在我的注册过程中,用户注册后,他们会收到通过电子邮件发送的验证链接,如果他们单击该链接,那么他们的帐户才会得到验证。但这种验证方法对于机器人来说是不是太容易了?
我认为电子邮件可以由机器人创建,但可以肯定的是,如果验证只是单击链接,那么它也可以由机器人自动完成。我不确定,因为我没有这样做,也不想测试它只是为了知道,但我的问题是这种验证方法是否有缺陷?
我正在考虑将验证码作为文本发送给用户,他们必须手动将其复制/粘贴到表单中,并且该表单受验证码保护。这是一个更好的主意吗?它有什么缺陷吗?
大多数建议都是关于验证电子邮件和使用验证码,您当然应该这样做,但请记住,这些方法都不是完全安全的。
电子邮件验证
机器人可以轻松地“点击”任何电子邮件中的链接。对于机器人作者来说,复制和粘贴某些内容会稍微麻烦一些,但也不会太烦人。一般来说,电子邮件验证就是这样——电子邮件验证。
您验证电子邮件是否可能由尝试注册的人控制,但当然,由于电子邮件通常通过不受信任的 TCP 以明文形式发送,并且依赖于不安全的 DNS,因此在我们全部使用 DNSSEC 并加密所有流量之前,它将轻松嗅探电子邮件并欺骗服务器和客户端。需要意识到的重要一点是,使用电子邮件验证,您只能在一定程度上确信与您交谈的任何人或任何东西确实是该电子邮件地址的用户。
图灵测试
回答只有人类应该知道答案的问题会更烦人,但考虑到您可能不会有无限数量的问题,机器人作者可能会将未知问题重定向到真人,并在任何问题重复时使用缓存的答案不止一次。回答像“什么是 12+8”这样的问题,就像我最近在一些网站上看到的图灵测试一样,完全适得其反,因为这个问题实际上是easier对机器人来说比对人类来说更重要。最流行的图灵测试可能是验证码,但在这里您也必须意识到它们可能会被愚弄。
首先,人们展示了规避验证码的方法,例如参见解码 reCAPTCHA来自 DEFCON 18 的演讲。许多验证码对于机器人来说更容易破译,因为它们是由易于逆向的算法生成的。 reCAPTCHA 扭曲也非常简单,但它们使用的单词是真实的扫描单词,这对于 OCR 来说很难,所以原则上它对于机器人来说应该更困难,但情况并非总是如此。
并且还可以在其他网站上显示您想要猜测的验证码,并让人们为您回答。还有黑市people实际上解决验证码,所以如果你的机器人作者不介意支付一打的两美分,那么无论这对人类来说有多困难,实际的人类无论如何都会解决它。
底线
最重要的是,使用任何机器人阻止技术总是会损害机器人所有者(垃圾邮件发送者或任何想要在您的系统中注册大量用户的其他人)愿意花费时间和精力的程度和金钱来做到这一点,以及你将容忍给你的用户带来多少不便,因为最终你将永远无法进行任何自动化测试来区分人类和机器人,而不会真正惹恼人类并疏远残疾人(有没有人曾经这样做过)试图猜测audioreCAPTCHA 版本?),而且你的机器人实际上可能是人力驱动的,所以可以这么说,不是真正的机器人,而是机器人。
这是一场军备竞赛,诚实的用户要为此付出代价。请记住所有这些。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)