Quando invii l'URL dell'immagine captcha al client, il client scaricherà quell'immagine. Ecco come funziona la visualizzazione delle immagini sui siti web.
Il client ora ha l'immagine in memoria. Possono fare con quei dati qualunque cosa vogliano, incluso inviarli ad un negozio di sudore captcha. La sweat shop non riceve l'URL originale, solo i dati grezzi dell'immagine. Quando lo hanno risolto, inviano indietro la risposta e il tuo cliente può inoltrare la risposta a te.
Dal punto di vista della tua applicazione, il client è una scatola completamente nera. Ci dispiace, ma non c'è modo di sapere se hanno risolto il captcha o l'hanno esternalizzato a una festa diversa.
Ma se sei un bersaglio di basso valore per spammer e bot, allora c'è una soluzione alternativa con la quale ho ottenuto risultati abbastanza buoni in passato: una semplice domanda di testo basata sul contesto. Una volta ho amministrato un forum su un videogioco. Il forum è stato davvero adorato dai bot spam. Abbiamo provato diversi captcha, ma nessuno ha funzionato. Poi ho aggiunto una semplice domanda al modulo di registrazione: "Inserisci il nome del gioco di cui parla questo forum" . Quindi lo spam era sparito. Naturalmente la domanda accettava una grande varietà di possibili errori ortografici e abbreviazioni e abbreviazioni concepibili per assicurarsi che nessun utente umano legittimo ne fosse bloccato.
Si noti che alcuni robot di spam (oi loro risolutori di captcha umani) si sono evoluti per poter rispondere a domande molto banali. Cosa sono 2 + 4 o Invio "Non sono un bot spam" qui non funzionano più. Ma se chiedi qualche conoscenza di dominio che ogni utente legittimo dovrebbe conoscere, ma che non è chiaro per qualcuno (o qualcosa) che sembra solo nel modulo di login, allora è un utile deterrente.
Questo ovviamente si applica solo ai target di basso valore. Quando sei un target abbastanza prezioso da dedicare un'ora o due a capire come automatizzare la creazione dell'account, individueranno la risposta alla tua domanda e la indicheranno.