Mi operador de telefonía móvil local (Play, Polonia) y su puerta SMS de pago es el primer ejemplo, que recuerdo en todo mi historial de Internet, que obliga a los usuarios a completar los CAPTCHA, incluso en las páginas, que están protegidas por el protocolo HTTPS y inicio de sesión de usuario.
¿Hay alguna razón para hacerlo en esta situación? ¿Hay algún aumento en la seguridad o efectos anti-spam?
En este caso particular, las cuentas de usuario solo están medio registradas. Cualquiera puede crear una cuenta, pero siempre que no proporcione un número de teléfono móvil válido dentro de la red, que se verifique más a fondo al enviar un mensaje de texto con un código único, dicha cuenta no podrá registrarse por completo ni utilizar la puerta de enlace de SMS.
No puedo imaginar que spam-bot (o su autor) creen una cuenta en esta situación o, incluso si fuera posible, un porcentaje de tales casos sería mínimo y, en mi opinión, no juzgaría molesta a la mayoría de los usuarios normales y legales con CAPTCHA en las páginas disponibles solo después de iniciar sesión.
¿Es esta una técnica común? Tengo la sensación de que estaba viendo CAPTCHA solo en páginas de acceso libre, es decir, sin necesidad de iniciar sesión. Tengo problemas reales al imaginar Facebook, Twitter o cualquier otro servicio que obligue al usuario a completar CAPTCHA una vez que el usuario haya sido validado e ingresado. En las páginas de registro o recuperación de contraseña, sí. Pero, después de iniciar sesión?