mathguard para TYPO3

CAPTCHAs matemáticos são a proteção anti-spam acessível que a maioria dos sites desconhece

Spam em formulários de contato é um tema permanente. A solução mais popular é Google reCAPTCHA, que porém envia dados de usuário ao Google e complica a conformidade com a LGPD. CAPTCHAs baseados em imagem (“Clique em todos os semáforos”) frustram usuários e são inacessíveis para leitores de tela. mathguard vai por outro caminho: a extensão mostra uma conta matemática simples (“Quanto é 3 + 7?”) no formulário. Humanos resolvem em segundos, bots automatizados falham na maioria. Sem JavaScript externo, sem cookies, sem transferência de dados a terceiros, totalmente compatível com leitores de tela.

Para instituições públicas, universidades e empresas com requisitos de acessibilidade (WCAG 2.1), mathguard é uma das poucas soluções CAPTCHA que garante tanto proteção anti-spam quanto acessibilidade. A redução de spam fica entre 85 a 95% do tráfego de bots.

Cenários típicos de uso são formulários de contato, funções de comentário e registros

O cenário padrão é o formulário de contato em um site corporativo. Sem proteção anti-spam, chegam diariamente 20 a 200 submissões de bots na caixa de entrada da redação. mathguard adiciona um campo de cálculo posicionado entre campo de e-mail e botão de envio. A conta é gerada aleatoriamente a cada carregamento de página.

Segundo cenário: funções de comentário em blogs e páginas de notícias. Quando visitantes podem deixar comentários em artigos, spam é inevitável. mathguard protege o formulário de comentário sem que visitantes precisem de conta Google ou app especial.

Terceiro cenário: registros de usuário. Quando um site oferece contas frontend (p.ex. para portal de clientes ou área de download protegida), mathguard protege o formulário de registro contra criações automatizadas de conta.

Arquitetura técnica gera contas server-side com validação por sessão

mathguard trabalha completamente server-side. A cada chamada do formulário, a extensão gera uma conta matemática aleatória (adição, subtração ou multiplicação com números de um dígito). A solução correta é armazenada na sessão PHP, não no código HTML. Isso é decisivo: se a solução estivesse como campo oculto no formulário, qualquer bot poderia lê-la.

A integração em formulários TYPO3 funciona via ViewHelper ou Fluid Partial inserido em templates de formulário existentes. Para powermail e o TYPO3 Form Framework existem exemplos de configuração que permitem a integração em 10 a 15 minutos.

A conta é apresentada como texto (“Quanto é 5 + 3?”), não como imagem. Isso a torna automaticamente compatível com leitores de tela: software de leitura pode ler a conta, e o usuário insere a solução em um campo de texto normal.

Para segurança adicional, mathguard pode ser combinado com um campo honeypot: um campo de formulário invisível que é preenchido por bots mas ignorado por usuários reais. Complementarmente, uma validação de timestamp pode ser usada: se um formulário é preenchido em menos de 3 segundos, é com alta probabilidade um bot. A combinação de CAPTCHA matemático, honeypot e verificação de timestamp alcança uma redução de spam acima de 99%.

Problemas frequentes são bots inteligentes, perda de sessão e irritação de UX

Problema um: bots avançados que resolvem contas. Bots simples de parsing de texto podem interpretar “Quanto é 3 + 7?” e inserir a resposta correta “10”. A solução: apresentar a conta como texto levemente ofuscado (“Três mais sete é igual a?”). Na configuração padrão, mathguard usa contas numéricas, o que é suficiente para 85 a 95% dos bots.

Problema dois: perda de sessão. Se a sessão PHP se perde entre chamada do formulário e envio (p.ex. por load balancer sem session stickiness), a validação falha embora o usuário tenha inserido a resposta correta. A solução: configurar session stickiness no load balancer ou armazenar dados de sessão no banco em vez do sistema de arquivos.

Problema três: irritação de UX. Alguns visitantes acham uma conta matemática condescendente. A solução: colocar uma nota amigável acima do campo (“Proteção anti-spam: por favor resolva esta breve conta”) e integrar a conta visualmente de forma discreta no design do formulário.

mathguard funciona com todas as versões TYPO3, porque a técnica é mínima

A extensão não tem dependências profundas da API Core TYPO3. Tratamento de sessão, rendering de formulário e validação usam funções padrão PHP e TYPO3 que praticamente não mudam entre versões. mathguard é compatível com TYPO3 v10, v11 e v12 e previsivelmente funcionará também sob v13, possivelmente com ajustes mínimos no ViewHelper. A Gosign implementa em projetos próprios uma combinação de honeypot, validação de timestamp e CAPTCHA matemático opcional como proteção anti-spam em três camadas que funciona sem serviços externos.