proprietario di questo indirizzo). Quindi la conferma via email consente di collegare ciascun utente a ciascun indirizzo email.
Tuttavia la conferma via email non ci protegge dai robot (come fa il CAPTCHA). Onestamente, quasi tutti i bot spam che ho visto hanno implementato la conferma dell'email. È davvero facile e ci sono solo poche righe di codice per forzare il nostro programma a controllare le e-mail e cliccare su ogni link di attivazione). Il dettaglio interessante è che alcuni di questi spam-bot hanno usato 123456 come password per i loro account di webmail.
Quindi, parliamo del CAPTCHA. È stato creato per distinguere l'essere umano dal robot . Leggere il testo dall'immagine, risolvere formule matematiche, ecc. Il problema principale è che i robot online sono ancora in evoluzione. I loro moduli stanno aggiornando, non hanno problemi con la risoluzione delle formule, i loro moduli OCR sono migliori (quindi sono in grado di estrarre il testo dall'immagine). Tutto ciò significa che CAPTCHA non è la protezione al 100% contro i non umani, ma è la prima linea di difesa ed è molto raccomandata.
Il miglior CAPTCHA è il CAPTCHA che è stato implementato da te. Fidati di me, molte persone tentano la fortuna con la rottura del popolare CAPTCHA. Perché? La risposta è molto semplice qui. I CAPTCHAS popolari sono usati da molti siti web. Se potessimo rompere quel CAPTCHA, potremmo inserire molti contenuti di spam su quei siti web. Quindi, se il tuo sito web non è molto popolare e ha la propria implementazione CAPTCHA, sono abbastanza sicuro che nessuno perderà tempo e denaro per rompere il tuo CAPTCHA. Tuttavia, se non sei sicuro di come implementarlo nel modo corretto, potresti provare CAPTCHA non ovvi. Come il CAPTCHA basato su immagini ( qui è l'esempio) o 3D CAPTCHA ( altro esempio ).
Vorrei provare un CAPTCHA più la verifica dell'e-mail, come altri suggeriscono, e vedere se è abbastanza buono per il tuo sito. Se è, buono, problema risolto!
Se ciò non si dimostra adeguato, ci sono alcune altre opzioni che puoi prendere in considerazione:
Verifica del cellulare. Chiedete all'utente di inserire il loro numero di cellulare, di inviare loro un SMS (messaggio di testo) con un codice e di chiedere loro di inserire il codice nel sito web. Oppure, si effettua una telefonata automatica alla propria rete fissa. Pensa come funziona Google Voice.
Tuttavia, molti utenti potrebbero essere riluttanti a darti il loro numero di telefono, per una serie di motivi, specialmente se non sei un marchio molto conosciuto (come Google o Apple).
Esternalizzare il problema. Ad esempio, potresti richiedere agli utenti di accedere con Facebook.
Tuttavia, alcuni utenti potrebbero essere riluttanti ad accedere con un account Facebook, ad es. per motivi di privacy. Inoltre, anche le difese di Facebook non sono perfette.
Stai attento con queste opzioni. Non essere cattivo Queste opzioni possono facilmente infastidire gli utenti o allontanare gli utenti, quindi sii molto riluttante a utilizzarli a meno che tu non abbia dati per indicare che sono necessari (e forse nemmeno allora). Richiedere il numero di telefono di un utente o l'account di Facebook è molto vicino a un "modello scuro".