Какую максимально эффективную и простую капчу посоветуете?

Question

[weranda]

Искал капчу для проверки на роботность посетителя сайта. Знаю, есть популярные решения от Goggle & Cloudflare, но хотелось чего-то, что будет зависеть от сторонних ресурсов, т. е. будет работать из кода сайта без обращений во вне.

Искал максимально простые для посетителя капчи без действий типа «отгадай расположения гидрата, передвинь 1000 картинок» и т. п. В общем, классно было бы, если бы определение бота/человека работало на автомате, с минимальной тратой времени/ресурсов хоста и максимальной простотой для посетителя (максимум — одно действие).

Искал, искал — а ничего толкового вообще на нашел, вот прям совсем. Наверное, не там искал. Но наткнулся на этот вариант: https://github.com/altcha-org/altcha Почитал, написано: защищает сайт, все на автомате, просто подключается... Почитал, понял, что алгоритм работы такой: сервер формирует данные, отправляет их клиенту, клиент вычисляет (что-то там делает), отправляет серверу, сервер проверяет данные и возвращает результат. Защитит ли эта капча от поведенческих ботов или просто будет нагружать ресурсы бота и хоста заодно?

Если знаете классные варианты капчи (автономные и сторонние), работающей максимально просто для посетителя, буду рад увидеть ссылки на них?

Желательно, чтобы все это работало на ЯП = JS / PHP.

Comments

[Ankhena]

максимально простые для посетителя капчи без действий

Проверяете у себя на бэке перед отправкой. Пользователю вообще ничего делать не нужно.
Можно делить действия. Спам в топку, хорошие отправляем, сомнительные в премодерацию или на отдельный ящик/канал. Это как пример, всё зависит от того, что и от чего вы защищаете.

Тут обсуждали недавно
Нужно ли обычную форму обратной связи лендинга защищать от спам-ботов?

[weranda]

Ankhena, А что толкового я могу на бэке проверить без JS? Я не про отправку форм, а о поведенческих ботах. Я могу их по некоторым признакам предугадывать с какой-то вероятностью, и вот им я и хочу устроить усиленную проверку, но так, чтобы минимально создавать неудобства реальным людям.
Почитал по ссылке — есть там интересный подход: google определяет роботность без капчи, а там уже можно дипилить. Вот это круто, но, блин, сторонний сервис, а это палка о двух концах.

Answer 1

[Михаил Р.]

Искал, искал — а ничего толкового вообще на нашел, вот прям совсем. Наверное, не там искал.

Не совсем, таких капчей просто нет и не будет, т.к. продвинутая капча собирает инфу не только с Вашего сайта, но и с других, сопостовляя все, что делает пользователь. Самые эффективные капчи, которые не полностью защищают от накрутки ПФ - cloudflare (до перехода на сайт), рекапча и смарткапча после перехода.

Защитит ли эта капча от поведенческих ботов или просто будет нагружать ресурсы бота и хоста заодно?

Не эта, а любая капча - будет зависеть от технологичности бота. Как быть, когда бот человечнее Вас? Банить Вас?