Mi sono accorto che la stragrande maggioranza di blog è munita di una protezione anti-spam per i commenti. In aggiunta al celeberrimo Akismet, già integrato in Wordpress.
Oltre alle classiche immagini generate di cui dobbiamo riportare in una casella il testo contenuto, va molto di moda una tecnica di anti-spam matematico in cui si chiede il risultato di un operazione. In genere una somma: “quanto fa 8 +3?”
Quest’ultima implementazione mi lascia molto perplesso. Lo scopo di ogni protezione anti-spam è quella di precludere l’accesso ai bot dal lasciare commenti automatici. Ma allora, perché la matematica? Dico, se c’è una cosa che un bot sa fare meglio di me è proprio fare i conti!
Sto parlando da un punto di vista utente. Non entro nel merito dei vari plugins esistenti, non so come sono scritti, non so come sono generate le domande, non so se sono criptate, etc.
Un’altro problema è che non tutti utilizzano l’autocompletamento in javascript. I bot non lo interpretano, perciò una piccola funzione che risponda automaticamente alla domanda sarebbe un grande passo in avanti in termini di accessibilità. I plugin migliori la integrano, ma molti ancora no.
Poi, e dopo mi fermo, se abbiamo un blog con 10 iscritti al feed e di media 1 commento ogni 10 articoli, a cosa ci serve un altro filtro anti-spam? Probabilmente solo ad allontanare i commentatori.
11 Commenti & 0 Trackbacks
Assolutamente d’accordo.
Sono scelte, ovviamente, e non intendo criticare chi fa scelte diverse dalle mie, per carità, ma il captcha è odioso nei blog.
Io ho un blog discretamente frequentato (per la media italiana) e non ho nessun tipo di captcha. Eppure sul mio blog non c’è traccia di spam.
Akismet da solo basta e avanza, e non serve spaventare i commentatori con ulteriori campi (inutili) da compilare.
Bisogna facilitare in ogni modo chi deve commentare, non cacciarlo via.
Per quanto riguarda l’ultima frase “se abbiamo un blog con 10 iscritti al feed e di media 1 commento ogni 10 articoli, a cosa ci serve un altro filtro anti-spam?” purtroppo anche se non hai visite al blog, ai bot non interessa, e ti ritrovi i commenti pieni di spam.
@ Claudio: io non posso portare questo blog come esempio, perchè è piccolo. Però ho visto che neppure Napolux usa captcha vari.
@ Miki: Ho associato il fatto di avere un blog poco frequentato al fatto di avere un blog poco conosciuto. Di solito i blog arrivano insieme alla popolarità nei motori di ricerca, di pari passo con gli utenti. Ovviamente quando si è presi di mira ricorrere ad un filtro è obbligatorio, io ho voluto fare una riflessione riguardo all’uso spesso ingiustificato che se ne fa. Molti blog appena nati, partono subito con un campo CAPTCHA installato. Penso che la regola “prevenire è meglio che curare” in questo campo non sia proficua.
Con Akismet installato e operativo i CAPTCHA secondo me passano non in secondo, ma in terzo piano.
Alla fine, sono disposto a dover moderare un commento di spam ogni tanto (si parla di una volta ogni qualche mese, anche se il mio blog non fa molto testo), piuttosto che dover riempire il form dei commenti con altri campi che avrebbero soltanto l’effetto di “spaventare” il lettore che vorrebbe solo lasciare un commento!
Comunque esistono altri metodi (molto basilari, e non del tutto affidabili, secondo me) per combattere o quantomeno tentare di limitare lo spam, senza doversi necessariamente affidare a sistemi fastidiosi come i CAPTCHA.
@ Andre: ciao, ad esempio, che altri metodi intendi?
Per esempio inserire un campo nel form e renderlo invisibile. Il BOT probabilmente tenderà a riempirlo, mentre la persona che sta compilando il form, non vedendolo, lo lascerà vuoto.
A questo punto, facendo un controllo su quel campo, dovrebbe essere relativamente semplice distinguere tra essere umano e BOT.
Non è granché, ma ci si può lavorare su.
Ne avevo trovato un altra di tecnica che consisteva nel generare una stringa con un algoritmo a partire da tre numeri, sia lato server sia lato client con javascript, e al momento del commento fare un confronto. Si basava sul fatto che il bot non interpreta js e che non sapesse dell’algoritmo.
C’è il problema della degradabilità, perché i commenti sarebbero stati preclusi ai visitatori con js disabilitato.
In ogni caso, il buon vecchio “di che colore era il cavallo bianco di napoleone?” è potenzialmente molto più proficua di un “3+2?”
Secondo me sì, anche perché varia in base alla lingua e non è detto che un BOT la sapppia riconoscere/sappia produrre testo in quella lingua.
E’ interessante, comunque, anche la tecnica che utilizza Textpattern per lo spam: niente Akismet, niente CAPTCHA, ma semplicemente invece che postare direttamente il commento, Txp prima mostra un’anteprima e poi, dopo un altro submit, lo pubblica.
I BOT di solito inviano il form una volta sola, di fatto non producendo nulla più di un’anteprima ;)
E’ vero che i bot attuali non in grado di interpretare JS, ma non per questo possiamo assumere per certo che non riescano a farlo, in fondo basterebbe utilizzare gecko o khtml per creare un bot che sia in grado di interpretare tranquillamente anche i contenuti JS.
@Andre
Possiamo realmente assumere che un bot faccia solamente un submit ? Quanto ci vorrebbe ad adattare un codice di un bot a continuare con il secondo submit ?
L’unico sistema è quello di realizzare sistemi che siano interpretabili solamente da un essere umano, tutto il resto è tranquillamente bypassabile via software.
Paolo il tuo è un ottimo spunto, personalmente però prima di entrare troppo nel tecnico devo “studiare” ancora un po l’argomento bot.
Tu quale sistema “interpretabile solamente da un umano” reputi sia il migliore?
@Laburno
A dire la verità non è che io sia un esperto di Bot, ma da sviluppatore so cosa puo essere utilizzato per sviluppare questi sistemi e non vedo disabilitare JS come una vera soluzione, proprio perchè utilizzando i motori di rendering Mozilla/Konqueror sarebbe semplice portarsi dietro anche l’interprete JS.
Quali sono i sistemi non interpretabili ancora dalle macchine ?
Tutto quello rincodubile ai sensi di un essere umano, quindi la vista (cosa che sfruttano gli attuali captcha) e l’udito, ovviamente oltrepassare sistemi software in grado di risalire euristicamente al risultato prodotto, non per caso le immagini captcha sono cosi distorte.
Hai ragione trovo totalmente inutile far eseguire operazioni aritmetiche o cose di questo tipo.
Bisogna cercare di studiare sistemi in cui solamente un essere umano, sia in grado di poter sviluppare e superare la barriera di sicurezza, dato che al momento le macchine ancora non hanno grandi capacità di analisi autonome :)
Ciao