Идея по защите форума от спамботов

Автор Idrassil, 26 мая 2011, 11:42:43

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Idrassil

Предлагаю обсудить такую тему. Как можно судить из обсуждений на форуме, многих людей достают различные спам-боты. Капча в борьбе с ними не всегда помогает, потому что, во-первых, эту капчу обходят с помощью различных сервисов типа антигейта,а во-вторых, слишком сложную капчу тяжело разгадать и человеку, что может отпугнуть потенциальных пользователей от проекта.
В одном из блогов нашел интересную статью, про защите форума с помощью javascript. Т.к. я не специалист, мне сложно судить об эффективности, но, на 1 бесплатном хостинге форумов (название не скажу, ибо хостинг тот редкое г..но и ничего хорошего, кроме этой защиты, не имеет) никогда не было спамботов, да и автореггеров под них я не встречал. А все потому, что там стоит подобная защита через яваскрипт.

Интересно узнать мнение программистов по этому поводу. Вот ссылка на саму статью:
http://www.manhunter.ru/webmaster/53_zaschita_ot_spama_na_saytah_i_forumah.html

nu11

Против не очень интеллектуальных автоматических ботов может сработать.
Против человека, анализирующего сайт и создающего конфиг для хрумера - нет.

Да и вообще, элементарно все это обходится: ключик с сервера получаешь, загружая страницу с формой, при необходимости преобразуешь его по алгоритму, найденному из js-скриптов с этой страницы, отправляешь спам.
Динамические названия полей - говно-вопрос, идентифицируешь их по css классам и вперед.
Если нет капчи, нет и защиты.

Можно например со страницы отправки запрашивать какую-нибудь картинку, при загрузке которой в сессию будет записано, что она загружена. Для пущей надежности, можно эту картинку запросить из джаваскрипта. Тогда можно быть как бы уверенным в том, что это браузер с включенными скриптами. На самом деле это тоже очень ненадежно.

BIOHAZARD

пока нет более простой и эффективной защиты, чем контрольные вопросы при регистрации, поэтому в SMF 2.0 вообще нет такой проблемы, как спам-боты
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

nu11

Ответы на контрольные вопросы можно ввести в спамбот и они не будут защищать вовсе.
В любом случае что-то придется вводить. Капчу тоже надо вводить, зато она гораздо более надежна.

BIOHAZARD

с каких это пор?
капча одинаковая на 100500 форумов, вопросы индивидуальны для каждого форума
практика показала, что капча любой сложности хавается на ура хрумером, а вот после выставления дополнительных вопросов ни одной спамерской регистрации ни на одном из "своих" форумов за два года не видел
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

nu11

Можно использовать нестандартную капчу, с которой нужно вводить только определенные символы, а не все.
Такая капча уже не берется антигейтами, полный успех.

Вопросы могут быть неочевидны многим, человеческий фактор в общем. Да и букв много вводить, черт побери. Я лучше введу сто капч, чем сто раз отвечу на вопрос - это будет просто быстрее.
Поставьте себя на место пользователей.

GeorG

Иногда капчи такие мудрёные, что с первого раза и не ввести правильно. ИХМО, лучше на вопрос ответить, к тому же, они не сложные как привило, а логически понятные (для меня лично, лучше так).
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

trora

надо сделать капчу с 5 знаками непример, а просить вводить- первые три. или последние три.  или средние три.
и  сделать просьбу не текстом-  а картинкой  например. и подгружать явой .
а бот будет вводить все.- и получит регистрацию- на мыло. и если ссылку с мыла активирует- попадет в скрытый спамерский раздел, закрытый от глаз юзеров и поисковиков. и пусть там резвится...  а если еще в спамерской группе поставить право делать 1 сообщение в сутки, например...или в месяц...
а если к капче и вопрос контрольный приделать в дополнение...
я не доллар чтоб всем нравиться

BIOHAZARD

Цитата: trora от 27 мая 2011, 05:54:28
надо сделать капчу с 5 знаками непример, а просить вводить- первые три. или последние три.  или средние три.
и  сделать просьбу не текстом-  а картинкой  например. и подгружать явой .
а бот будет вводить все.- и получит регистрацию- на мыло. и если ссылку с мыла активирует- попадет в скрытый спамерский раздел, закрытый от глаз юзеров и поисковиков. и пусть там резвится...  а если еще в спамерской группе поставить право делать 1 сообщение в сутки, например...или в месяц...
а если к капче и вопрос контрольный приделать в дополнение...
может проще тогда сразу винт на серваке отформатировать?

Цитата: nu11 от 26 мая 2011, 18:12:16Вопросы могут быть неочевидны многим, человеческий фактор в общем. Да и букв много вводить, черт побери. Я лучше введу сто капч, чем сто раз отвечу на вопрос - это будет просто быстрее.
Поставьте себя на место пользователей.
ну да, ответ на вопрос сколько углов у треугольника сразу отсеет людей без высшего технического образования, а без флудеров форум зачахнет

создавайте вменяемые вопросы и будет вам счастье

Цитата: GeorG от 26 мая 2011, 18:26:37
Иногда капчи такие мудрёные, что с первого раза и не ввести правильно
иногда и с третьего, и с каждым годом становится только хуже
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

GeorG

Цитироватьпопадет в скрытый спамерский раздел
Вот это самое интересное, осталось только отличить спам боты, и как-то не допустить до раздела других... Тогда можно и не делать всякие ухищрения, а тупо, их всех (спам ботов) туда направлять >:D

Цитироватьиногда и с третьего, и с каждым годом становится только хуже
Ага, иногда даже на регистрацию забиваю, не могу капчу осилить, чаще всего, это на Вбуллетин так (там такие закорючки, что - "мама не горюй").


Так что серьёзная, суровая капча, стопудово отпугивает, за себя точно сказать могу, так оно и есть. И да, всё чаще начинаю видеть на тех же "Буллках", окромя капчи, еще дополнительные вопросы, потому как капча, не справляется со своим предназначением.


Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

BIOHAZARD

Цитата: GeorG от 27 мая 2011, 06:32:41окромя капчи, еще дополнительные вопросы
а это уже излишне
там, где у меня стоят вопросы, капчу я вообще отключаю обычно
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

nu11

Надо совершенствовать капчу, а не увеличивать количество слоев защиты.

Вопрос про углы треугольника уязвим: бота можно научить пробовать ответы по словарю, включив в него ответы на самые банальные вопросы. Я не говорю уже о том, что можно посидеть пособирать эти вопросы вручную, включив их потом в конфиг бота.
У серьезных контор (гуглов всяких) везде капча + анализ запросов и ввода. Вопросы пригодны для небольших форумов и блогов, на более высоком уровне это совершенно нежизнеспособно.

Я свой форум почти полностью огородил от спама простым запретом ссылок в постах гостей. Два-три поста в неделю проскакивает, я их удаляю.

Idrassil

Защита через капчу мне не нравится по 2м причинам:
1. Чем сложнее капча, тем тяжелей ее обойти обычным людям. Например, у меня не очень хорошее зрение + слабо различаю некоторые цвета. И новые капчи того же IPB я никак не могу пройти! Может кому-то смешно, но мне приходилось просить знакомых, чтобы зарегились за меня на одном из форумов.
2. Почти любая капча обходится с помощью сервисов типа антигейт. Если кто не в курсе - это такая контора, с одной стороны которой спамеры, шлющие конторе капчу, а с другой - тысячи негров, вбивающих эту капчу за деньги (такой себе способ заработка для тех, кто ничего не умеет в инете).

По вопросам - у меня на форуме тоже стоят 3 вопроса, и ботов-спамеров нет. Но это потому, что никто всерьез не занимался форумом. Если захотеть и кодить скрипт под конкретный форум, то эти вопросы обходятся на раз (или у кого то 10000 вопросов, которые динамически меняются? Сомневаюсь). Поэтому яваскрипт мне кажется достаточно неплохой альтернативой в сложных случаях. Может и эту защиту можно обойти, но наверное все таки потяжелей, чем составить обычный пост запрос.

nu11

Капчу, которую нужно вводить по определенному правилу, например, на картинке смесь кириллицы и латиницы, а вводить нужно только латиницу(или наоборот), антигейт вряд ли возьмет.
Кириллическая капча - тоже путь, большая часть обезьянок отсеивается из-за незнания языка.

Капча, трудноразгадываемая для ботов, не всегда сложна для человека(пример: http://code.google.com/p/3dcaptcha/). Вы просто не умеете ее готовить. :)

http://ocr-research.org.ua/list.html а вот списочек слабых капч, которые однако не так просты для разгадывания людьми.

BIOHAZARD

капча сама по себе противоестественна - мы ведь не в военкомате, чтоб размытые буквы на цветном фоне разглядывать
а вопросы, мало того, что на порядок эффективнее, так ещё и проще воспринимаются человеком, вне зависимости от его стажа в этих ваших интернетах

Цитата: nu11 от 27 мая 2011, 18:32:46
Кириллическая капча - тоже путь
капча на кириллице? тогда вам персональное задание - отличить на картинке 0ОOΟ // все четыре символа абсолютно разные
или хотя бы в тексте
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

nu11

Если капча написана не идиотом, в ней есть что-то вроде
if(!preg_match('/cp|cb|ck|c6|c9|rn|rm|mm|co|do|cl|db|qp|qb|dp|ww/', $this->keystring))
Неоднозначные сочетания отсеиваются. Вы просто предвзято относитесь к капче. Это нормальное явление.
А еще (кто бы мог подумать) используются не все символы алфавита, а только пригодные для этого.

Плохочитаемые капчи - плоды обезьяньего труда дилетантов. Выбирайте качественные продукты и будет вам счастье.

trora

Цитата: GeorG от 27 мая 2011, 06:32:41
Вот это самое интересное, осталось только отличить спам боты, и как-то не допустить до раздела других... Тогда можно и не делать всякие ухищрения, а тупо, их всех (спам ботов) туда направлять >:D

ну так простейший скрипт и будет сортировать- ответил правильно ( ввел три средние буквы капчи)-чел. неправильно- (ввел все пять букв капчи)-бот
и тому и другому разрешено региться- только чел   в одну группу попадает, а бот- в другую, с поражением в правах.
.
или нужен мод- который переносит посты с ссылками в скрытый раздел или удаляет их- если на форуме стоит запрет постить ссылки до достижения например 3 или 5 постов.
а если чуть усложнить- то исам юзер отправляется в особйю группу- спамеров. и может писать только в скрытом разделе. и все боты сами тудаи попадут автоматом
я не доллар чтоб всем нравиться

Серый Лис

#17
Концепция защиты по методе Honeypot  "Горшочек с медом"