web-dev-qa-db-ja.com

メールの検証を利用している場合、キャプチャは必要ですか?

新しいWebサイトの登録中に、新しいユーザーが完全な権限を持つ前に、確認メールでリンクをクリックするように要求します。これはスパマー/ボットを削除する良い方法ですか、それとも登録フォームにキャプチャを組み込む必要があると思いますか?

6
Lars

CAPTCHAと電子メール検証は別の目的を提供するため、一方が他方を置き換えることはありません。

CAPTCHAは、それがpersonであることを確認しようとする方法であり、フォームではなく単なるスクリプトを送信しています。これを行う方法には多くの選択肢がありますが、それは別の問題です。

メールの確認は、入力されたメールアドレスが両方とも正しいと承認されているであることを確認して通信を受信する方法です。

12
JohnGB

キャプチャを行わないでください。真剣に、しないでください。 2つの理由から:(a)彼らは人々のふざけを困らせます。すべてのGoogle検索でこれがわかります。個人的な観点から見ると、Webサイトがキャプチャを使用している場合、私が本当に望んでいるものがない限り、私はおそらくそれらを扱いません。 (b)2番目に、phpBBサイトの共同管理者として、私は彼らにそれを伝えることができます。ただ。働きません。彼らは真剣にそうしません。 Captchaシステムを売ろうとする人は誰でもこれを否定します。私の経験と意見では...彼らはあなたに真実を語っていません。ボットはバターでホットナイフのようにキャプチャを切り抜けることができます。歪んだ波線が何であるかを理解する前に、呪われたものを凝視し、17の異なる方法で頭をひねる必要があるのは人間だけです。

私たちが見つけたものが彼らの足跡で彼らを死なせたのを知っていますか(コンピュータにとって)自明ではない質問。たとえば、「赤い車が40 km/hの青空の下で温室を通り過ぎました。自動車の色は何でしたか?」または「私は2つのカボチャ、梨、4つのジャガイモとリンゴを持っています。私は何個の果物を持っていますか?」

これの欠点は、第一言語が英語ではないユーザーが多数いると予想してもあまり良くないということですが、ユーザーベースはグローバルに広がっており、サイト自体が英語であるため、かなり期待できます。すべてのユーザーは、少なくともそれらに答えるのに十分な言語で快適である必要があります。私たちが毎日アカウントを作成してきたスパムボットの数は、数十から2か月に1つに減少しました。そして、それはボットではなく、亜大陸の人間であるに違いありません。スウェットショップ。ちなみに、この方法では、ランダムにポップアップできる30の質問のようなものがあり、質問を見て答えを出すのに時間がかかるため、これらの人にとってもあまり魅力的ではない傾向があります。目標。本物のポスターの時間は取るに足らないものですが、スパマーにとっては時間の要です。

UXの観点から見ると、友達はキャプチャにCaptchaを使用させません。

5
Alan K

CAPTCHAが好きな人は誰もいませんし、確かに良いUXではありません。電子メールの検証によってスパムボットの侵入が阻止されることはおそらくありませんが、少なくとも技術的にはそうであるはずです。

CAPTCHAを使用する代わりの技術的な方法については、StackExchangeの仲間のサイトでこの質問を参照してください。ユーザーに感謝するでしょう: https://security.stackexchange.com/questions/29571/is-there-a -true-alternative-to-using-captcha-images

3
Arqh

UXの質問IMOよりもセキュリティの質問が多い。

UXの回答:いいえ。CAPTCHAはUXに価値を付加するものではなく、UXを悪化させるだけです。

ISの回答:セキュリティスタック交換の質問で提案されているような、より良い(制約/スキルに応じて、実装がより簡単な)代替案がない限り、キャプチャコードを先に進めるべきだと思います。あなたのウェブサイトが脅威にさらされていないと確信している場合を除いて、そのものを削除してもかまいません:)私がいくつかのウェブサイトで見た別の代替案は、画像「55-5」で簡単な数学の質問を求め、あなたは「50 "その検証に合格します。

2
rk.

Captchaに記入するのが苦痛であることを否定するのは難しいですが、スパムに圧倒されない限り、それを必要としないだけです。経験則として、ユーザーが不審な場合はキャプチャを使用します(たとえば、Torなどのプロキシ経由でWebサイトにアクセスしている場合や、スパムに関連付けられているメールプロバイダー(ゲリラメールの可能性があります)を使用している場合)。

キャプチャが必須である場合(ここでも、必要な場合にのみ使用してください)、フォームの残りの部分からキャプチャを分離することをお勧めします。たとえば、これを行う代わりに:

mockup

download bmml sourceBalsamiq Mockups で作成されたワイヤーフレーム

あなたはこれを行うことができます:

mockup

bmmlソースをダウンロード

このように、強制的なキャプチャの代わりに、オプションを解くことができない場合、ユーザーはパスワードを再入力する必要はありません。彼らの最初の試みのパズル。

2
user28761

即時確認、つまりメールを送信し、メールで送信されたコードを画面に表示して応答することを期待していますか?ボットがその準備をしており、すぐに通過する可能性はまだ高いですか?

これはUXの質問ではなく、スパムの質問ですか?ユーザーがプロセスを完了するために必要な追加のアクションは、常に私が理解している悪いUXです

0
Karl Griffiths

メールのアクティブ化は、スパムボットがサイトに投稿しないようにするのに十分です。ただし、それでもユーザーデータベースは汚染されます。したがって、定期的にデータベースをクリーンアップする必要があるか、スパムボットが登録されないようにするメカニズムが必要です。

後者の場合、ユーザーの操作を必要とする目に見えるCAPTCHAは、最も望ましくないソリューションです。ボットをロックアウトする実証済みの方法は、たとえば、非表示になっているが評価されていない「ユーザー名」フィールドと、ユーザー名に使用される単なるランダムな名前を持つ別のフィールドを提供することです。したがって、「username」に値がある場合、それはボットからのものであり、リクエストは破棄できます。

0
nibra