Vai a: [ Contenuti ] [ Categorie ] [ Cerca ]

Rivisitazione della tecnica honeypot per moduli antispam senza captcha - UPDATE

Rivisitazione della tecnica “honeypot” per moduli antispam senza captcha – UPDATE


Questo tutorial propone un’alternativa all’utilizzo dei captcha per prevenire lo spam dei software automatici.
La tecnica “honeypot” (barattolo di miele), rivista e corretta in diversi aspetti, è conosciuta da tempo ma spesso viene poco considerata. Non si garantisce l’eliminazione totale dei messaggi indesiderati – traguardo impossibile vista l’esistenza degli spammer umani – ma in determinati contesti e situazioni si possono raggiungere ottimi risultati.

L’esperimento vuole essere un tentativo di andare incontro agli utenti senza obbligarli, come avviene oggi, a sforzi cognitivi superflui. Di contro, come è giusto che sia, si spostano sul fornitore del servizio tutti gli òneri relativi ai controlli.
Un punto deve essere chiaro: la soluzione definitiva contro lo spam ancora non esiste e, di certo, non si sta promettendo di riuscire a trasformare il piombo in oro.

Se non desideri leggere i vari capitoli del tutorial puoi passare direttamente all’esempio finale.

Indice

Introduzione

L’utilizzo dei captcha è stato, per diversi anni, il metodo più efficace per contrastare i messaggi dei programmi automatici. Con il passare del tempo, però, gli spammer si sono evoluti e con loro anche i software dedicati.
Per prevenire la lettura delle immagini da parte dei bot è iniziata una corsa alla creazione di codici sempre più distorti, complessi e criptici. Il risultato ottenuto è sicuramente un abbattimento dello spam ma anche dell’usabilità relativa ai moduli (contatti, guestbook, registrazione etc etc). Gli utenti, costretti a decifrare parole spesso impossibili, hanno visto allungarsi i tempi per raggiungere il proprio obiettivo e, in alcuni casi, è stato addirittura impossibile raggiungerlo (pensiamo a visitatori con particolari deficit visivi).

Dal 2005, oltre ai captcha, è disponibile anche Akismet, un servizio che analizza i messaggi con dei filtri euristici e riesce ad individuare i tentativi di spam; i risultati sono ottimi nella maggior parte dei casi. Akismet viene spesso indentificato esclusivamente come plugin di Wordpress ma in realtà è possibile collegarlo a qualsiasi modulo. Il servizio è gratuito per uso personale e a pagamento negli altri casi. È efficace soprattutto quando il modulo contiene una textarea per i messaggi, meno negli altri casi (moduli di registrazione).

Questo tutorial parte dai seguenti presupposti:

  • in questo momento storico lo spam non può essere eliminato del tutto. Già solo l’esistenza di persone fisiche che dedicano il loro tempo a riempire moduli sparsi per il web vanifica ogni possibile controllo automatico attualmente conosciuto
  • ad oggi non esiste un metodo “assoluto” che, da una parte, tuteli gli utenti permettendo loro un invio di dati semplice e, dall’altra, blocchi i messaggi indesiderati
  • Akismet è un ottimo servizio ma è efficace per individuare i messaggi di spam. L’obiettivo della ricerca, invece, è di rendere semplici anche i form di registrazione, dove in realtà non è tanto necessario prevenire le email pubblicitarie, quanto la registrazione automatica di utenti.
  • “progettare per gli utenti” è uno dei princìpi cardine su cui baso il mio lavoro. Per questo motivo viene spontaneo notare come la questione dello spam, invece che essere a carico del fornitore del servizio, grava da troppo tempo sugli utenti a cui spetta l’ònere della prova: dimostrare di essere umani. In realtà dovrebbe avvenire il contrario.
  • a mio parere l’eliminazione di codici particolarmente complessi (vedi reCAPTCHA), a fronte di un sensibile miglioramento per gli utenti, vale l’aumento di qualche caso di spam. A questo aggiungo che un programmatore, se ha deciso fermamente di “bucare” un vostro modulo, state sicuri che ci riuscirà. Tra i vari fattori è necessario anche valutare quanto i vostri form siano interessanti da questo punto di vista.
  • è un esperimento che vale la pena provare. Nel caso in cui fallisse, magari perchè il sito in oggetto è particolarmente appetibile, si può sempre ripristinare un codice di controllo. L’importante è averci provato.

Ambiti in cui tentare l’utilizzo di questa tecnica

Ogni sito ha le proprie caratteristiche. In alcuni casi una pagina poco frequentata (anche dalle persone in carne ed ossa) potrebbe non essere presa di mira dagli spammer; in altre situazioni invece ci si potrebbe trovare perennemente sotto attacco.
È necessario valutare di che tipo di modulo stiamo parlando.

Ipotizziamo un generico “contatti” contenente solo 3 campi: nome, email e messaggio. Su un form così semplice, per esempio, bisogna valutare attentamente il proprio lavoro; infatti, al posto di un sofisticato programma, basterebbe un operatore umano per inviare in poco tempo decine di messaggi. Senza controlli antiflooding anche la persona meno maliziosa potrebbe essere invogliata ad effettuare invii multipli.

Se invece ipotizziamo un form di registrazione con molti campi, con controlli client e server sulla formattazione di alcuni dati (indirizzo, telefono, data di nascita), potrebbe essere una buona idea scaricare l’utente dello sforzo aggiuntivo derivante dalla decodifica di un codice.
In definitiva: provare costa poco e la valutazione dei risultati spetta a voi che gestite il sito. In ogni caso, se lo ritenente opportuno, uno script captcha è sempre pronto per essere implementato.

Pagina: [1] 2 3 4 5 6 7 8

link sponsorizzati

Consiglialo su Facebook

Scrivi un commento

Commenti totali: 2


  1. bell’articolo! complimenti!!!

  2. l’ho provato e funziona bene come tecnica

Lascia un Commento

Iscriviti alle discussione senza commentare

Torna: [ Inizio ] [ Contenuti ] [ Categorie ] [ Cerca ]

Pagina renderizzata in soli 0,347 secondi dopo aver eseguito ben 60 query. Wordpress... prestazioni da urlo!