Sind Captchas die verminderte Benutzerfreundlichkeit wert?


16

Wann ist es sinnvoll, ein Captcha zu verwenden? Wann ist es ein unnötiges Hindernis? Ist ein Captcha nur eine schnelle Lösung für den faulen / unerfahrenen Programmierer, oder ist es wirklich der beste Weg, um Spam und Bots zu verhindern?


Sie sollten dies stattdessen auf Webmasters.stackexchange.com erfragen .
Jonas

Anstelle von Webmasters.SE passt diese Frage gut zu User Experience.SE . Ich werde es jedoch nicht migrieren, da sich diese Site noch in der Betaphase befindet und die Frage alt und beantwortet ist.
Adam Lear

Antworten:


7

ReCAPTCHA scheint ziemlich sicher zu sein und wird wahrscheinlich jede andere OCR-basierte CAPTCHA-Lösung überdauern. CAPTCHAs sind nützlich, wenn Sie nicht sicher sind, ob es sich um einen Bot oder um einen Menschen handelt, dh nach dem zweiten oder dritten Anmeldeversuch oder wenn Sie anonymes Kommentieren zulassen. Sobald sich ein Benutzer authentifiziert hat, sichern Sie das CAPTCHA.

Eine Alternative, die noch nicht aufgetaucht ist, ist die " SAPTCHA ".


2
Sich darüber zu beschweren, dass ein Captcha unethisch ist, weil es Blinden nicht zur Verfügung steht, ist umstritten, weil (a) Sie es sprechen können und (b) weniger als 0,5% der Menschen blind sind.
Josh K

5
@ Josh K: (b) macht es nicht ethisch. (a) tut es, wenn Sie es tatsächlich implementieren.
Nemanja Trifunovic

3
@Nemanja: Was machst du mit blinden und tauben Menschen? Was tun Köche für Menschen, die nicht schmecken können? Man kann nicht sagen, dass etwas "unethisch" ist, nur weil es nicht für jede einzelne Person funktioniert. Was ist mit Websites, die nicht mit IE kompatibel sind? Sind sie "unethisch"? Oh, und reCAPTCHA hat das Sprechen eingebaut.
Josh K

1
@Josh: Es sind nicht nur Blinde, sondern auch farbenblinde oder sehbehinderte Menschen betroffen (wenn auch in geringerem Maße). Ich kann auch ziemlich gut Englisch lesen, aber diese gesprochenen Captchas sind größtenteils außerhalb meiner Reichweite. Ich würde es zwar nicht als unethisch bezeichnen , aber es ist ein Zugänglichkeitsproblem.
Matthieu M.

1
@Josh K .: Ich weiß nicht, was Köche tun, aber was wir als Programmierer tun können, ist, unsere Arbeit zugänglich zu machen. Das ist nicht nur eine Frage der Ethik, sondern in einigen Fällen auch eine rechtliche Anforderung.
Nemanja Trifunovic

9

Ich mag es einfach, wie die Leute die "konventionelle Weisheit" über CATPCHAs bereitwillig akzeptieren. Als professioneller Webentwickler mit zehnjähriger Erfahrung und Erfahrung im Bereich Barrierefreiheit ist dies meiner Meinung nach unter keinen Umständen der Fallsollten Sie CAPTCHAs implementieren. Ich beziehe mich auf die Arten, die Linien, Kursivschriften, 3D - Effekte usw. aufweisen. Erstens verhindern sie, dass eine große Anzahl von Benutzern auf Inhalte zugreift, darunter viele ältere Menschen oder Menschen mit alltäglichen Sehbehinderungen (wie z Farbenblindheit) oder Menschen, für die Englisch nicht ihre Muttersprache ist. Zweitens ist das Zitieren von "Sicherheit" kein ausreichender Grund. Dies liegt daran, dass für 99,5% der Spam-E-Mails die erneute Eingabe eines aus fünf Buchstaben bestehenden Wortes eine ausreichende "Sicherheit" darstellt. Diese mythischen "Roboter", auf die sich die Leute oft beziehen, sind nicht wirklich so hoch entwickelt. Und selbst dann, für diejenigen, die anspruchsvoll sind (was wiederum eine sehr kleine Zahl ist), wird ein typisches CAPTCHA ohnehin nicht ausreichen. Angesichts der Tatsache, dass alle negativen Faktoren den tatsächlichen Nutzen bei weitem überwiegen, was sowieso meist eingebildet ist, gibt es keinen guten grund sie zu benutzen. Wenn Sie SPAM verhindern möchten, müssen die Leute lediglich ein Wort wie "blog" erneut eingeben (und es ist in Ordnung, wenn sie kopieren und einfügen können). Dies ist völlig zugänglich und, glauben Sie mir, ist genug "Sicherheit". Sie werden überrascht sein, dass all Ihr Spam beseitigt ist und Sie nicht einmal große Teile der Benutzer abschneiden mussten.

Von einer anderen Antwort desselben Benutzers kopiert

Ich stimmte diesem Post bis zu einem gewissen Punkt zu: "Meiner Erfahrung nach gibt es eine Menge Spammer, die heutzutage echte Menschen für sehr niedrige Löhne beschäftigen, um einfach die Site zu besuchen und sich anzumelden, selbst wenn Sie das beste Captcha der Welt haben (oder was auch immer) und poste ihren Spam 'manuell'.

Jedes System, bei dem Sie zwischen "Mensch" und "Bot" unterscheiden müssen, funktioniert also nicht, wenn Sie sich einem tatsächlichen Menschen gegenübersehen. Welches System auch immer Sie sich einfallen lassen, es ist kein Kinderspiel, und Sie müssen anonymen (oder "fast anonymen" - dh neuen Anmeldeinhalt) Inhalt manuell überprüfen. "

Dann schlug der Artikel etwas kompliziertes Javascript vor. Wie ich bereits sagte, ist es genauso effektiv, den Benutzer nur zum erneuten Eingeben von Text aufzufordern (ich sollte zufällig ausgewählten Text hinzufügen), wie ein undurchsichtiges Bild von etwas anzuzeigen, das entschlüsselt werden muss. Der Entschlüsselungsaspekt ist meiner Meinung nach eine unnötige Schicht. Auch das ist nur meine Meinung, aber das war für mich völlig effektiv.

Ich sollte auch hinzufügen, dass CAPTCHAs nicht auf Regierungswebsites verwendet werden dürfen, da sie gegen die Regeln von Section 508 verstoßen.


Das ist eigentlich so ziemlich das, was ich tue. Wie ich in meiner Antwort sagte, habe ich nur ein bisschen Javascript, das im Grunde die Cut'n'Paste für Sie erledigt.
Dean Harding

Ihre Alternative ist im Wesentlichen das "SAPTCHA", das ich in meiner Antwort erwähnt habe :).
Freitag,

7

Nach meiner Erfahrung gibt es eine Menge Spammer, die heutzutage echte Menschen für sehr niedrige Löhne beschäftigen, um einfach die Site zu besuchen, sich anzumelden (oder was auch immer) und ihren Spam "manuell" zu posten , selbst wenn Sie das beste Captcha der Welt haben.

Jedes System, bei dem Sie zwischen "Mensch" und "Bot" unterscheiden müssen, funktioniert also nicht, wenn Sie sich einem tatsächlichen Menschen gegenübersehen . Welches System auch immer Sie sich einfallen lassen, es ist kein Kinderspiel, und Sie müssen anonymen (oder "fast anonymen" - dh neuen Anmeldeinhalt) Inhalt manuell überprüfen.

Ich habe tatsächlich festgestellt, dass ein ziemlich gutes System ein System ist, das Javascript erfordert. Das heißt, Sie müssen Javascript auf der Seite haben, das einen zufällig generierten Wert in ein spezielles Feld im Formular kopiert. Stellen Sie auf dem Server sicher, dass der Wert kopiert wurde. Meiner Erfahrung nach haben viele Spammer damit aufgehört. Es ist nicht 100% und vielleicht nicht so gut wie ReCAPTCHA, aber es funktioniert gut genug für die Websites, an denen ich gearbeitet habe, und Sie müssen sich keine Sorgen um die Barrierefreiheit machen (es gibt Clients, die kein Javascript haben, aber sie haben) sind weniger und weiter zwischen diesen Tagen).


Es scheint für Spammer ein gutes Geschäft zu sein, 2 US-Dollar für die Umgehung von 1000 CAPTCHAs auf Websites wie decaptcher.com zu zahlen. Es ist schrecklich - viele Websites, die ich besuche und die reCAPTCHA verwenden, werden jetzt von riesigen Mengen an Spam betroffen.
Allon Guralnek

6

Die Verwendung von Honeypot-Feldern war / ist eine Methode, um Spam zu reduzieren, ohne dass echte Usability-Kosten entstehen.

Hier ist ein Artikel, der beschreibt, wie es mit etwas CSS-Magie funktioniert, und obwohl sie festgestellt haben, dass seine Wirksamkeit nachgelassen hat, fängt es immer noch einige Bots. Es gibt wahrscheinlich auch fortgeschrittenere Techniken neben CSS (gelesen: JS), die die Effektivität von Honeypots steigern können.


+1, nur weil ich ihr neues Captcha-System liebe. (Noch keine Stimmen, ich komme wieder!)
Josh K

Django verwendet ein Honeypot-Feld in seinem Standard-Kommentarformular, aber ich erhalte immer noch Spam. Ich weiß allerdings nicht, wie viele Versuche es blockiert.
Jonescb

+1 Ich benutze diese in meinem Blog. Es fängt viel. Aber andererseits ist mein Blog nicht sehr beliebt, vielleicht möchte niemand versuchen, es als Spam zu versenden.
Tony

3

Es gibt andere Möglichkeiten, Spam und Bots zu verhindern, aber Captcha funktioniert am besten. Stellen Sie manchmal eine einfache Frage in einem Formular wie "2 + 10 =" oder "Sind Sie ein Mensch?" funktioniert gut als captcha, zumindest für eine weile.


3

Ich benutze reCaptcha, weil es mit 5% Aufwand 90% des Spam- Aufkommens eliminiert .

Ich habe mich nicht darüber beschweren müssen, dass das Captcha hart ist, die Dinge schwieriger macht oder die Benutzerfreundlichkeit beeinträchtigt.

Spammer und Bots sind reichlich vorhanden. Es ist sehr einfach , eine Form zu kratzen und Einreichen schlechte Anfragen beginnen en masse . Dies ist eine einfache, sichere und bewährte Methode, um Spam und Bots erheblich zu reduzieren. Es ist keine schnelle Lösung für Faule oder Unerfahrene, vielmehr hat die Erfahrung zu dieser Lösung geführt und sie ist jetzt einfach zu implementieren.

Muss ich wie Captchas? Auf keinen Fall. Kräuselige Linien, was bedeutet das? Ich habe es falsch eingegeben. Es ist jedoch effektiv.


1
@josh gibt es eine sichtbare und leicht zugängliche Möglichkeit, sich zu "beschweren"? Ich persönlich hasse sie, aber reCaptcha ist einfach zu implementieren (wie Sie erwähnen) und auch
Chris

@ Chris: Klar gibt es das. Du kannst mir entweder eine E-Mail schreiben, irgendwo anders meckern oder das Captcha einmal ausfüllen und mir in einem Kommentar mitteilen.
Josh K

Ich glaube, reCaptcha Sie können den Code auch anhören, ich weiß, ich musste ihn ein- oder zweimal verwenden, nur weil ich einen
Müllmonitor

@Walter: Es ist so unglaublich einfach, reCaptcha zu implementieren, weshalb ich es verwende. Sie können das Bild ändern oder hören, wie es gesprochen wird, ohne dass Sie daran arbeiten müssen.
Josh K

1
Sie erhalten auch Mist wie folgt
TheLQ

3

Ich würde auch akzeptieren, dass es notwendig ist, die Menge an Spam, die Sie erhalten, zu reduzieren, bevor Sie eine Gegenmaßnahme ergreifen.

  1. Muss die Erkennung automatisiert werden? Bei einer Website mit wenig Verkehr kann die manuelle Moderation ausreichend sein. Sie wollen sowieso verhindern, dass Leute rassistische / beleidigende Kommentare hinzufügen, oder?
  2. Ist es notwendig, einen Turing-Test für einen Kommentar zu bestehen? In der Regel versuchen Spammer, URLs weiterzugeben. Daher erscheint es sinnvoll (wenn auch etwas komplizierter), Gegenmaßnahmen nur dann zu aktivieren, wenn eine URL erkannt wird.
  3. Müssen Sie jedes Mal einen Turing-Test bestehen? Anonyme Benutzer müssen möglicherweise gefiltert werden (obwohl Sie sich an IPs erinnern können), authentifizierte Benutzer können jedoch nur dann gefiltert werden, wenn sie "spammy" werden, z haben sich bewährt (White-List-basiertes System wird entweder manuell oder automatisch gespeist)

Diese drei Ideen sollten die Anzahl der Personen, die dieser Gegenmaßnahme ausgesetzt sind, und die Häufigkeit, mit der sie ihnen ausgesetzt sind, erheblich reduzieren.

Darüber hinaus handelt es sich um andere Gegenmaßnahmen als Captchas, z. B. das Abfragen einer E-Mail-Adresse, das Senden einer Nachricht und das Warten auf eine Antwort mit einem bestimmten Text als Betreff (zufällig generiert) vor dem eigentlichen Posten (mit einer Stunde) Zeitüberschreitung, bevor der Kommentar verworfen wird, sagen wir).


1

Meiner Erfahrung nach sind Captchas der beste Weg, um Spam zu verhindern, egal wie gut das Formular programmiert ist. Es wird immer einen Spam-Bot geben, der besser ist als Ihre App.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.