Les captchas valent-ils la facilité d'utilisation réduite?

16

Quand est-il utile d'utiliser un captcha? Quand est-ce un obstacle inutile? Un captcha est-il juste une solution rapide pour le programmeur paresseux / inexpérimenté, ou est-ce vraiment le meilleur moyen de prévenir le spam et les bots?

Atomix
la source
Vous devriez plutôt poser cette question sur Webmasters.stackexchange.com .
Jonas
Plutôt que Webmasters.SE, cette question cadrerait bien avec User Experience.SE . Cependant, je ne vais pas le migrer car ce site est toujours en version bêta et la question est ancienne et répondue.
Adam Lear

Réponses:

7

ReCAPTCHA semble être assez sécurisé et survivra probablement à toute autre solution CAPTCHA basée sur l'OCR. Les CAPTCHA sont utiles lorsque vous n'êtes pas sûr qu'il s'agisse d'un bot ou d'un humain, c'est-à-dire après la deuxième ou la troisième tentative de connexion ou si vous autorisez les commentaires anonymes. Une fois qu'un utilisateur s'est authentifié, videz le CAPTCHA.

Une alternative qui n'est pas encore apparue est la " SAPTCHA ".

Iiridayn
la source
2
Se plaindre qu'un captcha est contraire à l'éthique parce qu'il n'est pas disponible pour les aveugles est théorique car (a) vous pouvez le parler et (b) moins de 0,5% des personnes sont aveugles.
Josh K
5
@ Josh K: (b) ne le rend pas éthique. (a) le fait si vous l'implémentez réellement.
Nemanja Trifunovic
3
@Nemanja: Que faites-vous des aveugles et des sourds? Que font les chefs pour ceux qui ne peuvent pas goûter? Vous ne pouvez pas dire que quelque chose est «contraire à l'éthique» simplement parce que cela ne fonctionne pas pour chaque personne. Qu'en est-il des sites qui ne sont pas compatibles avec IE? Sont-ils «contraires à l'éthique»? Oh, et reCAPTCHA a un langage intégré.
Josh K
1
@Josh: ce ne sont pas seulement les aveugles, les daltoniens ou les malvoyants sont également touchés (mais dans une moindre mesure). De plus, je peux assez bien lire l'anglais, mais ces captchas parlés sont pour la plupart hors de ma portée. Je ne dirais pas que ce soit contraire à l' éthique , mais c'est un problème d'accessibilité.
Matthieu M.
1
@Josh K .: Je ne sais pas ce que font les chefs, mais ce que nous pouvons faire en tant que programmeurs, c'est rendre notre travail accessible. Ce n'est pas seulement une question d'éthique, mais dans certains cas, c'est aussi une obligation légale.
Nemanja Trifunovic
9

J'adore la façon dont les gens acceptent facilement la "sagesse conventionnelle" des CATPCHA. En tant que développeur Web professionnel avec dix ans d'expérience et une certaine expertise en accessibilité, je suis d'avis qu'en aucun cassi vous implémentez CAPTCHA. Je fais référence aux types qui ont des lignes, des polices cursives, des effets 3D, etc. Tout d'abord, ils empêchent un grand nombre d'utilisateurs d'accéder au contenu, y compris de nombreuses personnes âgées ou des personnes souffrant de déficiences visuelles quotidiennes (telles que daltonisme), ou des personnes pour lesquelles l'anglais n'est pas leur première langue. Deuxièmement, citer la «sécurité» n'est pas une raison suffisante. En effet, pour 99,5% du spam, avoir quelqu'un de retaper un mot de cinq lettres est une «sécurité» suffisante. Ces «robots» mythiques auxquels les gens se réfèrent souvent ne sont pas vraiment aussi sophistiqués. Et même alors, pour ceux qui sont sophistiqués (encore une fois, ce qui est un très petit nombre), un CAPTCHA typique ne sera de toute façon pas suffisant. Donc, étant donné que tous les négatifs l'emportent de loin sur tout avantage réel, ce qui est surtout imaginé de toute façon, il n'y a aucune bonne raison de les utiliser. Si vous voulez empêcher le SPAM, tout ce dont vous avez besoin est de demander aux gens de retaper un mot comme "blog" (et c'est OK s'ils peuvent copier-coller). C'est totalement accessible et, croyez-moi, c'est suffisamment de «sécurité». Vous serez surpris de constater que tous vos spams sont éliminés et vous n'avez même pas eu à couper de larges segments d'utilisateurs.

copié d'une autre réponse par le même utilisateur

J'étais d'accord avec ce post jusqu'à un certain point: "D'après mon expérience, même si vous avez le meilleur captcha au monde, il y a beaucoup de spammeurs qui emploient de nos jours de vrais humains pour des salaires très bas pour simplement visiter le site, s'inscrire (ou autre) et publier leur spam "manuellement".

Donc, tout système qui vous oblige à faire la différence entre «humain» et «bot» ne fonctionnera pas face à un humain réel. Quel que soit le système que vous proposez, il ne sera pas infaillible et vous devrez vérifier manuellement le contenu anonyme (ou "presque anonyme" - c'est-à-dire la nouvelle inscription). "

Ensuite, la publication a commencé à suggérer du Javascript compliqué. Encore une fois, comme je l'ai indiqué ci-dessus, inviter simplement l'utilisateur à retaper quelque chose (je devrais ajouter du texte sélectionné au hasard est idéal) est tout aussi efficace que de montrer une image obscure de quelque chose que vous devez déchiffrer. L'aspect déchiffrement est, à mon avis, une couche inutile. Encore une fois, c'est juste mon opinion, mais cela a été complètement efficace pour moi.

Je dois également ajouter que les CAPTCHA ne peuvent pas être utilisés sur les sites Web du gouvernement car ils violent les règles de l'article 508.

ChrisF
la source
C'est à peu près ce que je fais, en fait. Comme je l'ai dit dans ma réponse, j'ai juste un peu de javascript qui fait essentiellement le cut'n'paste pour vous.
Dean Harding
Votre alternative est essentiellement le "SAPTCHA" que j'ai mentionné dans ma réponse :).
Iiridayn
7

D'après mon expérience, même si vous avez le meilleur captcha au monde , il y a beaucoup de spammeurs qui emploient de nos jours de vrais humains pour de très bas salaires pour simplement visiter le site, s'inscrire (ou autre) et poster leur spam `` manuellement ''.

Donc, tout système qui vous oblige à faire la différence entre «humain» et «bot» ne fonctionnera pas face à un humain réel . Quel que soit le système que vous proposez, il ne sera pas infaillible et vous devrez vérifier manuellement le contenu anonyme (ou «presque anonyme» - c'est-à-dire la nouvelle inscription).

J'ai en fait trouvé qu'un assez bon système est celui qui nécessite javascript. C'est-à-dire, avoir du javascript sur la page qui copie une valeur générée aléatoirement dans un champ spécial du formulaire. Sur le serveur, vérifiez que la valeur a été copiée. D'après mon expérience, cela a arrêté un grand nombre de spammeurs. Ce n'est pas à 100%, et peut-être pas aussi bon que ReCAPTCHA, mais cela fonctionne assez bien pour les sites sur lesquels j'ai travaillé, et vous n'avez pas à vous soucier de l'accessibilité (il y a des clients qui n'ont pas de javascript, mais ils sont moins nombreux et plus éloignés entre ces jours).

Dean Harding
la source
Il semble que ce soit une bonne affaire pour les spammeurs de payer 2 $ pour contourner 1000 CAPTCHA sur des sites comme decaptcher.com. C'est horrible - de nombreux sites que je visite qui utilisent reCAPTCHA sont maintenant touchés par d'énormes quantités de spam.
Allon Guralnek
6

L'utilisation de champs de pot de miel est / était une méthode pour réduire le spam sans réel coût d'utilisation.

Voici un article décrivant comment cela fonctionne avec de la magie CSS, et bien qu'ils aient noté que son efficacité a diminué, il attrapera toujours des bots. Il existe probablement aussi des techniques plus avancées en plus de CSS (lire: JS) qui peuvent augmenter l'efficacité des pots de miel.

Nick T
la source
+1, juste parce que j'aime leur nouveau système Captcha. (Il n'y a plus de vote, je serai de retour!)
Josh K
Django utilise un champ pot de miel sur son formulaire de commentaire par défaut, mais je reçois toujours du spam. Je ne sais pas combien de tentatives il bloque cependant.
jonescb
+1 Je les utilise sur mon blog. Ça attrape beaucoup. Mais là encore, mon blog n'est pas populaire, alors peut-être que personne ne veut essayer de le spammer.
Tony
3

Il existe d'autres moyens de prévenir le spam et les bots, mais le captcha fonctionne mieux. Parfois, poser une question simple sur un formulaire comme "2 + 10 =" ou "Êtes-vous humain?" fonctionne très bien comme captcha, pendant un certain temps au moins.

WalterJ89
la source
3

J'utilise reCaptcha car il supprime 90% du spam avec 5% d'effort.

Je n'ai pas eu de gens se plaindre que le captcha est dur, rend les choses plus difficiles, ou a une utilisation réduite.

Les spammeurs et les robots sont abondants. Il est très facile de gratter un formulaire et de commencer à soumettre en masse de mauvaises demandes . Il s'agit d'un moyen simple, sécurisé et éprouvé de réduire considérablement le spam et les bots. Ce n'est pas une solution rapide pour les paresseux ou inexpérimentés, mais l'expérience a conduit à cette solution et elle est maintenant facile à mettre en œuvre.

Est-ce que j'aime les captchas? Sûrement pas. Des lignes ondulées, qu'est-ce que cela signifie, opps, je l'ai mal entré. Il est efficace cependant.

Josh K
la source
1
@josh existe-t-il un moyen visible et facilement disponible de "se plaindre"? Personnellement, je les déteste, mais reCaptcha est facile à déployer (comme vous le mentionnez) et aussi
Chris
@Chris: Bien sûr, vous pouvez soit me laisser un email, salope ailleurs, soit compléter le captcha une fois et me le dire dans un commentaire.
Josh K
Je crois que reCaptcha vous pouvez également écouter le code, je sais que j'ai dû l'utiliser une ou deux fois juste parce que j'utilisais un moniteur d'ordures
WalterJ89
@Walter: C'est tellement incroyablement simple d'implémenter reCaptcha, c'est pourquoi je l'utilise. Vous pouvez changer l'image ou l'écouter en train de parler, sans presque aucun travail de votre part.
Josh K
1
Vous obtenez également des conneries comme ceci: meta.stackexchange.com/questions/48840/…
TheLQ
3

J'accepterais également qu'il soit nécessaire de réduire la quantité de spam que vous recevez, avant d'aller et de mettre en œuvre une contre-mesure, pensons-vous?

  1. Faut-il automatiser la détection? Pour un site Web à faible trafic, la modération manuelle peut être suffisante. Vous voudrez quand même empêcher les gens d'ajouter des commentaires racistes / insultants, n'est-ce pas?
  2. Est-il nécessaire de passer un test de Turing pour tout commentaire? Les spammeurs essaient généralement de transmettre des URL, donc seule l'activation de contre-mesures lorsqu'une URL est détectée semble viable (bien que légèrement plus compliquée).
  3. Est-il nécessaire de passer un test de Turing à chaque fois? Les utilisateurs anonymes peuvent devoir être filtrés (même si vous vous souvenez des adresses IP), mais les utilisateurs authentifiés ne peuvent être filtrés que lorsqu'ils deviennent "spammés", par exemple chaque 5ème commentaire en moins d'une heure (ou un jour), et seulement jusqu'à ce qu'ils aient ont fait leurs preuves (système basé sur une liste blanche alimenté manuellement ou automatiquement)

Ces 3 idées devraient réduire considérablement le nombre de personnes exposées à ces contre-mesures et le nombre de fois où elles y sont également soumises.

En plus de cela, ce sont d'autres contre-mesures que les captchas, comme demander une adresse e-mail, envoyer un message et attendre une réponse avec un texte particulier comme objet (généré aléatoirement) avant de poster réellement (avec une heure délai d'attente avant de jeter le commentaire, par exemple).

Matthieu M.
la source
1

D'après mon expérience, les captchas sont le meilleur moyen de prévenir le spam, peu importe la façon dont le formulaire est programmé, il y aura toujours un robot anti-spam meilleur que votre application.

Jeremy
la source