google example ruby-on-rails plugins captcha spam flooding

ruby on rails - example - rails-Elegir el plugin de captcha



recaptcha invisible required (2)

Buen análisis de los complementos existentes.

Los bots modernos son bastante sofisticados, y a sus desarrolladores se les paga mucho, por lo que siempre intentan sortear la última defensa. Por esa razón, creo que es bueno seguir con una opción que se mantiene y se trabaja activamente, como ReCaptcha. También creo que los usuarios entienden la interfaz y se sienten seguros sabiendo que están tomando medidas para proteger sus datos.

Tuve que examinar todas las opciones de captcha de rieles para un proyecto, y escribí una aplicación de muestra para que mi cliente la probara y probara. simple-captcha-demo.heroku.com

Todos fueron muy fáciles de usar y configurar, y me gusta utilizar heroku como banco de pruebas para configurar algo rápidamente, y dejar que un cliente lo pruebe. También escribí algunas de mis experiencias y errores en mi blog RailsPerformance.com

Puede haber nuevos complementos, siempre es bueno ver cuál es la tendencia en www.ruby-toolbox.com

Hay muchos complementos de captchas en Rails y también muchos tipos de soluciones para prevenir el spam y las inundaciones. Entonces, no es solo la pregunta de Rails.

Veamos qué tipos de complementos tenemos:

1. Captcha clásico de la imagen ( Captcha de zendesk, Simple_captcha, Validates_captcha, Captcha de winton, Raptcha).

positivo:

  • Puede ser efectivo para evitar el descifrado automático (no estoy seguro acerca de Simple_captcha, pero parece que tanto los captchas de zendesk como de winton no lo logran, ya que usan imágenes pregeneradas (en lugar de bajo demanda), por lo que nuestros posibles bots de spam pueden ser aprendido en esas imágenes).

negativo:

  • Requerir tabla DB (al menos Simple Captcha. No es tan malo, pero ¿lo limpian después de su uso?).
  • Requerir RMagick o similar (no tan real para mí, ya que lo tengo en mi sitio).
  • Falló el descifrado manual ($ 2/1000 imágenes, como sé).
  • Es molesto para los usuarios y puede perjudicar las tasas de conversión.

2. ReCaptcha (Recaptcha, Rack-recaptcha).

positivo:

  • Puede ser efectivo para evitar el descifrado automático.
  • No requiere Rmagick y mesa DB.

negativo:

  • Realiza llamadas a sitios de terceros.
  • Falló el descifrado manual.
  • Aún más molesto que el anterior.

3. Honey pots (Negativo-captcha, Trap_door, Reverse_captcha, Honeypot-captcha, Bouncy_bots, invisible_captcha ).

positivo:

  • El usuario no sabe acerca de captcha presense.
  • No requiere Rmagick y mesa DB.

negativo:

  • Puede fallar el descifrado automático (¿hay algún bot que pueda reconocer estos complementos?).
  • Falló el descifrado manual.

4. Base de texto (Humanizer, Brain_buster, Gotcha).

positivo:

  • No requiere Rmagick y la tabla DB (excepto Brain_buster).

negativo:

  • Puede fallar el descifrado automático.
  • Falló el descifrado manual.
  • Un poco molesto (puede ser localizado).

5. Otro (Acts_as_snook)

positivo:

  • El usuario no sabe acerca de captcha presense.
  • No requiere Rmagick y mesa DB.

negativo:

No sé si hay alguno porque es muy inusual. Pero creo que puede causar problemas en caso de inundación, ya que puede requerir la moderación de la publicación en algunas ocasiones.

6. Soluciones tipo Akismet (no se conoce su eficacia).

positivo:

  • El usuario no sabe acerca de captcha presense.
  • No requiere Rmagick y mesa DB.

negativo:

  • Realiza llamadas a sitios de terceros.
  • Entregar los detalles del usuario al sitio de terceros (muy, muy mal).

También debería decir algunas palabras sobre mi sitio. Los usuarios pueden ver el formulario protegido solo después de una solicitud ajax (después de poner algo en el carro, por ejemplo). ¿Los robots modernos tienen la capacidad de hacer solicitudes ajax y almacenar cookies?


Las inundaciones son un problema diferente al spam. Definitivamente debe construir la lógica en torno a la limitación de velocidad en su aplicación, puede hacerlo mediante validación para verificar que el usuario no haya realizado, por ejemplo, más de 2 pedidos en los últimos 15 minutos.

En lo que respecta a los captchas, cualquiera de los complementos que selecciones serán muy buenos. No pensaría en tener que instalar RMagick como positivo o negativo, realmente no es tan difícil trabajar. Si fuera yo quien elige, mi primer instinto sería ir con recaptcha, es lo menos molesto de todos.

El spam es otro problema, a menudo lo ingresan usuarios humanos que pueden eludir tu captcha. Akismet es ideal para atrapar spam, definitivamente échale un vistazo, puedes usarlo junto con algo como recaptcha.

Finalmente, los robots modernos son muy sofisticados. Mucho más sofisticado que cualquiera de nosotros probablemente espere. Pueden automatizar completamente los navegadores, usar OCR para leer el texto de captcha y generar contenido fraudulento que evitará incluso los filtros más sofisticados. Dicho esto, no se trata de "detener todos los spam / bots", se trata de hacer que la barrera de entrada sea lo suficientemente alta como para que no valga la pena para el usuario ocasional.