Огни большого города Личный блог Александра Каратаева 
Наступает время и на сайте появляются непонятные абсурдные комментарии, зачастую даже не на языке сайта, регистрируются какие-то пользователи со странными адресами электронной почты и бессмысленными логинами – все это спам. От него надо избавляться, а правильнее – ставить защиту.
В роли наиболее распространённой защиты и выступает CAPTCHA.
Для тех, кто ещё не столкнулся с этим поясню:
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей) — компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером.
Говоря простым языком, разных вариантов капчи есть множество - простых и сложных. Не буду вдаваться в их подробное описание, желающие могут сами посмотреть в википедии. Я же хочу поговорить о том, как они на самом деле справляются с возложенными на них функциями.
Существует немало систем и программ автоматического распознавания captcha, чем, собственно говоря и пользуются спамеры и прочие злоумышленники. Причём для распознавания некоторых видов CAPTСHA даже нет необходимости использовать OCR - они и так очень уязвимы. Например, капча встроенная в форум phpBB, имею личный опыт её абсолютной неэффективности.
Методов распознавания и на самом деле очень много, начиная от отсечки по яркости, когда все, что темнее некоего цветового порога становится чёрным, а остальное белым, и заканчивая принуждением интернет-пользователя к тому, чтобы он сам ввёл капчу. Да, да... Есть и такое. При посещении некоторых сайтов Вам предлагается ввести CAPTCHA, и Вы даже не подозреваете, что по сути Вам подсовывают капчу с другого ресурса. Разгадывая её, Вы просто даёте код злоумышленнику, который использует его для регистрации на нужном ему сайте...
В последнее время приходится слышать много дифирамбов сервису Google - reCaptcha. Мол, это надёжно ограждает от спама и т.д... Так и хочется воскликнуть фразой из сериала "Сваты" - "Да ты шо!".
Нет, конечно-же reCaptcha - это один из наиболее сложных видов CAPTCHA. Из двух слов одно не распознано самой системой, мало кто знает, что его даже вводить не обязательно... Если интересно - можно почитать здесь, я-же не буду заниматься дубляжом текста, просто скажу - не спасает. Хотя на многих блогах читаешь, что мол, вот поставил её и проблема спама решилась. Ну что сказать? Да просто не спамят эти блоги всерьёз.
Есть и другие виды CAPTCHA, где текст так закамуфлирован, что и живому человеку не разобрать. А вам никогда не приходилось сталкиваться с такой ситуацией: вы кое-как разбираете текст капча, вводите его правильно, а система сообщает, что код введён неверно? И так раз пять подряд... Как Вы думаете - посетители такого ресурса будут и дальше пытаться зарегистрироваться или попросту уйдут?
А еще хочу Вам рассказать о такой замечательной спамовой программе XRumer. Как-то испытывал её, надо-же врага знать в лицо... Так вот, она прекрасно умеет разбирать разного рода капчи, но если вдруг не смогла, то она выводит окошечко с этой CAPTCHA на экран и владелец программы ручками вбивает нужный текст. Вот и вся недолга.
И после этого Вы ещё верите, что капча Вас спасёт?
Итак, минусы CAPTCHA:
- легко распознаётся программными средствами;
- трудно-читаема людьми;
- отпугивает реальных посетителей;
- не спасает от спама.
Какой-же выход и есть ли он вообще?
Поделюсь тем, к чему пришёл сам. У меня была такая ситуация: портал на Joomla и форум на phpBB, при помощи мостика там организована общая база пользователей. Никак не получалось избавиться от левых регистраций и спама в темах и комментах. Особенно доставали левые пользователи с бессмысленными никами - каждый день по 4-5 штук. Перепробовал все виды CAPTCHA, какие только мог. На пару дней поток спама прекращался, но потом всё возвращалось на круги своя.
И так было до тех пор, пока вместо CAPTCHA я не стал использовать систему вопрос-ответ.
Система вопрос-ответ вот уже долгое время отлично защищает ресурсы и от спама, и от спам-регистраций!
Почему? Да это-же очевидно. Картинку CAPTCHA, как выяснилось, можно распознать программно, а вот правильно ответить на вопрос - нет.
Особенно, если вопрос не из области "Как называется наша планета?" или "Сколько ног у слона?".
Более того, можно подобрать вопрос таким образом, что ответить на него смогут только люди обладающие определенным уровнем интеллекта - другими словами Вы можете регулировать какой контингент пользователей сможет пройти, скажем, регистрацию, а какой нет. И избавите свой серьёзный ресурс от всякого рода "Превед Медвед", "пацталом" и т.д.
Например, на одном портале я поставил что-то вроде такого: "Кто друг парадоксов?". Т.е. человек, отвечающий на вопрос должен, как минимум знать этот отрывок из стихотворения Пушкина:
И опыт - сын ошибок трудных...
И гений - парадоксов друг...
Плюсы системы вопрос-ответ:
- не распознаётся автоматическими системами взлома CAPTCHA;
- легко читается и понимается людьми;
- ограждает от спама и левых регистраций;
- позволяет отбирать пользователей по определённым критериям.
Всё, что я тут написал - это только моё личное мнение, основанное на моём личном опыте. Ни с кем спорить не буду - у каждого может быть своё мнение и опыт.
Но если мой опыт кому-то пригодится - Welcome!
И до встречи на моём блоге.
P.S. Что-то никак не получается оторваться от тематики сайтостроя... 😎
Я на своём блоге не пользуюсь капчей. Всё собираюсь поставить, но,вроде, Акисмет неплохо работает. Так что пока обхожусь. Вы, смотрю, тоже не пользуетесь.
P.S. Хороший пост. 🙂
Да, на блоге капчей не пользуюсь. Во-первых у меня тут нет регистрации пользователей, вообще не понимаю для чего она на блогах.
А во-вторых, действительно, с комментариями Акисмет справляется.
Спасибо за комплимент по поводу поста… 🙂
Таже проблемма – bazila.net
У Вас там вообще ничего не увидел – ни капчи, ни чего другого…
На своем блоге использую плагин WP-SpamFree, некоторое время он хорошо справлялся со спамом, но затем стал пропускать. Я стала задумываться о капче , но оказывается что капча тоже не идеальный вариант. Какой плагин можно использовать для создания системы вопрос ответ?
Здравствуйте, Алла! У меня со спамом успешно борется всего один плагин – Akismet. Не вижу смысла ставить что-то ещё.
Систему вопрос-ответ я применял на портале Joomla, но там могли регистрироваться пользователи, их там реально было… На блоге WordPress мне, например, сложно представить необходимость регистрации пользователей – для чего? Но мы, по-моему, уже об этом с Вами как-то говорили.
Тем не менее, есть подобные плагины и для WordPress, вот несколько ссылок (убрал из них http://): sozdaiblog.ru/lutchshie-plagin-dlya-wordpress/deny-50-samaya-lutchshaya-zashtita-ot-spama-dlya-wordpress.html
seo-armory.ru/zashhita-ot-spama-bloga-na-wordpress-obzor-12-plaginov
Как и Вы, любезный автор, не вижу смысла ставить что-либо кроме Akismet на своем блоге. Возможность регистрации тоже отключил. Капчу никогда не использовал и не собираюсь – отношения с читателями для меня дороже призрачной возможности защиты от спама.
Спасибо. У меня точно такой-же подход – отношения с читателями дороже…
Совершенно с Вами согласен! Мы ведь пишем для читателей, а своими же руками отваживать их от своего блога… не совсем разумно, наверное
У меня стояла Captcha. Письма от роботов-спамеров не проходили. Решение простенького примера не мешало комментаторам оставлять отзывы, кроме тех, кто пытался это сделать с мобильных устройств. Поэтому удалила капчу.
Akismet действительно хорошо справляется со своей задачей. Считаю его одним из обязательных плагинов для блога (хотя встречала и негативные отзывы). Но вот беда, спам нужно удалять вручную. И вроде несложно, можно отметить одной галочкой все письма сразу, но раздражает. Вот если бы он еще и удалял сам этот спам, было бы замечательно. Но такого же нет в настройках? Или я чего-то не знаю?
В настройках Акисмет есть такое… Правда изменить значение нельзя, но в принципе устраивает.
Так, что в принципе можно руками и не удалять. Но я тоже проверяю, а вдруг туда попало нормальное сообщение и потом удаляю иногда ручками…
Но еще у меня установлен плагин WP-Cleanup – очень полезный, кстати, так вот он при чистке блога удаляет весь спам…
День добрый!На своем блоге никогда капчу не ставил и ставить не собираюсь. Во-первых, как Вы справедливо говорите, далеко не панацея, во-вторых, немало раздражает многих пользователей, а в-третьих, еще больше раздражает зачастую неправильная работа скрипта капчи или плагина. Вот вроде знаешь, сколько будет 3+5, но система упорно отвергает ответ “восемь” или “8” как неправильный. Или пытается тебе доказать, что ты не знаешь, как выглядит черепаха :). лично у меня такая забота о комментаторах начисто отбивает желание комментарий оставить, а в худшем случае – посещать такой сайт в будущем.
Akismet работает; раз в 2-3 дня проверить, не попал ли нормальный комментарий в спам, особого труда не составляет. Да и случается такой казус очень и очень редко, может, раз на несколько тысяч действительно спамных комментариев.
Меня тоже Акисмет вполне устраивает. Ну да, бывает, что нормальный комментарий загонит в спам, но ведь это крайне редко. Зато ни одного спам-комментария на блог не пропустит.
А всякие капчи, да пароли… Недавно на одном блоге видел сразу две капчи – одна от гугла, а вторая на складывание чисел…
Ну вот зачем такой изврат?
У меня на сайте капча именно по типу "вопрос-ответ" (решение случайного простого примера), спама в разы меньше, чем без капчи вообще, но пробивают и ее, видимо – подключают сервис антигейт. Где-то попадалась ссылка на код, подсовывающий ботам другую форму комментариев, но так и не удосужился проверить его действенность, отзывов положительных много было.
Я капчу вообще не использую, а про спам на блоге забыл уже давно. Есть специальные плагины, причём, Акисмет далеко не лучший из них…
Все-таки reCaptcha, "временно" установленная мной после участившихся пробивов "математической" капчи, ни одного автоматического спам-коммента за пару (или даже больше) месяцев не пропустила. Так что, в плане защиты от программ, считаю, она одна из лучших. Да и сама reCaptcha к тому времени, когда я ее устанавливал, уже не требовала ввода слов… А тот вариант, который ровно 7 месяцев назад собирался проверить, сейчас и тестирую. Т.к., абсолютно согласен, что не нужно создавать лишних препятствий живым людям, борясь со спамерами-ботами.
Я капчу последний раз использовал когда вёл портал на Joomla… Да и то потом убрал. Здесь у меня её никогда не было и спама нет. Акисметом тоже давно не пользуюсь, есть плагины намного лучше.