Innanzitutto spieghiamo il significato dell’acronimo CAPTCHA. Deriva da: Completely Automated Public Turing-test-to-tell Computers and Humans Apart,  ovvero Test di Turing pubblico e automatizzato per distinguere computer da esseri umani.

 

Un sistema antispam facile e veloce, grazie al genio di Turing

Alan Turing, nato nel 1912 a Londra è da considerarsi tra i padri dell’informatica, oltre che matematico e creatore di importantissimi procedimenti logici applicati anche al campo della decriptazione e criptazione. Ricordiamo il suo fondamentale contributo nella costruzione di macchinari che hanno permesso nella II Guerra Mondiale di decifrare i messaggi inviati dai servizi segreti tedeschi.

Il test di Turing al quale si riferisce l’acronimo, consisteva sostanzialmente nel sapere se, tramite una serie di domande e risposte, una macchina fosse in grado di sostituirsi ad un essere umano, ovvero dare risposte perfettamente sovrapponibili a quelle di un soggetto pensante.

 

A cosa serve, oggi, un Captcha?

Da circa 20 anni, su Internet, la presenza di un CAPTCHA in qualsiasi situazione dove sia necessario inserire dei dati (per esempio in richieste di codici, form, moduli da compilare) ha proprio lo scopo di stabilire se i dati inseriti siano di origine umana oppure siano frutto di automazioni. Se dovessero essere opera di robot informatici, il CAPTCHA ha il compito di impedirne l’utilizzo a fini malevoli.

Lo spam, i commenti, i tentativi molteplici di accesso avrebbero vita molto più facile se non ci fossero i CAPTCHA, che in fondo non sono altro che righe di codice inserite o richiamate nelle pagine Web ove si presenti la possibilità che queste siano “aggredite” da tentativi automatici di inserimento di dati.

Ti sarai spesso imbattuto anche tu, in almeno uno di questi filtri. Li riconosci?

Spesso i CAPTCHA si presentano sotto forma di richieste di inserimento di caratteri o numeri in un apposito campo. Talvolta la richiesta riguarda una grafica che riproduce un testo alfanumerico, spesso sfuocato e/o con lettere e numeri inclinati o sovrapposti, per interpretare il quale occorre prestare molta attenzione. È chiaro che un programma automatico farebbe molta fatica a compilare correttamente il modulo e quindi lo scopo di escludere automatismi viene raggiunto.

Oltre ai CAPTCHA testuali, ne abbiamo anche di

• Grafici
• Matematici
• Sonori
• Logici
• Gamification o fun CAPTCHA

I CAPTCHA grafici consistono solitamente nella richiesta di selezionare determinati di tipi di immagine, nell’ambito di un gruppo di immagini eterogenee, per esempio: “Selezionate tutte le immagini dove sono presenti delle barche” oppure: “Selezionare le immagini relative ad alimenti”, ecc..

Nei sonori, solitamente si richiede di ascoltare un file con al suo interno una sequenza di numeri da inserire poi nell’apposito campo. Ovviamente meno utilizzati in quanto di difficile applicazione per utenti di nazionalità diverse.
I filtri logici, sono quelli che richiedono all’utente semplici operazioni matematiche di cui bisogna inserire il risultato finale, per esempio:  2+3-5 =  ?

Nei gamification o fun CAPTCHA, si richiede invece di compiere una azione, ovvero di selezionare un oggetto tra alcuni proposti, in riferimento ad un altro esterno. Per esempio associare una bottiglia d’acqua con un bicchiere, una specie di giochino universalmente comprensibile. In questo caso non vi sono dati da inserire.

 

L’avanzata dei reCAPTCHA e dei filtri “invisibili”

 

Il CAPTCHA ha trovato la sua evoluzione nel reCAPTCHA (o Google CAPTCHA). Quest’ultimo presenta solitamente due termini da interpretare, tratti da digitalizzazioni o scannerizzazioni non chiare effettuate nell’ambito di progetti digitali Google. Vengono a tal proposito usati i Google Books oppure altri progetti di digitalizzazione (pagine di giornali, testi di libri e via discorrendo).

In tal modo, oltre alla protezione antispam, il reCAPTCHA ha permesso, grazie agli inserimenti online degli utenti (che vengono catturati dal server) l’interpretazione di un testo poco chiaro da parte della maggioranza degli utenti, permettendo di completare in modo automatico dei testi altrimenti poco chiari o illeggibili.

Da qualche anno hanno fatto la loro comparsa dei CAPTCHA praticamente invisibili (No CAPTCHA reCAPTCHA) dove solitamente viene richiesta solo la spunta di un check box, in seguito alla quale il sistema implementato nella pagina web è in grado di stabilire se la stessa sia stata inserita da un essere umano oppure no.

In pratica si tiene conto del comportamento dell’utente prima di pervenire al modulo o alla richiesta di registrazione. Dati come:

• IP di provenienza
• pagine visitate in precedenza
• tempi di permanenza e di scorrimento
• movimenti del mouse
• cookies, ecc..

vengono analizzati per fornire un dato molto attendibile circa il soggetto che vuole accedere alle pagine online protette.

Nel caso in cui il No CAPTCHA reCAPTCHA non riesca a stabilire se si tratti di un essere umano o no, allora comparirà una delle altre versioni sopra descritte.

 

Come inserire un CAPTCHA nel proprio sito

Iniziamo dalla piattaforma più utilizzata: WordPress. L’inserimento di un CAPTCHA in WordPress è relativamente semplice, dato che dispone di numerosi plugin adatti allo scopo

I plugin sono piccoli programmi che si possono caricare dall’interno della pagina di gestione di WordPress ed hanno le funzioni più disparate, in questo caso si tratta di impedire l’accesso non qualificato all’amministratore, oppure agli utenti, nonché impedire di aggiungere o postare commenti ad articoli o pagine.

Ogni giorno i siti in WordPress sono attaccati da tentativi di accesso e/o di inserimento di commenti di spam. In alcuni casi, usufruendo delle falle che vengono via via scoperte (e corrette non sempre in tempo), anche per mezzo di un semplice commento il sito può essere infettato e hackerato.

Tra i migliori plugin ricordiamo re CAPTCHA better WordPress. Con l’attivazione, il plugin richiede che vengano fornite le chiavi API pubbliche e private per utilizzare l’API Recaptcha di Google, si tratta quindi di un plugin che prevede la collaborazione di Google, quindi di alta qualità, tali chiavi vengono fornite sul sito di Google.  Tramite i settaggi il plugin impedirà in tutto o in parte, l’accesso alla pagina di login, oppure di registrazione, in caso di nuovi utenti, oppure ai moduli dei commenti.

Utilizzo in pagine web non WordPress

In questo caso la procedura è un po’ più complicata in quanto prevede una minima conoscenza del linguaggio php e html, le operazioni da compiere sono in linea di massima le seguenti:

1. se non lo hai già, crea un account Google
2. analogamente ai plugin di WordPress, accedi alla pagina: http://www.google.com/recaptcha/admin
3. inserisci i dati richiesti
4. copia le due chiavi che vengono prodotte: pubblica e privata
5. accedi alla pagina dove è presente la form
6. inserisci alcune righe di codice nella sezione hmtl, dove andrà inserita anche la chiave pubblica
7. inserisci una sezione php prima di quella html, tra le cui righe di codice dovrai inserire anche la chiave privata

Si tratta naturalmente di una infarinata teorica della procedura, giusto per conoscenza. Per i dettagli tecnici suggeriamo la pagina https://developers.google.com/recaptcha/intro

Vi sono anche altri CAPTCHA non dipendenti di Google, ma creati mediante script presenti nella pagina di inserimento o richiamati dalla medesima, ma sono sicuramente meno efficienti ed apprezzati di quelli forniti da Google.
Guest post a cura di Italo Bozuffi