HellCaptcha: Accessibility Theater at Its Worst
a year ago
- #web-development
- #accessibility
- #CAPTCHA
- hCaptcha的“无障碍”模式形同虚设,依赖的cookie系统存在缺陷
- 其绕过cookie的功能会静默失效,不仅要求绑定美国手机号,还完全缺乏透明度
- 纯文本验证挑战仅在网站主动启用时可用,导致多数用户无法获得无障碍选项
- hCaptcha的故障使残障人士难以完成登录、提交表单等基本网络操作
- 可替代方案包括Cloudflare Turnstile、蜜罐技术、行为分析及渐进式挑战升级
- 多数网站其实无需验证码,用CSRF令牌和速率限制等简单方法即可满足需求