Captcha és a felhasználók
Tegye fel az a kezét, aki szereti a captchákat! Ha viszonylag sűrűn használsz/használtál olyan funkciót, amelyet captcha védett, akkor biztos vagyok benne, hogy nem jelentkeztél. Nem kényelmes minden percben rosszul látható jeleket bogarászni a képernyőn. Ám ha helyesen használjuk a captchát, jó szolgálatot is tehet nekünk.
A felhasználók körében a CAPTCHA jelenléte mindig vita tárgyát képezi. Jómagam, felhasználóként bosszantónak tartom a nehezen olvasható CAPTCHA-kat. Ha lenne rá lehetőségem, egészen biztosan kihagynám ezt a lépést. 🙂 Tesztelőként viszont aggasztónak találnám, ha nem lenne. Tekintstünk meg néhány szituációt, amikor szükség lehet a CAPTCHA-ra.
Hol lehet a CAPTCHA megjelenítése alkalmas?
Regisztrálás
Tételezzük fel, hogy egy teszteléssel foglalkozó fórumot üzemeltetek. A fórumon való hozzászóláshoz a felhasználóknak regisztrálniuk kell. Mi van, ha valaki ír egy scriptet, ami végtelen sok felhasználót regisztrál be? Erre az esetre szeretnék egy CAPTCHA-t a regisztrációs űrlapra, hogy elkülöníthetőek legyenek a hamis és a valódi regisztrációk. A megerősítés nélküli, korlátlan feliratkozási lehetőség biztosítása ijesztő kihívás lehet a weboldalt üzemeltetők számára.
Bejelentkező oldal
Ha egy felhasználó 3 egymást követő alkalommal rossz jelszót gépel be, akkor mutassunk neki egy CAPTCHA-t, ezzel bizonyíthatja, hogy élő személyről van szó. Feltételezzük, hogy a fiókot 5 sikertelen próbálkozás után zároljuk. Bizonyos alkalmazások esetén ez 3 alkalom. A fiókzárással egybekötött CAPTCHA hatékony megoldás a „brute force” jellegű támadások kivédésére.
Elfelejtett jelszó oldal
Ha egy támadó az Elfelejtett jelszó funkción keresztül próbál betörni egy felhasználó fiókjába, akkor a korábban említett módszerhez hasonlóan erre is írhatna egy scriptet. Az Elfelejtett jelszó oldalon egy második szintű ellenőrzésként el tudnék képzelni egy CAPTCHA-t, így a scriptek nem tudnának próbálkozni. Megjegyzem, hogy az első szintű ellenőrzés a felhasználónév / e-mail cím bekérése. Továbbá nem elhanyagolandó, hogy a CAPTCHA-adatbázisunk elég robosztus kell legyen, hogy a támadók ne tudják percek alatt kijátszani az összes lehetőséget. Emellett a CAPTCHA-használat ezen az oldalon az e-mail spamet is megakadályozza (akár egy, akár tömeges e-mailezésről beszélünk).
Űrlapok (hozzászólások, értékesítési lekérdezések, visszajelzés, javaslatok, stb.)
Kommentek
Blogüzemeltetőként mindenféle spam hozzászólások érkeznek a blogomra. Ezt elkerülendő egy CAPTCHA-t építettem be, így csak érdemi hozzászólások születnek.
Értékesítési lekérdezések
Sok startup nem engedheti meg magának a 24/7 díjmentes vonalak fenntartását a vásárlói kérdések megválaszolására. Helyette egy űrlapot helyeznek el az oldalon, ahol feltehetik a kérdéseket, ám ha erre az űrlapra rábukkan egy spam bot, akkor hamar fesztivállá válik az egész.
Visszajelzés / Javaslatok
Szeretek CAPTCHA-t elhelyezni a visszajelző űrlapokon, hogy ne érkezzen értelmetlen üzenet spammerektől vagy spam botoktól.
Fórumok
A regisztrációt nem igénylő fórumok üzemeltetői a legkönnyebb célpontjai a spammereknek. Javasolt egy CAPTCHA megjelenítése, ha valaki hozzá akar szólni egy témához.
Facebookozás
Frissítenéd az állapotodat vagy feltöltenél egy fényképet, és hirtelen egy CAPTCHA ugrik fel. Itt két nézőpontot különböztethetünk meg:
- Felhasználóként ha elém kerül egy CAPTCHA, miközben én frissíteném az állapotomat vagy feltöltenék egy fényképet – ami egy egyszeri alkalom –, akkor kitölteném, függetlenül attól, hogy mennyire idegesítő. Ha úgy gondolkozom, hogy az azonosítóm egy támadó kezébe került, akkor aggódnék a spam botok miatt. Elismerem, kézileg is lehet állapotüzenetekkel spammelni, de mégse olyan sebességben, amilyenre egy script képes lenne.
- Üzletasszonyként el szeretnék valamit adni a Facebookon, akkor idegesítene a CAPTCHA. Tegyük fel, hogy van egy Facebook-fiókom, ahol viszonylag gyakran kell frissítenem az állapotomat, vagy fényképeket kell feltöltenem. Ebben a kontextusban a CAPTCHA kitöltése nagyon idegesítő lenne, de mégis elkerülhetetlen; befolyásolhatja a felhasználói élményt.
Megjegyzés: a fent említett esetekben jobb, ha van CAPTCHA.
Felhasználói igények
Néhány felhasználó kedveli a CAPTCHA-kat, mivel biztonságot nyújt számukra, míg mások nem kedvelik, mert úgy gondolják, rontja a felhasználói élményt. A korábbiakban említett esetek olyan esetek, ahol én személy szerint előnyben részesíteném a CAPTCHA használatát. Ha más véleményed van, bármikor telespammelheted a hozzászólásokat a blogomon, mivel nincs CAPTCHA.
Ne vegye készpénznek
Felhasználóként úgy gondoljuk, ha van CAPTCHA, akkor teljes biztonságban vagyunk, és nem kell a spamtől tartanunk. Fontos tudni, hogy a CAPTCHA nem jelent 100%-os spammentességet. Még csak nem is biztonságosak 100 százalékosan. A mai világban a legtöbb CAPTCHA-implementáció könnyedén feltörhető, így nehéz teljes mértékben megbízni bennük. Pár barátom azt mondta, hogy a re-CAPTCHA-t még nem törték fel. Nos, szerintem csak idő kérdése.
Forrás: http://curioustester.blogspot.com/2012/06/captcha-and-customer-context.html
Szerző: Parimala Hariprasad
A szerző
- Parimala kilenc évnyi tapasz- talattal rendelkezik tesztelés, vezetés és szoftvertesztelő csapatok trenírozásában. Dolgozott már CRM, biztonsági, kereskedelmi és támogatás- automatizálási területeken. A tesztelés mellett – amit nagy szenvedéllyel űz – nagyon kedveli a tesztelők trenírozását is. Gyakran ír tapasztalatairól a http://curioustester .blogspot.com oldalon. Emellett még számos cikket publikált tapasztalatairól olyan magazinokban, mint a Better Software, Testing Circus és Testing Planet. Parimala aktív résztvevője a területhez kapcsolódó konferenciáknak és találkozóknak. Mélyen hisz a csapatmunkában, és segíti a csapatokat, hogy közösen dolgozzanak a végső cél elérésében. Ha épp nem tesztel, szívesen játszik két tündéri gyermekével, könyveket, magazinokat, cikkeket olvas, és még sok mást. Jelenleg tesztmenedzserként dolgozik a Moolya Software Testing Pvt Ltd-nél, Bangalore-ban. Elérhető a parimala@moolya.com címen vagy twitteren @CuriousTester néven.