I captcha valgono la ridotta usabilità?


16

Quando è utile usare un captcha? Quando è un ostacolo inutile? Un captcha è solo una soluzione rapida per il programmatore pigro / inesperto o sono davvero il modo migliore per prevenire spam e bot?


Dovresti invece chiedere questo su Webmasters.stackexchange.com .
Jonas,

Anziché Webmasters.SE, questa domanda si adatterebbe perfettamente a User Experience.SE . Tuttavia, non ho intenzione di migrarlo perché quel sito è ancora in beta e la domanda è vecchia e ha una risposta.
Adam Lear

Risposte:


7

ReCAPTCHA sembra essere abbastanza sicuro e probabilmente sopravvivrà a qualsiasi altra soluzione CAPTCHA basata su OCR. I CAPTCHA sono utili quando non sei sicuro che si tratti di un bot o di un essere umano, ovvero dopo il secondo o il terzo tentativo di accesso o se consenti commenti anonimi. Una volta che un utente ha effettuato l'autenticazione, scarica CAPTCHA.

Un'alternativa che non è ancora venuta fuori è il " SAPTCHA ".


2
Lamentarsi che un captcha non sia etico perché non è disponibile per i non vedenti è discutibile perché (a) si può parlare e (b) meno dello 0,5% delle persone è cieco.
Josh K,

5
@ Josh K: (b) non lo rende etico. (a) lo fa se lo si implementa effettivamente.
Nemanja Trifunovic

3
@Nemanja: cosa fai delle persone non vedenti e non udenti? Cosa fanno gli chef per le persone che non sanno assaggiare? Non puoi dire che qualcosa sia "non etico" solo perché non funziona per ogni singola persona. Che dire dei siti che non sono compatibili con IE? Sono "non etici"? Oh, e reCAPTCHA ha parlato integrato.
Josh K,

1
@Josh: non sono interessati solo i non vedenti, anche i non vedenti o gli ipovedenti (anche se in misura minore). Inoltre, so leggere l'inglese abbastanza bene, ma quei captcha parlati sono per lo più fuori dalla mia portata. Non lo definirei non etico però, ma è un problema di accessibilità.
Matthieu M.

1
@Josh K .: Non so cosa facciano gli chef, ma cosa possiamo fare come programmatori è rendere il nostro lavoro accessibile. Non è solo una questione di etica ma in alcuni casi anche un requisito legale.
Nemanja Trifunovic,

9

Adoro il modo in cui le persone accettano prontamente la "saggezza convenzionale" sui CATPCHA. Come sviluppatore web professionista con dieci anni di esperienza e con una certa esperienza nell'accessibilità, è mia opinione che in nessun casose dovessi implementare i CAPTCHA. Mi riferisco ai tipi che hanno linee, caratteri corsivi, effetti 3d, ecc. Innanzitutto, impediscono a un gran numero di utenti di accedere al contenuto, inclusi molti anziani o persone con problemi di vista di tutti i giorni (come daltonismo) o persone per le quali l'inglese non è la loro lingua madre. In secondo luogo, citare la "sicurezza" non è una ragione sufficiente. Questo perché per il 99,5% dello spam là fuori, avere qualcuno che riscrive una parola di cinque lettere è sufficiente "sicurezza". Questi mitici "robot" a cui spesso la gente si riferisce non sono poi così sofisticati. E anche allora, per quelli che sono sofisticati (di nuovo, che è un numero molto piccolo), un tipico CAPTCHA non sarà comunque sufficiente. Quindi, dato che tutto il negativo supera di gran lunga qualsiasi beneficio reale, che è per lo più immaginato comunque, non c'è una buona ragione per usarli. Se vuoi prevenire lo SPAM, tutto ciò di cui hai bisogno è che le persone riscrivano una parola come "blog" (ed è OK se possono copiare e incollare). Questo è totalmente accessibile e, credetemi, è sufficiente "sicurezza". Sarai sorpreso di scoprire che tutto il tuo spam viene eliminato e che non hai nemmeno dovuto tagliare grandi segmenti di utenti.

copiato da un'altra risposta dello stesso utente

Ho concordato con questo post fino a un certo punto: "Nella mia esperienza, anche se hai il captcha migliore al mondo, ci sono molti spammer che oggi impiegano veri umani per stipendi molto bassi per visitare semplicemente il sito, iscriviti (o qualsiasi altra cosa) e pubblicano il loro spam "manualmente".

Quindi, qualsiasi sistema che richiede di distinguere tra "umano" e "bot" non funzionerà di fronte a un vero essere umano. Qualunque sistema ti venga in mente non sarà infallibile e dovrai verificare manualmente il contenuto anonimo (o "quasi anonimo", ovvero la nuova iscrizione). "

Quindi i post hanno iniziato a suggerire alcuni Javascript complicati. Ancora una volta, come ho detto sopra, spingere l'utente a riscrivere qualcosa (dovrei aggiungere un testo selezionato casualmente è l'ideale) è efficace quanto mostrare un'immagine oscura di qualcosa che devi decifrare. L'aspetto della decifrazione è un livello superfluo, secondo me. Ancora una volta, questa è solo la mia opinione, ma questo è stato completamente efficace per me.

Vorrei anche aggiungere che i CAPTCHA non possono essere utilizzati sui siti Web governativi perché violano le regole della Sezione 508.


È praticamente quello che faccio, in realtà. Come ho detto nella mia risposta, ho solo un po 'di javascript che fondamentalmente fa il taglio e il gusto per te.
Dean Harding,

La tua alternativa è essenzialmente il "SAPTCHA" che ho citato nella mia risposta :).
Iiridayn

7

Nella mia esperienza, anche se hai il miglior captcha del mondo , ci sono molti spammer che oggi impiegano veri esseri umani per salari molto bassi per visitare semplicemente il sito, iscriversi (o altro) e pubblicare il loro spam "manualmente".

Quindi, qualsiasi sistema che richiede di distinguere tra "umano" e "bot" non funzionerà di fronte a un vero essere umano . Qualunque sistema ti venga in mente non sarà infallibile e dovrai verificare manualmente il contenuto anonimo (o "quasi anonimo", ovvero la nuova iscrizione).

In realtà ho scoperto che un sistema abbastanza buono è uno che richiede JavaScript. Cioè, avere qualche javascript nella pagina che copia un valore generato casualmente in un campo speciale nel modulo. Sul server, verificare che il valore sia stato copiato. Nella mia esperienza, questo ha fermato molti spammer. Non è al 100%, e forse non è buono come ReCAPTCHA, ma funziona abbastanza bene per i siti su cui ho lavorato e non devi preoccuparti dell'accessibilità (ci sono client che non hanno JavaScript, ma loro sono meno e più tra questi giorni).


Sembra che sia un buon affare per gli spammer pagare $ 2 per aver bypassato 1000 CAPTCHA su siti come decaptcher.com. È orribile - molti siti che visito che usano reCAPTCHA sono ora colpiti da enormi quantità di spam.
Allon Guralnek,

6

L'uso dei campi honeypot è / era un metodo per ridurre lo spam senza costi di usabilità reali.

Ecco un articolo che descrive come funziona con un po 'di magia CSS, e mentre hanno notato che la sua efficacia è diminuita, catturerà comunque alcuni robot. Probabilmente ci sono anche tecniche più avanzate oltre ai CSS (leggi: JS) che possono aumentare l'efficacia degli honeypot.


+1, solo perché adoro il loro nuovo sistema Captcha. (Nessun voto rimasto, tornerò!)
Josh K,

Django utilizza un campo honeypot nel suo modulo Commento predefinito, ma continuo a ricevere spam. Non so quanti tentativi blocca però.
jonescb,

+1 li uso sul mio blog. Prende molto. Ma poi il mio blog non è popolare, quindi forse a nessuno interessa provare a spammarlo.
Tony,

3

Esistono altri modi per prevenire spam e bot, ma captcha funziona al meglio. A volte fai una semplice domanda su un modulo come "2 + 10 =" o "Sei umano?" funziona bene come captcha, almeno per un po '.


3

Uso reCaptcha perché elimina il 90% dello spam con uno sforzo del 5%.

Non ho avuto persone che si lamentano del fatto che il captcha è difficile, rende le cose più difficili o ha anche una ridotta usabilità.

Spammer e robot sono abbondanti. È molto semplice raschiare un modulo e iniziare a inviare richieste errate in massa . È un modo semplice, sicuro e provato per ridurre in modo significativo spam e bot. Non è una soluzione rapida per i più pigri o inesperti, piuttosto l'esperienza ha portato a questa soluzione ed è ora facile da implementare.

Mi piacciono i captcha? Diavolo, no. Linee ondulate, che cosa significa, opp ho inserito sbagliato. Si è efficace però.


1
@josh c'è un modo visibile e facilmente disponibile per "lamentarsi"? Personalmente li odio ma reCaptcha è facile da distribuire (come dici tu) e anche
Chris,

@Chris: Certo, puoi mandarmi un'e-mail, puttana da qualche altra parte o completare il captcha una volta e dirmi in un commento.
Josh K,

Credo che reCaptcha puoi anche ascoltare il codice, so che ho dovuto usarlo una o due volte solo perché stavo usando un garbage monitor
WalterJ89,

@Walter: è così incredibilmente semplice implementare reCaptcha, motivo per cui lo uso. Puoi cambiare l'immagine o ascoltarla mentre pronuncia, senza quasi nessun lavoro da parte tua.
Josh K,


3

Inoltre, accetterei che è necessario ridurre la quantità di spam che ricevi, prima di procedere e implementare qualsiasi contromisura, pensiamo tu?

  1. È necessario automatizzare il rilevamento? Per un sito Web a basso traffico, la moderazione manuale può essere sufficiente. Dovresti impedire alle persone di aggiungere comunque razzisti / commenti offensivi, vero?
  2. È necessario superare un test di Turing per qualsiasi commento? Gli spammer di solito provano a passare gli URL, quindi l'attivazione di contromisure quando viene rilevato un URL sembra fattibile (anche se leggermente più complicata).
  3. È necessario superare un test di Turing ogni volta? Potrebbe essere necessario filtrare gli utenti anonimi (sebbene si possano ricordare gli IP), ma gli utenti autenticati potrebbero essere filtrati solo quando diventano "spammy", ad esempio ogni 5 commenti in meno di un'ora (o un giorno) e solo fino a quando non hanno si sono dimostrati (sistema basato su white list alimentato manualmente o automaticamente)

Queste 3 idee dovrebbero ridurre notevolmente il numero di persone esposte a quella contromisura e il numero di volte in cui sono sottoposte anche a loro.

Inoltre, sono contromisure diverse dai captcha, come la richiesta di un indirizzo e-mail, l'invio di un messaggio e l'attesa di una risposta con un determinato testo come oggetto (generato casualmente) prima di pubblicare (con un'ora timeout prima di eliminare il commento, ad esempio).


1

Nella mia esperienza, i captcha sono il modo migliore per prevenire lo spam, indipendentemente dal modo in cui il modulo è programmato, ci sarà sempre un bot di spam migliore della tua app.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.