MastodonでhCaptchaを使う

概要

Mastodonサーバー しぃ！でアカウント大量作成のような望ましくない利用者対策にhCaptchaを導入しました。

Misskey/Firefishにあった登録時のCaptcha系のサポートですが、Mastodonでもv4.2.0以降にhCaptchaサポートが入っていたようです。これはglich-socというフォークから輸入されたものです。

前提条件

• Mastodon 4.2.0-beta1以降のバージョン
  • 見分け方: config/settings.yamlにcaptcha_enabledがある

手順

1. hCaptcha – Stop bots and human abuse. https://www.hcaptcha.com/ でhCaptchaにユーザー登録してsitekeyとsecret_keyを入手する
2. .env.productionに以下の設定を入れる

   HCAPTCHA_SITE_KEY=<sitekey>
   HCAPTCHA_SECRET_KEY=<secret_key>

3. mastodon-webを再起動する

まとめ

簡単な手順でアカウントの大量作成のような管理上負担になる攻撃を抑制できるのでぜひご検討ください。ただし、外部スクリプトを読み込みことによるプライバシーへの影響、Captchaが一部のユーザーにとって困難な操作を要求することなどの問題もあるため管理するサーバーの方針によってはCaptchaの代わりに登録に承認を必要とする方がいいかもしれません。

参考文献

Add optional hCaptcha support https://github.com/mastodon/mastodon/pull/25019