C, PHP, VB, .NET

Напоследък в блоговете се наблюдава сериозна битка за територия между две технологии – askimet и captcha. Askimet не е нова и кой знае колко иновативна технически технология – събира статистики от стотици хиляди сайтове и на базата на тях преценява кой коментар в блог е спам и кой не. Така например действа и филтърът за Outlook – SpamBayes. На другия фронт стои captcha – технология, за която вече писах в предишна статия. Тя не се позовава на никакви статистики – тя разчита на чисто технологично решение на проблема.

Наскоро прочетох малко статистики за captcha и нейния ефект върху бизнеса. Според това скромно социологическо проучване има вероятност да изгубите около 3.2% от реалните коментари при използването на Captcha срещу алтернативният метод. Тук веднага бих дал и формулата според която да изчислим „дали да използваме Captcha или пък друга услуга като Askimet“. Когато стартирате подобен бизнес трябва да прецените кое от двете е с по-голяма икономическа тежест за вас:

• Загубата на 3.2% потенциални клиенти – captcha;
• Загубата на пари при даване на заплата (или закупуване на платена услуга) за модериране на изпуснат spam и „false positive“ коментари.

Моето скромно мнение казва, че всичко зависи от големината на бизнеса. Колкото по-големи са печалбите и се увеличава трафика – толкова повече captcha губи смисъл. С други думи един естествен ход на един бизнес ориентиран блог би тръгнал от ръчно модериране от собственика и използване на филтри (това е моментът, в който блогът не е много популярен и все още не се радва на сериозен интерес – като моя например), през слагане на captcha (когато собственика на блога започне да изпитва затруднение в модерирането на коментарите), до премахване на captcha и връщане към филтри с платен персонал за контрол (когато приходите са достатъчни, за да бъде оправдана такава заплата).

Междувременно през страницата със статистиките попаднах на много интересна идея, която впрочем не е кой знае колко нова – honeypot captcha. Накратко идеята е да вкарате допълнително поле във вашите HTML форми, което обаче е скрито чрез използване на CSS. По този начин ботовете биха попълнили това поле с някаква информация, докато потребителите – не (понеже не го виждат).

Смятам тази стратегия за изключително добра при използването на популярен софтуер. Ако например използвате WordPress, то спокойно можете да го приложите към коментарите на блога си, като например направите някое от стандартните полета (например „website“) скрито с honeypot captcha. Естествено е нужно да бъдете уникални в конкретната реализация.

Когато става дума за частен продукт обаче тази техника не е приложима. Простата причина е, че ботовете тъй или иначе не знаят структурата на системата ви за коментари/заявки. При частните продукти винаги спам атаките са съставени ръчно, тоест атакуващия няма да се „хване в капана“.

Все пак „honeypot catpcha“ (което всъщност няма нищо общо с captcha) заслужава нашето внимание. Бих препоръчал тази техника на програмистите на средноголями и голями популярни сайтове използващи стандартни платформи.

П.П. В статията говорих главно за „блогове“ като най-засегнати от спам софтуерни продукти, но всичко казано тук е валидно за всички видове софтуер.

П.П.2. Приятел разшири темата като предложи дори „скрита captcha“. Това според мен е спорен елемент. Не съм съвсем сигурен, че ботовете са чак толкова напреднали, че да търсят уязвимости в нестандартни форми. По-склонен съм да мисля, че ботовете атакуват само стандартен софтуер. Да, на такъв бихте могли да скритете стандартната captcha :)

Задача: Реализирайте HTML форма с HoneyPot captcha чрез използване на CSS, JavaScript или друга функционалност.