Googleの新しいreCAPTCHAでのテスト

古いCAPTCHAをこれで置き換えない理由はありません。

CAPTCHAは厄介なものであり、セキュリティ研究者によって終わりがないように最適化されているにもかかわらず、正当なユーザーにとってはひどい失敗率です。セキュリティエンジニアに最初に言われるのは、ユーザーが正当ではないと考える理由がない場合は、CAPTCHAを提供しないことです。

CAPTCHAの額面

鉱山の同僚は現在、人々が3つの異なるタイプのCAPTCHAをどのように認識し、最終的に好むかを評価しています。提案された3つのソリューションをランク付けするよう参加者に依頼し、「CAPTCHAをまったく使用しない」、「CAPTCHAが異なる」という2つの回答を追加しました。

一部の参加者didは、CAPTCHAを必要としています（ただし、「まったくCAPTCHAなし」とランク付けされていません）が、既存のものには満足していません（したがって、「別のCAPTCHA」）。もちろん、数字は示しません（継続的なテスト、結論を出す前にもっと多くの人が必要、未発表の作業など）。しかし、現在の傾向は、これらの参加者がCAPTCHAを使用するWebサイトを信頼性とユーザーのセキュリティに配慮したWebサイトに関連付けることを示唆しています（もちろん、 CAPTCHAを使用してユーザーを悩ませている量と、ユーザーのパスワードと個人を特定できる情報をどの程度適切に保存しているかには関係ありません。

私は実際、この仮説に基づいて、CAPTCHAの「スピナー」を実際のCAPTCHAと比較して、ユーザーの努力なしにCAPTCHAのセキュリティ認識の利点を得ることができるかどうかを確認する学生プロジェクトを提案していました。 Googleの最新リリースはそのプロジェクトに取って代わりました！

プライバシーの不平

ウェブサイトでユーザーのプライバシーがすでにアナリティクスや広告システムに公開されている場合は、ユーザーをGoogleに渡して、CAPTCHAに再度公開する必要がないようにすることもできます。

ただしユーザーがサイトを訪問したという事実が彼らに問題を引き起こす可能性がある場合（法執行機関、またはその会社や親類など）、Googleの両方のreCAPTCHA（閲覧履歴を1つのソースとして使用する）は避けてください。正当性の証拠、したがってそれを保存し、法執行機関がそれを明らかにすることを余儀なくされる可能性があります）または他のサードパーティのサービス。

寄付フォーム（MobileCause）を通じて詐欺に対するセキュリティのために組み込んだだけで、非常にうまく機能します。詐欺の可能性があるためにユーザーIPがブロックされた場合、IPを完全にブロックする代わりに、ユーザーがreCaptchaを通過して自分が本物であることを証明する必要があります。テストでは非常にうまくいきました。

しかし、それをテストするのはちょっと面倒でした（幸いにも、可能な限り簡単にするためにすべてをセットアップしていたので幸運でした）。 「あなたは人間ですか」テストのタイプでは、Googleアカウントにログインしていない（つまり、シークレットウィンドウを開いてすべてのテストを実行する）必要がなく、reCaptchaにはさまざまなタイプのテストがあるため、さまざまなシナリオを実行する必要があります。寿司の名前（これはよく笑います）、基本的な算数、画像マッチングなどです。すべてをテストしたかどうかは定かではありませんが、モバイルでもテストする必要がありました。

とはいえ、慈善団体に寄付をする用意がない限り、プラットフォームでテストすることはできません。もしそうなら、素晴らしい！メッセージを送ってください。私はあなたと協力して、それがどのように機能するかを示します。