我正在使用 rails 3 下的 devise 身份验证插件。目前,我已禁用电子邮件确认,因此注册非常简单快捷。
我想知道是否需要某种验证码来保护网站免受机器人攻击。我想避免让我的数据库充满虚假用户,尽管这不会对系统造成太大伤害(除了填满磁盘!)。
如果强烈推荐验证码,如果登录/注册仅限于 HTTPS,是否也适用?机器人是否使用 HTTPS?
最佳答案
我认为这是必要之恶。希望我们不必使用它,但我们并不生活在理想世界中。 Image twirly captcha 绝对不美观,应该避免使用。
我认为您需要对验证码和您使用的验证码类型保持灵活。该战略将会而且应该不断发展。
最初当您没有很多用户时,您可能会完全避免使用验证码。一旦事情开始加速,你开始在系统中看到机器人,就去寻找不可见的验证码(或反向验证码)。反向验证码基本上依赖于某些未被人类填充的字段来识别人类(通过使用 css 使其不可见,将人类看不到的字段放在表单上;机器人会找到该字段,填充它,如果字段被填充,你知道它不是人类;如果你愿意,可以是蜜 jar 场)。
最终,当您的网站变得非常流行,并且成为机器人的目标时,您会选择更难破解的验证码,但用户可能会为了注册到您非常受欢迎的网站而忽略它。
所以从没有验证码开始,然后进化。
关于ruby-on-rails - 设计身份验证 : captcha necessary?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4517238/