Librarse de ReCaptcha

[isra00]

Motivos:

1. Dejar de alimentar gratis la máquina de espionaje global
2. Cuando salta el reconocimiento de fotos, es extremadamente incómodo e inaccesible
3. La landing page sin ReCaptcha pesa 76KB. Con Recaptcha, 1.6MB!

Requisitos:

1. Totalmente transparente al usuario humano.
2. No tiene que ser 100% efectivo, ya que podemos hacer revisiones de direcciones en CleanTalk como hace unos años y limpiar las spammers. Y aunque no nos diéramos cuenta, un usuario falso realmente no degrada el servicio ni causa problemas, más allá de engordar la métrica de nº total de usuarios (¿a quién le importa, anyway?). Además, si cribamos los usuarios sin rango cada cierto tiempo, los falsos (spammers) caerán también.
3. Teniendo en cuenta que NT no acapara gran atención, es de suponer que los spam bots son genéricos, es decir, no están programados específicamente para esta web. Por eso se podría aplicar la propuesta 2
4. ¿Podemos hacer algo sin JS? ¿Es realista querer evitar JS en pleno 2021?

Propuestas:

1. Honeypot. Implementación propia, muy sencilla, no necesita JS. Ojo! Si cambiamos el nombre del nos cargamos el auto-complete que los usuarios ya tengan en sus navegadores!! Pero se volverán a acostumbrar...
2. Pregunta sencilla en cada idioma Implementación propia bastante sencilla. Se puede hacer progressive enhancement desactivando por JS la pregunta de forma transparente, así si el usuario tiene JS no le sale la pregunta. Habría que ir viendo qué eficacia tiene, es decir, si se producen ataques de bots con JS.
3. Blacklist (CleanTalk $8/año). Eficacia incierta.

[isra00]

Sin ReCaptcha lo único que dejaría NT en el browser (storage, cookies) es la cookie "PHPSESSID". El resto viene de ReCaptcha:

[isra00]

Implementación actual del honeypot

Problemas:

• El "type" de password es email. Eso canta.
• El "password" (real email) es "required", mientras que el honeypot no. Eso canta.
• El honeypot se oculta con CSS: position: absolute; left: -1000px. Esto tiene la ventaja de que no canta tanto como un visibility: hidden o display: none; o , PERO puede ser un problema para usuarios ciegos, y algunos bots pueden detectarlo.

Conclusión: ir vigilando resultados...

[isra00]

FALTA QUITAR EL CÓDIGO DE RECAPTCHA!!

[isra00]

Chrome/Android: auto-complete funcionando ✔ Firefox/Android: no ❌

[isra00]

Goodbye honeypot

[isra00]

Acelerado el rendering de 0.6 a 0.5s!