CAPTCHA для сайта - нужна-ли на самом деле
Опубликовано: 02.09.2018
Наступает время и на сайте появляются непонятные абсурдные комментарии, зачастую даже не на языке сайта, регистрируются какие-то пользователи со странными адресами электронной почты и бессмысленными логинами – все это спам. От него надо избавляться, а правильнее – ставить защиту.
Что такое капча
В роли наиболее распространённой защиты и выступает CAPTCHA.
Для тех, кто ещё не столкнулся с этим поясню:
CAPTCHA ( C ompletely A utomated P ublic T uring test to tell C omputers and H umans A part — полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей) — компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером.
Как исправить "Мы обнаружили подозрительный трафик исходящий из вашей сети" - 3 причины + решение
Говоря простым языком, разных вариантов капчи есть множество - простых и сложных. Не буду вдаваться в их подробное описание, желающие могут сами посмотреть в википедии . Я же хочу поговорить о том, как они на самом деле справляются с возложенными на них функциями.
Существует немало систем и программ автоматического распознавания captcha, чем, собственно говоря и пользуются спамеры и прочие злоумышленники. Причём для распознавания некоторых видов CAPTСHA даже нет необходимости использовать OCR - они и так очень уязвимы. Например, капча встроенная в форум phpBB, имею личный опыт её абсолютной неэффективности.
Методов распознавания и на самом деле очень много, начиная от отсечки по яркости, когда все, что темнее некоего цветового порога становится чёрным, а остальное белым, и заканчивая принуждением интернет-пользователя к тому, чтобы он сам ввёл капчу. Да, да... Есть и такое. При посещении некоторых сайтов Вам предлагается ввести CAPTCHA, и Вы даже не подозреваете, что по сути Вам подсовывают капчу с другого ресурса. Разгадывая её, Вы просто даёте код злоумышленнику, который использует его для регистрации на нужном ему сайте...
В последнее время приходится слышать много дифирамбов сервису Google - reCaptcha. Мол, это надёжно ограждает от спама и т.д... Так и хочется воскликнуть фразой из сериала "Сваты" - "Да ты шо!".
Нет, конечно-же reCaptcha - это один из наиболее сложных видов CAPTCHA. Из двух слов одно не распознано самой системой, мало кто знает, что его даже вводить не обязательно... Если интересно - можно почитать здесь , я-же не буду заниматься дубляжом текста, просто скажу - не спасает. Хотя на многих блогах читаешь, что мол, вот поставил её и проблема спама решилась. Ну что сказать? Да просто не спамят эти блоги всерьёз.
Есть и другие виды CAPTCHA, где текст так закамуфлирован, что и живому человеку не разобрать. А вам никогда не приходилось сталкиваться с такой ситуацией: вы кое-как разбираете текст капча, вводите его правильно, а система сообщает, что код введён неверно? И так раз пять подряд... Как Вы думаете - посетители такого ресурса будут и дальше пытаться зарегистрироваться или попросту уйдут?
А еще хочу Вам рассказать о такой замечательной спамовой программе XRumer . Как-то испытывал её, надо-же врага знать в лицо... Так вот, она прекрасно умеет разбирать разного рода капчи, но если вдруг не смогла, то она выводит окошечко с этой CAPTCHA на экран и владелец программы ручками вбивает нужный текст. Вот и вся недолга.
И после этого Вы ещё верите, что капча Вас спасёт?
Итак, минусы CAPTCHA:
легко распознаётся программными средствами; трудно-читаема людьми; отпугивает реальных посетителей; не спасает от спама.Какой-же выход и есть ли он вообще?
Поделюсь тем, к чему пришёл сам. У меня была такая ситуация: портал на Joomla и форум на phpBB, при помощи мостика там организована общая база пользователей. Никак не получалось избавиться от левых регистраций и спама в темах и комментах. Особенно доставали левые пользователи с бессмысленными никами - каждый день по 4-5 штук. Перепробовал все виды CAPTCHA, какие только мог. На пару дней поток спама прекращался, но потом всё возвращалось на круги своя.
И так было до тех пор, пока вместо CAPTCHA я не стал использовать систему вопрос-ответ.
Система вопрос-ответ вот уже долгое время отлично защищает ресурсы и от спама, и от спам-регистраций!
Почему? Да это-же очевидно. Картинку CAPTCHA, как выяснилось, можно распознать программно, а вот правильно ответить на вопрос - нет.
Особенно, если вопрос не из области "Как называется наша планета?" или "Сколько ног у слона?".
Более того, можно подобрать вопрос таким образом, что ответить на него смогут только люди обладающие определенным уровнем интеллекта - другими словами Вы можете регулировать какой контингент пользователей сможет пройти, скажем, регистрацию, а какой нет. И избавите свой серьёзный ресурс от всякого рода "Превед Медвед", "пацталом" и т.д.
Например, на одном портале я поставил что-то вроде такого: "Кто друг парадоксов?". Т.е. человек, отвечающий на вопрос должен, как минимум знать этот отрывок из стихотворения Пушкина:
И опыт - сын ошибок трудных...
И гений - парадоксов друг...
Плюсы системы вопрос-ответ:
не распознаётся автоматическими системами взлома CAPTCHA; легко читается и понимается людьми; ограждает от спама и левых регистраций; позволяет отбирать пользователей по определённым критериям.Всё, что я тут написал - это только моё личное мнение, основанное на моём личном опыте. Ни с кем спорить не буду - у каждого может быть своё мнение и опыт.
Но если мой опыт кому-то пригодится - Welcome!
И до встречи на моём блоге.
P.S. Что-то никак не получается оторваться от тематики сайтостроя... ????