I captcha valgono la ridotta usabilità?

Quando è utile usare un captcha? Quando è un ostacolo inutile? Un captcha è solo una soluzione rapida per il programmatore pigro / inesperto o sono davvero il modo migliore per prevenire spam e bot?

ReCAPTCHA sembra essere abbastanza sicuro e probabilmente sopravvivrà a qualsiasi altra soluzione CAPTCHA basata su OCR. I CAPTCHA sono utili quando non sei sicuro che si tratti di un bot o di un essere umano, ovvero dopo il secondo o il terzo tentativo di accesso o se consenti commenti anonimi. Una volta che un utente ha effettuato l'autenticazione, scarica CAPTCHA.

Un'alternativa che non è ancora venuta fuori è il " SAPTCHA ".

Adoro il modo in cui le persone accettano prontamente la "saggezza convenzionale" sui CATPCHA. Come sviluppatore web professionista con dieci anni di esperienza e con una certa esperienza nell'accessibilità, è mia opinione che in nessun casose dovessi implementare i CAPTCHA. Mi riferisco ai tipi che hanno linee, caratteri corsivi, effetti 3d, ecc. Innanzitutto, impediscono a un gran numero di utenti di accedere al contenuto, inclusi molti anziani o persone con problemi di vista di tutti i giorni (come daltonismo) o persone per le quali l'inglese non è la loro lingua madre. In secondo luogo, citare la "sicurezza" non è una ragione sufficiente. Questo perché per il 99,5% dello spam là fuori, avere qualcuno che riscrive una parola di cinque lettere è sufficiente "sicurezza". Questi mitici "robot" a cui spesso la gente si riferisce non sono poi così sofisticati. E anche allora, per quelli che sono sofisticati (di nuovo, che è un numero molto piccolo), un tipico CAPTCHA non sarà comunque sufficiente. Quindi, dato che tutto il negativo supera di gran lunga qualsiasi beneficio reale, che è per lo più immaginato comunque, non c'è una buona ragione per usarli. Se vuoi prevenire lo SPAM, tutto ciò di cui hai bisogno è che le persone riscrivano una parola come "blog" (ed è OK se possono copiare e incollare). Questo è totalmente accessibile e, credetemi, è sufficiente "sicurezza". Sarai sorpreso di scoprire che tutto il tuo spam viene eliminato e che non hai nemmeno dovuto tagliare grandi segmenti di utenti.

copiato da un'altra risposta dello stesso utente

Ho concordato con questo post fino a un certo punto: "Nella mia esperienza, anche se hai il captcha migliore al mondo, ci sono molti spammer che oggi impiegano veri umani per stipendi molto bassi per visitare semplicemente il sito, iscriviti (o qualsiasi altra cosa) e pubblicano il loro spam "manualmente".

Quindi, qualsiasi sistema che richiede di distinguere tra "umano" e "bot" non funzionerà di fronte a un vero essere umano. Qualunque sistema ti venga in mente non sarà infallibile e dovrai verificare manualmente il contenuto anonimo (o "quasi anonimo", ovvero la nuova iscrizione). "

Quindi i post hanno iniziato a suggerire alcuni Javascript complicati. Ancora una volta, come ho detto sopra, spingere l'utente a riscrivere qualcosa (dovrei aggiungere un testo selezionato casualmente è l'ideale) è efficace quanto mostrare un'immagine oscura di qualcosa che devi decifrare. L'aspetto della decifrazione è un livello superfluo, secondo me. Ancora una volta, questa è solo la mia opinione, ma questo è stato completamente efficace per me.

Vorrei anche aggiungere che i CAPTCHA non possono essere utilizzati sui siti Web governativi perché violano le regole della Sezione 508.

Nella mia esperienza, anche se hai il miglior captcha del mondo , ci sono molti spammer che oggi impiegano veri esseri umani per salari molto bassi per visitare semplicemente il sito, iscriversi (o altro) e pubblicare il loro spam "manualmente".

Quindi, qualsiasi sistema che richiede di distinguere tra "umano" e "bot" non funzionerà di fronte a un vero essere umano . Qualunque sistema ti venga in mente non sarà infallibile e dovrai verificare manualmente il contenuto anonimo (o "quasi anonimo", ovvero la nuova iscrizione).

In realtà ho scoperto che un sistema abbastanza buono è uno che richiede JavaScript. Cioè, avere qualche javascript nella pagina che copia un valore generato casualmente in un campo speciale nel modulo. Sul server, verificare che il valore sia stato copiato. Nella mia esperienza, questo ha fermato molti spammer. Non è al 100%, e forse non è buono come ReCAPTCHA, ma funziona abbastanza bene per i siti su cui ho lavorato e non devi preoccuparti dell'accessibilità (ci sono client che non hanno JavaScript, ma loro sono meno e più tra questi giorni).

L'uso dei campi honeypot è / era un metodo per ridurre lo spam senza costi di usabilità reali.

Ecco un articolo che descrive come funziona con un po 'di magia CSS, e mentre hanno notato che la sua efficacia è diminuita, catturerà comunque alcuni robot. Probabilmente ci sono anche tecniche più avanzate oltre ai CSS (leggi: JS) che possono aumentare l'efficacia degli honeypot.

Esistono altri modi per prevenire spam e bot, ma captcha funziona al meglio. A volte fai una semplice domanda su un modulo come "2 + 10 =" o "Sei umano?" funziona bene come captcha, almeno per un po '.

Uso reCaptcha perché elimina il 90% dello spam con uno sforzo del 5%.

Non ho avuto persone che si lamentano del fatto che il captcha è difficile, rende le cose più difficili o ha anche una ridotta usabilità.

Spammer e robot sono abbondanti. È molto semplice raschiare un modulo e iniziare a inviare richieste errate in massa . È un modo semplice, sicuro e provato per ridurre in modo significativo spam e bot. Non è una soluzione rapida per i più pigri o inesperti, piuttosto l'esperienza ha portato a questa soluzione ed è ora facile da implementare.

Mi piacciono i captcha? Diavolo, no. Linee ondulate, che cosa significa, opp ho inserito sbagliato. Si è efficace però.

Inoltre, accetterei che è necessario ridurre la quantità di spam che ricevi, prima di procedere e implementare qualsiasi contromisura, pensiamo tu?

1. È necessario automatizzare il rilevamento? Per un sito Web a basso traffico, la moderazione manuale può essere sufficiente. Dovresti impedire alle persone di aggiungere comunque razzisti / commenti offensivi, vero?
2. È necessario superare un test di Turing per qualsiasi commento? Gli spammer di solito provano a passare gli URL, quindi l'attivazione di contromisure quando viene rilevato un URL sembra fattibile (anche se leggermente più complicata).
3. È necessario superare un test di Turing ogni volta? Potrebbe essere necessario filtrare gli utenti anonimi (sebbene si possano ricordare gli IP), ma gli utenti autenticati potrebbero essere filtrati solo quando diventano "spammy", ad esempio ogni 5 commenti in meno di un'ora (o un giorno) e solo fino a quando non hanno si sono dimostrati (sistema basato su white list alimentato manualmente o automaticamente)

Queste 3 idee dovrebbero ridurre notevolmente il numero di persone esposte a quella contromisura e il numero di volte in cui sono sottoposte anche a loro.

Inoltre, sono contromisure diverse dai captcha, come la richiesta di un indirizzo e-mail, l'invio di un messaggio e l'attesa di una risposta con un determinato testo come oggetto (generato casualmente) prima di pubblicare (con un'ora timeout prima di eliminare il commento, ad esempio).

Nella mia esperienza, i captcha sono il modo migliore per prevenire lo spam, indipendentemente dal modo in cui il modulo è programmato, ci sarà sempre un bot di spam migliore della tua app.