¿Los captchas valen la disminución de la usabilidad?
16
¿Cuándo es útil usar un captcha? ¿Cuándo es un obstáculo innecesario? ¿Un captcha es solo una solución rápida para el programador vago / inexperto, o son realmente la mejor manera de prevenir el spam y los bots?
En lugar de Webmasters.SE, esta pregunta encajaría bien en User Experience.SE . Sin embargo, no voy a migrarlo porque ese sitio todavía está en beta y la pregunta es antigua y ha sido respondida.
Adam Lear
Respuestas:
7
ReCAPTCHA parece ser bastante seguro y probablemente durará más que cualquier otra solución CAPTCHA basada en OCR. Los CAPTCHA son útiles cuando no está seguro de si es un bot o un humano, es decir, después del segundo o tercer intento de inicio de sesión, o si permite comentarios anónimos. Una vez que un usuario se haya autenticado, descargue el CAPTCHA.
Una alternativa que aún no ha aparecido es el " SAPTCHA ".
Quejarse de que un captcha no es ético porque no está disponible para personas ciegas es discutible porque (a) puedes hablarlo y (b) menos del 0,5% de las personas son ciegas.
Josh K
55
@ Josh K: (b) no lo hace ético. (a) lo hace si realmente lo implementa.
Nemanja Trifunovic
3
@Nemanja: ¿Qué haces con las personas ciegas y sordas? ¿Qué hacen los chefs para las personas que no saben probar? No se puede decir que algo no es ético solo porque no funciona para todas las personas. ¿Qué pasa con los sitios que no son compatibles con IE? ¿Son 'poco éticos'? Ah, y reCAPTCHA tiene el habla incorporada.
Josh K
1
@ Josh: no solo las personas ciegas, daltónicas o con visión parcial también se ven afectadas (aunque en menor medida). Además, puedo leer inglés bastante bien, pero esas captchas habladas están fuera de mi alcance. Sin embargo, no lo llamaría poco ético , pero es un problema de accesibilidad.
Matthieu M.
1
@ Josh K .: No sé qué hacen los chefs, pero lo que podemos hacer como programadores es hacer que nuestro trabajo sea accesible. Eso no es solo una cuestión de ética, sino que en algunos casos también es un requisito legal.
Nemanja Trifunovic
9
Me encanta cómo la gente acepta fácilmente la "sabiduría convencional" sobre los CATPCHA. Como desarrollador web profesional con diez años de experiencia y algo de experiencia en accesibilidad, es mi opinión que bajo ninguna circunstanciadebería implementar CAPTCHAs. Me refiero a los tipos que tienen líneas, fuentes cursivas, efectos 3D, etc. En primer lugar, evitan que un gran número de usuarios accedan al contenido, incluidas muchas personas mayores o personas con discapacidad visual diaria (como daltonismo), o personas para quienes el inglés no es su lengua materna. En segundo lugar, citar "seguridad" no es una razón suficientemente buena. Esto se debe a que para el 99.5% del correo no deseado, que alguien vuelva a escribir una palabra de cinco letras es suficiente "seguridad". Estos míticos "robots" a los que la gente se refiere a menudo no son realmente tan sofisticados. E incluso entonces, para aquellos que son sofisticados (nuevamente, que es un número muy pequeño), un CAPTCHA típico no será suficiente de todos modos. Entonces, dado que todo lo negativo supera con creces cualquier beneficio real, que se imagina principalmente de todos modos, no hay una buena razón para usarlos. Si desea evitar el SPAM, todo lo que necesita es que la gente vuelva a escribir una palabra como "blog" (y está bien si pueden copiar y pegar). Esto es totalmente accesible y, confía en mí, es suficiente "seguridad". Se sorprenderá al descubrir que se elimina todo su correo basura y que ni siquiera tuvo que cortar grandes segmentos de usuarios.
copiado de otra respuesta por el mismo usuario
Estuve de acuerdo con esta publicación hasta cierto punto: "En mi experiencia, incluso si tienes el mejor captcha del mundo, hay muchos spammers que actualmente emplean humanos reales por salarios muy bajos para simplemente visitar el sitio, registrarte (o lo que sea) y publique su spam 'manualmente'.
Por lo tanto, cualquier sistema que requiera que diferencie entre "humano" y "bot" no funcionará cuando se enfrente a un humano real. Cualquiera sea el sistema que se le ocurra, no será infalible y tendrá que verificar manualmente el contenido anónimo (o "casi anónimo", es decir, el nuevo registro) ".
Luego, lo publicado comenzó a sugerir algunos complicados Javascript. Nuevamente, como dije anteriormente, solo pedirle al usuario que vuelva a escribir algo (debo agregar texto seleccionado al azar es ideal) es tan efectivo como mostrar una imagen oscura de algo que necesita descifrar. El aspecto de descifrado es una capa innecesaria, en mi opinión. Nuevamente, esa es solo mi opinión, pero esto ha sido completamente efectivo para mí.
También debo agregar que los CAPTCHA no se pueden usar en sitios web del gobierno porque violan las reglas de la Sección 508.
Eso es más o menos lo que hago, en realidad. Como dije en mi respuesta, solo tengo un poco de JavaScript que básicamente hace el corte y la pasta por ti.
Dean Harding
Su alternativa es esencialmente el "SAPTCHA" que mencioné en mi respuesta :).
Iiridayn
7
En mi experiencia, incluso si tiene el mejor captcha del mundo , hay muchos spammers que actualmente emplean humanos reales por salarios muy bajos para visitar el sitio, registrarse (o lo que sea) y publicar su spam 'manualmente'.
Por lo tanto, cualquier sistema que requiera que diferencie entre "humano" y "bot" no funcionará cuando se enfrente a un humano real . Cualquiera sea el sistema que se le ocurra, no será infalible y deberá verificar manualmente el contenido anónimo (o "casi anónimo", es decir, el nuevo registro).
De hecho, he descubierto que un sistema bastante bueno es uno que requiere JavaScript. Es decir, tener algún javascript en la página que copie un valor generado aleatoriamente en un campo especial en el formulario. En el servidor, verifique que el valor se haya copiado. En mi experiencia, eso ha detenido a muchos spammers. No es 100%, y quizás no sea tan bueno como ReCAPTCHA, pero funciona lo suficientemente bien para los sitios en los que he trabajado, y no tiene que preocuparse por la accesibilidad (hay clientes que no tienen javascript, pero son menos y más entre estos días).
Parece que es una buena oferta para los spammers pagar $ 2 por pasar por alto 1000 CAPTCHA en sitios como decaptcher.com. Es horrible: muchos sitios que visito que usan reCAPTCHA ahora están siendo golpeados por grandes cantidades de spam.
Allon Guralnek
6
El uso de campos honeypot es / fue un método para reducir el spam sin costo de usabilidad real.
Aquí hay un artículo que describe cómo funciona con algo de magia CSS, y aunque notaron que su efectividad disminuyó, aún atrapará algunos bots. Probablemente también hay técnicas más avanzadas además de CSS (léase: JS) que pueden aumentar la efectividad de los honeypots.
+1, solo porque amo su nuevo sistema Captcha. (No quedan votos, ¡volveré!)
Josh K
Django usa un campo honeypot en su formulario de comentarios predeterminado, pero aún recibo spam. Sin embargo, no sé cuántos intentos bloquea.
jonescb
+1 Los uso en mi blog. Atrapa mucho. Pero, de nuevo, mi blog no es popular, por lo que tal vez a nadie le importe intentarlo y enviarlo por correo basura.
Tony
3
Hay otra forma de prevenir el spam y los bots, pero el captcha funciona mejor. A veces, hacer una pregunta simple en una forma como "2 + 10 =" o "¿Eres humano?" funciona bien como captcha, al menos por un tiempo.
Uso reCaptcha porque corta el 90% del spam con un 5% de esfuerzo.
No he hecho que la gente se queje de que el captcha es difícil, hace las cosas más difíciles o tiene una capacidad de uso disminuida.
Los spammers y los bots son abundantes. Es muy fácil raspar un formulario y comenzar a enviar solicitudes incorrectas en masa . Es una forma simple, segura y comprobada de reducir significativamente el spam y los bots. No es una solución rápida para los perezosos o inexpertos, más bien la experiencia ha llevado a esta solución y ahora es fácil de implementar.
¿Me gustan las captchas? Diablos no. Líneas onduladas, qué significa, opps, lo ingresé mal. Sin embargo, es efectivo.
@josh, ¿hay alguna forma visible y fácil de "quejarse"? Personalmente los odio, pero reCaptcha es fácil de implementar (como mencionas) y también
Chris
@ Chris: Claro que sí, puedes enviarme un correo electrónico, perra en otro lugar, o completar el captcha una vez y decirme en un comentario.
Josh K
Creo que con ReCaptcha también puedes escuchar el código, sé que he tenido que usarlo una o dos veces solo porque estaba usando un monitor de basura
WalterJ89
@Walter: es tan increíblemente simple implementar reCaptcha, por eso lo uso. Puede cambiar la imagen o escuchar cómo se habla, casi sin trabajo de su parte.
También aceptaría que es necesario reducir la cantidad de spam que recibe, antes de ir e implementar cualquier contramedida, ¿podríamos pensar?
¿Es necesario automatizar la detección? Para un sitio web de poco tráfico, la moderación manual puede ser suficiente. De todos modos, querrás evitar que la gente agregue comentarios racistas / insultantes, ¿no?
¿Es necesario pasar una prueba de Turing para algún comentario? Los spammers generalmente intentan pasar las URL, por lo que solo la activación de contramedidas cuando se detecta una url parece viable (aunque un poco más complicado).
¿Es necesario pasar una prueba de Turing cada vez? Los usuarios anónimos podrían tener que filtrarse (aunque podría recordar las IP), pero los usuarios autenticados podrían filtrarse solo cuando se vuelvan "spam", por ejemplo, cada quinto comentario en menos de una hora (o un día), y solo hasta que hayan probado (sistema basado en la lista blanca alimentado de forma manual o automática)
Esas 3 ideas deberían reducir en gran medida la cantidad de personas expuestas a esas contramedidas, y la cantidad de veces que también están sujetas a ellas.
Además de eso, son otras medidas contrarias a las captchas, como pedir una dirección de correo electrónico, enviar un mensaje y esperar una respuesta con un texto en particular como asunto (generado aleatoriamente) antes de publicar realmente (con una hora tiempo de espera antes de tirar el comentario, digamos).
En mi experiencia, los captchas son la mejor manera de prevenir el spam, no importa qué tan bien esté programado el formulario, siempre habrá un bot de spam mejor que su aplicación.
Respuestas:
ReCAPTCHA parece ser bastante seguro y probablemente durará más que cualquier otra solución CAPTCHA basada en OCR. Los CAPTCHA son útiles cuando no está seguro de si es un bot o un humano, es decir, después del segundo o tercer intento de inicio de sesión, o si permite comentarios anónimos. Una vez que un usuario se haya autenticado, descargue el CAPTCHA.
Una alternativa que aún no ha aparecido es el " SAPTCHA ".
fuente
Me encanta cómo la gente acepta fácilmente la "sabiduría convencional" sobre los CATPCHA. Como desarrollador web profesional con diez años de experiencia y algo de experiencia en accesibilidad, es mi opinión que bajo ninguna circunstanciadebería implementar CAPTCHAs. Me refiero a los tipos que tienen líneas, fuentes cursivas, efectos 3D, etc. En primer lugar, evitan que un gran número de usuarios accedan al contenido, incluidas muchas personas mayores o personas con discapacidad visual diaria (como daltonismo), o personas para quienes el inglés no es su lengua materna. En segundo lugar, citar "seguridad" no es una razón suficientemente buena. Esto se debe a que para el 99.5% del correo no deseado, que alguien vuelva a escribir una palabra de cinco letras es suficiente "seguridad". Estos míticos "robots" a los que la gente se refiere a menudo no son realmente tan sofisticados. E incluso entonces, para aquellos que son sofisticados (nuevamente, que es un número muy pequeño), un CAPTCHA típico no será suficiente de todos modos. Entonces, dado que todo lo negativo supera con creces cualquier beneficio real, que se imagina principalmente de todos modos, no hay una buena razón para usarlos. Si desea evitar el SPAM, todo lo que necesita es que la gente vuelva a escribir una palabra como "blog" (y está bien si pueden copiar y pegar). Esto es totalmente accesible y, confía en mí, es suficiente "seguridad". Se sorprenderá al descubrir que se elimina todo su correo basura y que ni siquiera tuvo que cortar grandes segmentos de usuarios.
copiado de otra respuesta por el mismo usuario
Estuve de acuerdo con esta publicación hasta cierto punto: "En mi experiencia, incluso si tienes el mejor captcha del mundo, hay muchos spammers que actualmente emplean humanos reales por salarios muy bajos para simplemente visitar el sitio, registrarte (o lo que sea) y publique su spam 'manualmente'.
Por lo tanto, cualquier sistema que requiera que diferencie entre "humano" y "bot" no funcionará cuando se enfrente a un humano real. Cualquiera sea el sistema que se le ocurra, no será infalible y tendrá que verificar manualmente el contenido anónimo (o "casi anónimo", es decir, el nuevo registro) ".
Luego, lo publicado comenzó a sugerir algunos complicados Javascript. Nuevamente, como dije anteriormente, solo pedirle al usuario que vuelva a escribir algo (debo agregar texto seleccionado al azar es ideal) es tan efectivo como mostrar una imagen oscura de algo que necesita descifrar. El aspecto de descifrado es una capa innecesaria, en mi opinión. Nuevamente, esa es solo mi opinión, pero esto ha sido completamente efectivo para mí.
También debo agregar que los CAPTCHA no se pueden usar en sitios web del gobierno porque violan las reglas de la Sección 508.
fuente
En mi experiencia, incluso si tiene el mejor captcha del mundo , hay muchos spammers que actualmente emplean humanos reales por salarios muy bajos para visitar el sitio, registrarse (o lo que sea) y publicar su spam 'manualmente'.
Por lo tanto, cualquier sistema que requiera que diferencie entre "humano" y "bot" no funcionará cuando se enfrente a un humano real . Cualquiera sea el sistema que se le ocurra, no será infalible y deberá verificar manualmente el contenido anónimo (o "casi anónimo", es decir, el nuevo registro).
De hecho, he descubierto que un sistema bastante bueno es uno que requiere JavaScript. Es decir, tener algún javascript en la página que copie un valor generado aleatoriamente en un campo especial en el formulario. En el servidor, verifique que el valor se haya copiado. En mi experiencia, eso ha detenido a muchos spammers. No es 100%, y quizás no sea tan bueno como ReCAPTCHA, pero funciona lo suficientemente bien para los sitios en los que he trabajado, y no tiene que preocuparse por la accesibilidad (hay clientes que no tienen javascript, pero son menos y más entre estos días).
fuente
El uso de campos honeypot es / fue un método para reducir el spam sin costo de usabilidad real.
Aquí hay un artículo que describe cómo funciona con algo de magia CSS, y aunque notaron que su efectividad disminuyó, aún atrapará algunos bots. Probablemente también hay técnicas más avanzadas además de CSS (léase: JS) que pueden aumentar la efectividad de los honeypots.
fuente
Hay otra forma de prevenir el spam y los bots, pero el captcha funciona mejor. A veces, hacer una pregunta simple en una forma como "2 + 10 =" o "¿Eres humano?" funciona bien como captcha, al menos por un tiempo.
fuente
Uso reCaptcha porque corta el 90% del spam con un 5% de esfuerzo.
No he hecho que la gente se queje de que el captcha es difícil, hace las cosas más difíciles o tiene una capacidad de uso disminuida.
Los spammers y los bots son abundantes. Es muy fácil raspar un formulario y comenzar a enviar solicitudes incorrectas en masa . Es una forma simple, segura y comprobada de reducir significativamente el spam y los bots. No es una solución rápida para los perezosos o inexpertos, más bien la experiencia ha llevado a esta solución y ahora es fácil de implementar.
¿Me gustan las captchas? Diablos no. Líneas onduladas, qué significa, opps, lo ingresé mal. Sin embargo, es efectivo.
fuente
También aceptaría que es necesario reducir la cantidad de spam que recibe, antes de ir e implementar cualquier contramedida, ¿podríamos pensar?
Esas 3 ideas deberían reducir en gran medida la cantidad de personas expuestas a esas contramedidas, y la cantidad de veces que también están sujetas a ellas.
Además de eso, son otras medidas contrarias a las captchas, como pedir una dirección de correo electrónico, enviar un mensaje y esperar una respuesta con un texto en particular como asunto (generado aleatoriamente) antes de publicar realmente (con una hora tiempo de espera antes de tirar el comentario, digamos).
fuente
En mi experiencia, los captchas son la mejor manera de prevenir el spam, no importa qué tan bien esté programado el formulario, siempre habrá un bot de spam mejor que su aplicación.
fuente