보안 성이 감소 된 유용성은 가치가 있습니까?

보안 문자를 사용하는 것이 언제 유용한가요? 불필요한 방해는 언제입니까? 보안 문자는 게으른 / 익숙하지 않은 프로그래머를위한 빠른 해결책일까요? 아니면 스팸과 봇을 막는 가장 좋은 방법입니까?

ReCAPTCHA는 매우 안전한 것으로 보이며 다른 OCR 기반 보안 문자 솔루션보다 오래 지속될 수 있습니다. 보안 문자는 봇 또는 사람인지 확실하지 않은 경우 (예 : 두 번째 또는 세 번째 로그인 시도 후 또는 익명 주석 허용)에 유용합니다. 사용자가 인증되면 보안 문자를 덤프하십시오.

아직 나오지 않은 대안은 " SAPTCHA "입니다.

나는 사람들이 어떻게 CATPCHA들에 대한 "전통적인 지혜"를 쉽게 받아들이는지를 좋아한다. 10 년의 경험과 접근성에 대한 전문 지식을 갖춘 전문 웹 개발자로서 어떠한 상황에서도보안 문자를 구현해야합니다. 선, 필기체 글꼴, 3d 효과 등이있는 종류를 말합니다. 우선, 많은 수의 노인 또는 매일 시각 장애가있는 사람 (예 : 색맹) 또는 영어가 모국어가 아닌 사람들. 둘째, "보안"을 인용하는 것만으로는 충분하지 않습니다. 스팸의 99.5 %가 다른 사람에게 5 글자 단어를 다시 입력하면 충분한 "보안"이되기 때문입니다. 사람들이 종종 언급하는이 신화적인 "로봇"은 실제로 그렇게 정교하지는 않습니다. 그럼에도 불구하고 (정말 작은 숫자 인) 정교한 사람들에게는 전형적인 보안 문자로는 충분하지 않을 것입니다. 따라서 모든 부정적인면이 실제 이익보다 훨씬 크다는 점을 감안하면 어쨌든 대부분 상상되지만, 그것들을 사용해야 할 이유가 없습니다. 스팸을 방지하려면 사람들이 "블로그"와 같은 단어를 다시 입력하도록하면됩니다 (복사하여 붙여 넣을 수 있으면 괜찮습니다). 이것은 완전히 접근 가능하며, 충분히 "보안"이라고 믿습니다. 모든 스팸이 제거되어 많은 사용자를 차단할 필요가 없다는 사실에 놀랄 것입니다.

같은 사용자가 다른 답변에서 복사

나는이 글에 어느 시점까지 동의했다. "내 경험에 의하면, 세계 최고의 보안관을 가지고 있더라도 오늘날에는 간단한 저임금으로 실제 인간을 고용하여 사이트를 방문하여 가입하는 스패머가 많이 있습니다. (또는 무엇이든) 스팸을 '수동으로'게시합니다.

따라서 "인간"과 "봇"을 구별해야하는 시스템은 실제 사람과 마주 칠 때 작동하지 않습니다. 어떤 시스템을 사용하든 완벽하지는 않으며 익명 (또는 "거의 익명"-즉, 새로운 가입) 콘텐츠를 수동으로 확인해야합니다. "

그런 다음 게시가 복잡한 Javascript를 제안하기 시작했습니다. 위에서도 언급했듯이 사용자에게 무언가를 다시 입력하라는 메시지를 표시하는 것 (임의로 선택한 텍스트를 추가하는 것이 이상적임)은 해독해야 할 무언가의 모호한 이미지를 보여주는 것만 큼 효과적입니다. 내 생각에 해독 측면은 불필요한 층입니다. 다시 말하지만, 그것은 나의 의견 일 뿐이지 만, 이것은 나에게 완전히 효과적이었습니다.

또한 정부 웹 사이트가 섹션 508 규칙을 위반하기 때문에 사용할 수없는 보안 문자를 추가해야합니다.

내 경험에 따르면, 세계 최고의 보안 문자 를 가지고 있더라도 요즘 사이트를 방문하고 가입 (또는 무엇이든)하고 스팸을 '수동으로'게시하기 위해 아주 낮은 임금으로 실제 사람을 고용하고있는 많은 스패머가 있습니다.

따라서 "인간"과 "봇"을 구별해야하는 시스템은 실제 사람 과 마주 칠 때 작동하지 않습니다 . 어떤 시스템을 사용하더라도 완벽하지는 않으며 익명 (또는 "거의 익명"(즉, 새로운 가입)) 콘텐츠를 수동으로 확인해야합니다.

실제로 꽤 좋은 시스템은 자바 스크립트가 필요한 시스템이라는 것을 알았습니다. 즉, 임의로 생성 된 값을 양식의 특수 필드에 복사하는 일부 자바 스크립트가 페이지에 있습니다. 서버에서 값이 복사되었는지 확인하십시오. 내 경험상, 그것은 많은 스패머를 막았습니다. 그것은 100 %가 아니며 아마도 ReCAPTCHA만큼 좋지는 않지만, 내가 작업 한 사이트에는 충분하게 작동하며 접근성에 대해 걱정할 필요가 없습니다 (자바 스크립트가없는 클라이언트가 있지만 요즘에는 더 적습니다.)

허니팟 필드를 사용하는 것은 실제 사용 비용없이 스팸을 줄이는 방법입니다.

다음 은 일부 CSS 마법과 함께 작동하는 방법을 설명하는 기사 입니다. 효과는 떨어졌지만 여전히 봇을 잡을 것입니다. CSS (읽기 : JS) 외에 허니팟의 효과를 높일 수있는 고급 기술이있을 수 있습니다.

스팸과 봇을 방지하는 다른 방법이 있지만 보안 문자가 가장 효과적입니다. 때때로 "2 + 10 ="또는 "인간적입니까?"와 같은 양식에 간단한 질문을합니다. 적어도 보안 문자로 잘 작동합니다.

나는 reCaptcha를 사용 하여 5 %의 노력으로 스팸의 90 %를 차단합니다.

사람들이 보안 문자가 어렵거나 상황이 더 어려워 지거나 유용성이 떨어 졌다고 불평하지 않았습니다.

스패머와 봇은 풍부합니다. 양식을 긁어 내고 나쁜 요청을 일괄 제출하는 것은 매우 쉽습니다 . 스팸과 봇을 대폭 줄이는 간단하고 안전하며 입증 된 방법입니다. 게 으르거나 경험이 부족한 사람들에게는 빠른 해결책이 아니며 경험으로 인해이 솔루션이 만들어졌으며 이제는 구현하기가 쉽습니다.

나는 수행 처럼 captcha가? 지옥 아니 구불 구불 한 줄, 무슨 뜻인지, 내가 잘못 입력했습니다. 그것은 이다 하지만 효과적인.

또한 스팸 대책의 필요성을 감수해야합니다. 대책을 세우고 구현하기 전에 먼저 생각해 보도록하겠습니다.

1. 탐지를 자동화해야합니까? 트래픽이 적은 웹 사이트의 경우 수동 검토로 충분할 수 있습니다. 당신은 사람들이 인종 차별 / 모욕적 인 의견을 추가하는 것을 막고 싶을 것입니다.
2. 주석에 대해 튜링 테스트를 통과해야합니까? 스패머는 일반적으로 URL을 전달하려고 시도하므로 URL이 감지 될 때 대책을 활성화하는 것만 가능합니다 (약간 더 복잡하지만).
3. 매번 튜링 테스트를 통과해야합니까? 익명 사용자는 필터링해야 할 수 있지만 (IP를 기억할 수는 있지만) 인증 된 사용자는 "스팸"이 될 때만 필터링 할 수 있습니다 (예 : 1 시간 미만 (또는 하루) 내에 5 번째 주석이있을 때까지만 자체 검증 (수동 또는 자동으로 화이트리스트 기반 시스템 공급)

이 3 가지 아이디어는 그러한 대응책에 노출 된 사람들의 수와 그들이받는 대상의 수를 크게 줄여야합니다.

또한 전자 메일 주소 요청, 메시지 보내기, 특정 텍스트가 주제 (임의로 생성됨)로 실제로 게시하기 전에 (1 시간 이내) 응답과 같은 보안 문자 이외의 다른 대책입니다. 댓글을 휴지통에 추가하기 전에 시간이 초과되었습니다 (예 :

필자의 경험에 따르면 보안 문자는 스팸을 방지하는 가장 좋은 방법입니다. 양식이 아무리 잘 프로그래밍되어 있더라도 앱보다 항상 스팸봇이 더 좋습니다.