Комментарии 31
> формы, меньше которого может заполнить только бот
Так это из-за вас у меня автоподстановка данных в форму на некоторых сайтах ломается?
Ну, в общем-то, капча и сейчас выполняет свою основную задачу — отличить робота от человека. Только раньше роботом был тот, кто не смог решить капчу, а теперь — тот, кто смог.
Вы можете придти к чему угодна, но факт, на моих сайтах капча существенно снижает спам, и пока лучшего решения я не видел.
Капча не выполняет свою основную функцию — не избавляет владельцев ресурсов от ботов. Вариантов “борьбы” спамеров с капчей даже больше, чем один.
«Авто-сигнализации не выполняют свою основную функцию — не избавляют владельцев авто от угонщиков...»
Ну так потому что «избавить» никогда не было «основной функцией» :) Функция — сделать сайт\авто чуть менее привлекательным для ботов\угонщиков, чем соседний экземпляр. Если рядом стоит две машины и в одной двери открыты, а в другой стоит сигналка, угадайте, какую выберет угонщик.
Если решаем проблему массовых фейк-регистраций (хотя казалось бы, какой в принципе от этого профит ботоводам?), то, кажется, капча при регистрации + емейл-подтверждение + может даже самый наколеночный фильтр по айпи (ну там больше N попыток регистрации с этого айпи за последние несколько минут — сходите попить кофе) отсекают подавляющее большинство ботоводов. А кому именно ваш сайт нужен, от того не спасет.
Решаем проблему спам-комментов — так в совокупности с хоть какой-то защитой от фейковых регистраций это должно перестать быть проблемой.
Вот только капча бесплатна, или максимум стоит разовой суммы разработчику. А ваш сервис — это ежемесячная оплата. Т.е. перекладываем расходы с атакующего на атакуемого. Ну т.е. сервис должен реально понимать сумму, что он теряет на снижении конверсии, что бы отдать ее вам.
Проблемы капчи — это false negative, с которым можно как-то бороться дальше. А фильтрация трафика даст еще и false positive, который — прямые потери, которые уже не вернешь.
А в целом все так, анализ поведения — хороший способ отстрела ботов, тут кпача не поможет… или, ох, стоп, reCAPTCHA v3. Было бы интересно сравнить.
Лично я так делаю в большинстве случаев.
Формально это не false positive, и самое главное — хорошо поддается аналитике. В том числе — является ли то, что вы закрыли сайт — потерей конверсии, или все все-равно просто мимо пробегали.
False positive в капче — это скорее неверно введеный текст из-за сложной картинки, но плюс капчи в том — что она при этом дает дальнейшие попытки, т.е. возможность исправить эту ошибку.
Свои решения капчи сейчас использовать нецелесообразно, конечно. Будет убого, не читабельно для пользователя и легко взломается, плюс куча времени уйдёт на поддержку.
Вот рекапчу взломать достаточно сложно и не нужно её поддерживать.
По поводу фильтрации трафика. Вы считаете, что бот не способен повторить все те же самые действия, что и человек, послать правильные заголовки, выполнить какой-то js и прочее? Всё это просто вопрос цены и целесообразности этим всем заморачиваться.
Про минимальное время заполнения формы, display: none, блокировка user-agent и пр. — это просто смешно.Напрасно смеётесь. От решающих гуглокапчу спам-ботов мне удалось отбиться именно таким детским способом — сделать дополнительное скрытое поле, которое они видят и заполняют. Главное в этом случае не писать 'display:none' прямо в форму, а использовать отдельный файл css: роботы как правило не грузят с сайта ничего лишнего. А ещё не нужно сообщать боту об ошибке — наоборот, нужно уверить его, что у него всё получилось.
Таким способом от спама вылечилось порядка 15 сайтов — так что я хорошо себе представляю, о чём говорю. В моей практике попался только один спам-бот, который оказался «умным» и не заполнял это поле. Проблема в этом случае решилась заменой гуглокапчи на простенькую и оценкой скорости — этот робот погорел на слишком быстром заполнении формы.
Так что «минимальное время заполнения формы, display: none» — исключительно эффективные методы, кто бы что ни говорил. Проверено практикой.
Но счас горящий лис сам как то всё это пропускает мимо, стало гораздо лучше. Или это гугл подобрел?
Подозреваю, на репапчу ослабили/зарезали resistFingerprinting. По крайней мере баг что рекапчу с защитой от трекеров пройти нельзя, а на багзилле видел. А может действительно им кто-то антимонопольщиками пригрозил.
А так вы просто неправильно интернетом пользуетесь. Браузер у вас неправильный, кук гугловых маловато, в гугл аккаунт еще наверное не вошли.
Капчу можно и нужно показывать, когда есть 99.9% уверенность, в том, что агент пользователя — нежелательный для конкретного сервиса. В этом случае вы повысите конверсию для неизбежных false-positive.
Статья пробивает дно безапелляционными заявлениями и непониманием комплексности задачи защиты от атак, учитесь защищать у ddos-guard.
CAPTCHA: убивая конверсию