В поисках наилучшей капчи

Капча или полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей, предназначен для того, чтобы отличить человека от бота. Эти забавные пазлы используются сплошь и рядом. Однако на сегодняшний день появилось очень много нетрадиционных капч. В этой статье мы поочерёдно их рассмотрим и постараемся выделить лучшую.

Эта статья была написана в связи с тем, что в интернете появляется всё больше и больше автоматизированных систем по заполнению форм. Не всем разработчикам нравятся традиционные виды капч, поэтому главной целью этой статьи является выделение лучшего варианта капчи.

Стимул для людей

Для того, чтобы понять смысл существования и развития капчи, мы должны понять, что спаммеры никогда не успокоятся и будут искать всё новые и новые способы обхода этой защиты. Для того, чтобы не терять надежды о надёжной защите, призывают бороться с ними самыми различными способами. Так почему же спаммеры плодятся как муравьи, что служит поводом? А вот что:

• Бесплатная реклама в огромных масштабах;
• Управление интернет голосованием;
• Формирование общественного мнения (создание несправедливого преимущества);
• Вандализм и нарушение целостности веб сайта;
• Создание ссылок на неэтичные ресурсы с целью повышения рейтинга сайта в поисковиках;
• Доступ к частной информации;
• Распространение вредоносного кода.

Все эти выгоды, дают спаммерам возможность существовать и делать на всём этом неплохие деньги. Автоматизация данного процесса позволяет увеличить скорость и эффективность данной деятельности.

Все кто когда-либо занимался интернет бизнесом, знают, что большие деньги - это большая ответственность. Популярный убийца спама Akismet (плагин для WordPress) отлавливает более 18 миллионов спам сообщений за день и на данный момент насчитал более 20 миллиардов данных сообщений. Mollom, который предоставляет такие же услуги, отлавливая по полмиллиона сообщений в день, 90% из которых являются спамом.

Казалось, что могло помешать спаммерам распространять свои раздражающие письма? Ответ прост - капча.

Введите капчу

С одной стороны у нас спаммер, а с другой - владелец сайта, который столкнулся со следующими распространёнными проблемами:

• Блог и форум утопает от наплыва спама;
• Куча пользовательских записей, зарегистрированных для сомнительных целей;
• Боты, которые рушат динамику сайта

Спаммеры, использующие специальные программы - это словно язвы для владельцев сайтов. Капча может сэкономить немало времени, которое убивается на тщательную проверку всех входящих сообщений.

В результате этого, теперь капчу можно увидеть буквально на каждом шагу. Проект reCAPTCHA на данный момент обслуживает около 200 миллионов reCAPTCHA, которые используются повседневно. В среднем заполнение такой капчи занимает 10 секунд. Проект Drupal CAPTCHA еженедельно пополняется на 100 тысяч пользователей.

Капча - это, по крайней мере, попытка решения проблемы. Благодаря ей можно определить, кто бот, а кто настоящий пользователь.

На самом деле, это только лишь часть всей правды. W3C ещё в 2005 году раскритиковала работу капчи, утверждая, что её обход возможен в 10% процентах случаев. Чуть позже (в 2009), Casey Henry провёл некоторые исследования, в результате которых определил, что эффективность капчи упала примерно на 3%.

В 2010 году команда из Университета Stanford опубликовала статью, где они оценивали работу капчи на самых крупных сайтах в интернете. Результаты исследований не были утешительны, т.к. данная команда определила, что в среднем время заполнения капчи составляет 28.4 секунды.

Такие знаменитые веб разработчики, как Tim Kadlec предвещает исчезновение капчи и призывает к прекращению её массового использования.

На первый взгляд, заполнение капчи - это довольно-таки тривиальная задача, однако как показывают исследования W3C, это не всегда так. Что вы скажете, например, тем пользователям, у кого плохо со зрением или чем-то другим? Не является ли это своего рода дискриминацией? Разработчики должны рассматривать всех пользователей как единое целое.

Вопрос стоит так: действительно ли нам так необходимо капчи? Если нет, то какое решение нам необходимо найти, чтобы раз и навсегда расправиться со спамом?

Мир Капчи

Человеческий мозг - это самое удивительное, что есть на этой планете. Он способен на генерацию таких идей, о которых раньше и подумать было невозможно.

Давайте сымитируем капчу, которая нас бы устроила:

• Задача, с которой может справиться человек, но не бот,
• Задача, которая будет решаться за долю секунды человеком и невыполнима для бота,
• Задача, которая сводит к минимуму ввод каких-то данных,
• Задача, с которой сможет справиться абсолютно любой пользователь, даже тот, у кого есть какие-то физические отклонения.

Преимущество человека заключается в том, что он способен визуально распознавать какие-то образы. Именно поэтому в разработке новых капч упор делался именно на это.

Веб разработчики исследовали массу вариантов: простые тесты, выполнение несложных заданий и многое другое. Мы же рассмотрим более здравомыслящие идеи и конечно же то, что сегодня более популярно.

Распознавание текста

Несмотря ни на что, на сегодняшний день текстовая капча является самой распространённой (в особенности проект reCAPTCHA).

reCAPTCHA была разработана в университете Carnegie Mellon, так называемой, родине капчи в 2000 году. Теперь данный проект перешёл под управление компанией Google. Проект предоставляет людям фрагменты текста, сканирование и распознавание которых не удалось. В данном случае, этот проект является очень полезной вещью.

Но эта капча, как мы уже говорили, доступна не всем людям в плане удобства. Самой распространённой проблемой данной капчи является неразборчивость текста, что заставляет пользователя вводить её несколько раз.

Проект reCAPTCHA пытается развиваться и теперь предоставляет пользователям аудио сопровождение для людей с ограниченными возможностями, но это не решает всех проблем. Как было отмечено университетом Stanford, аудио капчи занимают ещё больше времени для заполнения. Тем более, что не все пользователи в интернете являются англоязычными.

Итак, у данного вида капчи существует два существенных минуса. О первом мы говорили выше, в второй заключается в том, что спаммеры могут использовать специальный софт для распознавания текста. Только этот факт отметает огромное количество желающих защитить свой сайт.

Логические вопросы

Некоторые разработчики решили задавать своим пользователям маленькие логические задачки для того, чтобы отличить их от тупых ботов.

Сервис TextCAPTCHA насчитывает в своей базе около 180 миллионов вопросов следующих типов:

• В слове “unrolled” 6 букв?
• Напишите цифрами число восемьсот пятьдесят семь.
• Какое число наименьше всех? 3, 70, 46 или 65?

Эти вопросы рассчитаны на людей, которым больше семи лет. Данные капчи более доступны для людей, что на самом деле является большим преимуществом. Однако время заполнения данной капчи может менять от раза к разу, т.к. типы вопросов всегда меняются. В конце концов, искусственный интеллект может расправиться и с этим видом капчи.

Также есть немало сайтов, которые используют следующие вопросы “Как называется наш веб сайт?” или “Какого цвета наш логотип?”. Таких вопросов, конечно, сложно набрать 180 миллионов, но это ещё более надёжная защита.

Ещё одной проблемой, касающейся логических вопросов является та, что данные капчи рассчитаны на англоязычную аудиторию пользователей. Перевести все эти миллионы вопросов на все языки мира - это очень сложная задача. Когда начинаешь об этом задумываться, то хочешь или нет, назревает следущий вопрос: нужна ли нам такая капча?

Распознавание изображений

Многие попытались заменить текст на изображение. И что же вышло? Всё хорошо, только вот нет чёткости в вопросе. Такие сервисы как identiPIC просят пользователей распознать какой-то объект на картинке. Microsoft так же использовала подобную задачу в проекте Asirra.

Проблемой такой капчи является юзабилити. На самом деле, это ставит под угрозу доступность. Для слабовидящих пользователей такая задача становится практически невыполнимой.

В 2009, Google опубликовала исследования (проведённые Rich Gossweiler, Maryam Kamvar и Shumeet Baluja) в который был произведён поиск наилучшей капчи, основанной на изображении. В данном проекте пользователей просили найти изображение, которые не было повёрнуто.

Эта новая идея довольно-таки оригинальна. Как показали исследования пользователи с лёгкостью за считаные доли секунды могли с ней справиться. Но тут опять же встаёт вопрос о слабовидящих (что делать им?).

Узнай друга

Одна из самых интересных капч была опубликована в Январе 2011 года и была запущена всем известным проектом Facebook.

Учитывая то, что данный ресурс обслуживает 600 миллионов активных пользователей, перед Facebook открывается огромные возможности для экспериментов — чем они и занялись.

Что тут можно ещё придумать. Ты узнаёшь друга на фотографии? На самом деле, я считаю это самой оригинальной идеей среди когда-либо озвученных. Мы не всегда помним имена наших друзей, но узнать-то мы их сможем всегда.

Взаимодействие с пользователем

Но и это ещё не предел. Появляются всё новые и новые задачи. They Make Apps создала специальный слайдер, который нужно немного покрутить, чтобы заполнить форму. Задача звучит примерно так “Докажите что вы человек; Расположите курсор на последнем слайде чтобы зарегистрироваться на нашем сайте”

Эта задача так же недоступна людям, у которых есть какие-то физические отклонения.

«Более инженерное решение»?

Ни один из вышеперечисленных вариантов не может претендовать на звание идеальной капчи. Все эти варианты используют лишь отдельный кусок своей потенциальной аудитории. И какой же тут вывод? Эти варианты являются просто альтернативами друг друга. Если время заполнения новой капчи увеличивается, то эта капча непригодна.

Вследствие всего этого, такие сервисы как reCAPTCHA продолжают удерживать лидирующие позиции. Но вопрос остаётся висеть в воздухе: почему мы должны заставлять пользователей все это делать? Конечно же мы можем бить по спаммерам их же оружием и устанавливать специальный софт для их выявления. Но должно же найтись какое-то другое решение?

Несмотря на то, что информационный мир в каком-то смысле обладают интеллектом, большинство механизмов, которые используются спаммерами, просто напросто тупы. Если отправка формы не удалась (из-за капчи или чего-то другого), то бот просто продолжит свои попытки на другом веб сайте. Несмотря на то, что капча подвержена взлому, спамеры предпочитают искать другие варианты на других сайтах, чем разбор полётов – почему отправка формы не удалась.

Альтернативы капчи

Как вы уже могли понять, капча - это не идеальное решение по защите целостности вашего сайта. Дело в том, что и спаммеры не сидят на месте, а придумывают всё новые и новые способы распространения своего мусора.

Автоматизированное выявление спама

В этой статье мы затронули несколько сервисов, которые предоставляют защиту вашему сайту от спама. Akismet, Mollom и SBlam! Все они обладают автоматизированным механизмом отлавливания спам сообщений. Иногда Mollom предлагает ввести капчу, но только тогда, когда это необходимо. А почему бы вам не написать собственную систему, которая будет защищать ваш ресурс?

Метод Honeypot

В 2007, Phil Haack предложил довольно-таки оригинальный способ выявления ботов: использование ловушки. Идея этого метода очень проста: пользовательские формы будут содержать какие-то специальные скрытые поля. Боты реже работают с чистым HTML и благодя этому не определят, что эти поля скрыты. Если бот вставил данные в это поле, тут есть два варианта. Либо это пользователь гений – либо бот.

JavaScript может использоваться для того, чтобы динамически скрывать поля. Сервис Scratchmedia предоставляет подобную функциональность. Если JavaScript отключён, то пользователю показывается обычная капча.

Централизация базы пользователей

С повышением социального уровня Web-а, многие сайты позволяют пользователям взаимодействовать друг с другом. В 2008, Facebook объявила о создании Facebook Connect, которая была предназначена для интеграции сайтов с этой социальной сетью. Twitter последовала их примеру в 2009 и создала подобный сервис (“Sign in with Twitter”). Любой из них может быть с лёгкостью интегрирован у вас на сайте, и всё, что вашим пользователям придёт сделать, так это зайти на сайт при помощи логина и пароля от социальных сетей.

Наверняка вы видели подобное предложение: авторизацию на сайте, через какой-то другой сервис.

Однако и у таких решений есть масса своих проблем, которые просто так не решить. Допустим, если пароль был украден и аккаунт использовался для распространения спама, то его тут же исключают из Facebook и Facebook Connect.

Такие услуги постоянно вызывают споры о конфиденциальности, защите персональных данных и тому подобное… но это совсем другая тема, которая не относится к данной статье. Однако данные системы - это отличная альтернатива всем уже приевшимся капчам.

Запись затрат времени пользователя

Ещё одним способом отличия человека от бота, является вычисление времени, которое обычно уходит на заполнение формы регистрации, добавления комментария и тому подобного. Вычислив среднее время написания комментария, можно определить несколько правил. К примеру, если ввод комментария занял менее пяти секунд, что практически невозможно для нормального человека, то значит перед нами бот и мы попросим его ввести данные ещё раз. Это можно организовать средствами того же jQuery, потому как у большинства пользователей в сети JavaScript всё-таки включён. У нас с вами есть ещё одно преимущество: спаммеры – это люди ленивые, которые пытаются найти самое простое решение, а при неудаче просто будут искать счастье в каком-то другом месте (конечно же это не 100% гарантированно).

Идеальная Капча

С каждым годом появляется всё больше и больше исследований, касающихся эффективности капчи. Необходимо признать, что на сегодняшний день это одна из самых лучших форм защиты наших ресурсов. Однако, прочитав всё выше перечисленное можно прийти к одному простому выводу: лучшая капча эта та, которой вовсе нет.

Дешёвая рабочая сила

Капчи, по своей природе больше предназначены для блокирования спама, чем для распознавания людей (что по сути и требуется). Однако их полезность теряется в том случае, если в роли спаммера выступает не компьютер. Лучшим вариантом является то, что поможет защитить веб ресурсы от всего – от компьютеров и людей сразу.

Одним из аспектов, который считается тёмным искусством в поисковой оптимизации (SEO) является генерация списка ссылок на те ресурсы, которые являются “оптимизированными”. Поисковые системы считают входящие ссылки лучшим гарантом качества информации. Однако всем этим можно и злоупотребить, распространяя бесполезные ссылки на многие сайты (различного рода форумы это как раз то, о чём я говорю). Преимущества SEO открывают множество проблем. Простой дешёвый труд капчи просто невозможны остановить.

Все мы должны понимать важность развития капчи и предпринимать всевозможное участие. Это во всяком случае лучше, чем стоять в стороне и пользоваться тем, что для тебя придумали другие.

Мы ещё поборемся

Если всем веб разработчикам собраться вместе и начать крупномасштабную войну направленную против спаммеров, то я думаю, что всё может получиться несмотря на то, что у них там вертятся огромные деньги. Может, я слишком идеализирую? Ну если у них получается развиваться, то почему не получится у нас, тех кто предоставляет пользователям различного рода сервисы и удовлетворяет их потребности?

Мы, разработчики и владельцы веб ресурсов можем и обязаны искать различного рода альтернативы, для того чтобы обеспечивать нашим пользователям более удобное времяпровождение на наших ресурсах.

Если вы всё поняли правильно, то наверняка попробуете воспользоваться альтернативами, которые приведены в этой статье. Это будет хороший старт для того, чтобы начать развиваться в этой сфере. Отказом от капчи, или нахождением альтернативы, вы можете повысить свой рейтинг! Пользователям всегда нравится там, где всё проще. Всего этого можно добиться следуя следующим правилам:

• Модерируйте всё и всегда
  Всегда следует проверять то, что пишут вам пользователи, сколько бы времени это не занимало. Для того чтобы облегчить себе жизнь, вы можете воспользоваться такими сервисами как Facebook Connect или Disqus; Будет приятно и вам и вашим пользователям.
• Альтернативы капчи
  Попробуйте другие методы, которые мы рассмотрели в этой статье. Возможно они вам так понравятся, что вы и вовсе откажитесь от капчи и предоставите вашим пользователям приятное времяпрепровождение на ваших ресурсах.
• Выявление спама на стороне клиента
  Это может сработать. Вспомните тот случай, который мы рассмотрели в статье с определением времени заполнения формы. На данный момент спамеры ничего не смогут сделать с подобной проверкой. Специальные скрытые поля могут помочь определить кто пытается заполнить форму – бот или человек? Почему бы это всё не использовать?
• Определение спама на стороне сервера
  Все разработчики должны сконцентрироваться на всевозможных способах выявления спам сообщений. Любая подобная деятельность может быть отловлена. Никогда не поздно воспользоваться такими вспомогательными сервисами как Akismet для того, чтобы защитить свой сайт.
• Социальная модерация
  Переход к более комплексным решениям, которые будут позволять решать данную задачу. Спам можно выявлять разными способами, например при голосовании или прочих действиях.

Ну что же, я надеюсь теперь вам стало ещё более понятны причины, по которым капча должна использовать или нет. После того, как мы взвесили все за и против, вы можете выбирать для себя наилучшее решение.

• Комментарии