Técnicas de CAPTCHA

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) é um recurso amplamente usado nos dias de hoje. Porém, seu mau uso gera conteúdo inacessível a usuários com deficiência visual ou deficiência de aprendizagem, como dislexia.

CAPTCHA consiste em um teste para verificar se quem está acessando o site é, deveras, um ser humano e não um robô (como um bot de busca ou de spam). Normalmente é exibida uma imagem com letras e números distorcidos, os quais devem ser digitados pelo usuário numa caixa de texto. Apesar de ser o mais usado, é o menos acessível.

Exemplos de imagens de CAPTCHA

Porém, há diversas outras formas de se fazer uma verificação CAPTCHA. Por exemplo, é possível gerar contas matemáticas simples, para que o usuário forneça a resposta. Também é possível adicionar campos hidden (ocultos) ou campos invisíveis via CSS (numa div com “display:none”, por exemplo). Um ser humano não preencherá esses campos, logo, se forem enviados com valores diferentes de vazio, conclui-se que o usuário é um bot.

Vamos a alguns exemplos simples.

Usando o método comum, de imagem

form.php

1
2
3
4
5
6

<form method="post" action="verifica.php">
<p>Digite o código exibido na imagem</p>
<input type="text" name="codigo" id="codigo" />
<img src="img.php" />
<input type="submit" value="enviar" />
</form>

img.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14

<?php
session_start();
 
$_SESSION['codigo'] = rand( 1111, 9999 );
 
$im = imagecreate( 45, 20 );
$background_color = imagecolorallocate( $im, 255, 255, 255 );
$text_color = imagecolorallocate( $im, 255, 15, 40 );
imagestring( $im, 15, 2, 2, $_SESSION['codigo'], $text_color );
 
header( "Content-type: image/png" );
imagepng( $im );
imagedestroy( $im );
?>

verifica.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14

<?php
session_start();
 
if ( $_POST['codigo'] == $_SESSION['codigo'] )
{
	echo "código correto";
}
else
{
	echo "código errado";
}
 
session_destroy();
?>

Esse exemplo é bem simples, apenas o básico do sistema. Dá para melhorar a imagem, criptografar o código na sessão, a fim de evitar que o número seja visualizado por meio de scripts ou códigos maliciosos, com o intuito de burlar a identificação.

Gerando contas matemáticas simples

Também é possível gerar alguns cálculos matemáticos simples, para verificar se o usuário não é um bot. Um exemplo simples:

1
2
3
4
5
6
7
8
9
10
11
12
13

// operando 1
$op1 = rand( 1, 20 );
 
// operando 2
$op2 = rand( 1, 20 );
 
// operador
$operador = array( '+', '-', '*', '/' );
$operador = $operador[ array_rand( $operador ) ];
 
$expressao = $op1 . $operador . $op2;
eval( "\$valor = $op1 $operador $op2;" );
echo $expressao . ' = ' . $valor;

Nesse caso, bastaria comparar o conteúdo de $valor com o número enviado pelo formulário. Claro que dá para fazer melhorias, como verificar se, quando for divisão, o resultado é inteiro, ou verificar se uma subtração não gera números negativos etc.

Campos ocultos

Uma forma que conheci há uns dias é verificar o preenchimento de campos ocultos. Geralmente os bots preenchem todos os campos encontrados no código-fonte HTML. Logo, também preencherá um campo oculto. Se isso ocorrer, saberemos que ele é um robô.

É possível usar um campo do tipo hidden ou um text comum, oculto via CSS. A vantagem de um campo text oculto por CSS é a dificuldade de o bot descobrir que o campo é invisível. Um campo do tipo hidden é facilmente identificado no código-fonte. Porém, podemos usar o seguinte código:

E definiremos a classe CSS “oculta” num arquivo CSS à parte, a fim de dificultar a leitura do bot:

.oculta
{
    display: none;
}

Assim o campo será lido pelo bot como um campo de texto comum, mas ele não saberá que é oculto, logo o preencherá.

Essas foram apenas algumas técnicas alternativas à tradicional imagem de autenticação. Pesquisando no Google, há diversas outras opções, mas a lógica não difere muito da apresentada aqui.

Links interessantes:
http://www.maujor.com/w3c/turingtest.html
http://www.captcha.net
http://recaptcha.net