Quando è utile usare un captcha? Quando è un ostacolo inutile? Un captcha è solo una soluzione rapida per il programmatore pigro / inesperto o è davvero il modo migliore per prevenire spam e bot?
ReCAPTCHA sembra essere abbastanza sicuro e probabilmente supererà qualsiasi altra soluzione CAPTCHA basata su OCR. I CAPTCHA sono utili quando non si è sicuri che si tratti di un bot o di un essere umano, ovvero dopo il secondo o il terzo tentativo di accesso o se si autorizzano i commenti anonimi. Una volta che un utente si è autenticato, scarica CAPTCHA.
Un'alternativa che non è ancora stata visualizzata è " SAPTCHA ".
Adoro il modo in cui le persone accettano prontamente la "saggezza convenzionale" sui CATPCHA. Come sviluppatore Web professionista con dieci anni di esperienza e con una certa esperienza in accessibilità, è mia opinione che in nessun caso dovresti implementare CAPTCHAs. Mi riferisco ai tipi che hanno linee, caratteri corsivi, effetti 3d, ecc. Prima di tutto, impediscono a un gran numero di utenti di accedere ai contenuti, tra cui molte persone anziane o persone con problemi di vista di tutti i giorni (come daltonismo), o persone per le quali l'inglese non è la loro prima lingua. In secondo luogo, citare "sicurezza" non è una ragione sufficiente. Questo perché per il 99,5% dello spam là fuori, avere qualcuno ri-digitare una parola di cinque lettere è sufficiente "sicurezza". Questi "robot" mitici a cui la gente spesso si riferisce non sono così sofisticati. E anche allora, per quelli che sono sofisticati (di nuovo, che è un numero molto piccolo), un tipico CAPTCHA non sarà comunque sufficiente. Quindi, dato che tutto il negativo supera di gran lunga qualsiasi beneficio reale, che è per lo più immaginato in ogni caso, non ci sono buoni motivi per usarli. Se vuoi prevenire lo SPAM, tutto ciò che serve è che le persone debbano ridigitare una parola come "blog" (ed è OK se possono copiare e incollare). Questo è totalmente accessibile e, fidati, è abbastanza "sicurezza". Rimarrai sorpreso nel constatare che tutto lo spam è stato eliminato e che non hai nemmeno dovuto tagliare segmenti di utenti di grandi dimensioni.
copiato da un'altra risposta dello stesso utente
Sono d'accordo con questo post fino a un certo punto: "Nella mia esperienza, anche se hai il miglior captcha al mondo, ci sono molti spammer che oggigiorno impiegano veri umani per salari molto bassi per visitare semplicemente il sito, registrazione (o altro) e pubblicare il loro spam "manualmente".
Quindi qualsiasi sistema che richieda di distinguere tra "umani" e "bot" non funzionerà di fronte a un vero umano. Qualunque sistema tu crei non sarà infallibile e dovrai verificare manualmente il contenuto anonimo (o "quasi anonimo", ovvero nuova registrazione).
Quindi il post ha iniziato a suggerire alcuni complicati Javascript. Di nuovo, come ho detto sopra, solo chiedere all'utente di ridigitare qualcosa (dovrei aggiungere un testo selezionato a caso è l'ideale) è altrettanto efficace di mostrare un'immagine oscura di qualcosa che devi decifrare. L'aspetto della decifrazione è uno strato non necessario, secondo me. Di nuovo, è solo una mia opinione, ma per me è stato completamente efficace.
Dovrei anche aggiungere che i CAPTCHA non possono essere utilizzati sui siti web governativi perché violano le regole della Sezione 508.
Nella mia esperienza, anche se hai il miglior captcha al mondo , ci sono molti spammer che oggigiorno impiegano esseri umani reali per salari molto bassi per visitare semplicemente il sito, iscriversi (o qualunque cosa) e postare il loro spam "manualmente".
Quindi qualsiasi sistema che richiede di distinguere tra "umani" e "bot" non funzionerà quando si trova di fronte a un umano reale . Qualunque sistema tu crei non sarà infallibile e dovrai verificare manualmente il contenuto anonimo (o "quasi anonimo", ovvero nuova registrazione).
In realtà ho scoperto che un buon sistema è uno che richiede javascript. Cioè, avere qualche javascript sulla pagina che copia un valore generato a caso in un campo speciale nel modulo. Sul server, verificare che il valore sia stato copiato. Nella mia esperienza, questo ha bloccato moltissimi spammer. Non è al 100%, e forse non è buono come ReCAPTCHA, ma funziona abbastanza bene per i siti su cui ho lavorato, e non devi preoccuparti dell'accessibilità (ci sono client che non hanno javascript, ma sono sempre meno tra questi giorni).
L'utilizzo dei campi honeypot è / era un metodo per ridurre lo spam senza costi reali di utilizzo.
Ecco un articolo che descrive come funziona con alcune magie CSS, e mentre hanno notato che la sua efficacia è diminuita, continuerà a catturare alcuni robot. Probabilmente esistono anche tecniche più avanzate oltre al CSS (leggi: JS) che possono aumentare l'efficacia degli honeypot.
Ci sono altri modi per prevenire spam e bot, ma il lavoro di captcha è il migliore. A volte ponendo una semplice domanda su un modulo come "2 + 10=" o "Sei umano?" funziona bene come un captcha, almeno per un po '.
Uso reCaptcha perché taglia il 90% dello spam con uno sforzo del 5%.
Non ho mai avuto persone che si lamentano del fatto che il captcha è difficile, rende le cose più difficili o ha anche una diminuzione dell'usabilità.
Gli spammer e i bot sono abbondanti. È molto semplice raschiare un modulo e iniziare a inviare richieste errate in massa . È un modo semplice, sicuro, provato per ridurre in modo significativo spam e bot. Non è una soluzione rapida per i pigri o inesperti, piuttosto l'esperienza ha portato a questa soluzione ed è ora facile da implementare.
I mi piace captchas? Diavolo, no. Linee ondulate, cosa vuol dire, opps l'ho inserito male. È è comunque efficace.
Inoltre, accetterei che ridurre la quantità di spam che ricevi sia necessario, prima di andare e implementare qualsiasi contromisura, pensiamo che vorresti?
Queste 3 idee dovrebbero ridurre notevolmente il numero di persone esposte a tali contromisure e il numero di volte in cui sono sottoposte a loro.
Inoltre, sono altre contromisure che i captcha, come chiedere un indirizzo e-mail, inviare un messaggio e aspettare una risposta con un particolare testo come soggetto (generato casualmente) prima di pubblicare effettivamente (con un timeout di un'ora prima di cestinare il commento, ad esempio).
Nella mia esperienza i captcha sono il modo migliore per prevenire lo spam, non importa quanto bene sia programmato il form ci sarà sempre un bot spam migliore della tua app.