tl;dr Opowiadam o tym, dlaczego CAPTCHA jest do bani i na co ją wymienić.

Tutti prutti

Na obrazie Hieronima Boscha “Ogród rozkoszy ziemskich” jest taki koleżka, który ma w pupie fujarkę. Nie wygląda na zadowolonego. Zrobiłem nawet screenshota, żeby Ci to pokazać.

Za każdy razem, kiedy widzę CAPTCHA, jestem tym koleżką z fujarką. Za każdym razem, kiedy osoba, która używa technologii wsparcia dostępności musi korzystać z CAPTCHA, też gra na tej fujarce swoją melodię. Tak się nie da żyć.

O co właściwie tutaj chodzi?

Na początek trochę kontekstu. Od dość dawna ludziska zastanawiali się, jak rozróżnić interakcje robota (komputera) od tych człowieczych po to, by uczynić Internet nieco bardziej bezpiecznym. Ziomeczki w Carnegie Mellon University wpadły wreszcie na pomysł, który nazwano CAPTCHA (po polsku: “Kompletnie Automatyczny, Publiczny Test Turinga, Który Rozróżni Komputery od Ludzi”). Sprowadzało się to do tego, że pokazywano człowiekowi obrazki tekstu, których nikt przy zdrowych i niezdrowych zmysłach nie mógł łatwo odczytać, a potem proszono o podjęcie próby i wklepanie tego tekstu w inputa. Roboty, wtedy jeszcze mało zaawansowane, wymiękały na tym kompletnie. Ludzie też, ale zabawa była przednia. Raz na jakiś czas, jakiemuś superhumanowi udawało się to odszyfrować i wysłać ten cholerny formularz albo założyć to kolejne-jakże-potrzebne-konto. I może nie było by nawet tak najgorzej, gdyby nie to, że CAPTCHA wtedy, a właściwie i dzisiaj, opiera się w zasadzie wszystkim technologiom wsparcia dostępności. Jak Cię interesują mięsiste szczegóły to sobie przeczytaj o tym na stronie W3C, a jak nie, to siedź tutaj i poczekaj, aż Ci w skrócie wyjaśnię.

Dlaczego CATPCHA ssie?

1. Żeby rozwiązać wiele dzisiejszych CAPTCHA, potrzeba całkiem niezłych umiejętności motorycznych i poznawczych. A to trzeba przesunąć puzzla, a to odnaleźć wszystkie hydranty na fotach wyplutych chyba z telefonu Alcatel w 1996 roku.

2. CAPTCHA polegające na dźwiękach, niedorobionych alternatywach tekstowych i rozpoznawaniu kolorów także nie działają dla wielu osób.

3. CAPTCHA opóźnia wiele krytycznych procesów i przerywa często naprawdę skomplikowane procesy móżdżenia. Wybija ludzi z pantałyku. Osoby neuroróżnorodne dostają wpierdziel. Ja płaczę. Wg. artykułu opublikowanego przez Cloudflare w 2021 roku, ustandaryzowany człekoid zużywał 32 sekundy na każdą łamigłówkę. Szaleństwo.

4. Autobusy w Polsce wyglądają często inaczej niż autobusy w USA. Sygnalizatory świateł i hydranty też. Kontekst kulturowy, zwłaszcza w zetknięciu ze wspomniamymi wcześniej problemami poznawczymi nie jest łatwy do ogarnięcia.

5. Jak już mówimy o kulturze, to CAPTCHA często wykorzystuje język angielski - i w łańcuchach tekstów, które trzeba rozpoznać, i w samym opisie kontrolek. Pięknie. Jak ktoś nie zna angielskiego, to ma utrudnione zadanie.

6. CAPTCHA często dostarczana jest przez big techy takie jak Google, które naprawdę lubią sobie popatrzeć na to, co i kto i gdzie i po co się podłącza. Go figure.

7. W dobie AI i robotów, które potrafią ścielić łóżka i fikać kung-fu, jakieś mizerne arbuzy i hydranty wyklikiwane na ekranie mają taką efektywność, jak ja, kiedy próbuję wyrwać jamnikowi serdelek, co mi upadł ze stołu.

W praktyce CAPTCHA jest niczym innym jak leniwą ucieczką od odpowiedzialności za doświadczenie użytkownika. I niech mi nikt nie pisze, że Google reCAPTCHA v3, co to jest niewidoczna, jest lepsza. Lepsza jest może trochę, bo jej nie widać, ale i tak cały internet wypchany jest wersją 2 (czyli tymi hydrantami), a poza tym nie jestem pewien, czy to fajny pomysł mieszać Google w każde uwierzytelnianie.

A przecież są alternatywy!

Oczywgipsie W3C ma dla nas piękne pomysły na to, jak obejść potwory. Można im zafundować miodną pułapkę, czyli Honeypot. Ukryte, walidowane po cichu pole formularza, które wypełni tylko spambot. Można obciążyć skubane roboty obliczeniowo, każąc im kalkulować głupoty. Wystarczy kawałek JavaScriptu. Można zagłębić się nieco w zachowania podłączającego się do systemu klienta i spróbować wykryć, czy to robot (trochę to zaawansowane, ale jak Chcesz, to przeczytaj). I tak dalej. A można zrobić o wiele więcej, tylko trzeba się przede wszystkim zastanowić, czy zabezpieczenie tego rodzaju naprawdę jest nam potrzebne? Jak zwykle odpowiedzią na problemy związane z dostępnością może być pójście po rozum do głowy i zupełna zmiana sposobu myślenia. Co chcemy schować? Co jest dla nas tak ważne? Czy użytkownik, który ma kupić bilet na koncert naprawdę musi zakładać konto w naszym fąfastycznym serwisie? Może wcale nie?

Super-deser 🤢

Tera to będzie się działo. Mam dla Ciebie coś wyjątkowego. Znalazłem najgorszą CAPTCHA świata, serio. Element, który trzeba przytrzymywać paluchem tak długo, aż się cały zaanimuje. Obejrzyj sobie to na video, które wrzuciłem na YouTube. Hieronim Bosch lepszej trąbki w tyłek by nam nie zaoferował. Płaczmy razem!

A co tak poza tym?

A tak poza tym, to kurs “WCAG krok po kroku” pięknie się kręci. Będzie druga edycja po wakacjach. W międzyczasie natomiast przygotowuję nowy, fajny masterclass. Watch this space.

Mam nadzieję, że jest spoko. Żyjmy. Wysyłam uściski, przywalony pieluchami. W życiu bym się nie spodziewał, że taki mały Jasio może tak dużo naprodukować!