我正在使用Rails 3下的devise身份验证插件。目前,我已禁用了电子邮件确认,因此注册非常简单快捷。
我想知道是否需要某种形式的验证码来保护网站食人魔机器人。我想避免数据库中充斥假用户,尽管这不会对系统造成太大伤害(除了填满磁盘!)。
如果强烈建议您输入验证码,如果登录/注册仅限于HTTPS,是否也是如此?机器人会使用HTTPS吗?
最佳答案
我认为这是必要的罪恶。希望我们不必使用它,但是我们不生活在理想的世界中。图像验证码绝对不美观,应该避免使用。
我认为您需要对验证码和使用的验证码类型保持灵活性。该战略将会并且应该发展。
最初,当您没有很多用户时,您可能会完全避免验证码。一旦事情开始兴起,您开始在系统中看到机器人,那就选择不可见的验证码(或反向验证码)。反向验证码基本上是依靠某些未被人类填充的字段来识别人类(通过使用CSS使人类无法在表单上看到的字段放在表单上;机器人会找到该字段,将其填充,并且如果这些字段被填充,您将知道该字段而不是人类;如果您愿意的话,是一个蜜 jar 田地)。
最终,当您的网站真正变得非常流行并且成为机器人的目标时,您会选择更难破解的验证码,虽然很难破解,但用户可能会忽略它以便注册到非常受欢迎的网站。
因此,从没有验证码开始,然后发展。