Il mio gestore di telefonia mobile locale (Play, Polonia) e il suo gate SMS a pagamento è il primo esempio che richiamo nella mia intera cronologia di Internet, che costringe gli utenti a compilare CAPTCHA sbiaditi anche su pagine, che sono protetti dal protocollo HTTPS e accesso utente.
C'è qualche ragione per farlo in questa situazione? C'è un aumento della sicurezza o degli effetti anti-spam?
In questo caso particolare, gli account utente sono solo parzialmente auto-registrati. Chiunque può creare un account, ma fintanto che non fornirà un numero di cellulare in rete valido, che verrà ulteriormente verificato inviando messaggi di testo con un codice univoco, quindi tale account non è in grado di registrare e utilizzare completamente il gateway SMS.
Non riesco a immaginare lo spam-bot (o il suo autore) che crea un account in questa situazione o, anche se ciò sarebbe possibile, una percentuale di tali casi sarebbe minima e - a mio parere - non giudicherebbe infastidire la maggior parte degli utenti normali e legali con CAPTCHA nelle pagine disponibili solo dopo il login.
Questa è una tecnica comune? Ho la sensazione che stavo vedendo CAPTCHA solo su pagine ad accesso libero, cioè senza accesso richiesto. Ho problemi reali a immaginare Facebook, Twitter o qualsiasi altro servizio che obbliga l'utente a compilare CAPTCHA dopo che l'utente è stato convalidato e registrato. Nelle pagine di registrazione o di richiamo della password, sì. Ma, dopo il login?