Corsi on-line

CAPTCHA negativi per incrementare l’usabilità dei form

CAPTCHA (Completely automated public Turing test to tell computers and humans apart) è uno dei meccanismi più utilizzati per la protezione dei form contro lo spam e l’azione di botnet; come è noto, esso prevede di proporre all’utente un’immagine variabile contenente un testo leggibile tramite occhio umano ma non rilevabile tramite sistemi automatizzati. CAPTCHA non si dimostra sempre infallibile dal punto di vista della sicurezza, inoltre, rende i form meno usabili agendo non di rado negativamente sulle conversioni. In questo caso una valida alternativa potrebbero essere i CAPTCHA negativi.

CAPTCHA

Il funzionamento dei CAPTCHA negativi è esattamente opposto a quello dei CAPTCHA comunemente utilizzati sulle pagine Web; essi in pratica prevedono l’utilizzo di alcune componenti volte ad attirare l’attenzione dei bots su un form che non dovrà essere quello destinato all’utenza; il primo componente prende il nome di Honeypot, esso è in pratica un campo form utilizzato per comporre moduli non visibili all’uomo ma rilevabili dalle applicazioni spammer e quindi compilabili soltanto da queste ultime.

Il secondo componente prende il nome di Real field, esso andrà invece a comporre il form destinato agli utenti in carne e ossa e all’invio dei parametri tramite input; la sua caratteristica è quella di presentare un nome convertito in hash non interpretabile dai bots, come nell’esempio seguente:

<input type="text" name="685966bd3a1975667b4777cc56188c7e" />

Un altro componente, il Timestamp, verrà messo a disposizione come campo/valore per l’hashing ad ogni richiesta effettuata tramite metodo GET; l’azione del Timestamp, associata a quella di una chiave detta Spinner, permetterà di ottenere un hash differente ad ogni nuovo utilizzo del form, senza possibilità di produrre doppioni. L’ultimo elemento ad entrare in gioco sarà la Secret Key, destinata a rendere ininterpretabile l’hash ai bots.

Per chi è interessato ad implementare tale soluzione nei propri progetti, esiste un plugin rilasciato sotto licenza Open Source per Ruby on Rails denominato “negative captcha” che potrà essere installato come una qualsiasi gem.

Via negative captcha

Post correlati
I più letti del mese
Tematiche