Free Software Stuff

AJAX-CAPTCHA

Ako ste ikad ostavljali komentar na nečijem blogu ili koristili neki od Web2.0 servisa vjerojatno ste naišli na CAPTCHA, zgodan trik za razlikovanje ljudi od spambotova. Najčešće je implementiran u obliku slike nekih slova i brojeva, dovoljno zamuljanih da ih OCR ne može prepoznati, koje treba identificirati da bi dokazali da ste ljudsko biće. Osim što su očiti problem za ljude sa slabijim vidom, zbog nastojanja da onemoguće sve bolji OCR softver, ponekad su slova tako zamuljana da je i ljudima sa dobrim vidom poprilično teško uočiti što je pisac tu htio reći. Za rješavanje takvih problema ponekad se koristi audio captcha (morate čuti što je rečeno i utipkati to), a mali broj sajtova koristi i JavaScript implementacije (JAPTCHA) koje obično uspoređuju korisnikov upit sa nekim hidden poljem. Problem ovoga je da je poprilično lako vidjeti koji je točan rezultat, ili krivotvoriti očekivani odgovor i tako izbjeći zaštitu, čak i bez korištenja JavaScripta.

No, vjerujem (a i neobavezno googlanje govori tome u prilog) da spambotovi obično nemaju full javascript implementaciju, jer im je to neefikasno i prekomplicirano, bar zasad. Zbog toga je trenutno CAPTCHA koja otkriva prisutnost radećeg JavaScripta u browseru jednako učinkovita kao i CAPTCHA koja otkriva prisutnost čovjeka. Ideja je dati posjetitelju zadatak koji može riješiti samo pomoću JavaScripta (funkciju koju treba izvršiti) a čiji se ishod može predvidjeti na strani servera, te tražiti da posjetitelj vrati rezultat serveru.

Scenarij korištenja:

1. Posjetitelj dolazi na stranicu i dobija (X)HTML kôd stranice
2. JS sa stranice radi asinkroni zahtjev na neki URL na serveru za “zadatak”
3. Server vraća “zadatak” u obliku teksta JS funkcije (JSON, ali sa kôdom a ne podacima
4. Browser izvršava funkciju, kao rezultat dobiva jedan broj koji upisuje u sakriveno polje forme
5. Nakon što je forma ispunjena i rezultat poslan, server uspoređuje sa očekivanim rezultatom

Očita prednost ovakve implementacije je da je potpuno nevidljiva posjetitelju, odnosno on ne mora razmišljati o tome (i naprezati oči ako slabije vidi), a nedostatak je zahtjevanje uključenog JavaScripta (čuo sam negdje da je netko rekao da je netko to isključio, jednom). No, tehnika se može kombinirati sa standardnim grafičkim CAPTCHA-om (po defaultu se vidi slika i zahtjev za identifikaciju što je na slici, ali JS kôd to sakriva u točki 2. gore), čime se dobiva i pouzdana detekcija ima li korisnik uključen JS ili nema.

Mane su relativna jednostavnost zaobilaženja - inventivni spamer sa firefoxom bi mogao složiti greasemonkey skriptu koja izvršava JS, ali bi osim truda implementacije to bilo i mnogo sporije (JS nije baš najbrži jezik za svijetu, pa ako trebate par milijuna puta izvršiti neku funkciju da zaspamate nekog, to se zbroji), pa vjerujem da bi sve dok relativno mali broj ljudi koristi ovu tehniku spameri njihove stranice samo otpisali kao gubitak, i ne trudili se. Dakle, ljudi, ako vam se ideja sviđa, nemojte je koristiti! ;-))