Ya que todos odian los captchas, ¿cuáles son las buenas alternativas? Busco evitar la creación automática de cuentas en un sitio web, pero también me preocupa la gente. Si el registro es demasiado fácil, no habría nada que impidiera a las personas crear cuentas al azar, pero al mismo tiempo el proceso de registro debería ser fácil. ¿Qué hacer?
La forma más sencilla es agregar una entrada oculta a su formulario, y negarse a enviar el formulario es que se rellena la entrada.
Otra forma eficiente de hacerlo es generar una cookie de token, almacenar su valor dentro de una entrada oculta y comparar el envío del formulario. Como la mayoría de los spambot no pueden manejar JS, no funcionará para ellos.
Creo firmemente que la mejor manera de controlar tanto a los spammers como para mantener un alto porcentaje de registro es simplemente revertir el proceso y requerir el registro (o inicio de sesión, si el usuario ya está registrado pero no ha iniciado sesión). una vez que el usuario ya haya enviado lo que quiera que contribuya a su sitio web. Dos razones por las que:
La gente puede argumentar que está engañando a su base de usuarios para que se registre solo para publicar un comentario o algo así, pero eso puede controlarse fácilmente con las notificaciones del usuario final, si es necesario. Tampoco es tan difícil de implementar. Puede hacerlo de la misma manera en que registraría un nuevo miembro antes de la verificación por correo electrónico (escriba en la base de datos pero marque inactivo hasta que se complete el registro / inicio de sesión), o transfiera los campos de entrada a través del proceso de registro en campos de formulario ocultos. Si no estamos hablando de envíos pesados de contenido, entonces la segunda opción es la más fácil.
Por supuesto, una vez que se descubre que un usuario ha intentado enviar mensajes de correo no deseado, debe marcar inmediatamente la dirección IP del usuario (y la cookie de seguimiento, si corresponde) como no deseada en su base de datos y verificarla cada vez que intenten enviar cualquier cosa nueva, o incluso mejor: deshabilite completamente la entrada del usuario a esas IP para que no puedan inundar su servidor web con demasiadas solicitudes. Es probable que estas marcas no deban ser permanentes (a menos que esté realmente seguro de la forma en que funciona su código de soporte) y deben verificarse periódicamente para ver si la implementación de su filtro automatizado de correo no deseado necesita correcciones.
agrega un desafío, algo así como una entrada de cuadro de texto, con una pregunta como:
What is the answer of *3\*8* ?
puede mostrar la pregunta como una imagen, generada por php-gd (si está usando php)
A diferencia de una cadena, cuanto más larga es, menos posibilidades hay de que pase un spammer (bot):
Cree un formulario de registro que contenga nick , full name , email , password , (pass verif) y una descripción breve como textDesc .
1b: use captcha si cree en él ... vea mi opinión sobre los captchas
Se requiere verificación de spam contra textDesc , con una o varias herramientas antispam.
Solo para paranoicos: lista gris de todos los sospechosos email a la espera de (control rápido) humano ( postmaster o sitemaster por el que podría llamarse master ;-) verificación antes del siguiente paso.
Verificación de la dirección de correo electrónico: Sólo el email que se usará, (con SU nombre de dominio y un hash de ID de registro para validación), para evitar el uso de full name o nick para enviar spam al expedidor falso (destinatario real de spam).
Registrando un nuevo usuario después de la verificación del hash y la verificación de la contraseña. Si la solicitud de validación no se recibe después de algún tiempo (por ejemplo: 4 días - > smtp limit), abandone la solicitud de registro.
Lea otras preguntas en las etiquetas authentication spam captcha