CAPTCHA para TYPO3

Por que a decisão sobre CAPTCHA não é uma questão técnica, mas de privacidade

CAPTCHA soa como uma decisão trivial: proteger o formulário contra bots, instalar uma extensão e pronto. Na prática, a pergunta é qual serviço se integra, qual consentimento se gera e qual taxa de conversão se aceita. Para TYPO3 existem cerca de uma dezena de abordagens que se dividem em três grupos: CAPTCHAs visíveis com tarefa visual, análises comportamentais invisíveis como reCAPTCHA v3 e métodos puramente server-side sem interação do usuário, como honeypots ou rate limiting. A escolha certa depende menos da força dos bots do que da situação regulatória e do público do formulário.

Cenários típicos de uso

Uma software house B2B brasileira opera um formulário de contato com cerca de 300 contatos reais por mês e cerca de 8.000 envios de bot. A empresa já usa Google Analytics, tem uma solução de consentimento rodando e não perde base legal ao instalar o reCAPTCHA v3. Neste caso, a solução invisível é eficaz: bots são bloqueados nos bastidores, usuários reais não veem nada, a taxa de conversão permanece estável. O consentimento já vem pelo banner existente.

Uma prefeitura municipal com formulários online para serviços ao cidadão tem o cenário oposto: Google não pode ser integrado, o banner de consentimento deve ser mínimo, e o formulário também precisa funcionar sem JavaScript. Aqui o reCAPTCHA está descartado imediatamente. A combinação honeypot mais rate limiting no reverse proxy mais uma conta matemática simples no formulário barra 95 por cento dos bots, não exige recurso externo e não gera obrigação de consentimento sob a LGPD (PT: RGPD).

Um terceiro caso é uma instituição de ensino com público muito variado: estudantes, professores, candidatos externos, parte deles com deficiência visual. Aqui a acessibilidade é mais importante que qualquer ganho de segurança, e um CAPTCHA puramente visual é problemático. A solução é um setup hCaptcha com modo de acessibilidade ativado ou uma instância sr_freecap com alternativa de áudio, complementada por rotulagem compatível com as diretrizes do e-MAG.

Arquitetura técnica: três categorias, três padrões de integração

CAPTCHAs visíveis como sr_freecap ou hCaptcha funcionam via mecanismo request-response: a extensão gera ou obtém uma tarefa, a exibe ao usuário e, no envio, a entrada é validada no servidor. No TYPO3, a integração acontece via validator no Form Framework, via extensão de Fluid ViewHelper ou, no Powermail, via plugin de campo captcha. O desafio técnico é a sincronização de sessão e a integração em templates Fluid existentes.

CAPTCHAs invisíveis como reCAPTCHA v3 calculam um score entre 0 e 1 que descreve a probabilidade de que a requisição seja humana. O score chega como campo adicional no submit do formulário, e a extensão decide com base em um limiar configurável se aceita ou rejeita o envio. A grande vantagem é que o usuário não percebe nada, e a desvantagem é a transmissão inevitável de dados ao Google.

Soluções baseadas em honeypot funcionam sem lógica no cliente: um campo invisível é adicionado ao formulário HTML, oculto via CSS ou tabindex=-1. Humanos não preenchem, bots com frequência preenchem, e qualquer envio com honeypot preenchido é descartado no servidor. Complementado por rate limiting por IP e um intervalo de tempo verificável entre abertura da página e submit, isso bloqueia a maioria dos bots simples sem incomodar um único usuário.

Problemas frequentes e soluções

O primeiro problema é a própria escolha: times correm por reflexo ao reCAPTCHA porque é conhecido e gratuito, e perdem de vista a obrigação de consentimento. A decisão limpa exige uma breve avaliação: qual infraestrutura de consentimento existe? Qual público deve usar o formulário? Qual a carga real de bots? A Gosign conduz essa avaliação no âmbito de uma auditoria curta e recomenda, por formulário, o método apropriado, em vez de forçar uma solução única.

O segundo problema é combinar vários mecanismos de proteção. Quem usa honeypot, CAPTCHA e rate limiting em paralelo cria redundância, mas também fontes de erro: um usuário legítimo falha em um dos três passos e perde a confiança no formulário. A resposta pragmática é escalonar os métodos e ativar só a proteção mais pesada em caso de comportamento suspeito, por exemplo, mostrar um CAPTCHA apenas quando a detecção de honeypot já soou ou quando vários envios do mesmo IP chegaram em um intervalo curto.

O terceiro tema é monitoramento. Equipes instalam uma proteção e esquecem que a eficácia cai assim que os bots desenvolvem padrões adaptados. Um setup CAPTCHA eficaz registra spam rate e falso-positivo rate e atualiza os limiares quando os números mudam. A Gosign configura esse monitoramento no âmbito da integração da extensão e entrega uma avaliação mensal, para que fique visível quando uma troca de fornecedor ou um ajuste se torne necessário.

Migração e compatibilidade de versões

No TYPO3 v12 e v13, o Form Framework é o ponto central de integração para soluções CAPTCHA. Extensões que ainda se baseiam no antigo FormBuilder ou no tipo mailform do core precisam ser reconstruídas para o novo framework ao fazer upgrade, o que normalmente força também uma nova escolha de abordagem CAPTCHA. O Powermail continua sendo uma alternativa popular e fornece seus próprios tipos de campo CAPTCHA, mantidos em paralelo.

Quem migra de reCAPTCHA para uma solução compatível com a LGPD não só economiza uma obrigação de consentimento como também ganha tempo de carregamento: o script reCAPTCHA tem várias centenas de kilobytes e é recarregado por cada página com um formulário. Um setup honeypot funciona sem script externo. A Gosign acompanhou várias dessas migrações e entrega, conforme o modelo operacional, um setup puramente honeypot ou uma combinação com uma conta local, trivial para humanos mas barreira notável para bots.