Les captchas valent-ils la facilité d'utilisation réduite?

Quand est-il utile d'utiliser un captcha? Quand est-ce un obstacle inutile? Un captcha est-il juste une solution rapide pour le programmeur paresseux / inexpérimenté, ou est-ce vraiment le meilleur moyen de prévenir le spam et les bots?

ReCAPTCHA semble être assez sécurisé et survivra probablement à toute autre solution CAPTCHA basée sur l'OCR. Les CAPTCHA sont utiles lorsque vous n'êtes pas sûr qu'il s'agisse d'un bot ou d'un humain, c'est-à-dire après la deuxième ou la troisième tentative de connexion ou si vous autorisez les commentaires anonymes. Une fois qu'un utilisateur s'est authentifié, videz le CAPTCHA.

Une alternative qui n'est pas encore apparue est la " SAPTCHA ".

J'adore la façon dont les gens acceptent facilement la "sagesse conventionnelle" des CATPCHA. En tant que développeur Web professionnel avec dix ans d'expérience et une certaine expertise en accessibilité, je suis d'avis qu'en aucun cassi vous implémentez CAPTCHA. Je fais référence aux types qui ont des lignes, des polices cursives, des effets 3D, etc. Tout d'abord, ils empêchent un grand nombre d'utilisateurs d'accéder au contenu, y compris de nombreuses personnes âgées ou des personnes souffrant de déficiences visuelles quotidiennes (telles que daltonisme), ou des personnes pour lesquelles l'anglais n'est pas leur première langue. Deuxièmement, citer la «sécurité» n'est pas une raison suffisante. En effet, pour 99,5% du spam, avoir quelqu'un de retaper un mot de cinq lettres est une «sécurité» suffisante. Ces «robots» mythiques auxquels les gens se réfèrent souvent ne sont pas vraiment aussi sophistiqués. Et même alors, pour ceux qui sont sophistiqués (encore une fois, ce qui est un très petit nombre), un CAPTCHA typique ne sera de toute façon pas suffisant. Donc, étant donné que tous les négatifs l'emportent de loin sur tout avantage réel, ce qui est surtout imaginé de toute façon, il n'y a aucune bonne raison de les utiliser. Si vous voulez empêcher le SPAM, tout ce dont vous avez besoin est de demander aux gens de retaper un mot comme "blog" (et c'est OK s'ils peuvent copier-coller). C'est totalement accessible et, croyez-moi, c'est suffisamment de «sécurité». Vous serez surpris de constater que tous vos spams sont éliminés et vous n'avez même pas eu à couper de larges segments d'utilisateurs.

copié d'une autre réponse par le même utilisateur

J'étais d'accord avec ce post jusqu'à un certain point: "D'après mon expérience, même si vous avez le meilleur captcha au monde, il y a beaucoup de spammeurs qui emploient de nos jours de vrais humains pour des salaires très bas pour simplement visiter le site, s'inscrire (ou autre) et publier leur spam "manuellement".

Donc, tout système qui vous oblige à faire la différence entre «humain» et «bot» ne fonctionnera pas face à un humain réel. Quel que soit le système que vous proposez, il ne sera pas infaillible et vous devrez vérifier manuellement le contenu anonyme (ou "presque anonyme" - c'est-à-dire la nouvelle inscription). "

Ensuite, la publication a commencé à suggérer du Javascript compliqué. Encore une fois, comme je l'ai indiqué ci-dessus, inviter simplement l'utilisateur à retaper quelque chose (je devrais ajouter du texte sélectionné au hasard est idéal) est tout aussi efficace que de montrer une image obscure de quelque chose que vous devez déchiffrer. L'aspect déchiffrement est, à mon avis, une couche inutile. Encore une fois, c'est juste mon opinion, mais cela a été complètement efficace pour moi.

Je dois également ajouter que les CAPTCHA ne peuvent pas être utilisés sur les sites Web du gouvernement car ils violent les règles de l'article 508.

D'après mon expérience, même si vous avez le meilleur captcha au monde , il y a beaucoup de spammeurs qui emploient de nos jours de vrais humains pour de très bas salaires pour simplement visiter le site, s'inscrire (ou autre) et poster leur spam `` manuellement ''.

Donc, tout système qui vous oblige à faire la différence entre «humain» et «bot» ne fonctionnera pas face à un humain réel . Quel que soit le système que vous proposez, il ne sera pas infaillible et vous devrez vérifier manuellement le contenu anonyme (ou «presque anonyme» - c'est-à-dire la nouvelle inscription).

J'ai en fait trouvé qu'un assez bon système est celui qui nécessite javascript. C'est-à-dire, avoir du javascript sur la page qui copie une valeur générée aléatoirement dans un champ spécial du formulaire. Sur le serveur, vérifiez que la valeur a été copiée. D'après mon expérience, cela a arrêté un grand nombre de spammeurs. Ce n'est pas à 100%, et peut-être pas aussi bon que ReCAPTCHA, mais cela fonctionne assez bien pour les sites sur lesquels j'ai travaillé, et vous n'avez pas à vous soucier de l'accessibilité (il y a des clients qui n'ont pas de javascript, mais ils sont moins nombreux et plus éloignés entre ces jours).

L'utilisation de champs de pot de miel est / était une méthode pour réduire le spam sans réel coût d'utilisation.

Voici un article décrivant comment cela fonctionne avec de la magie CSS, et bien qu'ils aient noté que son efficacité a diminué, il attrapera toujours des bots. Il existe probablement aussi des techniques plus avancées en plus de CSS (lire: JS) qui peuvent augmenter l'efficacité des pots de miel.

Il existe d'autres moyens de prévenir le spam et les bots, mais le captcha fonctionne mieux. Parfois, poser une question simple sur un formulaire comme "2 + 10 =" ou "Êtes-vous humain?" fonctionne très bien comme captcha, pendant un certain temps au moins.

J'utilise reCaptcha car il supprime 90% du spam avec 5% d'effort.

Je n'ai pas eu de gens se plaindre que le captcha est dur, rend les choses plus difficiles, ou a une utilisation réduite.

Les spammeurs et les robots sont abondants. Il est très facile de gratter un formulaire et de commencer à soumettre en masse de mauvaises demandes . Il s'agit d'un moyen simple, sécurisé et éprouvé de réduire considérablement le spam et les bots. Ce n'est pas une solution rapide pour les paresseux ou inexpérimentés, mais l'expérience a conduit à cette solution et elle est maintenant facile à mettre en œuvre.

Est-ce que j'aime les captchas? Sûrement pas. Des lignes ondulées, qu'est-ce que cela signifie, opps, je l'ai mal entré. Il est efficace cependant.

J'accepterais également qu'il soit nécessaire de réduire la quantité de spam que vous recevez, avant d'aller et de mettre en œuvre une contre-mesure, pensons-vous?

1. Faut-il automatiser la détection? Pour un site Web à faible trafic, la modération manuelle peut être suffisante. Vous voudrez quand même empêcher les gens d'ajouter des commentaires racistes / insultants, n'est-ce pas?
2. Est-il nécessaire de passer un test de Turing pour tout commentaire? Les spammeurs essaient généralement de transmettre des URL, donc seule l'activation de contre-mesures lorsqu'une URL est détectée semble viable (bien que légèrement plus compliquée).
3. Est-il nécessaire de passer un test de Turing à chaque fois? Les utilisateurs anonymes peuvent devoir être filtrés (même si vous vous souvenez des adresses IP), mais les utilisateurs authentifiés ne peuvent être filtrés que lorsqu'ils deviennent "spammés", par exemple chaque 5ème commentaire en moins d'une heure (ou un jour), et seulement jusqu'à ce qu'ils aient ont fait leurs preuves (système basé sur une liste blanche alimenté manuellement ou automatiquement)

Ces 3 idées devraient réduire considérablement le nombre de personnes exposées à ces contre-mesures et le nombre de fois où elles y sont également soumises.

En plus de cela, ce sont d'autres contre-mesures que les captchas, comme demander une adresse e-mail, envoyer un message et attendre une réponse avec un texte particulier comme objet (généré aléatoirement) avant de poster réellement (avec une heure délai d'attente avant de jeter le commentaire, par exemple).

D'après mon expérience, les captchas sont le meilleur moyen de prévenir le spam, peu importe la façon dont le formulaire est programmé, il y aura toujours un robot anti-spam meilleur que votre application.