Menü Bezárás

Captcha és a felhasználók

Tegye fel az a kezét, aki szereti a captchákat! Ha viszonylag sűrűn használsz/használtál olyan funkciót, amelyet captcha védett, akkor biztos vagyok benne, hogy nem jelentkeztél. Nem kényelmes minden percben rosszul látható jeleket bogarászni a képernyőn. Ám ha helyesen használjuk a captchát, jó szolgálatot is tehet nekünk.

A felhasználók körében a CAPTCHA jelenléte mindig vita tárgyát képezi. Jómagam, felhasználóként bosszantónak tartom a nehezen olvasható CAPTCHA-kat. Ha lenne rá lehetőségem, egészen biztosan kihagynám ezt a lépést. 🙂 Tesztelőként viszont aggasztónak találnám, ha nem lenne. Tekintstünk meg néhány szituációt, amikor szükség lehet a CAPTCHA-ra.

Hol lehet a CAPTCHA megjelenítése alkalmas?

Regisztrálás

Tételezzük fel, hogy egy teszteléssel foglalkozó fórumot üzemeltetek. A fórumon való hozzászóláshoz a felhasználóknak regisztrálniuk kell. Mi van, ha valaki ír egy scriptet, ami végtelen sok felhasználót regisztrál be? Erre az esetre szeretnék egy CAPTCHA-t a regisztrációs űrlapra, hogy elkülöníthetőek legyenek a hamis és a valódi regisztrációk. A megerősítés nélküli, korlátlan feliratkozási lehetőség biztosítása ijesztő kihívás lehet a weboldalt üzemeltetők számára.

Bejelentkező oldal

Ha egy felhasználó 3 egymást követő alkalommal rossz jelszót gépel be, akkor mutassunk neki egy CAPTCHA-t, ezzel bizonyíthatja, hogy élő személyről van szó. Feltételezzük, hogy a fiókot 5 sikertelen próbálkozás után zároljuk. Bizonyos alkalmazások esetén ez 3 alkalom. A fiókzárással egybekötött CAPTCHA hatékony megoldás a „brute force” jellegű támadások kivédésére.

Elfelejtett jelszó oldal

Ha egy támadó az Elfelejtett jelszó funkción keresztül próbál betörni egy felhasználó fiókjába, akkor a korábban említett módszerhez hasonlóan erre is írhatna egy scriptet. Az Elfelejtett jelszó oldalon egy második szintű ellenőrzésként el tudnék képzelni egy CAPTCHA-t, így a scriptek nem tudnának próbálkozni. Megjegyzem, hogy az első szintű ellenőrzés a felhasználónév / e-mail cím bekérése. Továbbá nem elhanyagolandó, hogy a CAPTCHA-adatbázisunk elég robosztus kell legyen, hogy a támadók ne tudják percek alatt kijátszani az összes lehetőséget. Emellett a CAPTCHA-használat ezen az oldalon az e-mail spamet is megakadályozza (akár egy, akár tömeges e-mailezésről beszélünk).

Űrlapok (hozzászólások, értékesítési lekérdezések, visszajelzés, javaslatok, stb.)

Kommentek

Blogüzemeltetőként mindenféle spam hozzászólások érkeznek a blogomra. Ezt elkerülendő egy CAPTCHA-t építettem be, így csak érdemi hozzászólások születnek.

Értékesítési lekérdezések

Sok startup nem engedheti meg magának a 24/7 díjmentes vonalak fenntartását a vásárlói kérdések megválaszolására. Helyette egy űrlapot helyeznek el az oldalon, ahol feltehetik a kérdéseket, ám ha erre az űrlapra rábukkan egy spam bot, akkor hamar fesztivállá válik az egész.

Visszajelzés / Javaslatok

Szeretek CAPTCHA-t elhelyezni a visszajelző űrlapokon, hogy ne érkezzen értelmetlen üzenet spammerektől vagy spam botoktól.

Fórumok

A regisztrációt nem igénylő fórumok üzemeltetői a legkönnyebb célpontjai a spammereknek. Javasolt egy CAPTCHA megjelenítése, ha valaki hozzá akar szólni egy témához.

Facebookozás

Frissítenéd az állapotodat vagy feltöltenél egy fényképet, és hirtelen egy CAPTCHA ugrik fel. Itt két nézőpontot különböztethetünk meg:

  1. Felhasználóként ha elém kerül egy CAPTCHA, miközben én frissíteném az állapotomat vagy feltöltenék egy fényképet – ami egy egyszeri alkalom –, akkor kitölteném, függetlenül attól, hogy mennyire idegesítő. Ha úgy gondolkozom, hogy az azonosítóm egy támadó kezébe került, akkor aggódnék a spam botok miatt. Elismerem, kézileg is lehet állapotüzenetekkel spammelni, de mégse olyan sebességben, amilyenre egy script képes lenne.
  2. Üzletasszonyként el szeretnék valamit adni a Facebookon, akkor idegesítene a CAPTCHA. Tegyük fel, hogy van egy Facebook-fiókom, ahol viszonylag gyakran kell frissítenem az állapotomat, vagy fényképeket kell feltöltenem. Ebben a kontextusban a CAPTCHA kitöltése nagyon idegesítő lenne, de mégis elkerülhetetlen; befolyásolhatja a felhasználói élményt.

Megjegyzés: a fent említett esetekben jobb, ha van CAPTCHA.

Felhasználói igények

Néhány felhasználó kedveli a CAPTCHA-kat, mivel biztonságot nyújt számukra, míg mások nem kedvelik, mert úgy gondolják, rontja a felhasználói élményt. A korábbiakban említett esetek olyan esetek, ahol én személy szerint előnyben részesíteném a CAPTCHA használatát. Ha más véleményed van, bármikor telespammelheted a hozzászólásokat a blogomon, mivel nincs CAPTCHA.

Ne vegye készpénznek

Felhasználóként úgy gondoljuk, ha van CAPTCHA, akkor teljes biztonságban vagyunk, és nem kell a spamtől tartanunk. Fontos tudni, hogy a CAPTCHA nem jelent 100%-os spammentességet. Még csak nem is biztonságosak 100 százalékosan. A mai világban a legtöbb CAPTCHA-implementáció könnyedén feltörhető, így nehéz teljes mértékben megbízni bennük. Pár barátom azt mondta, hogy a re-CAPTCHA-t még nem törték fel. Nos, szerintem csak idő kérdése.

Forrás: http://curioustester.blogspot.com/2012/06/captcha-and-customer-context.html
Szerző: Parimala Hariprasad

A szerző

Hariprasad Parimala
Parimala kilenc évnyi tapasz- talattal rendelkezik tesztelés, vezetés és szoftvertesztelő csapatok trenírozásában. Dolgozott már CRM, biztonsági, kereskedelmi és támogatás- automatizálási területeken. A tesztelés mellett – amit nagy szenvedéllyel űz – nagyon kedveli a tesztelők trenírozását is. Gyakran ír tapasztalatairól a http://curioustester .blogspot.com oldalon. Emellett még számos cikket publikált tapasztalatairól olyan magazinokban, mint a Better Software, Testing Circus és Testing Planet. Parimala aktív résztvevője a területhez kapcsolódó konferenciáknak és találkozóknak. Mélyen hisz a csapatmunkában, és segíti a csapatokat, hogy közösen dolgozzanak a végső cél elérésében. Ha épp nem tesztel, szívesen játszik két tündéri gyermekével, könyveket, magazinokat, cikkeket olvas, és még sok mást. Jelenleg tesztmenedzserként dolgozik a Moolya Software Testing Pvt Ltd-nél, Bangalore-ban. Elérhető a parimala@moolya.com címen vagy twitteren @CuriousTester néven.
Vissza