rails - 选择验证码插件

Question

Rails 中有很多验证码插件，也有很多类型的用于防止垃圾邮件和泛滥的解决方案。所以这不仅仅是 Rails 的问题。

让我们看看我们有哪些类型的插件：

1.经典图片验证码（zendesk's Captcha、Simple_captcha、Validates_captcha、winton's Captcha、Raptcha）。

积极的：

• 可以有效防止自动解密（不确定 Simple_captcha，但似乎 zendesk 和 winton 的验证码都没有实现这一点，因为它们使用预先生成的图像（而不是按需），所以我们可能是垃圾邮件可以在这些图像上学习机器人）。

否定：

• 需要数据库表（至少是简单验证码。还不错，但他们会在使用后清理它吗？）。
• 需要 RMagick 或类似的（对我来说不是很实际，因为我的网站上已经有）。
• 手动解密失败（据我所知，图像为 $2/1000）。
• 对用户来说很烦人，可能会影响转化率。

2。 ReCaptcha（Recaptcha，Rack-recaptcha）。

积极的：

• 可以有效防止自动解密。
• 不需要 Rmagick 和 DB 表。

否定：

• 对第 3 方站点进行 api 调用。
• 手动解密失败。
• 比以前更烦人。

3.蜜罐（Negative-captcha、Trap_door、Reverse_captcha、Honeypot-captcha、Bouncy_bots、invisible_captcha）。

积极的：

• 用户不知道验证码存在。
• 不需要 Rmagick 和 DB 表。

否定：

• 可能无法自动解密（是否有任何机器人可以识别此插件？）。
• 手动解密失败。

4.基于文本的（Humanizer、Brain_buster、Gotcha）。

积极的：

• 不需要 Rmagick 和 DB 表（Brain_buster 除外）。

否定：

• 可能无法自动解密。
• 手动解密失败。
• 有点烦人（可以本地化）。

5.其他（Acts_as_snook）

积极的：

• 用户不知道验证码存在。
• 不需要 Rmagick 和 DB 表。

否定：

不知道是否有，因为它非常不寻常。但我认为它可能会在洪水泛滥的情况下引起问题，因为它有时需要帖子的审核。

6.类似 Akismet 的解决方案（不知道它们的效率）。

积极的：

• 用户不知道验证码存在。
• 不需要 Rmagick 和 DB 表。

否定：

• 对第 3 方站点进行 api 调用。
• 将用户的详细信息发送到第三方网站（非常非常糟糕）。

我还应该对我的网站说几句话。用户只能在 ajax 请求后看到受保护的表单（例如，在将某些东西放入购物车之后）。现代机器人是否具有执行 ajax 请求和存储 cookie 的能力？

Answer 1

泛滥是与垃圾邮件不同的问题。您绝对应该在您的应用程序中构建有关速率限制的逻辑，您可以使用验证来检查用户在过去 15 分钟内没有下过超过 2 个订单。

关于验证码，您选择的任何插件都很有可能会很棒。我不会认为必须将 RMagick 安装为正面或负面的，它真的不难开始工作。如果是我选择，我的第一直觉会选择 recaptcha，这是最不烦人的。

垃圾邮件是另一个问题，它通常由可以绕过您的验证码的人类用户输入。 Akismet 非常适合捕获垃圾邮件，一定要看看它，你可以将它与 recaptcha 之类的东西结合使用。

最后，现代机器人非常复杂。远比我们任何人预期的要复杂得多。他们可以完全自动化浏览器，使用 OCR 读取验证码文本并生成垃圾内容，甚至可以绕过最复杂的过滤器。也就是说，这并不是要“阻止所有垃圾邮件/机器人”，而是要让进入门槛足够高，以至于对于普通用户来说不值得。

Answer 2

对现有插件的良好分析。

现代机器人非常复杂，他们的开发人员收入很高，所以他们总是试图绕过最新的防御。出于这个原因，我认为坚持使用积极维护和工作的选项是件好事，比如 ReCaptcha。我还认为，用户了解界面并知道您正在采取措施保护他们的数据感到安全。

我必须筛选项目的所有 Rails 验证码选项，并编写了一个示例应用程序供我的客户测试和试用。 simple-captcha-demo.heroku.com

它们都非常易于使用和设置，我喜欢使用 heroku 作为测试平台来快速设置某些东西，并让客户对其进行测试。 我还在我的博客RailsPerformance.com 上写了一些我的经验和陷阱

可能会有新的插件，看看流行趋势总是好的 www.ruby-toolbox.com