Rails - Elección del complemento Captcha [cerrado
https://stackoverflow.com/questions/5315513
-
24-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Hay muchos complementos de Captchas en rieles y también muchos tipos de soluciones para prevenir el spam e inundaciones. Entonces no es solo la pregunta de los rieles.
Veamos qué tipos de complementos tenemos:
1. Captcha de imagen clásica (Captcha de Zendesk, Simple_Captcha, valida_captcha, Captcha de Winton, Raptcha).
positivo:
- Puede ser efectivo para evitar el descifrado automático (no estoy seguro sobre Simple_Captcha, pero parece que tanto los captchas de Zendesk como Winton no logran eso, ya que usan imágenes pregeneradas (en lugar de a pedido), por lo que nuestros posibles bots spam pueden ser aprendí en esas imágenes).
negativo:
- Requiere una mesa de DB (al menos captcha simple. No es tan malo, pero ¿la limpian después de su uso?).
- Requiere rmagick o similar (no tan real para mí, ya que ya lo tengo en mi sitio).
- Manual de fallas Decrypt ($ 2/1000 imágenes como yo sé).
- Molesto para los usuarios y puede dañar las tasas de conversión.
2. Recaptcha (Recaptcha, rack-recaptcha).
positivo:
- Puede ser efectivo para evitar el descifrado automático.
- No requiera una mesa RMAGICK y DB.
negativo:
- Realice las llamadas API en el sitio de terceros.
- Manual de fallas Decrypt.
- Aún más molesto que anterior.
3. Pots de miel (Negation-Captcha, Trap_door, Reverse_Captcha, Honeypot-Captcha, Bouncy_Bots, invisible_captcha).
positivo:
- El usuario no sabe sobre Captcha Presense.
- No requiera una mesa RMAGICK y DB.
negativo:
- Puede fallar el descifrado automático (¿hay algún bots que pueda reconocer estos complementos?).
- Manual de fallas Decrypt.
4. Base de texto (Humanizer, Brain_Buster, Gotcha).
positivo:
- No requiera una tabla RMAGICK y DB (excepto Brain_Buster).
negativo:
- Puede fallar el descifrado automático.
- Manual de fallas Decrypt.
- Un poco molesto (se puede localizar).
5. Otro (ACTS_AS_SNOOK)
positivo:
- El usuario no sabe sobre Captcha Presense.
- No requiera una mesa RMAGICK y DB.
negativo:
No sé si hay alguno porque es muy inusual. Pero creo que puede causar problemas en caso de inundaciones, ya que puede requerir la moderación de Post en algunos momentos.
6. Soluciones similares a Akismet (No sé sobre su eficiencia).
positivo:
- El usuario no sabe sobre Captcha Presense.
- No requiera una mesa RMAGICK y DB.
negativo:
- Realice las llamadas API en el sitio de terceros.
- Entregue los detalles del usuario al sitio de terceros (muy, muy mal).
También debería decir algunas palabras sobre mi sitio. Los usuarios pueden ver el formulario protegido solo después de una solicitud AJAX (después de poner algo en el carrito, por ejemplo). ¿Los bots modernos tienen habilidades para hacer solicitudes AJAX y almacenar cookies?
Solución
Las inundaciones son un problema diferente de spam. Definitivamente debe construir la lógica en torno a la limitación de la tasa en su aplicación, puede hacerlo utilizando la validación para verificar que el usuario no ha realizado, por ejemplo, más de 2 pedidos en los últimos 15 minutos.
En lo que respecta a Captchas, cualquiera de los complementos que seleccione probablemente sea excelente. No pensaría en tener que instalar Rmagick como positivo o negativo, realmente no es tan difícil trabajar. Si fuera yo eligiendo, mi primer instinto sería ir con Recaptcha, es el menos molesto de todos.
El spam es otro problema, a menudo ingresan a los usuarios humanos que pueden evitar a su captcha. Akismet es ideal para atrapar spam, definitivamente échale un vistazo, puedes usarlo junto con algo como Recaptcha.
Finalmente, los bots modernos son muy sofisticados. Mucho más sofisticado de lo que cualquiera de nosotros probablemente espere. Pueden automatizar completamente los navegadores, usar OCR para leer el texto Captcha y generar contenido spam que omitirá incluso los filtros más sofisticados. Dicho esto, no se trata de "detener todos los spam/bots", se trata de hacer que la barrera de entrada sea lo suficientemente alta como para que no valga la pena para el usuario casual.
Otros consejos
Buen análisis de los complementos existentes.
Los bots modernos son bastante sofisticados, y a sus desarrolladores se les paga mucho, por lo que siempre están tratando de evitar la última defensa. Por esa razón, creo que es bueno seguir una opción que se mantiene y trabaja activamente, como Recaptcha. También creo que los usuarios entienden la interfaz y se sienten seguros sabiendo que está tomando medidas para proteger sus datos.
Tuve que examinar todas las opciones de Captcha de Rails para un proyecto, y escribí una aplicación de muestra para que mi cliente lo pruebe y pruebe.Simple-CAPTCHA-DEMO.Heroku.com
Todos eran bastante fáciles de usar y configurar, y me gusta usar Heroku como cama de prueba para configurar algo rápidamente, y dejar que un cliente lo pruebe. También escribí algo de mi experiencia y gotchas en mi blog. Railsperformance.com
Puede haber nuevos complementos, siempre es bueno ver cuáles son las tendenciaswww.ruby-toolbox.com
