Is there any analysis done which compares various captcha methods? Can anyone share...<br><br><div class="gmail_quote">On Tue, Feb 1, 2011 at 9:27 AM, Gunwant Singh <span dir="ltr">&lt;<a href="mailto:gunwant.s@gmail.com">gunwant.s@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><strong>1. I think this point is valid even if you deploy full-fledge CAPTCHAs. CAPTCHA deployed today could be exploitable a year later or may be earlier.</strong></div>

<div><strong></strong> </div>
<div><strong>2. What if I use Auto-complete feature to turn-off the same, thereby compromising user-convenience against Security?<br></strong><br></div><div><div></div><div class="h5">
<div class="gmail_quote">On Mon, Jan 31, 2011 at 9:10 PM, Vinil Menon <span dir="ltr">&lt;<a href="mailto:vinilm@yahoo.com" target="_blank">vinilm@yahoo.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="padding-left:1ex;margin:0px 0px 0px 0.8ex;border-left:#ccc 1px solid">
<div>
<div style="font-size:12pt;font-family:&#39;times new roman&#39;, &#39;new york&#39;, times, serif">
<div>1. If you are building an &quot;interesting&quot; site with a decent amount of traffic, your pages will become part of the &quot;package&quot; - how much additional work would it be? I have websites whose input forms haven&#39;t been updated for years now. That&#39;s a regular product life cycle -giving the spammer a lot of time to tweak his tool</div>


<div><br></div>
<div>2. Anyway, a lot of users I know use the browser&#39;s autofill profiles feature. Some of them also use extensions such as lastpass - and they work in a similar way i.e. by scanning the html for INPUT fields and filling them appropriately.</div>


<div>When they visit the sire, the users will see the browser showing the yellow bar saying your form profile has been autofilled, which will confuse the users because they don&#39;t see a valid input on the screen. Also, they might become vary about visiting your site because it&#39;d appear as if you are harvesting information without their knowledge.</div>


<div><br></div>
<div>&gt;Vinil</div>
<div style="font-size:12pt;font-family:times new roman, new york, times, serif"><br>
<div style="font-size:12pt;font-family:times new roman, new york, times, serif"><font face="Tahoma" size="2">
<hr size="1">
<b><span style="font-weight:bold">From:</span></b> Gunwant Singh &lt;<a href="mailto:gunwant.s@gmail.com" target="_blank">gunwant.s@gmail.com</a>&gt;<br><b><span style="font-weight:bold">To:</span></b> OWASP DELHI &lt;<a href="mailto:owasp-delhi@lists.owasp.org" target="_blank">owasp-delhi@lists.owasp.org</a>&gt;; OWASP BLORE &lt;<a href="mailto:owasp-bangalore@lists.owasp.org" target="_blank">owasp-bangalore@lists.owasp.org</a>&gt;<br>

<b><span style="font-weight:bold">Sent:</span></b> Tue, February 1, 2011 4:42:31 AM<br><b><span style="font-weight:bold">Subject:</span></b> [Owasp-delhi] Re-considering CAPTCHAs<br></font>
<div>
<div></div>
<div><br>
<div>Hi all,</div>
<div> </div>
<div>Hope you are doing well.</div>
<div> </div>
<div>So there was this thread on CAPTCHAs on Security focus lately and I happened to read this new idea on CAPTCHA. This is what he said.</div>
<div> </div>
<div>&quot;I hate captchas, always have so I use a reverse captcha on sites that I build. You add a field to the form with name and id of email. You then give it a label that says &quot;Please leave blank&quot; and hide them both with CSS. Most people won&#39;t see them because the CSS works, even if they do see them they read the message and obey. Spam engines on the other hand spot the email field and happily fill it in. You then silently drop any contact forms with values in the email field.&quot;</div>


<div> </div>
<div>Just wanted to know your opinion on this. How did you find this idea of tricking spammers? I am concerned about this idea because of the easiness of its implementation. But there can be concerns regarding customization of bot softwares depending on the individual forms with such implementations. What else do you have in mind?<br clear="all">

<br>-- <br>Gunwant Singh<br><br></div></div></div></div></div>
<div></div></div></div></blockquote></div><br><br clear="all"><br></div></div>-- <br><font color="#888888">Gunwant Singh<br><br>
</font><br>_______________________________________________<br>
Owasp-delhi mailing list<br>
<a href="mailto:Owasp-delhi@lists.owasp.org">Owasp-delhi@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a><br>
<br></blockquote></div><br>