“CAPTCHA” – apsauga interneto svetainėms

Trumpiniu “CAPTCHA” yra vadinamas testas, kurio tikslas yra atskirti svetainės lankytoją žmogų nuo roboto (angl. bot). Testo metu jiems abiems siūloma atpažinti deformuotų ženklų eilutę, garso įraše minimą tekstą, atlikti matematinį skaičiavimą ar pagal tam tikrą kriterijų sužymėti paveikslėlius iš sąrašo. Paprastais žodžiais tariant – tai testas, kurį įveikti gali tik realus žmogus. “CAPTCHA” – gana plačiai naudojamas sprendimas interneto svetainėse, kuris leidžia išvengti automatizuotu būdu generuojamų kenkėjiškų užklausų. Šiomis užklausomis gali būti siekiama interneto svetainėje sugeneruoti ypač didelius kiekius komentarų, registruotų naudotojų ar kontaktinių užklausų, taip pat gali būti bandoma atspėti svetainės administravimo prisijungimo duomenis. Masinis tokių užklausų generavimas Jūsų svetainėje gali:

  • daryti įtaką svetainės greitaveikai (puslapių užkrovimas truks ilgiau) arba apskritai sutrikdyti svetainės veikimą (tarytum nedidelė ataka), o kai kuriais atvejais – ir serverio veiklą;
  • sugeneruoti milžiniškus kiekius įrašų svetainės duomenų bazėje – tai taip pat gali daryti įtaką svetainės greitaveikai (ilgiau truks svetainės generuojamų MySQL užklausų generavimas). Taipogi dėl gausybės įrašų duomenų bazės dydis gali pasiekti numatytą limitą (serveriai.lt paslaugose taikomas 1 GB duomenų bazių dydžio limitas);
  • lemti interneto svetainės įtraukimą į SPAM veiklą – programišių siunčiamuose SPAM tipo laiškuose gali būti naudojamos nuorodos į svetainės komentaruose patalpintą nepageidaujamą informaciją.

Taigi, Jūsų svetainėje esant bent vienai prisijungimo, registracijos, komentavimo ar kontaktų formai be “CAPTCHA” apsaugos, visos aukščiau išvardintos pasekmės gali padaryti pastebimą įtaką Jūsų svetainės greitaveikai, veikimui ar net reputacijai internete. Taip pat tai gali neigiamai atsiliepti serverio, kuriame talpinama masiškai užklausas gaunanti svetainė, veikimui ir dėl šios priežasties talpinimo paslaugai gali būti fiksuojamas sutarties sąlygų pažeidimas. Siekiant išvengti panašių nesusipratimų, rekomenduojame iš anksto pasitikrinti, ar Jūsų interneto svetainėje (-ėse) nėra reikalinga įdiegti “CAPTCHA” tipo apsaugą. Pateikiame rekomendacijas, kurios padės įvertinti poreikį “CAPTCHA” apsaugai ir kaip ją galėtumėte įdiegti savo svetainėje (-ėse):

1. Kruopščiai apžiūrėkite savo interneto svetainę (-es) ir patikrinkite, ar joje (-ose) nėra visiems lankytojams prieinamos:

  • registracijos (galimybės susikurti paskyros Jūsų svetainėje) formos;
  • prisijungimo prie svetainės administravimo formos;
  • užklausos svetainės savininkui išsiuntimo formos;
  • komentavimo atskiruose svetainės puslapiuose formų.

2. Aptikus bent vieną iš aukščiau įvardintų formų, atidžiai peržiūrėkite visus teksto įvedimui skirtus laukelius – ar matote laukelį, į kurį būtų prašoma įrašyti iškraipytus ženklus, matematinio skaičiavimo reikšmę, sužymėti paveikslėlius ar pan. (galbūt Jūsų svetainėje “CAPTCHA” apsauga jau yra įdiegta)?

3. Jei “CAPTCHA” tipo apsaugos pasirinktoje formoje neaptikote, ją įdiegti galite:

  • jei Jūsų svetainė kurta pasitelkus turinio valdymo sistemą (pvz.: WordPress, Joomla, Drupal…) ar el. komercijos platformą (pvz.: Magento, PrestaShop, OpenCart…) – “CAPTCHA” funkcionalumą prie įvairių formų gali suteikti nesudėtingai diegiami specialūs įskiepiai (angl. plugins). Rekomenduojame peržiūrėti naudojamos sistemos įskiepių sąrašą ir įdiegti pasirinktą plėtinį pagal turinio valdymo sistemoje numatytą būdą;
  • jei Jūsų svetainė yra unikali (suprogramuota pagal individualų užsakymą programuotojui ar jų komandai) – dėl “CAPTCHA” apsaugos įdiegimo rekomenduojame kreiptis į svetainę kūrusį asmenį/įmonę.

“CAPTCHA” nėra vienintelis ir esminis būdas užtikrinti interneto svetainės saugumą, tačiau šios apsaugos įdiegimas padeda išvengti su svetainės greitaveika, veikimu ar reputacija internete susijusių nesklandumų, taipogi ir situacijų, kai paslaugai fiksuojamas sutarties sąlygų pažeidimas, o pasekmių (pvz.: didelio kiekio komentarų, paskyrų svetainėje) šalinimui reikalinga skirti nemažai laiko ir pastangų. Kai kuriais atvejais tai gali pareikalauti ir papildomų išlaidų (pvz.: IT specialisto paslaugoms).

7 komentarai

  1. captcha savo ruožtu yra nepatogumas vartotojui. Kur įmanoma, galima naudoti alternatyvą – vartotojo užblokavimą. Tarkim, jam kelis kartus neteisingai įvedus slaptažodį – blokuoti tą IP adresą 5 minutėms. Taip apsisaugosite nuo brute-force bandymų atspėti slaptažodį.

    • Taip, Tomai, Jūsų minimas būdas būtų „draugiškesnis“ svetainės lankytojui žmogui, tačiau jis nepadėtų išvengti prisijungimo duomenų spėliojimo („brute force“ atakų) iš įvairių IP adresų, ką tenka gana dažnai pastebėti šių incidentų metu.

      • Aš nežinau kodėl kiti programuotojai nenaudoja, tačiau aš visuomet vietoje submit mygtuko naudoju SPAN elementą kuris atrodo kaip submit mygtukas. Gi robotai nežino, kad reikia spausti SPAN’ą. Jau 7 metus taikau šią praktiką daugiau nei 100 svetainių ir jokio spam’o niekas niekada negauna

        • Rolandai, robotai dažniausiai ir nespaudžia mygtukų, o submit’ina formą tiesiai į backend’ą. Tarkim naudojant Google reCAPTCHA patikrinimas atliekamasi ne tik frontend’e, bet ir backend’e. Aišku, su sąlyga, kad viskas tinkamai suprogramuota 🙂

  2. Jei ieškote paprasčiausio būdo sukurti interneto svetainę – rekomenduojame išbandyti mūsų dizaino įrankį ( https://www.dizaineriai.lt/ ).
    Į kitus Jums rūpimus klausimus maloniai atsakysime el. paštu ar telefonu, kurie nurodyti svetainės viršuje 🙂

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *