보안 성이 감소 된 유용성은 가치가 있습니까?


16

보안 문자를 사용하는 것이 언제 유용한가요? 불필요한 방해는 언제입니까? 보안 문자는 게으른 / 익숙하지 않은 프로그래머를위한 빠른 해결책일까요? 아니면 스팸과 봇을 막는 가장 좋은 방법입니까?


대신 Webmasters.stackexchange.com에서 요청해야 합니다.
Jonas

이 질문은 Webmasters.SE가 아니라 User Experience.SE 에 적합합니다 . 그러나 해당 사이트는 아직 베타 버전이며 질문이 오래되어 대답했기 때문에 마이그레이션하지 않을 것입니다.
Adam Lear

답변:


7

ReCAPTCHA는 매우 안전한 것으로 보이며 다른 OCR 기반 보안 문자 솔루션보다 오래 지속될 수 있습니다. 보안 문자는 봇 또는 사람인지 확실하지 않은 경우 (예 : 두 번째 또는 세 번째 로그인 시도 후 또는 익명 주석 허용)에 유용합니다. 사용자가 인증되면 보안 문자를 덤프하십시오.

아직 나오지 않은 대안은 " SAPTCHA "입니다.


2
보안 문자가 시각 장애인에게 제공되지 않기 때문에 비 윤리적이라고 불평하는 것은 (a) 귀하가 말할 수 있고 (b) 0.5 % 미만의 시각 장애인이기 때문입니다.
Josh K

5
@ Josh K : (b) 윤리적이지 않습니다. (a) 실제로 구현하면 수행합니다.
Nemanja Trifunovic

3
@Nemanja : 맹인과 청각 장애인에 대해 어떻게합니까? 요리사는 맛이없는 사람들을 위해 무엇을합니까? 모든 사람에게 효과적이지 않다는 이유로 '비이성적'이라고 말할 수는 없습니다. IE와 호환되지 않는 사이트는 어떻습니까? 그들은 '비공식적'입니까? 아, 그리고 reCAPTCHA는 말하기 내장.
Josh K

1
@ 조쉬 : 그것은 시각 장애인뿐만 아니라 색맹 또는 부분적으로 보이는 사람들도 영향을받습니다 (더 적은 측정에도 불구하고). 또한, 나는 영어를 꽤 잘 읽을 수 있지만, 사용 된 보안 문자는 대부분 내 이해에서 벗어납니다. 비 윤리적 이라고 부르지는 않지만 접근성 문제입니다.
Matthieu M.

1
@Josh K .: 요리사가 무엇을하는지 모르겠지만 프로그래머로서 우리가 할 수있는 일은 작업에 접근 할 수있게하는 것입니다. 그것은 윤리의 문제 일뿐만 아니라 법적 요건이기도합니다.
Nemanja Trifunovic

9

나는 사람들이 어떻게 CATPCHA들에 대한 "전통적인 지혜"를 쉽게 받아들이는지를 좋아한다. 10 년의 경험과 접근성에 대한 전문 지식을 갖춘 전문 웹 개발자로서 어떠한 상황에서도보안 문자를 구현해야합니다. 선, 필기체 글꼴, 3d 효과 등이있는 종류를 말합니다. 우선, 많은 수의 노인 또는 매일 시각 장애가있는 사람 (예 : 색맹) 또는 영어가 모국어가 아닌 사람들. 둘째, "보안"을 인용하는 것만으로는 충분하지 않습니다. 스팸의 99.5 %가 다른 사람에게 5 글자 단어를 다시 입력하면 충분한 "보안"이되기 때문입니다. 사람들이 종종 언급하는이 신화적인 "로봇"은 실제로 그렇게 정교하지는 않습니다. 그럼에도 불구하고 (정말 작은 숫자 인) 정교한 사람들에게는 전형적인 보안 문자로는 충분하지 않을 것입니다. 따라서 모든 부정적인면이 실제 이익보다 훨씬 크다는 점을 감안하면 어쨌든 대부분 상상되지만, 그것들을 사용해야 할 이유가 없습니다. 스팸을 방지하려면 사람들이 "블로그"와 같은 단어를 다시 입력하도록하면됩니다 (복사하여 붙여 넣을 수 있으면 괜찮습니다). 이것은 완전히 접근 가능하며, 충분히 "보안"이라고 믿습니다. 모든 스팸이 제거되어 많은 사용자를 차단할 필요가 없다는 사실에 놀랄 것입니다.

같은 사용자가 다른 답변에서 복사

나는이 글에 어느 시점까지 동의했다. "내 경험에 의하면, 세계 최고의 보안관을 가지고 있더라도 오늘날에는 간단한 저임금으로 실제 인간을 고용하여 사이트를 방문하여 가입하는 스패머가 많이 있습니다. (또는 무엇이든) 스팸을 '수동으로'게시합니다.

따라서 "인간"과 "봇"을 구별해야하는 시스템은 실제 사람과 마주 칠 때 작동하지 않습니다. 어떤 시스템을 사용하든 완벽하지는 않으며 익명 (또는 "거의 익명"-즉, 새로운 가입) 콘텐츠를 수동으로 확인해야합니다. "

그런 다음 게시가 복잡한 Javascript를 제안하기 시작했습니다. 위에서도 언급했듯이 사용자에게 무언가를 다시 입력하라는 메시지를 표시하는 것 (임의로 선택한 텍스트를 추가하는 것이 이상적임)은 해독해야 할 무언가의 모호한 이미지를 보여주는 것만 큼 효과적입니다. 내 생각에 해독 측면은 불필요한 층입니다. 다시 말하지만, 그것은 나의 의견 일 뿐이지 만, 이것은 나에게 완전히 효과적이었습니다.

또한 정부 웹 사이트가 섹션 508 규칙을 위반하기 때문에 사용할 수없는 보안 문자를 추가해야합니다.


그것은 실제로 제가하는 일입니다. 내 대답에서 말했듯이 기본적으로 cut'n'paste을 수행하는 자바 스크립트가 약간 있습니다.
Dean Harding

당신의 대안은 본질적으로 내 대답에서 언급 한 "SAPTCHA"입니다. :).
Iiridayn

7

내 경험에 따르면, 세계 최고의 보안 문자 를 가지고 있더라도 요즘 사이트를 방문하고 가입 (또는 무엇이든)하고 스팸을 '수동으로'게시하기 위해 아주 낮은 임금으로 실제 사람을 고용하고있는 많은 스패머가 있습니다.

따라서 "인간"과 "봇"을 구별해야하는 시스템은 실제 사람 과 마주 칠 때 작동하지 않습니다 . 어떤 시스템을 사용하더라도 완벽하지는 않으며 익명 (또는 "거의 익명"(즉, 새로운 가입)) 콘텐츠를 수동으로 확인해야합니다.

실제로 꽤 좋은 시스템은 자바 스크립트가 필요한 시스템이라는 것을 알았습니다. 즉, 임의로 생성 된 값을 양식의 특수 필드에 복사하는 일부 자바 스크립트가 페이지에 있습니다. 서버에서 값이 복사되었는지 확인하십시오. 내 경험상, 그것은 많은 스패머를 막았습니다. 그것은 100 %가 아니며 아마도 ReCAPTCHA만큼 좋지는 않지만, 내가 작업 한 사이트에는 충분하게 작동하며 접근성에 대해 걱정할 필요가 없습니다 (자바 스크립트가없는 클라이언트가 있지만 요즘에는 더 적습니다.)


decaptcher.com과 같은 사이트에서 1000 명의 보안 문자를 우회하는 데 스패머가 2 달러를 지불하는 것이 좋은 것으로 보입니다. 내가 방문한 많은 사이트에서 현재 reCAPTCHA를 사용하는 사이트는 엄청난 양의 스팸으로 인해 피해를 받고 있습니다.
Allon Guralnek

6

허니팟 필드를 사용하는 것은 실제 사용 비용없이 스팸을 줄이는 방법입니다.

다음 은 일부 CSS 마법과 함께 작동하는 방법을 설명하는 기사 입니다. 효과는 떨어졌지만 여전히 봇을 잡을 것입니다. CSS (읽기 : JS) 외에 허니팟의 효과를 높일 수있는 고급 기술이있을 수 있습니다.


+1. 새로운 보안 문자 시스템을 좋아하기 때문입니다. (투표권이 없습니다, 다시 올게요!)
Josh K

Django는 기본 주석 양식에서 허니팟 필드를 사용하지만 여전히 스팸을받습니다. 나는 그것이 얼마나 많은 시도를 차단하는지 모른다.
jonescb

+1 나는 이것을 내 블로그에서 사용한다. 많이 잡는다. 그러나 다시 한 번 내 블로그는 인기가 없으므로 아무도 블로그를 시도하고 스팸을 보내려고 신경 쓰지 않을 것입니다.
Tony

3

스팸과 봇을 방지하는 다른 방법이 있지만 보안 문자가 가장 효과적입니다. 때때로 "2 + 10 ="또는 "인간적입니까?"와 같은 양식에 간단한 질문을합니다. 적어도 보안 문자로 잘 작동합니다.


3

나는 reCaptcha를 사용 하여 5 %의 노력으로 스팸의 90 %를 차단합니다.

사람들이 보안 문자가 어렵거나 상황이 더 어려워 지거나 유용성이 떨어 졌다고 불평하지 않았습니다.

스패머와 봇은 풍부합니다. 양식을 긁어 내고 나쁜 요청을 일괄 제출하는 것은 매우 쉽습니다 . 스팸과 봇을 대폭 줄이는 간단하고 안전하며 입증 된 방법입니다. 게 으르거나 경험이 부족한 사람들에게는 빠른 해결책이 아니며 경험으로 인해이 솔루션이 만들어졌으며 이제는 구현하기가 쉽습니다.

나는 수행 처럼 captcha가? 지옥 아니 구불 구불 한 줄, 무슨 뜻인지, 내가 잘못 입력했습니다. 그것은 이다 하지만 효과적인.


1
@josh는 "불평"하는 가시적이고 쉽게 이용할 수있는 방법이 있습니까? 나는 개인적으로 그들을 싫어하지만 reCaptcha는 배포하기 쉽습니다 (앞서 언급했듯이)
Chris

@Chris : 물론, 당신은 나에게 이메일을 드롭, 다른 곳에서 나쁜 년, 또는 보안 문자를 한 번 완료하고 의견을 말해 줄 수 있습니다.
Josh K

나는 내가 쓰레기 모니터를 사용했다해서 한 번 또는 두 번 사용했던 것을 알고, reCAPTCHA를 당신은 또한 코드를들을 수 있다고 생각
WalterJ89

@ Walter : reCaptcha를 구현하는 것은 매우 간단합니다. 그래서 사용합니다. 작업을 거의하지 않아도 그림을 변경하거나 말을들을 수 있습니다.
Josh K

1
당신은 또한이 같은 쓰레기를 얻을 : meta.stackexchange.com/questions/48840/...
TheLQ

3

또한 스팸 대책의 필요성을 감수해야합니다. 대책을 세우고 구현하기 전에 먼저 생각해 보도록하겠습니다.

  1. 탐지를 자동화해야합니까? 트래픽이 적은 웹 사이트의 경우 수동 검토로 충분할 수 있습니다. 당신은 사람들이 인종 차별 / 모욕적 인 의견을 추가하는 것을 막고 싶을 것입니다.
  2. 주석에 대해 튜링 테스트를 통과해야합니까? 스패머는 일반적으로 URL을 전달하려고 시도하므로 URL이 감지 될 때 대책을 활성화하는 것만 가능합니다 (약간 더 복잡하지만).
  3. 매번 튜링 테스트를 통과해야합니까? 익명 사용자는 필터링해야 할 수 있지만 (IP를 기억할 수는 있지만) 인증 된 사용자는 "스팸"이 될 때만 필터링 할 수 있습니다 (예 : 1 시간 미만 (또는 하루) 내에 5 번째 주석이있을 때까지만 자체 검증 (수동 또는 자동으로 화이트리스트 기반 시스템 공급)

이 3 가지 아이디어는 그러한 대응책에 노출 된 사람들의 수와 그들이받는 대상의 수를 크게 줄여야합니다.

또한 전자 메일 주소 요청, 메시지 보내기, 특정 텍스트가 주제 (임의로 생성됨)로 실제로 게시하기 전에 (1 시간 이내) 응답과 같은 보안 문자 이외의 다른 대책입니다. 댓글을 휴지통에 추가하기 전에 시간이 초과되었습니다 (예 :


1

필자의 경험에 따르면 보안 문자는 스팸을 방지하는 가장 좋은 방법입니다. 양식이 아무리 잘 프로그래밍되어 있더라도 앱보다 항상 스팸봇이 더 좋습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.