rails - Choisir plugin captcha [fermé]
https://stackoverflow.com/questions/5315513
-
24-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Il y a beaucoup de plugins captchas dans Rails et aussi de nombreux types de solutions pour prévenir le spamming et les inondations. Donc, il est non seulement question Rails.
Soit s voir quels types de plugins faire, nous avons:
1. image classique captcha ( Captcha Zendesk, Simple_captcha, Validates_captcha, Captcha Winton, Raptcha).
positif:
- peut-il être efficace pour empêcher Décrypter automatique (pas sûr Simple_captcha, mais il semble que les captchas de est à la fois Zendesk et Winton ne parviennent pas, car ils utilisent des images pré-générées (au lieu de la demande), de sorte que notre courrier indésirable possible bots peuvent être appris sur que les images).
négatif:
- Exiger la table DB (au moins simple Captcha. Pas si mal, mais ils nettoient après usage?).
- Exiger RMagick ou similaire (pas réel pour moi, comme je l'ai déjà sur mon site).
- Fail Décrypter manuelle (2 / $ 1000 images que je sais).
- Annoying aux utilisateurs et peuvent taux de conversion fait mal.
2. ReCaptcha (Recaptcha, Rack-recaptcha).
positif:
- peut-il être efficace pour prévenir Décrypter automatique.
- Ne pas exiger la table rmagick et DB.
négatif:
- api-appels vers le site 3ème partie.
- Fail Décrypter manuel.
- Encore plus ennuyeux que le précédent.
3. pots de miel (négatif captcha, Trap_door, Reverse_captcha, Honeypot-captcha, Bouncy_bots, invisible_captcha ).
positif:
- L'utilisateur ne sait pas captcha presense.
- Ne pas exiger la table rmagick et DB.
négatif:
- Peut échouer Décrypter automatique (ce qu'il ya des bots qui peuvent reconnaître ce plug-ins?).
- Fail Décrypter manuel.
4. Texte base (Humanizer, Brain_buster, Gotcha).
positif:
- Ne pas exiger la table rmagick et DB (sauf Brain_buster).
négatif:
- Peut avoir Décrypter automatique.
- Fail Décrypter manuel.
- Un peu ennuyeux (peut être localisé).
5. Autre (Acts_as_snook)
positif:
- L'utilisateur ne sait pas captcha presense.
- Ne pas exiger la table rmagick et DB.
négatif:
Je ne sais pas s'il y a tout parce qu'il est très inhabituel. Mais je pense que cela peut causer des problèmes en cas d'inondation, car il peut exiger la modération de poste dans quelques temps.
6. Akismet comme solutions (ne savent pas leur efficacité).
positif:
- L'utilisateur ne sait pas captcha presense.
- Ne pas exiger la table rmagick et DB.
négatif:
- api-appels vers le site 3ème partie.
- Fournir les informations de l'utilisateur sur le site 3ème partie (très, très mauvais).
Je dois dire aussi quelques mots sur mon site. Les utilisateurs peuvent voir sous forme protégée seulement après une demande ajax (après avoir mis quelque chose au panier par exemple). Bots sont modernes ont des capacités à faire des demandes et le stockage ajax cookies?
La solution
L'inondation est un problème différent de spam. Vous devez certainement construire la logique autour de la limitation du débit dans votre application, vous pouvez le faire en utilisant la validation pour vérifier que l'utilisateur n'a pas, par exemple, placé plus de 2 commandes au cours des 15 dernières minutes.
En ce qui concerne l'un des captchas les plugins sélectionnés sont le plus susceptible d'être grand. Je ne penserais pas avoir à installer RMagick comme un signe positif ou négatif, il est vraiment pas difficile à faire fonctionner. Si elle me choisissait, mon premier instinct serait d'aller avec recaptcha, il est le moins ennuyeux de tous.
Le spam est un autre problème, il est souvent entré par des utilisateurs qui peuvent contourner votre captcha. Akismet est idéal pour attraper le spam, certainement prendre un coup d'oeil, vous pouvez l'utiliser en conjonction avec quelque chose comme recaptcha.
Enfin, les robots modernes sont très sophistiqués. Beaucoup plus sophistiqué que chacun d'entre nous attendent probablement. Ils peuvent navigateurs automatiser complètement, utilisez OCR pour lire le texte captcha et générer du contenu qui contournent spammy volonté même les plus sophistiqués filtres. Cela dit, il est pas « arrêter tous les spams / bots » c'est de faire la barrière à l'entrée juste assez haut qu'il ne vaut pas pour l'utilisateur occasionnel.
Autres conseils
Une bonne analyse des plugins existants.
bots modernes sont assez sophistiqués, et leurs développeurs sont payés beaucoup, ils sont toujours en train de se déplacer dans la dernière défense. Pour cette raison, je pense que son bon de bâton avec une option qui est activement maintenu et a travaillé sur, comme ReCaptcha. Je pense aussi que les utilisateurs comprennent l'interface et se sentent en sécurité en sachant que vous prenez des mesures pour protéger leurs données.
Je devais passer en revue tous les rails captcha options pour un projet, et écrit une application échantillon pour mon client pour tester et essayer. simple-captcha-demo.heroku.com
Ils étaient tous assez facile à utiliser et à mettre en place, et je comme l'utilisation heroku comme banc d'essai pour obtenir quelque chose de mettre en place rapidement, et de laisser un client de test it out. J'ai aussi écrit une partie de mon expérience et gotchas sur mon blog RailsPerformance.com
Il peut y avoir de nouveaux plugins, toujours bon de voir ce que la tendance est www.ruby-toolbox.com
