Uso de captcha em portais do governo
996 views
Skip to first unread message
Frederico Bortolato
Oct 22, 2013, 6:55:26 PM10/22/13
to thac...@googlegroups.com
Olá pessoal, tudo bem?
Gostaria de saber a opinião de vocês em relação ao uso de captcha nos portais de governo. Pra mim é bastante claro que o uso de captcha no acesso a dados e informações em formato estruturado vai contra qualquer princípio de governo aberto e dados abertos. Mas isso vale também, por exemplo, para formulários de contato, de envio de sugestões, etc.?
Em caso afirmativo, como ficam as questões de segurança relacionadas a robôs que monitoram e injetam dados em formulários de sites que não usam esse tipo de recurso?
Um abraço,
Fred.
Vitor Baptista
Oct 22, 2013, 7:11:16 PM10/22/13
to thac...@googlegroups.com
Oi Frederico,
Para bloquear robôs, existem diversas alternativas a captchas (http://econsultancy.com/br/blog/63144-six-alternatives-to-using-the-dreaded-captcha-images). Mas acho que a pergunta é anterior a isso. Por que criaram robôs para começo de conversa?
Os que eu criei foram para conseguir dados que não estavam disponíveis de outra forma. Evitar os robôs nesse caso é fácil: disponibiliza um dump para download.
Não vejo problema com captchas, contanto que sejam acessíveis (tenham opção de voz, por exemplo). O problema é quando eles são usados para bloquear o acesso a dados públicos.
Abraços,
--
Você está recebendo esta mensagem porque se inscreveu no grupo "Transparência Hacker" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para thackday+u...@googlegroups.com.
Para postar neste grupo, envie um e-mail para thac...@googlegroups.com.
Visite este grupo em http://groups.google.com/group/thackday.
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/f1aa5a00-7b81-4493-b138-e37dadaff7d0%40googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.
Vítor Baptista
Developer | http://vitorbaptista.com | LinkedIn | @vitorbaptista
Empowering through Open Knowledge
http://okfn.org/ | @okfn | OKF on Facebook | Blog | Newsletter
Diego Rabatone
Oct 22, 2013, 7:20:06 PM10/22/13
to Transparência Hacker
Eu sempre usei captcha em meus sites.
Mas
recentemente li um artigo sobre o porque não usá-los, como isso
interfere muito negativamente na usabilidade do próprio site e como isso
pode afastar os usuários. Na luta por afastar os bots/spammers eles
acabam ficando em primeiro lugar, sobrepujando inclusive os próprios
usuários.(não me recordo se foi esse artigo que eu li, mas acho que sim)
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/CANybZpf4J4%2BKoTfmoYVCe9s4vo0sr2oRNJ3zSLR1EDuXHPQy0w%40mail.gmail.com.
Frederico Bortolato
Oct 22, 2013, 7:27:33 PM10/22/13
to thac...@googlegroups.com
Olá Vitor e Diego,
Concordo com vocês em relação a portais de acesso a dados e informações públicas. Minha dúvida diz respeito a formulários como, por exemplo:
- de contato apenas
- de inscrições em cursos
- de envio de sugestões
- etc.
A discussão aqui na Alesp se iniciou em virtude desses bots/spammers estarem poluindo alguns desses canais. De todo modo, pretendo fazer um levantamento de melhores práticas nesse sentido para passar para a equipe técnica e para o Comitê Gestor do Portal, de forma que possam deliberar a melhor solução para a casa e para o cidadão ('sair da zona de conforto'). Por isso, agradeço as informações enviadas.
Abraço,
Fred.
Diego Rabatone
Oct 22, 2013, 7:31:13 PM10/22/13
to Transparência Hacker
Nesse sentido de formulários, uma das técnicas que eu achei interessantes é ter um campo "hidden" que não deve ser preenchido e que provavelmente um bot vai preencher e invalidar o envio do form.
Esse capo, inclusive, poderia ser gerado dinamicamente, com nome diferente e em locais "aleatórios" do formulário de forma a dificultar os bots a entenderem que é sempre "aquele" campo que deve ser deixado em branco.
Esse capo, inclusive, poderia ser gerado dinamicamente, com nome diferente e em locais "aleatórios" do formulário de forma a dificultar os bots a entenderem que é sempre "aquele" campo que deve ser deixado em branco.
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/ca873b88-2efd-406c-b2c6-8a11b58ca155%40googlegroups.com.
Pedro Markun
Oct 22, 2013, 7:49:26 PM10/22/13
to thackday
Vitor,
para forms de contato puro e simples, acho que essas alternativas de captchas mais 'acessíveis' são uma boa.
Pra forms e interações onde pode fazer sentido automatização, minha sugestão é ter um cadastro (que pode ter captcha) sem nenhum tipo de requisição ou formalismo, é basicamente um captcha que você preenche uma vez só e fica whitelisted para enviar requisições ali.
E ai você pode inclusive ter os dois sistemas. Se ele não faz autenticação, vê captcha acessível, se faz o lance corre tranquilamente.
abs,
Pedro Markun
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/CACoXO7zXiPT274Y8Gbqk4j2o36WaCFaOrtVH5BAEcNFn5a6NoA%40mail.gmail.com.
Capi Etheriel
Oct 22, 2013, 11:03:35 PM10/22/13
to thac...@googlegroups.com
concordo com a sugestão do pedro.
mas formulário de contato, pra mim, sempre foi unicórnio.
nunca respondem.
mas formulário de contato, pra mim, sempre foi unicórnio.
nunca respondem.
Gustavo Schiefler
Oct 23, 2013, 11:26:42 AM10/23/13
to thac...@googlegroups.com
Caro Frederico, eu publiquei um artigo em que trato desta questão. Segue um trecho:
"[...] Sob outro norte, vale o registro, entende-se que os
apontamentos tecidos neste tópico são suficientes para se chegar também a outra
conclusão: não existem quaisquer impedimentos legais para a comercialização de
sistemas eletrônicos que disponibilizem informações de caráter público,
inclusive daqueles que se utilizam de rotinas automáticas de busca para coletar
tais informações. Entretanto, neste caso, é necessário um cuidado: as rotinas
automáticas de busca não podem afetar a estabilidade dos sítios eletrônicos da
Administração Pública.
É comum em sítios eletrônicos da Administração Pública que o acesso a informações seja precedido de sistema de verificação e validação do usuário, por meio de uma barreira mecânica denominada por captcha. Trata-se de um desafio cognitivo que pretende evitar o acesso massivo e abusivo aos sítios eletrônicos e seus bancos de dados. A finalidade dessa barreira é assegurar que o ambiente eletrônico permaneça livre de instabilidade, sem que a qualidade do serviço disponibilizado seja deteriorada.
Veja-se, por exemplo, que o sítio eletrônico da Receita Federal disponibiliza consulta para a emissão de comprovante de Inscrição e Situação Cadastral de Pessoas Jurídicas.[1] No entanto, além do número de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ), a consulta requer do usuário a inserção de seis caracteres, informados aleatoriamente pelo sistema captcha. É uma barreira de entrada, um input extra, mecânico, para a obtenção da informação.
Esses testes são baseados em percepções visuais, em que o usuário, para obter acesso à informação que deseja, deve traduzir ao sistema aquilo que vê. Ocorre que atualmente existe tecnologia, denominada por Optical Character Recognition, capaz de reconhecer caracteres automaticamente a partir de uma imagem. Ou seja, com o apoio desta, as rotinas automáticas de busca conseguem ultrapassar esses desafios cognitivos.
Pois bem, não havendo qualquer proibição legal de que sistemas coletem informações de maneira sistematizada, a condição a que devem respeitar essas rotinas automáticas é a de não afetar a estabilidade do sistema, pois isto acarretaria mitigação do acesso às informações lá constantes, ou seja, uma afronta a direitos alheios. O sistema deve ser programado de maneira a atender esta preocupação, para que acesse os sítios eletrônicos de maneira a não prejudicar a sua estabilidade.
Em acréscimo, merece destaque a própria Lei de Acesso à Informação, que, nos incisos II e III do parágrafo 3º do artigo 8º, determina que os sítios eletrônicos possibilitem a gravação de relatórios de dados em diversos formatos, inclusive abertos e não proprietários, de modo a facilitar a análise de informações, assim como permitam o acesso automatizado por sistemas externos em formatos abertos, estruturados e legíveis por máquina. Bem se vê que a legislação brasileira não objetiva evitar que o acesso à informação seja realizado por máquinas; pelo contrário, estimula que os sítios eletrônicos possibilitem e facilitem esse acesso.[2]
Aliás, vem a calhar o fato de que a Constituição Federal assegura a todos a expressão da atividade intelectual, científica e de comunicação, renunciando a sujeição dessas atividades a licença. As criações tecnológicas constituem patrimônio cultural brasileiro, pela importância que representam ao desenvolvimento da sociedade. Mais que isso, o Estado brasileiro tem o dever de promover e incentivar o desenvolvimento científico, a pesquisa tecnológica, em busca do processo das ciências e da solução dos problemas.[3] Neste contexto, pode-se afirmar que os softwares que coletam, compilam, organizam e disponibilizam informações de caráter público se harmonizam com o desenvolvimento científico, pois facilitam o acesso ao conhecimento, pelo que não devem ter âmbito de atuação restrito. [...]
Publicado originalmente em:
SCHIEFLER, Gustavo Henrique Carvalho. Anotações sobre o regime jurídico aplicável às informações disponibilizadas pela Administração Pública na rede mundial de computadores. Fórum Administrativo – FA, Belo Horizonte, ano 13, n.146, p. 36-48, abr. 2013.
[1]Disponível em: <http://www.receita.fazenda.gov.br/PessoaJuridica/CNPJ/cnpjreva/Cnpjreva_Solicitacao.asp>. Acesso em: 18 fev. 2013
[2] Lei Federal n° 12.527/2011
Art. 8° É dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas. [...]
§ 3° Os sítios de que trata o § 2° deverão, na forma de regulamento, atender, entre outros, aos seguintes requisitos: [...]
II - possibilitar a gravação de relatórios em diversos formatos eletrônicos, inclusive abertos e não proprietários, tais como planilhas e texto, de modo a facilitar a análise das informações;
III - possibilitar o acesso automatizado por sistemas externos em formatos abertos, estruturados e legíveis por máquina;
[3] Constituição Federal
Art. 5° [...]
IX - é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença; [...]
Art. 216. Constituem patrimônio cultural brasileiro os bens de natureza material e imaterial, tomados individualmente ou em conjunto, portadores de referência à identidade, à ação, à memória dos diferentes grupos formadores da sociedade brasileira, nos quais se incluem: [...]
III - as criações científicas, artísticas e tecnológicas; [...]
Art. 218. O Estado promoverá e incentivará o desenvolvimento científico, a pesquisa e a capacitação tecnológicas.
§ 1° A pesquisa científica básica receberá tratamento prioritário do Estado, tendo em vista o bem público e o progresso das ciências.
§ 2° A pesquisa tecnológica voltar-se-á preponderantemente para a solução dos problemas brasileiros e para o desenvolvimento do sistema produtivo nacional e regional.
Marcelo Costa
Oct 23, 2013, 11:43:43 AM10/23/13
to thac...@googlegroups.com
Olá Frederico
Eu também sou da opinião de ser contra qualquer uso de captcha e entendo que órgãos públicos deveriam disponibilizar por meio de um serviço (APIs) as informações que muitas pessoas querem. Para isso, ela deveria ser pública sim mas com um cadastro simples feito para saber quem consome a API.
Estes dias, li esta publicação http://danbirken.com/seo/2013/10/17/who-exactly-is-crawling-my-site.html em que o autor explica sua estratégia para bloquear robôs e permitir apenas as ferramentas de busca (google, bing, yahoo, etc...).
A idéia de um formulário com campo oculto é muito boa e simples de ser implementada o problema é que se alguém realmente quiser fazer a leitura, ele vai mapear os campos e certamente descobrir a lógica e acabar por burlar. Mas em minha opinião já faz um grande filtro e utilizo ela quando possível.
Dá também para fazer bloqueio com regras de firewall que percebem a requisição constante de um mesmo IP a uma determinada página e bloqueia o IP. Porém você vai ficar dependendo "do moço" da infra e muitas vezes isso é um saco de administrar.
Na verdade dá para viajar bastante com coisas deste tipo.
Atenciosamente,
Marcelo Costa
-------------------------------------------------
http://www.infoq.com/br/author/Marcelo-Costa
-------------------------------------------------
http://www.infoq.com/br/author/Marcelo-Costa
2013/10/22 Frederico Bortolato <frederico...@gmail.com>
Tomas Camargo
Oct 23, 2013, 3:06:40 PM10/23/13
to thac...@googlegroups.com
Frederico,
Concordo com vc, o uso do capthca, ou qualquer mecanismo que impeça o processamento dos dados por máquina, o que ao meu ver também deveria incluir PDF, é vedado pela lei de acesso a informação. No entanto, a prática não é esta, eu já postei pedidos nos Tribunais de Justiça de São Paulo e Minas Gerais, solicitando acesso as informações sem captcha, com base no Art. 8º da lei de acesso a informação e tive ambos os pedidos negados. O uso de captcha é disseminado nos sites do poder judiciário, infelizmente.
Abraço,
Tomás
Felipe Duardo
Oct 23, 2013, 3:28:53 PM10/23/13
to thac...@googlegroups.com
Dois artigos sobre o assunto...
--
Você está recebendo esta mensagem porque se inscreveu no grupo "Transparência Hacker" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para thackday+u...@googlegroups.com.
Para postar neste grupo, envie um e-mail para thac...@googlegroups.com.
Visite este grupo em http://groups.google.com/group/thackday.
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/2d500cd1-aefb-4ffc-a0ba-d32169cda9e1%40googlegroups.com.
Felipe Duardo
Frederico Bortolato
Oct 23, 2013, 3:32:50 PM10/23/13
to thac...@googlegroups.com
Olá pessoal,
Muito obrigado pelas contribuições. Vou tentar elaborar um parecer para subsidiar a decisão aqui da Alesp e assim que estiver com a versão final do documento, compartilho com todos. No mais, quem tiver mais ideias, opiniões e sugestões, peço a gentileza de enviar nessa mesma trédi, assim construímos uma base de conhecimento legal sobre o tema.
Abraço,
Fred.
Vitor Baptista
Oct 23, 2013, 3:40:14 PM10/23/13
to thac...@googlegroups.com
Oi Frederico,
Seria ótimo ter esse seu texto, quando ficar pronto. Pode ser usado para justificar o não uso de CAPTCHAs em outros órgãos :-)
Abraços,
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/470656be-c11c-4bfb-b541-ce4aea104e30%40googlegroups.com.
Tomas Camargo
Oct 23, 2013, 4:03:36 PM10/23/13
to thac...@googlegroups.com
Frederico,
Minha interpretação do Art. 8º, §3º, inciso III, da lei de acesso a informação (Lei Federal 12.527/11) é a de que os dados devem ser disponibilizado em formato estruturado e acessível por máquina, abaixo o texto do inciso (o decreto 7.724/12, que regulamenta a lei reproduz o inciso, também no Art. 8º, assim como parte dos decretos estaduais):
"III - possibilitar o acesso automatizado por sistemas externos em formatos abertos, estruturados e legíveis por máquina;"
ou seja me parece bastante claro que os dados públicos não tem a opção de serem ou não protegidos por captcha, eles simplesmente deveriam estar disponíveis sem captcha ou qualquer outro tipo de restrição que impeça o acesso por computador dos mesmos. É um direito do cidadão acessa-los por máquina e fazer o que quiser com eles.
Abraço,
Tomás
Frederico Bortolato
Oct 23, 2013, 4:12:00 PM10/23/13
to thac...@googlegroups.com
Ola Vitor,
Assim que estiver com ele em mãos, envio para cá.
Porém, ainda não estou convencido de que o uso de captcha, se bem feito (considerando requisitos de acessibilidade) e em cenários bem específicos (forms de contato, de inscrição em cursos, etc.), ferem de alguma forma a LAI ou qualquer direito de acesso à informação do cidadão. Também não estou convencido que quaisquer outras soluções técnicas (como o campo oculto, por exemplo), sejam melhores que o captcha à luz da transparência, da eficiência e da segurança. Para tal, conto com a ajuda de vocês, mas preciso de dados, informações e argumentos concretos e bem embasados, pois não posso me basear apenas em opiniões pessoais para elaborar esse documento.
Tomas, entendo sua interpretação da LAI e concordo com ela. Mas distingui bem o contexto de uso do captcha quando levantei a questão por aqui. Não se trata de acesso a dados abertos em nosso portal.
Abraço a todos e obrigado pela ajuda,
Fred.
Vitor Baptista
Oct 23, 2013, 4:14:02 PM10/23/13
to thac...@googlegroups.com
Olá,
Um amigo fez um pedido pelos salários nominais dos servidores do Senado Federal. A conversa se dá em torno de que essa informação, atualmente, está "protegida" por um CAPTCHA, inviabilizando o acesso por máquina. A justifica deles foi:
"O acesso automatizado, em formato aberto e legível por máquina, previsto no inciso IV do art. 8º do Decreto nº 7.724, de 2012, diz respeito aos dados sujeitos à transparência ativa que, no caso da remuneração dos servidores, por força do citado Decreto, contempla apenas o acesso “de maneira individualizada, conforme ato do Ministério do Planejamento, Orçamento e Gestão”. A individualização da informação não implica a identificação nominal dos servidores. E, conforme se depreende do referido dispositivo, compete a cada Poder disciplinar internamente a matéria."
Não sei se isso está certo. Se sim, podem haver outros casos onde é permitido o CAPTCHA.
Abraços,
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/bada9929-aa51-4e54-9199-75b592ee0591%40googlegroups.com.
Frederico Bortolato
Oct 23, 2013, 4:25:20 PM10/23/13
to thac...@googlegroups.com
Bom, taí um caso concreto que discordo frontalmente da interpretação dada à lei. Podemos até discutir se a identificação individualizada implica ou não a identificação nominal (minha opinião é que sim, mas não há consenso). Porém, o fato de ela ser individualizada não justifica de maneira alguma o uso de captcha em seu acesso. Individualizada, na minha interpretação, relaciona-se a granularidade do dado disponibilizado (no nível individual e não, por exemplo, departamental) e não que somente se possa acessar o dado um-a-um, individualmente.
Abraço!
Tomas Camargo
Oct 23, 2013, 4:33:43 PM10/23/13
to thac...@googlegroups.com
Frederico,
Entendi o seu ponto, acho que a restrição da lei é bem clara no sentido de que os dados devem estar acessíveis por máquina, no seu caso não me parece que estaremos falando de acesso a dados mas sim coleta de informação. Em tal hipótese, sem entrar no mérito da conveniência ou não da lei neste ponto, não consigo entender onde vc estaria impedido de usar um captcha para coletar dados.
Acho que o seu argumento tem que ser feito com base na sua realidade (ie. ataques contantes), e vc teria como argumento os princípios gerais de eficiência da administração (ie. não gastar horas classificando o que é ou não preenchido por cidadão, economia de servidor, etc). Acho que a restrição da lei é clara para o acesso a informação, não há qualquer menção a coleta de informação.
Abraço,
Tomás
Frederico Bortolato
Oct 23, 2013, 4:55:34 PM10/23/13
to thac...@googlegroups.com
Gustavo,
Excelente artigo, parabéns! Ele irá ajudar bastante. Ele aborda a questão do direito ao acesso, porém sem prejuízo à estabilidade do sistema. Uma eventual instabilidade, por si só, já fere o próprio direito de acesso a informação, já que esta última deixaria de estar disponível. Isso demonstra o 'dilema' do administrador público e a relevância desse tipo de discussão.
Abraço,
Fred.
Diego Rabatone
Oct 23, 2013, 6:46:10 PM10/23/13
to Transparência Hacker
Ao mesmo tempo, deve-se ponderar o impacto causado por um crawler legítimo, lendo a API/web service, numa infraestrutura insuficiente. Já vi webservices que não conseguem aguentar o serviço que deveriam aguentar, e colocar um CAPTCHA não resolve o problema, mas sim o esconde embaixo do tapete.....
--
Você está recebendo esta mensagem porque se inscreveu no grupo "Transparência Hacker" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para thackday+u...@googlegroups.com.
Para postar neste grupo, envie um e-mail para thac...@googlegroups.com.
Visite este grupo em http://groups.google.com/group/thackday.
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/506a0668-c238-4d90-9f0a-7fd5067721dd%40googlegroups.com.
Marcelo Costa
Oct 23, 2013, 8:49:10 PM10/23/13
to thac...@googlegroups.com
Concordo plenamente com o Rabatone.
Uma API numa infra boa, resolveria todos esses problemas e não impactaria na vida do João que quer apenas saber a situação do processo dele ou como anda o movimento do processo de lei X.
O lance é que os caras não querem investir na API e quando investem colocam ela num 286 com 512 RAM e querem que o coitado aguente a vazão.
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/thackday/CACoXO7wBR4J8CWGi6Dr7XPMqS5jOn0reDf%2BVA6HTbXg4BK-4cA%40mail.gmail.com.
Duke
Oct 24, 2013, 8:42:53 PM10/24/13
to thac...@googlegroups.com
Se um rob� est� tentando preencher um formul�rio eu s� consigo ver dois
motivos:
1) Criar/Buscar alguma informa��o que � util para quem esta desenvolvendo
o rob�, sendo que essa informa��o � acessivel de forma humana. Como
resolver? Criar uma forma de buscar/criar esses dados por maquina, criando
politicas de throttling e autentica��o.
2) Alguma zuera aleat�ria para buscar falha no sistema, criar spam, etc.
O conteudo/dado n�o importa muito, normalmente � irelevante. Como resolver?
depois de implementar uma forma para n�o ferrar o cara que est� buscando
a informa��o de fato, coloca um captcha.
Duke
On 10/22, Capi Etheriel wrote:
> concordo com a sugest�o do pedro.
> mas formul�rio de contato, pra mim, sempre foi unic�rnio.
> nunca respondem.
>
> Em ter�a-feira, 22 de outubro de 2013 21h49min26s UTC-2, Pedro Markun
> >
> > Pra forms e intera��es onde pode fazer sentido automatiza��o, minha
> > sugest�o � ter um cadastro (que pode ter captcha) sem nenhum tipo de
> > requisi��o ou formalismo, � basicamente um captcha que voc� preenche uma
> > vez s� e fica whitelisted para enviar requisi��es ali.
> >
> > E ai voc� pode inclusive ter os dois sistemas. Se ele n�o faz
> > autentica��o, v� captcha acess�vel, se faz o lance corre tranquilamente.
> >
> > abs,
> > Pedro Markun
> >
> >
> > 2013/10/22 Diego Rabatone <dir...@diraol.eng.br <javascript:>>
> >
> >> Nesse sentido de formul�rios, uma das t�cnicas que eu achei interessantes
> >> � ter um campo "hidden" que n�o deve ser preenchido e que provavelmente um
> >> bots a entenderem que � sempre "aquele" campo que deve ser deixado em
> >>
> >> Ol� Vitor e Diego,
> >>>
> >>> Concordo com voc�s em rela��o a portais de acesso a dados e informa��es
> >>> p�blicas. Minha d�vida diz respeito a formul�rios como, por exemplo:
> >>> - de contato apenas
> >>> - de inscri��es em cursos
> >>> - de envio de sugest�es
> >>> - etc.
> >>>
> >>> A discuss�o aqui na Alesp se iniciou em virtude desses bots/spammers
> >>> t�cnica e para o Comit� Gestor do Portal, de forma que possam deliberar a
> >>> melhor solu��o para a casa e para o cidad�o ('sair da zona de conforto').
> >>> Por isso, agrade�o as informa��es enviadas.
> >>>
> >>> Abra�o,
> >>>> interfere muito negativamente na usabilidade do pr�prio site e como isso
> >>>> pode afastar os usu�rios. Na luta por afastar os bots/spammers eles acabam
> >>>> ficando em primeiro lugar, sobrepujando inclusive os pr�prios usu�rios.
> >>>> m�nimo, haver um captcha. Isso dificulta, quando n�o impede, o acesso aos
> >>>> pr�prios dados.
> >>>> a um outro "problema". Quebrar um captcha aud�vel n�o � exatamente a coisa
> >>>> http://www.onlineaspect.com/**2010/07/02/why-you-should-**
> >>>> never-use-a-captcha/<http://www.onlineaspect.com/2010/07/02/why-you-should-never-use-a-captcha/>
> >>>>
> >>>> Abs,
> >>>>
> >>>>
> >>>>
> >>>> ------------------------------**--
> >>>> Diego Rabatone Oliveira
> >>>> diraol(arroba)diraol(ponto)**eng(ponto)br
> >>>>> http://econsultancy.com/br/**blog/63144-six-alternatives-**
> >>>>> to-using-the-dreaded-captcha-**images<http://econsultancy.com/br/blog/63144-six-alternatives-to-using-the-dreaded-captcha-images>).
> >>>>> Mas acho que a pergunta � anterior a isso. Por que criaram rob�s para
> >>>>> come�o de conversa?
> >>>>>
> >>>>> Os que eu criei foram para conseguir dados que n�o estavam dispon�veis
> >>>>> de outra forma. Evitar os rob�s nesse caso � f�cil: disponibiliza um dump
> >>>>> para download.
> >>>>>
> >>>>> N�o vejo problema com captchas, contanto que sejam acess�veis (tenham
> >>>>> op��o de voz, por exemplo). O problema � quando eles s�o usados para
> >>>>> bloquear o acesso a dados p�blicos.
> >>>>>
> >>>>> Abra�os,
> >>>>>
> >>>>> Ol� pessoal, tudo bem?
> >>>>>>
> >>>>>> Gostaria de saber a opini�o de voc�s em rela��o ao uso de captcha nos
> >>>>>> portais de governo. Pra mim � bastante claro que o uso de captcha no acesso
> >>>>>> a dados e informa��es em formato estruturado vai contra qualquer princ�pio
> >>>>>> de governo aberto e dados abertos. Mas isso vale tamb�m, por exemplo, para
> >>>>>> formul�rios de contato, de envio de sugest�es, etc.?
> >>>>>>
> >>>>>> Em caso afirmativo, como ficam as quest�es de seguran�a relacionadas
> >>>>>> a rob�s que monitoram e injetam dados em formul�rios de sites que n�o usam
> >>>>>> esse tipo de recurso?
> >>>>>>
> >>>>>> Um abra�o,
> >>>>>>
> >>>>>> Fred.
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >>>>>> "Transpar�ncia Hacker" dos Grupos do Google.
> >>>>>> Para cancelar a inscri��o neste grupo e parar de receber seus
> >>>>>> e-mails, envie um e-mail para thackday+u...@**googlegroups.com.
> >>>>>> Visite este grupo em http://groups.google.com/**group/thackday<http://groups.google.com/group/thackday>
> >>>>>> .
> >>>>>> Para ver esta discuss�o na web, acesse https://groups.google.com/d/**
> >>>>>> msgid/thackday/f1aa5a00-7b81-**4493-b138-e37dadaff7d0%**
> >>>>>> 40googlegroups.com<https://groups.google.com/d/msgid/thackday/f1aa5a00-7b81-4493-b138-e37dadaff7d0%40googlegroups.com>
> >>>>>> .
> >>>>>> Para obter mais op��es, acesse https://groups.google.com/**
> >>>>>> groups/opt_out <https://groups.google.com/groups/opt_out>.
> >>>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>>
> >>>>> V�tor Baptista
> >>>>>
> >>>>> Developer | http://vitorbaptista.com | LinkedIn<http://www.linkedin.com/in/vitorbaptista>|
> >>>>> @vitorbaptista <http://twitter.com/vitorbaptista>
> >>>>>
> >>>>> The Open Knowledge Foundation <http://okfn.org>
> >>>>>
> >>>>> *Empowering through Open Knowledge*
> >>>>>
> >>>>> http://okfn.org/ | @okfn <http://twitter.com/okfn> | OKF on
> >>>>> Facebook <https://www.facebook.com/OKFNetwork> | Blog<http://blog.okfn.org/> |
> >>>>> Newsletter <http://okfn.org/about/newsletter/>
> >>>>>
> >>>>> --
> >>>>> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >>>>> "Transpar�ncia Hacker" dos Grupos do Google.
> >>>>> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails,
> >>>>> envie um e-mail para thackday+u...@**googlegroups.com.
> >>>>> Visite este grupo em http://groups.google.com/**group/thackday<http://groups.google.com/group/thackday>
> >>>>> .
> >>>>> Para ver esta discuss�o na web, acesse https://groups.google.com/d/**
> >>>>> msgid/thackday/CANybZpf4J4%**2BKoTfmoYVCe9s4vo0sr2oRNJ3zSLR**
> >>>>> 1EDuXHPQy0w%40mail.gmail.com<https://groups.google.com/d/msgid/thackday/CANybZpf4J4%2BKoTfmoYVCe9s4vo0sr2oRNJ3zSLR1EDuXHPQy0w%40mail.gmail.com>
> >>>>> .
> >>>>>
> >>>>> Para obter mais op��es, acesse https://groups.google.com/**
> >>>>> groups/opt_out <https://groups.google.com/groups/opt_out>.
> >>>>>
> >>>>
> >>>> --
> >>> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >>> "Transpar�ncia Hacker" dos Grupos do Google.
> >>> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails,
> >>> envie um e-mail para thackday+u...@googlegroups.com <javascript:>.
> >>> Para postar neste grupo, envie um e-mail para thac...@googlegroups.com<javascript:>
> >>> .
> >>> https://groups.google.com/d/msgid/thackday/ca873b88-2efd-406c-b2c6-8a11b58ca155%40googlegroups.com
> >>> .
> >>>
> >>> Para obter mais op��es, acesse https://groups.google.com/groups/opt_out.
> >>>
> >>
> >> --
> >> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >> "Transpar�ncia Hacker" dos Grupos do Google.
> >> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails,
> >> envie um e-mail para thackday+u...@googlegroups.com <javascript:>.
> >> Para postar neste grupo, envie um e-mail para thac...@googlegroups.com<javascript:>
> >> .
> >> https://groups.google.com/d/msgid/thackday/CACoXO7zXiPT274Y8Gbqk4j2o36WaCFaOrtVH5BAEcNFn5a6NoA%40mail.gmail.com
> >> .
> >>
> >> Para obter mais op��es, acesse https://groups.google.com/groups/opt_out.
> >>
> >
> >
>
> --
> Voc� est� recebendo esta mensagem porque se inscreveu no grupo "Transpar�ncia Hacker" dos Grupos do Google.
> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails, envie um e-mail para thackday+u...@googlegroups.com.
> Para obter mais op��es, acesse https://groups.google.com/groups/opt_out.
motivos:
1) Criar/Buscar alguma informa��o que � util para quem esta desenvolvendo
o rob�, sendo que essa informa��o � acessivel de forma humana. Como
resolver? Criar uma forma de buscar/criar esses dados por maquina, criando
politicas de throttling e autentica��o.
2) Alguma zuera aleat�ria para buscar falha no sistema, criar spam, etc.
O conteudo/dado n�o importa muito, normalmente � irelevante. Como resolver?
depois de implementar uma forma para n�o ferrar o cara que est� buscando
a informa��o de fato, coloca um captcha.
Duke
On 10/22, Capi Etheriel wrote:
> concordo com a sugest�o do pedro.
> mas formul�rio de contato, pra mim, sempre foi unic�rnio.
> nunca respondem.
>
> Em ter�a-feira, 22 de outubro de 2013 21h49min26s UTC-2, Pedro Markun
> escreveu:
> >
> > Vitor,
> >
> > para forms de contato puro e simples, acho que essas alternativas de
> > captchas mais 'acess�veis' s�o uma boa.
> >
> > Vitor,
> >
> > para forms de contato puro e simples, acho que essas alternativas de
> >
> > Pra forms e intera��es onde pode fazer sentido automatiza��o, minha
> > sugest�o � ter um cadastro (que pode ter captcha) sem nenhum tipo de
> > requisi��o ou formalismo, � basicamente um captcha que voc� preenche uma
> > vez s� e fica whitelisted para enviar requisi��es ali.
> >
> > E ai voc� pode inclusive ter os dois sistemas. Se ele n�o faz
> > autentica��o, v� captcha acess�vel, se faz o lance corre tranquilamente.
> >
> > abs,
> > Pedro Markun
> >
> >
> > 2013/10/22 Diego Rabatone <dir...@diraol.eng.br <javascript:>>
> >
> >> Nesse sentido de formul�rios, uma das t�cnicas que eu achei interessantes
> >> � ter um campo "hidden" que n�o deve ser preenchido e que provavelmente um
> >> bot vai preencher e invalidar o envio do form.
> >> Esse capo, inclusive, poderia ser gerado dinamicamente, com nome
> >> diferente e em locais "aleat�rios" do formul�rio de forma a dificultar os
> >> Esse capo, inclusive, poderia ser gerado dinamicamente, com nome
> >> bots a entenderem que � sempre "aquele" campo que deve ser deixado em
> >> branco.
> >>
> >> --------------------------------
> >> Diego Rabatone Oliveira
> >> diraol(arroba)diraol(ponto)eng(ponto)br
> >> Identica: (@diraol) http://identi.ca/diraol
> >> Twitter: @diraol
> >>
> >>
> >> Em 22 de outubro de 2013 21:27, Frederico Bortolato <
> >> frederico...@gmail.com <javascript:>> escreveu:
> >>
> >> --------------------------------
> >> Diego Rabatone Oliveira
> >> diraol(arroba)diraol(ponto)eng(ponto)br
> >> Identica: (@diraol) http://identi.ca/diraol
> >> Twitter: @diraol
> >>
> >>
> >> Em 22 de outubro de 2013 21:27, Frederico Bortolato <
> >>
> >> Ol� Vitor e Diego,
> >>>
> >>> Concordo com voc�s em rela��o a portais de acesso a dados e informa��es
> >>> p�blicas. Minha d�vida diz respeito a formul�rios como, por exemplo:
> >>> - de contato apenas
> >>> - de inscri��es em cursos
> >>> - de envio de sugest�es
> >>> - etc.
> >>>
> >>> A discuss�o aqui na Alesp se iniciou em virtude desses bots/spammers
> >>> estarem poluindo alguns desses canais. De todo modo, pretendo fazer um
> >>> levantamento de melhores pr�ticas nesse sentido para passar para a equipe
> >>> t�cnica e para o Comit� Gestor do Portal, de forma que possam deliberar a
> >>> melhor solu��o para a casa e para o cidad�o ('sair da zona de conforto').
> >>> Por isso, agrade�o as informa��es enviadas.
> >>>
> >>> Abra�o,
> >>>
> >>> Fred.
> >>>
> >>>
> >>> On Tuesday, October 22, 2013 9:20:06 PM UTC-2, DiRaOL wrote:
> >>>
> >>>> Eu sempre usei captcha em meus sites.
> >>>>
> >>>> Mas recentemente li um artigo sobre o porque n�o us�-los, como isso
> >>> Fred.
> >>>
> >>>
> >>> On Tuesday, October 22, 2013 9:20:06 PM UTC-2, DiRaOL wrote:
> >>>
> >>>> Eu sempre usei captcha em meus sites.
> >>>>
> >>>> interfere muito negativamente na usabilidade do pr�prio site e como isso
> >>>> pode afastar os usu�rios. Na luta por afastar os bots/spammers eles acabam
> >>>> ficando em primeiro lugar, sobrepujando inclusive os pr�prios usu�rios.
> >>>>
> >>>> Acho que pensando num site governamental e principalmente num site de
> >>>> "dados abertos" ou de "acesso � informa��o" me parece ser contradit�rio, no
> >>>> Acho que pensando num site governamental e principalmente num site de
> >>>> m�nimo, haver um captcha. Isso dificulta, quando n�o impede, o acesso aos
> >>>> pr�prios dados.
> >>>>
> >>>> Como bem colocou o Vitor, existem alternativas aos tradicionais
> >>>> captchas, e eu pessoalmente acho que buscar alternativas aos captchas
> >>>> envolve ter que sair da zona de conforto.
> >>>>
> >>>> Ah, e a exist�ncia de captchas acess�veis � fundamental. O que nos leva
> >>>> Como bem colocou o Vitor, existem alternativas aos tradicionais
> >>>> captchas, e eu pessoalmente acho que buscar alternativas aos captchas
> >>>> envolve ter que sair da zona de conforto.
> >>>>
> >>>> a um outro "problema". Quebrar um captcha aud�vel n�o � exatamente a coisa
> >>>> mais complicada do mundo em geral.
> >>>>
> >>>> (n�o me recordo se foi esse artigo que eu li, mas acho que sim)
> >>>>
> >>>> http://www.onlineaspect.com/**2010/07/02/why-you-should-**
> >>>> never-use-a-captcha/<http://www.onlineaspect.com/2010/07/02/why-you-should-never-use-a-captcha/>
> >>>>
> >>>> Abs,
> >>>>
> >>>>
> >>>>
> >>>> ------------------------------**--
> >>>> Diego Rabatone Oliveira
> >>>> diraol(arroba)diraol(ponto)**eng(ponto)br
> >>>> Identica: (@diraol) http://identi.ca/diraol
> >>>> Twitter: @diraol
> >>>>
> >>>>
> >>>> Em 22 de outubro de 2013 21:11, Vitor Baptista <vi...@vitorbaptista.com
> >>>> > escreveu:
> >>>>
> >>>>> Oi Frederico,
> >>>>>
> >>>>> Para bloquear rob�s, existem diversas alternativas a captchas (
> >>>> Twitter: @diraol
> >>>>
> >>>>
> >>>> Em 22 de outubro de 2013 21:11, Vitor Baptista <vi...@vitorbaptista.com
> >>>> > escreveu:
> >>>>
> >>>>> Oi Frederico,
> >>>>>
> >>>>> http://econsultancy.com/br/**blog/63144-six-alternatives-**
> >>>>> to-using-the-dreaded-captcha-**images<http://econsultancy.com/br/blog/63144-six-alternatives-to-using-the-dreaded-captcha-images>).
> >>>>> Mas acho que a pergunta � anterior a isso. Por que criaram rob�s para
> >>>>> come�o de conversa?
> >>>>>
> >>>>> Os que eu criei foram para conseguir dados que n�o estavam dispon�veis
> >>>>> de outra forma. Evitar os rob�s nesse caso � f�cil: disponibiliza um dump
> >>>>> para download.
> >>>>>
> >>>>> N�o vejo problema com captchas, contanto que sejam acess�veis (tenham
> >>>>> op��o de voz, por exemplo). O problema � quando eles s�o usados para
> >>>>> bloquear o acesso a dados p�blicos.
> >>>>>
> >>>>> Abra�os,
> >>>>>
> >>>>>
> >>>>> Em 22 de outubro de 2013 19:55, Frederico Bortolato <
> >>>>> frederico...@gmail.com**> escreveu:
> >>>>>
> >>>>> Em 22 de outubro de 2013 19:55, Frederico Bortolato <
> >>>>>
> >>>>> Ol� pessoal, tudo bem?
> >>>>>>
> >>>>>> Gostaria de saber a opini�o de voc�s em rela��o ao uso de captcha nos
> >>>>>> portais de governo. Pra mim � bastante claro que o uso de captcha no acesso
> >>>>>> a dados e informa��es em formato estruturado vai contra qualquer princ�pio
> >>>>>> de governo aberto e dados abertos. Mas isso vale tamb�m, por exemplo, para
> >>>>>> formul�rios de contato, de envio de sugest�es, etc.?
> >>>>>>
> >>>>>> Em caso afirmativo, como ficam as quest�es de seguran�a relacionadas
> >>>>>> a rob�s que monitoram e injetam dados em formul�rios de sites que n�o usam
> >>>>>> esse tipo de recurso?
> >>>>>>
> >>>>>> Um abra�o,
> >>>>>>
> >>>>>> Fred.
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >>>>>> "Transpar�ncia Hacker" dos Grupos do Google.
> >>>>>> Para cancelar a inscri��o neste grupo e parar de receber seus
> >>>>>> e-mails, envie um e-mail para thackday+u...@**googlegroups.com.
> >>>>>> Visite este grupo em http://groups.google.com/**group/thackday<http://groups.google.com/group/thackday>
> >>>>>> .
> >>>>>> Para ver esta discuss�o na web, acesse https://groups.google.com/d/**
> >>>>>> msgid/thackday/f1aa5a00-7b81-**4493-b138-e37dadaff7d0%**
> >>>>>> 40googlegroups.com<https://groups.google.com/d/msgid/thackday/f1aa5a00-7b81-4493-b138-e37dadaff7d0%40googlegroups.com>
> >>>>>> .
> >>>>>> Para obter mais op��es, acesse https://groups.google.com/**
> >>>>>> groups/opt_out <https://groups.google.com/groups/opt_out>.
> >>>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>>
> >>>>> V�tor Baptista
> >>>>>
> >>>>> Developer | http://vitorbaptista.com | LinkedIn<http://www.linkedin.com/in/vitorbaptista>|
> >>>>> @vitorbaptista <http://twitter.com/vitorbaptista>
> >>>>>
> >>>>> The Open Knowledge Foundation <http://okfn.org>
> >>>>>
> >>>>> *Empowering through Open Knowledge*
> >>>>>
> >>>>> http://okfn.org/ | @okfn <http://twitter.com/okfn> | OKF on
> >>>>> Facebook <https://www.facebook.com/OKFNetwork> | Blog<http://blog.okfn.org/> |
> >>>>> Newsletter <http://okfn.org/about/newsletter/>
> >>>>>
> >>>>> --
> >>>>> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >>>>> "Transpar�ncia Hacker" dos Grupos do Google.
> >>>>> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails,
> >>>>> envie um e-mail para thackday+u...@**googlegroups.com.
> >>>>> Visite este grupo em http://groups.google.com/**group/thackday<http://groups.google.com/group/thackday>
> >>>>> .
> >>>>> Para ver esta discuss�o na web, acesse https://groups.google.com/d/**
> >>>>> msgid/thackday/CANybZpf4J4%**2BKoTfmoYVCe9s4vo0sr2oRNJ3zSLR**
> >>>>> 1EDuXHPQy0w%40mail.gmail.com<https://groups.google.com/d/msgid/thackday/CANybZpf4J4%2BKoTfmoYVCe9s4vo0sr2oRNJ3zSLR1EDuXHPQy0w%40mail.gmail.com>
> >>>>> .
> >>>>>
> >>>>> Para obter mais op��es, acesse https://groups.google.com/**
> >>>>> groups/opt_out <https://groups.google.com/groups/opt_out>.
> >>>>>
> >>>>
> >>>> --
> >>> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >>> "Transpar�ncia Hacker" dos Grupos do Google.
> >>> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails,
> >>> envie um e-mail para thackday+u...@googlegroups.com <javascript:>.
> >>> Para postar neste grupo, envie um e-mail para thac...@googlegroups.com<javascript:>
> >>> .
> >>> Visite este grupo em http://groups.google.com/group/thackday.
> >>> Para ver esta discuss�o na web, acesse
> >>> https://groups.google.com/d/msgid/thackday/ca873b88-2efd-406c-b2c6-8a11b58ca155%40googlegroups.com
> >>> .
> >>>
> >>> Para obter mais op��es, acesse https://groups.google.com/groups/opt_out.
> >>>
> >>
> >> --
> >> Voc� est� recebendo esta mensagem porque se inscreveu no grupo
> >> "Transpar�ncia Hacker" dos Grupos do Google.
> >> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails,
> >> envie um e-mail para thackday+u...@googlegroups.com <javascript:>.
> >> Para postar neste grupo, envie um e-mail para thac...@googlegroups.com<javascript:>
> >> .
> >> Visite este grupo em http://groups.google.com/group/thackday.
> >> Para ver esta discuss�o na web, acesse
> >> https://groups.google.com/d/msgid/thackday/CACoXO7zXiPT274Y8Gbqk4j2o36WaCFaOrtVH5BAEcNFn5a6NoA%40mail.gmail.com
> >> .
> >>
> >> Para obter mais op��es, acesse https://groups.google.com/groups/opt_out.
> >>
> >
> >
>
> --
> Voc� est� recebendo esta mensagem porque se inscreveu no grupo "Transpar�ncia Hacker" dos Grupos do Google.
> Para cancelar a inscri��o neste grupo e parar de receber seus e-mails, envie um e-mail para thackday+u...@googlegroups.com.
> Para postar neste grupo, envie um e-mail para thac...@googlegroups.com.
> Visite este grupo em http://groups.google.com/group/thackday.
> Para ver esta discuss�o na web, acesse https://groups.google.com/d/msgid/thackday/6353fd89-d9ce-45d9-b0bc-2ccdd26e1e7f%40googlegroups.com.
> Visite este grupo em http://groups.google.com/group/thackday.
> Para obter mais op��es, acesse https://groups.google.com/groups/opt_out.
Reply all
Reply to author
Forward
0 new messages