Strona główna> Blog free time>Surowy sędzia CAPTCHA – czyli dlaczego wszyscy jesteśmy botami?

09.201425

Kill Captcha

Surowy sędzia CAPTCHA – czyli dlaczego wszyscy jesteśmy botami?

Jeśli istnieje jedno słowo, którym mógłbym opisać internet, jest to „Wolność”. Wolność usług, rozrywki, rozmów, informacji. Internet w pewnym stopniu stworzył z nas nadludzi. Uwolnił od ograniczeń, które niesie ciało. Możemy być jednocześnie w kilkunastu miastach świata, wykonując skomplikowane obliczenia matematyczne i analizy na najwyższym poziomie. Dlaczego więc podstawowa zasada prawa, która jest gwarantem wolności, nie znajduje w internecie odzwierciedlenia?

 

Wyrok: WINNY!

Podstawowym zasadą „demokratycznego państwa prawa” jest domniemanie niewinności? Czemu więc w internecie jest inaczej? Dlaczego wszyscy jesteśmy winni? Jesteś spam-botem, dopóki nie udowodnisz swojej niewinności!

 

Nie jestem botem, jestem użytkownikiem!

Tak? To udowodnij! Najlepiej spróbuj odcyfrować zlepek niewyraźnych linii i znaków, pokolorowanych na odcienie z palety której używał Picasso. Zrób to w odpowiednio krótkim czasie. Jeśli się pomylisz to trudno, twoja sprawa. Nie podoba się? Adios, arrivederci, bye.

 

4 problemy z CAPTCHA

 

1. Przeszkadza.

Nie trzeba być specjalistą od „ux”, żeby domyślić się, jak bardzo CAPTCHA przeszkadza. Jest to dodatkowy krok, który musi wykonać użytkownik zanim osiągnie oczekiwany rezultat. Co więcej krok trudny do przejścia.

 

2. Nie jest tolerancyjna.

Jeśli użytkownik ma problemy ze wzrokiem, to CAPTCHA staje się czasem barierą nie do przejścia. Czy próbowałeś kiedyś użyć wersji audio? Brzmi jak nienaoliwione wrota piekieł.

 

3. Wykorzystuje użytkownika.

Dlaczego użytkownik musi brać na siebie ciężar bezpieczeństwa, zazwyczaj przymusowo? Przecież to w gestii usługodawcy pozostaje, aby zapewnić jak najłatwiejszy dostęp do usługi, dbając jednocześnie o porządek i bezpieczeństwo.

 

4. Jest nieefektywna.

Czasy, gdy CAPTCHA potrafiła powstrzymać spam-boty minęły. Nie tylko algorytmy googla są w stanie odczytywać zamazane znaki. Na rynku istnieją narzędzia, których można użyć do pokonania nie tylko graficznych, ale i dźwiękowych ograniczeń. Nie jesteś przekonany? Za 2$ możesz kupić rozwiązanie 1000 CAPTCHA. Tak, w Indiach

 

Czy to nie pora, aby poszukać alternatyw?

 

(Pseudo)alternatywy.

W sieci można znaleźć naprawdę sporo narzędzi, które przedstawiane są jako zamienniki CAPTCHY. Czy tak jest w rzeczywistości? Oto kilka z nich:

 

1. Hot or Not?

Jeśli chcesz przejść do kolejnego kroku, zaznacz 3 najbardziej atrakcyjne osoby. Inne podejście, ale czy skuteczne? Prawdopodobieństwo, że maszyna wytypuje prawidłowo trzy spośród dziewięciu zdjęć to 1:84. W przypadku botnet’u bardzo duże. Niestety hot captcha zwinęła już żagle…

Czy one naprawdę są hot?

Czy one naprawdę są hot?

 

2. Interaktywne gry.

Innym podejściem jest zastąpienie hieroglifów grami. Widać, że za ideą stoi chęć uatrakcyjnienia weryfikacji. Pytanie tylko, czy krótka, dosyć infantylna gra to coś, co chcemy robić? Ciągle jest to dodatkowy krok, na który nie zawsze muszę mieć ochotę. Dodatkowo wygląda niepoważnie.

funcaptcha

 

3. Narysuj sobie alternatywę.

MotionCAPTCHA zastępuje odszyfrowywanie znaków innym zadaniem. Użytkownik musi narysować znak. Wcale nie jest to takie łatwe, jak widać poniżej.

 motionCAPTCHA

4. Pytania i odpowiedzi.

Kolejnym sposobem jest zadawanie użytkownikowi prostych pytań, lub zadań matematycznych. Jak nazywa się stolica Polski? Ile to 2 + 2? Problem, że ilość pytań jest ograniczona, więc spamerzy szybko są w stanie stworzyć odpowiednie słowniki.

 

Żadna z powyższych propozycji nie jest tak naprawdę alternatywą. Co prawda pokazują one inne podejście, bardziej przyjazne użytkownikowi, jednak nie rozwiązują problemu CAPTCHY. Użytkownik musi dalej wykonywać niechciane kroki.

 

CAPTCHA musi odejść.

Przeszkadza, szczególnie ludziom z wadami wzroku, zmusza użytkownika do dodatkowych, irytujących zachowań, a do tego jest praktycznie nieużyteczna. Jeśli ktoś chce pokonać Twoją CAPTCHA zrobi to (przypominam, 2$ za 1000 rozwiązań).

 

Jedyna osobą, która ma trudności z CAPTCHĄ jest użytkownik. Badania pokazują, że ta forma „sprawdzania” jest na tyle irytująca, że nawet do 3% ludzi rezygnuje na sam widok koślawych literek. Dlaczego więc mielibyśmy dalej używać tej metody weryfikacji?

 

Zadbaj o użytkownika.

Jeśli Twoim problemem są spamowe komentarze, czy maile zrezygnuj z CAPTCHY. Istnieje wiele lepszych metod. Jeżeli jednak naprawdę potrzebujesz weryfikacji możesz zainteresować się metodami działającymi po stronie serwera.

 

Prawdziwą alternatywą są narzędzia, analizujące zachowanie użytkownika, sposób wprowadzania danych, ruchy myszki i ogólną interakcję, aby rozpoznać, czy mają do czynienia z człowiekiem, czy botem. Oczywiście rozwiązania takie mogą nadmiernie obciążać serwer i do masowego użytku wejdą zapewne w najbliższej przyszłości, gdy pozwoli na to wzrastająca moc obliczeniowa maszyn.

 

Dlatego na razie dobre wydają się być rozwiązania pośrednie takie jak Ghost captcha. Jest to połączenie „honeypot” i kontroli zachowania. Jeśli skrypt zaznaczy ukryty dla użytkownika checkbox, wtedy zostanie wyświetlony komunikat błędu. Jeśli pola formularzy zostaną wypełnione zbyt szybko, zostanie wyświetlona CAPTCHA.

Czy macie jakieś pomysły na zupełne pozbycie się CAPTCHA?

  • Bartłomiej Kaliński

    A co myślicie o tym sposobie? To moim zdaniem jeden z przyjemniejszych.

    http://zapodaj.net/8964103ad15a8.png.html

    • socjopata

      Też mi się podoba, ale jest mało kombinacji.
      Na mojej stronie mam ukrytego inputa, jeżeli jest wypełniony to wiadomość nie jest wysyłana., automaty zwykle uzupełniają wszystko jak leci. Na razie ten sposób się sprawdza.

  • Gość

    Mam swoją stronę na której jest formularz do wysyłania wiadomości na moją skrzynkę email. Nie mam tam żadnego captcha, żadnego checkbox-a, itp., czy jakiegokolwiek zabezpieczenia przed spamem. Myślałem że będę miał skrzynkę zalaną spamem wysyłanym przez jakieś automaty, ale o dziwo od momentu uruchomienia strony, przez te kilka lat nie dostałem ani jednej takie spamowej wiadomości. Serio, ani jednej. To aż dziwne, prawda?

testowanie oprogramowania | outsourcing testów | software testing | testerzy