Зарегистрирован: 08.08.2006 Сообщения: 904 Откуда: Россия, Омск 113654
Добавлено: Вс, 10 Дек, 2006 14:09 Заголовок сообщения: Защита от спам-ботов
Предлагаю обсудить методы защиты от спам-роботов (автосабмиттеров), оставляющих рекламные сообщения в гостевых книгах и форумах.
Для начала небольшая цитата их описания одного из таких ботов (чтобы было понятно, с чем боремся)
Цитата:
# Программа способна при необходимости регистрироваться на форуме (если это нужно для создания нового сообщения) и заполнять при этом все нужные поля. После регистрации программа автоматически производит логин на сайт и размещает Ваш текст и/или ссылку
# Встроена мощная система поиска и проверки прокси-серверов. Это обеспечивает Вашу анонимность и исключает бан на форумах по IP. Возможно использование как HTTP- так и SOCKS-прокси.
# Программа умеет работать с огромным количеством различных типов форумов и гостевых: phpBB и PHP-Nuke любых модификаций, yaBB, VBulletin, Invision Power Board, IconBoard, UltimateBB, exBB, phorum.org, wiki, livejournal.com, blogger.com, разнообразными видами досок обьявлений а также "самописными" движками
# ВНИМАНИЕ: эксклюзивная возможность - программа обходит ЛЮБЫЕ виды защиты от автоматической регистрации и автосабмита! Такие, как:
- Защита при помощи пиктокода (тикетов) типа "Введите число, которое видите".
- Защита при помощи активации по e-mail.
- Защита при помощи некоторых Java-скриптов.
Вот хороший пример того, что будет с форумом если его не защищать.
Простой, но позволяющий сразу отсечь большую часть ботов. Блокировка по заголовку USER_AGENT. Да, строку USER_AGENT в большинстве ботов можно поменять, но как показывает практика это делать чаще всего забывают/бояться/не умеют.
Размещаем в каталоге с форумом файлик .htaccess следующего содержания:
Это USER_AGENT, наиболее часто используемый ботами. Но можно пойти и дальше и включить в список другие программы, которым в форумах и гостевых делать нечего:
Замена стандартного пиктокода (картинки с цифрами/буквами) на странице регистрации на более защищенную версию.
Хороший пиктокод, на сегодняшний день не распознающийся ботами, доступен на сайте captcha.ru
Выглядит примерно так:
А вот его модификация, требующая от пользователя ввести ответ на пример:
Для форума phpBB готовый мод, заменяющий пиктокод регистрации можно взять, например, здесь, а для IPB (тот что с примером) здесь (нужна регистрация)
Смысл следующий - при открытии формы ввода текста на форуме или в гостевой засекается время. Если до момента отправки сообщения проходит менее 5 секунд, то пост блокируется (переходит в режим предварительного просмотра). Защита основана на том факте, что спам-боты отсылают свои сообщения практически мгновенно, а человеку нужно время, чтобы ввести текст.
Любую защиту можно при желании обойти, но если этой самой защитой не заниматься, то 100% получим форум забитый спамом (см. первый пост).
А самый лучший способ защиты - придумать свою оригинальную защиту, или модифицировать уже существующие. Так что делитесь мыслями
Этот способ с успехом использовал админ одного из форумов, где я тусовался. Он модифицировал форму регистрации так, что пользователь не сам вводил себе пароль, а после регистрации получал сгенерированный пароль по почте. Потом конечно пароль можно поменять в профиле, но спам-боту вытащить пароль из письма и применить его оказалось сложнее, чам найти в письме ссылку, подтверждающую регистрацию.
Боты регистрировались, но постить рекламу не могли.
Дополнительное обязательное поле при регистрации.
Из базы вопросов выбирается наугад вопрос, ответ на который нужно ввести. Типа "сколько пальцев на ноге?". Ну и проверяется потом, конечно. Смысл защиты в том, чтобы иметь свою оригинальную базу таких вопросов. Программе-спамеру будет затруднительно держать в своей базе список вопросов и правильных ответов для каждого из десятка тысяч форумов. Проще плюнуть и перейти к следующей по списку жертве.
У нас используется нестандартная Captcha (плюс ещё кое-что, но оно второстепенно). Практика показала, что достаточно немного видоизменить один из стандартных алгоритмов генерации изображения чтобы полностью избавиться от автоматических регистраций. Вообще, можно применить любой нестандартный метод (хотя бы один) — этого будет достаточно, ведь никто не станет писать спамилку под один-единственный форум. _________________ Дмитрий
решил использовать лишь вариант с отправкой пароля мне хватает, ведь немногие позарятся на minibb. но если позарятся, мне не спастись, ведь даже я сам смогу написать скрипт обхода защиты
Добавлено: Сб, 26 Май, 2007 16:27 Заголовок сообщения:
Wink, банально не дочитал до конца... Форум-то у меня есть... можно ещё включить активацию пользователей админом, некоторые боты могут использовать в качастве ников простой набор символов (беру пример с одного известного форума)...
Зарегистрирован: 08.08.2006 Сообщения: 904 Откуда: Россия, Омск 113654
Добавлено: Сб, 26 Май, 2007 16:43 Заголовок сообщения:
Элвис
Я поддерживаю один форум где зарегистрировано около тысячи человек, поэтому на себе испытал что эти боты умеют. И капчи стандартные они на раз угадывают, и через активацию по почте проходят легко.
Активировать всех вручную не очень удобно - нормальным людям приходится ждать всё время, а боты могут любое имя выбрать, оно в настройках программы указывается. Да и лень мне каждый день лазить активировать пользователей