Hướng dẫn có ích cho những người mới bắt đầu:

Kinh nghiệm sử dụng CAPTCHA

21. 7. 2006. bởi Matej Šarić

Giới thiệu

Tôi không định nói về spam - chắc bạn đã biết những gì cần biết về nó. Không những thế, tôi cá là bạn còn biết nhiều hơn những gì cần biết. Điều bạn muốn là biết ít hơn về nó và thậm chí không có spam càng tốt.

Cơ hội là, nếu bạn cố gắng biết ít đi về spam, bạn hãy sử dụng CAPTCHA để bảo vệ trang web của bạn.

Vì thế, sau đây là một vài gợi ý có ích cho bạn nếu bạn mới bắt đầu sử dụng CAPTCHA:

1. Hãy cân nhắc giữa cái được và giá phải trả
2. Luôn luôn đưa ra giải pháp thay thế
3. Đừng hy vọng một giải pháp bảo mật hoàn hảo
4. Chắc chắn mình đang sử dụng một giải pháp bảo mật 'đủ tốt'

Hãy cân nhắc giữa cái được và giá phải trả

Vấn đề đặt ra

CAPTCHAs rất có ích trong việc: Ngăn chặn việc gửi. Hầu hết các trường hợp nó ngăn việc gửi tự động không mong muốn, nhưng đôi khi nó cũng chặn luôn việc gửi có chủ đích của con người.

Không làm phiền người sử dụng với việc sử dụng tới 3 CAPTCHAs trên một trang web, cũng không để spam làm phiền họ là việc tuyệt vời. Nhưng điều này có vẻ là không thể. Và nhiệm vụ của bạn là cẩn thận cân nhắc sự kết hợp giữa những lựa chọn để có kết quả mong muốn (chấp nhận được).

Trên hết, đó là câu hỏi giữa Tính bảo mật và Tính dễ sử dụng. Tính dễ sử dụng: Cân nhắc trang nào, tác vụ nào đáng được bảo vệ? Bảo vệ trang nào thì chỉ khiến người dùng khó chịu (đồng nghĩa với việc đuổi khách hàng của bạn sang trang web của đối thủ cạnh tranh) mà không đem lại hiệu quả bảo mật?

Giải pháp

May mắn là người dùng đã làm quen với CAPTCHA. Nhưng đừng bao giờ lạm dụng sự kiên nhẫn của họ, và sử dụng CAPTCHA ít nhất có thể - ví dụ, chỉ khi nào bạn chắc chắn rằng cần phải sử dụng nó. Trong khi bạn đang sử dụng CAPTCHA để ngăn chặn spambots, lưu ý rằng lý do để bạn cố gắng ngăn chặn spambots là làm cho trang web của bạn dễ sử dụng hơn, dễ đọc hơn và gây hứng thú cho khách hàng của bạn.

Vì thế, đối với mỗi trang trong website của bạn nơi mà người dùng có thể gửi thông tin:

1. chắc chắn rằng nó hoạt động trơn tru với người dùng hợp pháp trước tiên
2. sử dụng CAPTCHA, chắc chắn rằng nó có thể ngăn chặn spam mà không ảnh hưởng đến 1)

Luôn luôn đưa ra giải pháp thay thế

Vấn đề đặt ra

Chữ cái "T" trong từ "CAPTCHA" là từ viết tắt của "Turing Test" ("Phép thử Turing"), là cách nói với ý nghĩa sự phân biệt giữa con người và các chương trình máy tính. Để làm được việc đó, nó đưa ra một vấn đề để thử thách - về bản chất là nhận dạng bằng mắt.

Điều đó thực sự khó khăn (nếu không muốn nói là không thể) để giải quyết với những người khiếm thị, những người bị mù màu, hay thậm chí không thấy gì. Thêm nữa, khi các giải thuật để bẻ gãy CAPTCHA phát triển, thì phép thử CAPTCHA hiện đại phải càng ngày càng khó, đó là một sự thử thách ngay cả với người mắt tốt.

Giải pháp

Chỉ cần đảm bảo rằng mọi khách hàng của bạn (kể cả những khách hàng gặp khó khăn trong việc đọc ký tự CAPTCHA) có cách thay thế để truy cập được vào những trang đã được bảo vệ. Quan điểm là đối xử công bằng với mọi khách hàng.

Bạn có thể cung cấp các phép thử CAPTCHA thay thế mà không sử dụng hình ảnh CAPTCHA (ví dụ như âm thanh CAPTCHAs, giải ô chữ...). Hay bạn có thể cung cấp địa chỉ e-mail để khách hàng có thể liên lạc với quản trị web cho họ quyền truy cập mà không cần thông qua CAPTCHA.

Đừng hy vọng một giải pháp bảo mật hoàn hảo

Vấn đề đặt ra

Chắc chắn rằng bảo mật tuyệt đối chỉ có trong tiểu thuyết. Điều này đúng với mọi giải pháp bảo mật cho máy tính (trong đó có CAPTCHA). Điều lạ là chúng ta không phải lo lắng gì về điều này. Nhưng nó là điều mà chúng ta phải suy nghĩ.

Bắt đầu với điều này: Với đủ thời gian, công sức, công cụ, và kiến thức, bất cứ giải pháp bảo mật nào cũng có thể bị bẻ gãy. Đó có lẽ là chân lý đầu tiên của công việc bảo mật. Nhưng điều đó không có nghĩa rằng giới hạn bảo mật nào cũng sẽ bị bẻ gãy.

Giải pháp

Ý tưởng ở đây là không cố làm cho website của bạn không thể bị tấn công, mà làm cho nó rất khó, không hiệu quả, và nói chung là không đáng công sức để tấn công vào trang web của bạn.

Chỉ làm những việc mà bạn bỏ công chín thì những kẻ có ý định tấn công phải bỏ công mười. Bạn không thể và không muốn bảo vệ mọi thứ. Với những phần mà bạn có thể và muốn bảo vệ, bạn không thể bảo vệ nó một cách hoàn hảo. Hãy cố gắng làm quen với điều đó.

Chắc chắn mình đang sử dụng một giải pháp bảo mật 'đủ tốt'

Vấn đề đặt ra

Ý tưởng cơ bản của CAPTCHA là tạo ra phép thử mà a) Hầu hết con người có thể vượt qua b) Hầu hết các chương trình spam với công nghệ hiện tại không thể vượt qua. Vậy thì bạn cho tôi biết, trong vòng 5 năm tới, con người hay chương trình máy tính tiến bộ hơn trong việc đọc những chữ đã bị làm biến dạng trong hình ảnh CAPTCHA?

Vậy thì, có ý nghĩa gì không khi cố gắng tăng tính bảo mật bằng cách biến dạng chữ trong CAPTCHA ngày càng nhiều hơn?

Giải pháp

Hãy sử dụng những giải thuật sinh ra CAPTCHA mà con người có thể dễ dàng đọc được. Dùng nhiều giải thuật như vậy. Thay đổi nó ngẫu nhiên. Và thay đổi ngẫu nhiên các thuộc tính của từng giải thuật.

Trong khi việc thay đổi giải thuật này không thể ngăn chặn mọi cuộc tấn công, nó làm cho việc nhận dạng tự động gần như là không thể. Trí tuệ nhân tạo hiện tại chưa giải quyết được việc tạo ngẫu nhiên quá nhiều như vậy. Dùng phương pháp này và những kẻ tấn công sẽ a) từ bỏ b) tìm ra giải pháp khác tốt hơn.

Tái bút:

(Được biết đến như là: Hãy thực tế)

Tận dụng khả năng của CAPTCHA, và tránh những phiền phức khi sử dụng nó, là điều không dễ. Đọc và áp dụng bài viết này có thể giúp bạn khởi đầu đúng hướng. Chỉ cần nhớ rằng, bạn còn phải tiếp tục làm theo nó.