Dette frustrerer meg litt nå:
Spamfilteret på kommentarene fungerer ikke optimalt.
(02.12.2010)
Disse anbefaler jeg:
| \ ReadWriteWeb.com | \ |
| \ IAllenkelhet.no | \ |
| \ Kuttisme.no | \ |
| \ TopicObserver.com | \ |
| \ UXMatters.com | \ |
| \ UsabilityPost.com | \ |
| \ Frilunsj.no | \ |
| \ JustAddWater.dk | \ |
| \ Alistapart.com | \ |
| \ Bekkelund.net | \ |
Du er her:
- Forsiden
- Brukervennlighet
- CAPTCHA me if you can
CAPTCHA me if you can
Martin Gjesdal, 23. oktober 2007
CAPTCHA er et hett tema i min lille verden for tiden. Jeg skrudde nettopp på kommentarer på KjerneDryss og jeg har fått kommentarer via e-post på at enkelte ikke får sendt inn kommentarer på grunn av CAPTCHA-koden.
For de vanlige menneskene som ikke vet hva CAPTCHA er, så er det den teknologien som brukes for å skille menneske fra maskin ved hjelp av en kode. Koden skal være vanskelig for maskiner å lese, men enkelt for den mennesklige hjerne å sette sammen. De forskjellige CAPTCHAene som finnes, varierer i vanskelighetsgrad. Les mer om CAPTCHA på Wikipedia.
Begrunnelsen
Hvorfor ønsker man å skille menneske fra maskin? Jo, i slike kommentarfelter har enkelte tvilsomme leverandører og spammere en tendenes til å sette opp automatiske tjenester som pløyer gjennom nettsider og leter etter skjemaer til å automatiske legge ut reklame for nettsted eller produkt. De er både irriterende og i en del tilfeller sjikanerende. Alt i alt uønsket.
Ved bruk av CAPTCHA får man skilt ut de fleste slike.
Ulempen
Jeg anser meg selv som svært opptatt av brukervennlighet og jeg synes det er kjempedumt å måtte legge ut slike potensielle blockere ved kommentering. Jeg har et sterkt ønske om å få kommentarer på postene mine. Dessverre er antispam-ønsket mitt høyere. Alternativet er å sitte og bla gjennom og godkjenne/ikke godkjenne hver kommentar.
Fellene
Jeg har delt fellene opp i to hovedkategorier
- Lesbarhet
Enkelte brukere har rapportert inn problemer med å tyde teksten. Av den grunn har jeg justert ned uroen i bildet og det er nå veldig enkelt å tyde. - Teknisk tilgjengelighet
Du må ha skrudd på cookies for at dette her skal fungere. Jeg har konkludert med at cookies må være skrudd på for at du skal kunne nyte KjerneDryss fullt ut. De som har cookies skrudd av, får en del ulemper andre steder på nett, så jeg antar de må være godt vant til å gå glipp av denne type funksjoner.
Mer om vår CAPTCHA
Den CAPTCHA-teknologien jeg bruker, er egenutviklet av CoreTreks mystiske utvikler som går under dekknavnet "atomic". Det er med vår CAPTCHA mulig å endre bakgrunnsbilde, støy-nivå og noen andre innstillinger. Alt i alt er det en meget bra utført CAPTCHA.
I tillegg til vanlig CAPTCHA, utviklet vi for Tagarno.no en CAPTCHA for blinde og svaksynte. Denne kommer med regnestykker i klartekst, f.eks "HVA ER TO PLUSS TRE". Svaret skal skrives inn som et tall, 5 i dette tilfellet. Det mener jeg er en god og tilgjengelig CAPTCHA.
Flere motargumenter
Min gode nettkollega Martin Bekkelund har også skrevet en interessant artikkel om CAPTCHA. Han er nok litt mer skeptisk til dette enn jeg er. Martin godkjenner kommentarene manuelt og har derfor kommet med en oppfordring til spammere om å gi opp.
Søk
Sist kommenterte artikler
- Wireframing for voksne
- Konverteringsrate Dyreparken 04.02.2012
- Ingen hovedmeny? Uhørt! 04.02.2012
Kommentarer
Frode
Jeg synes heller ikke CAPTCHA'er er noe stort problem. Det er en mye bedre løsning enn manuell moderering av innlegg. Hvis man skal vente i flere minutter eller timer før nye innlegg kommer opp, ender man opp med at diskusjonen går i runder, hvor 17 personer gir samme svar på en tidligere kommentar fordi det ser ut som den står ubesvart....
Bjørn Johansen
Jeg er enig i at CAPTCHA er en god løsning, men de bør være godt implementert for å fungere.
Du skriver at folk har klaget på at de er vanskelige å tyde, og dette er et vanlig problem. Jeg pleier å bruke AJAX til å kunne generere et nytt bilde hvis teksten er uleselig.
Sikkerhetsmessig bør man også kunne variere med forskjellige bakgrunner, farger, antall tegn og skriftsnitt og -størrelser.
Tar jeg ikke helt feil, så godkjenner Martin kun første innlegg fra en e-postadresse (det er ganske vanlig). Deretter går det automatisk.
Martin Gjesdal
Hei Bjørn
Det er riktig, men jo mer du varierer, jo vanskeligere kan det bli. Dette er en viktig og vanskelig problemstilling.
Når det gjelder godkjenning, så tar du helt feil :) Jeg godkjenner ingenting selv. Jeg kan sette opp at for den og den artikkelen må jeg godkjenne, men da må alt godkjennes. Jeg kan også låse kommentering enten manuelt eller sette en tidsfrist.
Jeg får vurdere spam-situasjonen dersom den oppstår.
Martin Bekkelund
Som Bjørn påpeker blir alle kommentarer hos meg lagt i en godkjenningskø. Hvis man får godkjent en kommentar blir påfølgende kommentarer publisert direkte, uten godkjenning fra meg. Unntak inntreffer imidlertid ved at kommentaren man skriver inneholder ett eller flere ord som finnes i et ordfilter som benyttes i tillegg til godkjenningsordningen. I tillegg må kommentarer med mer enn et visst antall lenker godkjennes, da en spam-kommentar typisk inneholder svært mange lenker.
Når det gjelder CAPTCHA er min dom klinkende klar. CAPTCHA er en utrolig bedagelig løsning på et problem som bør løses på andre måter. Sett fra et brukervennlighetsperspektiv er CAPTCHA en svært lite intuitiv løsning, som jeg også har diskutert grundig i kommentarene i artikkelen du henviser til, Martin. Kommentarene inneholder også skjermdumper som viser hvor ille det kan gå, til tross for at man tilsynelatende oppfyller alle de tekniske kravene.
Dersom man ønsker tilbakemeldinger via et skjema skal ikke brukerne oppleve noen form for motstand i prosessen. «Don't make me think» er et noe flåsete uttrykk jeg ikke alltid liker å bruke, men i dette tilfellet passer det svært godt.
Det finnes en lang rekke grunner til ikke å benytte CAPTCHA, og det er kun fantasien som setter grenser for hva som kan gå galt. Og det vil gå galt, for et eller annet har fantasien oversett. Hva med surfere via mobilen, som surfer uten bilder for å spare kroner i båndbredde? Disse har ikke alltid støtte for JavaScript heller. Hva med Adblock-løsninger som blokkerer bildet? Hva-med-listen kan fort bli svært lang, og inkluderer svært raskt noen momenter jeg ikke ønsker å risikere.
Nå krysser jeg fingrene og håper at denne lange kommentaren ikke forsvinner i det store intet, fordi tegnene jeg taster inn ikke ikke samsvarer med de i bildet. Det bringer meg for øvrig inn på et annet moment. Hvis man skriver en lang kommentar, trykker «Send», men har tastet feil kode og kommentaren forsvinner, kan du være nesten helt sikker på at brukeren ikke gidder å skrive inn kommentaren på nytt.
Arve Skjørestad
Jeg tror man må stille seg følgende spørsmål:
Er det <b>selve ideen om CAPTCHA</b> som er dårlig, eller er det bare mange av <b>implementasjonene som er dårlig gjennomført?</b>
Jeg mener at ideen er genial. Det å ha funksjonalitet for "Completely Automated Public Turing test to tell Computers and Humans Apart" er en -bra greie-. Det hindrer spam uten å være avhengig av et menneske og en manuell godkjenningskø, med alle de ulempene en manuell godkjenning fører med seg.
Alle som bruker internett mer enn en gang i måneden, har i dag fått med seg at spam og "angrep" mot blogger, nettbanker etc er et stort problem. Så lenge man bruker en linje på å forklare hvorfor, tror jeg de aller fleste aksepterer å måtte verifisere at de er et menneske og ikke en maskin.
Derimot er det mange <b>Implementasjoner av CAPTCHA</b> som kan beskrives som dårlige. Høye tekniske krav og bilder som er vanskelig å tolke. Bl.a. vår egen løsning, som Martin bruker her, krever både at brukeren skal tolke et bilde, samt at cookies er aktivert. Kanskje ville det vært bedre slik det er gjort på tagarno.no, med lette, tekstuelle spørsmål. På denne måten senker man kravene til den besøkende, både med tanke på hva nettleseren teknisk trenger å støtte (cookies, ajax/javascript, bilder), samt at man ikke trenger å måtte tolke et utydelig bilde.
Angående brukervennlighet, hva er verst: Å måtte bruke 15 sekunder på å besvare et spørsmål, eller å måtte vente 15 timer på at et menneske skal gi deg tilbakemelding på om det du har gjort, er godkjent? Jeg hadde valgt å bruke de 15 sekundene. Hver gang.
Poenget mitt er uansett at selve ideen er veldig bra, selv om mange av implementasjonene er dårlig utført. Og -det- er en viktig forskjell. Det skjer altfor ofte at folk forkaster gode ideer på grunn av dårlige implementasjoner av ideen !
Martin Bekkelund
Det spiller liten rolle om ideen er god, dersom det ikke finnes en eneste implementasjon av den opprinnelige ideen, slik du nevner, Arve. :-) Sånn sett er jo navnet CAPTCHA misvisende, da «Completely Automated» ikke er akkurat dét.
Jeg tar heller på meg jobben med manuell godkjenning fremfor å risikere at folk ikke ønsker eller klare å få igjennom en kommentar.
Jeg mener også at man har resignert når man tyr til verktøy for brannslukking for å løse et problem som kan og bør løses andre steder enn hos sluttbrukeren. Vi ser tilsvarende tendenser andre steder, eksempelvis med datavirus. Det er jo en helt hinsides tanke at det er mulig å produsere datavirus for systemer vi selv har laget, og bør ha full kontroll over.
Problemet er ikke at det tar 15 sekunder å utføre handlingen, men at det er rom for å gjøre feil eller tekniske krav som ikke er støttet i klienten.
Jeg kommer for øvrig til å skrive en artikkel om hvordan jeg administrerer kommentarer hos meg.
Arve Skjørestad
Jo - det spiller en viktig rolle i hvordan du forsøker å løse problemstilllingen din:
Hvis selve ideen/konseptet er dårlig, så finner du et annet konsept.
Hvis selve ideen/konseptet er god, men implementasjonen er dårlig, så gjør du implementasjon bedre istedet for å forlate det gode konseptet til fordel for et mye dårligere konsept.
Som sagt er jeg er ikke uenig med deg om at mange har implementert dette dårlig, men jeg mener at man rimelig lett kunne laget en god captcha: f.eks. en tekstbasert captcha med et tekstlig spørsmål og et lett svar er helt akseptabelt for brukere å måtte svare på.
Hva om man f.eks hadde hatt en spørsmålsdatabase på et par hundre spørsmål av typen "Hva heter kongen i Norge, Harald eller Per?" etterfulgt av et enkelt tekstfelt hvor brukeren oppga svaret. Her oppgir man faktisk svaralternativene tekstlig til brukeren, så det bør være lett for alle å besvare, samtidig som spørsmålet er umulig å parse for en maskin.
(En slik løsning vil nok dog ikke fungere for store siter som Google, hvor man risikerer at dedikerte hackere faktisk sitter og går gjennom alle spørsmålene dine og legger dem inn i angrepsprogrammet sitt, men for å stoppe "generelle spam-roboter" tror jeg det hadde vært haugen på nok)
Martin Bekkelund
Jeg har akkurat publisert en artikkel om CAPTCHA:
http://www.bekkelund.net/blogg/2007/10/24/captcha/
Når skal du tilby trackback forresten? :-)
Martin Gjesdal
Trackback er unødig forsøpling av kommentarene :)
Martin Bekkelund
Ikke hvis du klarer å skille dem fra hverandre, slik mange gjør. Jeg har plassert trackback og pingback i en egen liste, så lager de ikke støy innimellom kommentarene.
Eller var det et forsøk på å si at CorePublish ikke har støtte for å sende eller motta trackback / pingback? ;-)
Martin Gjesdal
Hehe. Ja, enig i at trackback og pingback må i egen liste. CorePublish har ikke støtte for dette ennå, men det står på planen :-)
Takk for mange nyttige kommentarer på CAPTCHA, folkens!