Due sciocchezzuole

Per risolvere il problema dello spam nei commenti molti blog, compreso questo, usano il sistema dei captcha, ovvero una immagine al cui interno (in maniera più o meno distorta e su sfondi artificiosamente contorti) si trovano dei numeri e/o delle lettere.

Lo stesso metodo viene spesso adottato anche per altri form di registrazione.

Questo garantisce (dovrebbe garantire) che a scrivere il commento sia una persona e non un programma ma, oltre al fatto che in molti casi non garantisce un bel niente, pone delle umilianti restrizioni nei confronti dei ciechi o di chi in genere ha problemi gravi di vista.

Il problema è stato posto (per la prima volta in Italia, credo) da Elena B. su Punto Informatico di qualche tempo fa.

Elena propone anche delle interessanti alternative, in primis rimandando al W3C, poi segnalando un plugin per WordPress (che sto cominciando a studiarmi).

Il problema è particolarmente interessante da diversi punti di vista:

1. un segno di civiltà e rispetto
2. coniugare sicurezza e rispetto della legge Stanca sull'accessibilità
3. sfida intellettuale

E così, considerato che ho qualche giorno di (almeno apparente) calma, ho provato a cercare un approccio alternativo (e, a quanto mi risulta, poco battuto) al problema.

L'idea è quella di convertire delle sequenze numeriche casuali nella loro trascrizione per esteso (come si fa con gli assegni, per intenderci) e chiedere all'utente di riconvertire in cifre le parole così ottenute.

Forse è più esplicativo lo script stesso all'opera nella sua semplicità basic.

Ma c'è un problema (e non da poco): il mondo dei captcha è molto più complesso di quanto possa apparire in prima battuta.

Immagini anche di grande complessità possono essere decodificate con relativa facilità da programmi appositamente costruiti.

In questa pagina è possibile farsi un'idea più completa dello stato dell'arte di decodificare i captcha.

E dopo averla vista, ci si rende conto facilmente che il metodo a cui avevo pensato, almeno dal punto di vista della sicurezza, è davvero ridicolo.

Purtuttavia, non lo abbandonerò: anzi (se ne avrò il tempo) lo farò diventare prima un plugin per LifeType e (se ne avrò la voglia) anche per WordPress. Perché mi pare che si possa trovare, in questo approccio, una accettabile via di mezzo fra le esigenze di sicurezza e quelle di accessibilità (almeno finché le implicite debolezze non verranno sgamate dagli spammers).

Consigli, contributi, insulti sono bene accetti.

Se ne viene fuori qualcosa di interessante, rilascerò il tutto sotto GPL.

Update: Andrea Cristaudo mi ha scritto segnalando un suo (interessantissimo) articolo su php.html.it - in cui fa il punto della situazione e suggerisce delle direzioni - e un thread in cui la questione è stata dibattuta prima che su Punto Informatico.