Os captchas valem a menor usabilidade?

16

Quando é útil usar um captcha? Quando é um obstáculo desnecessário? Um captcha é apenas uma solução rápida para o programador preguiçoso / inexperiente, ou eles são realmente a melhor maneira de evitar spam e bots?

Atomix
fonte
Você deve perguntar isso em Webmasters.stackexchange.com .
Jonas
Em vez de Webmasters.SE, essa pergunta se encaixaria bem no User Experience.SE . No entanto, não vou migrar porque o site ainda está na versão beta e a pergunta é antiga e respondida.
Adam Lear

Respostas:

7

O ReCAPTCHA parece ser bastante seguro e provavelmente superará qualquer outra solução CAPTCHA baseada em OCR. Os CAPTCHAs são úteis quando você não tem certeza se é um bot ou um humano - ou seja, após a segunda ou terceira tentativa de login ou se você permite comentários anônimos. Depois que um usuário for autenticado, despeje o CAPTCHA.

Uma alternativa que ainda não surgiu é o " SAPTCHA ".

Iiridayn
fonte
2
Reclamar que um captcha é antiético porque não está disponível para pessoas cegas é discutível porque (a) você pode falar e (b) menos de 0,5% das pessoas são cegas.
Josh K
5
@ Josh K: (b) não o torna ético. (a) faz se você realmente implementá-lo.
Nemanja Trifunovic 04/04
3
@ Nemanja: O que você faz com pessoas cegas e surdas? O que os chefs fazem por pessoas que não sabem provar? Você não pode dizer que algo é "antiético" só porque não funciona para todas as pessoas. E os sites que não são compatíveis com o IE? Eles são "antiéticos"? Ah, e o reCAPTCHA está falando incorporado.
Josh K
1
@ Josh: não são apenas os cegos, os daltônicos ou os com visão parcial também são afetados (embora em menor escala). Também sei ler inglês muito bem, mas esses captchas falados estão fora do meu alcance. Eu não chamaria isso de antiético , mas é uma questão de acessibilidade.
Matthieu M.
1
@ Josh K .: Não sei o que os chefs fazem, mas o que podemos fazer como programadores é tornar nosso trabalho acessível. Isso não é apenas uma questão de ética, mas em alguns casos também é um requisito legal.
Nemanja Trifunovic 04/04
9

Eu simplesmente amo como as pessoas aceitam prontamente a "sabedoria convencional" sobre os CATPCHAs. Como desenvolvedor Web profissional, com dez anos de experiência e com alguma experiência em acessibilidade, é minha opinião que, sob nenhuma circunstânciavocê deve implementar CAPTCHAs. Estou me referindo aos tipos que possuem linhas, fontes cursivas, efeitos 3D etc. Antes de tudo, eles impedem que um grande número de usuários acessem conteúdo, incluindo muitas pessoas mais velhas ou pessoas com problemas de visão diários (como daltonismo) ou pessoas para as quais o inglês não é sua primeira língua. Em segundo lugar, citar "segurança" não é uma razão suficientemente boa. Isso ocorre porque, para 99,5% do spam, ter alguém redigitando uma palavra de cinco letras é suficiente "segurança". Esses "robôs" míticos aos quais as pessoas costumam se referir não são realmente tão sofisticados. E mesmo assim, para aqueles que são sofisticados (novamente, que é um número muito pequeno), um CAPTCHAs típico não será suficiente de qualquer maneira. Portanto, considerando que todo o negativo supera qualquer benefício real, que na maioria das vezes é imaginado, não há boas razões para usá-los. Se você deseja impedir o SPAM, tudo o que você precisa é que as pessoas digitem novamente uma palavra como "blog" (e tudo bem se elas puderem copiar e colar). Isso é totalmente acessível e, confie em mim, é suficiente "segurança". Você ficará surpreso ao descobrir que todo o spam é eliminado e nem precisava cortar grandes segmentos de usuários.

copiado de outra resposta pelo mesmo usuário

Eu concordei com este post até um certo ponto: "Na minha experiência, mesmo que você tenha o melhor captcha do mundo, há muitos spammers que atualmente empregam humanos reais por salários muito baixos para simplesmente visitar o site, inscreva-se (ou o que for) e poste o spam 'manualmente'.

Portanto, qualquer sistema que exija que você diferencie "humano" e "bot" não funcionará quando confrontado com um humano real. Qualquer sistema que você criar não será à prova de idiotas e você precisará verificar manualmente o conteúdo anônimo (ou "quase anônimo" - ou seja, nova inscrição). "

Em seguida, o post começou sugerindo algum Javascript complicado. Novamente, como afirmei acima, apenas solicitar ao usuário que digite novamente algo (devo adicionar o texto selecionado aleatoriamente é o ideal) é tão eficaz quanto mostrar uma imagem obscura de algo que você precisa decifrar. O aspecto decifrador é uma camada desnecessária, na minha opinião. Novamente, essa é apenas a minha opinião, mas isso foi completamente eficaz para mim.

Devo também acrescentar que os CAPTCHAs não podem ser usados ​​em sites do governo porque violam as regras da Seção 508.

ChrisF
fonte
É praticamente o que eu faço, na verdade. Como eu disse na minha resposta, só tenho um pouco de javascript que basicamente faz o cut'n'paste para você.
perfil completo de Dean Harding
Sua alternativa é essencialmente o "SAPTCHA" que mencionei na minha resposta :).
Iiridayn
7

Na minha experiência, mesmo que você tenha o melhor captcha do mundo , existem muitos spammers que hoje em dia empregam humanos reais por salários muito baixos para simplesmente visitar o site, se inscrever (ou o que quer) e postar o spam 'manualmente'.

Portanto, qualquer sistema que exija que você diferencie "humano" e "bot" não funcionará quando confrontado com um humano real . Qualquer sistema que você criar não será à prova de idiotas e você precisará verificar manualmente o conteúdo anônimo (ou "quase anônimo" - ou seja, nova inscrição).

Na verdade, eu descobri que um sistema muito bom é aquele que requer javascript. Ou seja, tenha algum javascript na página que copia um valor gerado aleatoriamente em um campo especial no formulário. No servidor, verifique se o valor foi copiado. Na minha experiência, isso impediu muitos spammers. Não é 100% e talvez não seja tão bom quanto o ReCAPTCHA, mas funciona bem o suficiente para os sites em que trabalhei e você não precisa se preocupar com a acessibilidade (existem clientes que não têm javascript, mas eles são cada vez menos nos dias de hoje).

Dean Harding
fonte
Parece que é um bom negócio para os spammers pagarem US $ 2 por ignorar 1000 CAPTCHAs em sites como decaptcher.com. É horrível - muitos sites que visito que usam o reCAPTCHA agora estão sendo atingidos por grandes quantidades de spam.
Allon Guralnek 13/10/10
6

O uso de campos de honeypot é / foi um método para reduzir o spam sem nenhum custo real de usabilidade.

Aqui está um artigo descrevendo como ele funciona com alguma mágica de CSS e, embora eles notem que sua eficácia diminuiu, ainda ocorrerá alguns bots. Provavelmente também existem técnicas mais avançadas além do CSS (leia-se: JS) que podem aumentar a eficácia dos honeypots.

Nick T
fonte
+1, apenas porque eu amo o novo sistema Captcha. (Sem votos deixadas, eu vou estar de volta!)
Josh K
O Django usa um campo honeypot em seu formulário de comentário padrão, mas ainda recebo spam. Eu não sei quantas tentativas ele bloqueia.
jonescb
+1 Eu os uso no meu blog. Pega muito. Mas, novamente, meu blog não é popular, então talvez ninguém se preocupe em tentar enviá-lo por spam.
Tony
3

Há outra maneira de impedir spam e bots, mas o captcha funciona melhor. Às vezes, fazendo uma pergunta simples em um formulário como "2 + 10 =" ou "Você é humano?" funciona bem como um captcha, por um tempo pelo menos.

WalterJ89
fonte
3

Eu uso o reCaptcha porque corta 90% do spam com 5% de esforço.

Não tive pessoas reclamando que o captcha é difícil, dificulta as coisas ou tem alguma usabilidade reduzida.

Spammers e bots são abundantes. É muito fácil raspar um formulário e começar a enviar solicitações ruins em massa . É uma maneira simples, segura e comprovada de reduzir significativamente spam e bots. Não é uma solução rápida para os preguiçosos ou inexperientes, mas a experiência levou a essa solução e agora é fácil de implementar.

Eu gosto de captchas? De jeito nenhum. Linhas rabiscadas, o que significa, opps, digitei errado. Ele é eficaz embora.

Josh K
fonte
1
@josh existe uma maneira visível e facilmente disponível de "reclamar"? Pessoalmente, eu odeio eles, mas o reCaptcha é fácil de implantar (como você mencionou) e também #
Chris
@ Chris: Claro que existe, você pode me mandar um e-mail, cadela em outro lugar, ou completar o captcha uma vez e me dizer em um comentário.
21710 Josh K
Acredito ReCaptcha também pode ouvir o código, eu sei que eu tive que usá-lo uma ou duas vezes apenas porque eu estava usando um monitor de lixo
WalterJ89
@ Walter: É incrivelmente simples implementar o reCaptcha, e é por isso que eu o uso. Você pode alterar a imagem ou ouvi-la sendo falada, quase sem trabalho da sua parte.
Josh K
1
Você também recebe uma porcaria como esta: meta.stackexchange.com/questions/48840/…
TheLQ
3

Também aceitaria que é necessário reduzir a quantidade de spam que você recebe antes de implementar qualquer contramedida, vamos pensar?

  1. É necessário automatizar a detecção? Para um site de baixo tráfego, a moderação manual pode ser suficiente. Você vai querer impedir que as pessoas adicionem comentários racistas / insultuosos, não é?
  2. É necessário passar no teste de Turing para qualquer comentário? Os spammers geralmente tentam transmitir URLs, portanto, apenas ativar contramedidas quando uma URL é detectada parece viável (embora um pouco mais complicado).
  3. É necessário passar sempre no teste de Turing? Usuários anônimos podem ter que ser filtrados (embora você possa se lembrar de IPs), mas usuários autenticados só podem ser filtrados quando se tornarem "spam", por exemplo, cada quinto comentário em menos de uma hora (ou um dia) e apenas até que tenham comprovados (sistema baseado em lista branca alimentado manual ou automaticamente)

Essas três idéias devem reduzir bastante o número de pessoas expostas a essas medidas e o número de vezes que elas são submetidas a elas também.

Além disso, existem outras medidas que não são captchas, como solicitar um endereço de e-mail, enviar uma mensagem e aguardar uma resposta com um texto específico como assunto (gerado aleatoriamente) antes de realmente postar (com uma hora de duração). tempo limite antes de descartar o comentário, digamos).

Matthieu M.
fonte
1

Na minha experiência, os captchas são a melhor maneira de evitar spam, não importa o quão programado seja o formulário, sempre haverá um bot de spam melhor que o seu aplicativo.

Jeremy
fonte