2011年12月8日

Startup Weekend我加入hitcaptcha團隊以及我們遇到的難題






上禮拜在新竹(Startup Weekend Hsinchu)的活動中,我很幸運能和各方高手一起加入hitcaptcha這個團隊,想法是把網站上的驗證碼(captcha)改成看一張圖片並點擊指定目標的方式來做驗證,當然這個圖片可以是商業廣告,這樣站長就可以從中得到收益,聽起來是一個皆大歡喜的解決方案,加上我們有一位超強的講者來闡述這個點子,我們因此拿下這次活動的冠軍,也一吐其他隊伍的朋友晚上在我旁邊瀏覽伴遊妹妹網站很開心還騷擾我看技術文件的怨氣。

在活動過程基本上沒有太多時間坐下來好好討論一些問題和思考比較完整的解決方案,但是問題沒有消失,只是被拖延了,我認為我們遇到幾個問題:

1. 團隊隊員間的信任感。

事情可以在很短的時間被完成,但是培養信任感需要時間。我認為這是為什麼以往許多startup weekend團隊會解散的一個原因,每個團隊都必須走過一個培養感情的過程,大家誠實表達自己的想法,也感謝彼此的誠實,因為任何小問題都有可能在一年後變得無法收拾,在此同時我們還有讓產品趕快上線的壓力。

2. 我們面對的不是藍海。

hitcaptcha用全新的方法解決了使用者輸入驗證碼的痛苦,所以全世界應該都要用我們的產品嗎? 不是的,這個事業的主角不是使用者,使用者是一個接受者而不是決策者,使用者只能逆來順受、逆風高灰。決策者是站長(site-owner),是站長決定他要使用哪種類型的驗證碼,而影響站長決策的最重要指標是廣告收益。也就是說,儘管有人發明一種只要眨眼睛就能夠通過的驗證方式,但是提供的佣金收益不如最難用的驗證碼,那站長也會不會使用,程序簡單不如佣金抽的多,使用者不會因為看到不是hitcaptcha就決定不登入、不發表留言。
所以,只要是把驗證碼和廣告結合的公司都可以拿到慈善墣克王大賽的門票,一較高下。
尤其像是有YCombinator撐腰的DoubleRecall已經上線,你可以透過打字、點擊或twitter來通過驗證,他們對於廣告的記憶需求更強,CTR是一般廣告的30倍以上,廣告主會很愛者種模式,加上YCombinator挾有龐大的話題性和媒體優勢搶攻市場,是我比較擔心的。


3. 新方法也暴露了新問題。

我認為發現新問題是好事,危機也可以是轉機。比如說hitcaptcha的防護率是個根本問題,正確答案的面積百分比就是被無腦破解的機率,改圖片無濟於事,而且答案區塊就是廣告重點,一定是彩度或對比度相對比較高的地方,破解率很容易提昇。
連續問許多問題可以有效提高防護率,但同時也扼殺了使用者體驗,麻煩程度直線上升,尤其我們不確定使用者語系,更不適合問太多問題,相較於一些已經改良過的驗證碼,我們要能防止同樣強度的電磁波攻擊,有一段艱難的路要走。
另外對於瀏覽器停用javascript的使用者來說,原本類型的驗證碼可以改用iframe,但是像我們用座標抓點的方式我目前沒有想到替代方式,可能也要走向復合型的認證方式(備註: 後來找到前端免javascript的作法嚕12/30)。

hitcaptcha: