Сергей!

Какую задачу решает капча? Кажется, ответ очевиден: значительно затрудняет автоматизированный спам сайта или накрутку счётчиков. Но одновременно капча — это презумпция виновности: пользователь, ты бот и спамер, докажи сайту, что это неправда. Это перекладывание проблем программистов на плечи пользователей: мы ничего не смогли придумать, чтобы предотвратить спам на сайте, поэтому решайте проблему сами — вводите капчу.

Для программиста капча выглядит, как серебряная пуля, но для пользователя она выглядит так:

или так:

Как же выжить без страшной капчи, не утонув в море спама, накрученых счётчиков и взломанных учёток? Признаюсь, у меня нет универсального рецепта и, скорее всего, его нет в принципе.

Зато есть методика борьбы с ботами. Для начала просто не надо делать капчу нигде, и, возможно, она вам никогда не понадобится. Если у вас сайт с посещаемостью до десяти тысяч человек в день и начался автоматический спам, вашу форму нашёл какой-то универсальный робот-спамер, который просто бездумно спамит, где может.

• Вот несколько нехитрых приёмов для борьбы с бедой:
• Переименуйте некоторые обязательные поля формы, например text или message в 0sfwa12dsa. Можно даже делать их динамически генерируемыми, но по какому-то правилу: к примеру третья буква — f, шестой символ — цифра, на конце a. Но не стоит делать так с полями, которые используются браузером для автоподстановки, типа имени и электронной почты.
• Сделайте яваскриптовую проверку на «маусмув» и «кейап/даун» с каким-то хитрым алгоритмом передачи на сервер.
• Сделайте проверку из переменных, но взаимозависимых значений в скрытых полях. Например, сгенерируйте яваскриптом два поля с числами и третье с их суммой, а на сервере проверьте, совпадают ли данные.

С очень большой вероятностью тупой бот перестанет вас беспокоить, если не с первой итерации, то со второй или третьей. Какой смысл его владельцу играть с вами в игру, в которой постоянно меняются правила, если у него ещё миллион сайтов, чтобы спамить?

В случае, когда спамят именно ваш сайт, с одной стороны, бороться сложнее, а с другой проще. Вы можете изучать противника. В любой автоматизированной деятельности обязательно есть шаблон. Ваша задача — этот шаблон найти и использовать для выявления бота. Надо быть готовым к длительной холодной войне со спамерами, они будут менять алгоритмы, чтобы обойти вашу защиту.

Что касается голосований, то тут всё легче. Если ваш опрос шутливый («Кто победит в битве двух йокодзун: слон или кит?»), то нет никакого смысла защищать его. Если же важен каждый голос, то система должна учитывать голоса только узнанных ею пользователей (я намеренно не пишу «зарегистрированных пользователей», так как регистрация — тема другого разговора).

Единственное место, где, по моему мнению, уместна капча — это форма логина куда-то, где хранятся очень личные или финансовые данные пользователя. Но даже в этом случае она должна появляться после трёх-пяти неудачных попыток входа.

Борьба с ботами на сайтах с пользовательским содержанием начинается с проектирования. Возможно, стоит предусмотреть переключение между пре- и постмодерацией того, что пользователи пишут вам на сайт. Ещё можно внедрить мониторинг и оповещения о похожих сообщениях от одного пользователя или айпишника с возможностью бана и удаления всех этих сообщений.