Accessibilità dei CAPTCHA

di

Traduzione dell’articolo di Gez Lemon “Accessibility of CAPTCHA” pubblicato il 10 settembre 2006 su  Juicy Studio

Premessa

La tecnica denominata CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart) è utilizzata nel tentative di differenziare gli umani dalle macchine basandosi sulle sole abilità. DI qualunque tipologia esse siano, sensoriali, legate alla mobilità o cognitive, un test sulle abilità degli utenti creerà sempre e comunque delle barriere insormontabili per alcune persone, ancor più quando molte di esse affette da menomazioni sensoriali si basano su macchine come gli screen readers per bypassare tali menomazioni.

Quello che i servizi online realmente vogliono sapere, allo scopo di proteggere le loro risorse, non è il livello di abilità delle persone dall’altra parte della connessione, ma se la sessione corrente è sicura o no. Questo articolo si rivolge al networking sociale per capire se il problema della sicurezza è risolvibile prescindendo dalle abilità degli utenti.

Perchè i CAPTCHA non funzionano

I siti Web che hanno intenzione di proteggere le proprie risorse, utilizzano spesso un CAPTCHA allo scopo di evitare che I robots possano abusare dei loro servizi (consulta il rapporto del progetto WAI sull’inaccessibilità del CAPTCHA http://www.w3.org/TR/turingtest/). Essi cercano di distinguere gli umani dai robot attraverso un test sulle abilità, per esempio richiedendo ad un umano di riconoscere delle lettere all’interno di un’immagine distorta, o parole all’interno di suoni distorti. La distorsione è necessaria perché i robots utilizzati per infrangere tali difese possono contare su algoritmi molto sofisticati, e spesso superano gli umani nel decifrarli. 

CAPTCHA multipli

Avendo preso atto dei gravi problemi di accessibilità del CAPTCHA, alcune aziende hanno predisposto più metodi in parallelo, come un CAPTCHA visuale affiancato da un CAPTCHA sonoro. Pur essendo questa soluzione migliore del metodo singolo, non può essere utilizzato dalle persone che hanno più di un a disabilità (è cosa comune). Ed è improbabile che un utente anziano possa riuscire ad utilizzare un servizio che pretende di discernere tra umani e robots basandosi solo sulle abilità sensoriali, proprio mentre esse tendono a diminuire con l’età degli umani, non dei robots.

Alcuni servizi potrebbero persino arrivare a porre all’utente delle domande semplici, incredibilmente semplici per un umano, ma difficili per un computer. Un esempio potrebbe essere: “Di che colore è un’arancia?” con affianco una casella di testo per inserire la risposta. Potrebbe sembrare un approccio del tutto ragionevole, ma esso potrebbe causare problemi ad utenti con disabilità cognitive, così come a quelli che non conoscono bene la lingua utilizzata in quella pagina. Le domande che non potranno che essere semplici si basano necessariamente su schemi semplici, e saranno quindi superate con relativa facilità dai robots.

Oscurità come tecnica di difesa

Un’altra tecnica sorprendentemente popolare è la sicurezza per oscurità! Pur non potendo considerarsi questa una seria difesa contro un attacco online, su queste tipologie di tecniche si concentrano di solito molte attenzioni in quanto esse appaiono a prima vista efficienti.

Si tratta di successi quasi sempre di breve durata se la tecnica guadagna abbastanza attenzione e visibilità, visto che – per loro stessa natura – esse sono incredibilmente facili da superare. Ciò nonostante, i servizi generalmente richiedono all’utente di fare i salti mortali per il loro utilizzo.

Se il servizio che state fornendo non è caratterizzato da una richiesta molto elevata, l’oscurità avrà successo assai limitato; se qualcuno avrà intenzione di utilizzare il vostro servizio, l’oscurità avrà la stessa efficacia di una pentola di cioccolato!

Personalmente, credo che gli sviluppatori che si ostinano a distinguere gli umani dalle macchine non stanno chiedendosi la giusta domanda. Realisticamente, il loro scopo non è di sapere quali siano le capacità di ciò o colui che si trova dall’altra parte della connessione, bensì il suo livello di affidabilità. Testare le abilità non è la stessa cosa di testare l’affidabilità, ed è proprio quest’ultima a rientrare nell’interesse di un servizio che cerca di proteggere le proprie risorse. Sfortunatamente, l’affidabilità è un tratto difficile da testare.

 

Condividi:

Roberto Castaldo

Sono nato e vivo a Napoli, ed opero professionalmente nel mondo dell'informatica da più di vent'anni. In realtà l'informatica, insieme alla musica e ad altre poche cose, è stato da sempre un mio chiodo fisso, e la buona sorte mi ha aiutato a trasformarlo in un mestiere. Sin dalle mie primissime esperienze lavorative - insegnavo dattilografia ed i primi rudimenti di informatica in una scuola privata - mi sono trovato a mio agio nel settore della formazione e della divulgazione, certamente aiutato dai miei studi classici. Nel 1987 ho iniziato la mia attività come insegnante d'informatica in un Istituto Professionale Statale - per circa due anni sono stato il più giovane insegnante di ruolo d'Italia. Ho avuto svariate esperienze anche nel settore privato come sviluppatore (TPascal - lo ricordate? - VB, ASP e, più di recente VB.NET ed ASP.NET), ma soprattutto come docente e come divulgatore. Ho effettuato attività di formazione presso le più grandi realtà imprenditoriali italiane (IBM, Omnitel, Telecom Italia, TIM, Unicredito, Ekip, BNL, SSGRR), ma anche all'estero in qualità di docente e/o progettista di percorsi formativi; gli argomenti spaziano dal mondo Office fino al multimedia ed alla programmazione avanzata ASP ed ASP.NET. Ho collaborato con l'Istituto Italiano per gli Studi Filosofici di Napoli, ho redatto articoli/tutorial per un'importante rivista informatica (Win98 Magazine), ed ho partecipato allo sviluppo di CD-Rom Multimediali (IBM, Selfin, BNL) curando personalmente la registrazione dei commenti audio ed il montaggio delle musiche (CoolEdit), l'eventuale connessione a database remoti, l'assemblaggio degli elementi testuali, grafici e multimediali (Director 8) fino alla creazione del master definitivo. Negli anni 1998-2000 ho collaborato con la Gazzetta dello Sport Online curando, in occasione dei più importanti avvenimenti sportivi (Mondiali ed Europei di calcio, Giro d'Italia, Campionato di Serie A) le pagine contenenti la traduzione in inglese e francese degli articoli in italiano. Il mio compito consisteva nell'inviare ai miei traduttori la cronaca in italiano, riceverne la traduzione, creare le pagine inglesi e francesi del sito www.gazzetta.it e pubblicarle sul server, il tutto entro 90 minuti dalla fine dell'evento. Nel frattempo, mi avvicinavo in maniera sempre più approfondita alle problematiche legate all'accessibilità di siti web, progettando percorsi di formazione ad hoc, ed aderendo entusiasticamente al progetto webaccessibile.org. Sono stato per diversi mesi membro del XML Protocol Working Group del W3C, ed attualmente partecipo ai lavoro del WAI Web Content Accessibility Guidelines (WCAG) Working Group e del E&O Education ad Outreach Working Group.