GoogleのreCAPTCHAに悩んでいるクライアントとそのユーザーのサブセットが1人います。彼らは課題を解決できないという問題を報告します。
私たちの問題は、その問題がないことです。不適切なタイルを選択したり、十分なタイルを選択しなかったりしてわざとチャレンジに失敗した場合でも、チャレンジは正しく送信されるか、選択が欠落していることを通知します。
Captchaは支払いフォームに適用されます。このクライアントは過去にボットに問題があったため、削除しないでください。
この問題を解決する可能性のある他のボット阻止システムまたは実践はありますか?
以前はハニーポットを利用していましたが、オートフィルが改善されたため、段階的に廃止する必要がありました。
reCAPTCHA v.3
おそらく、 Google reCAPTCHA v. はあなたにとって補助的な解決策になるでしょう。それがドキュメントで主張したように:
reCAPTCHA v3はユーザーを中断することはないため、変換に影響を与えずにいつでも実行できます。 reCAPTCHAは、サイトとのやり取りについて最も正当な状況を持っているときに最適に機能します。これは、正当な行動と不正な行動の両方を見ることから生じます。このため、フォームまたはアクション、および分析用のページのバックグラウンドにreCAPTCHA検証を含めることをお勧めします。
サイトがボットと人間のどちらを扱っているかを示す値を返します。キャプチャを入力する必要があるユーザーの数を減らすことで、少なくとも発生する問題の量を減らすために、それを利用することが可能です。
非表示のreCAPTCHA v.2
ReCAPTCHA v.2を使用することをお勧めしますが、非表示のパラメーターをtrueに設定して、その動作を改善することもできます。
コメントによると、これは考慮されたオプションのようです。ただし、実装の詳細は主に一般の人々には不明であり、Googleのリスクエンジンの背後に隠されているため、試してみる価値があるようです。
カスタムキャプチャ実装の使用に関する警告
既存のカスタムソリューションを少し調査して分析する必要があります。それらの多くはボットの方が人間よりも簡単なので、ボットからのセキュリティは提供されません。これは数学的操作に限定されず、テキスト認識キャプチャも含まれます。小規模なベンダーによるこのような実装は、十分に注意して使用する必要があります。
残念ながら、今日のWebアプリのセキュリティを確保することは、より困難な課題(GoogleのreCAPTCHAなど)と利便性(他の簡単なCAPTCHAライブラリまたは独自のもの)の間で妥協の決断になっています。ユーザーに便利なオプションを提供する場合は、セキュリティが多少低下します。
代わりにできることは2つあります。
他の答えが示唆するように、Googleの代わりに他のオープンソースのCAPTCHAライブラリを使用できます。 GregwarのCAPTCHAライブラリ は、PHPアプリなどで広く使用されています。
CloudFlare またはAmazonのDDOS軽減サービスを使用します。 CAPTCHAを破ろうとする試みは通常、これらのインテリジェントサービスによってDDOSの試みとして検出され、緩いセキュリティメカニズムを使用するリスクをある程度軽減できる可能性があります。
Invisible reCAPTCHAを試しましたか?ユーザーがボックスにチェックマークを付ける必要はありませんが、ボットであると思われる場合はパズルの課題を提示します。そのため、ユーザーの大多数は実際にそれを体験すべきではありません。