Pull to refresh

Comments 88

UFO landed and left these words here
Если роботы начнут парсить css, строить дерево и смотреть какому тэгу стоит какое свойство, то они станут браузерами :)
UFO landed and left these words here
Ну никто не мешает им пользовать все тот же злощасный компонент ие
Ресурсы мешают. :) Толстый кластер под спамилку держать не все себе позволят.

А метод хороший, будем пользовать.
Мысль пришла : а почему CAPTCH`у ни делать на ФЛЕШЕ или JAVA ?
У многих есть и то и другое... а вообще вот интересный вариант анти-бота - http://shgsm.ru/sms.php
знакомый придумал
UFO landed and left these words here
Флеш стоит у большенства... и не так сложно его скачать
UFO landed and left these words here
1 Ориентация на массы а не на продвинутых... мы с тобой при желании можем и флеш поставить... хоть и геморой... а у простых смертных FLASH 100% есть (рекламные баннеры подгрузили уже)
расчитывать надо на нормаьных людей. а не плодить дебилов.
точно. Самое лучшее решение досих пор CAPTCHA и вопросы типа "Сколько будет 1+3". Но идея насчет CSS тоже имеет право на существование, прошли те времена, когда CSS был камнем предкновения для броузеров. Единственный минус данной системы - если человек будет смотреть сайт с трубы/кпк и с отключенным CSS, то он введет в это поле что-нибудь.
Ну там можно и текстом написать - дескать не вводите и будет вам щастье
Нет, немногие в это поверят. :) Если перед человеком поле ввода, на мой взгляд, 95% в него что-нибудь да напишут, невзирая на всякие устрашающие надписи. Хотя идея неплохая, но не как альтернатива, а как, возможно, дополнение.
я не буду качать флеш, что бы зарегаться на каком-ьо одном сайте
Хмм. Интересная идея. Спасибо за ссылку.
Этой идее - сто лет в обед :) В интернете полно упоминаний.
Если нужно заточить бота под конкретный сайт - флеш или жаба - слабые помощники.
И на массовых сервисах подобных вещей не будет никогда, если только эти сервисы не заботятся о аудитории.
Этто точно - сам из тех, кто флешкапчу ломал :)
Хорошо придумал :)
Кстати, а можно защититься от спам ботов с помощью JS?
C помощью JS можно придумать антиспам штук больше чем всего ботов существует. Например можно динамически создавать форму при помощи JS - тогда в оригинальном документа формы вообще не будет - она появится после того, как загрузится документ. Еще метод с JS - таймер, но он не попадает ни в какое сравнение с серверным таймером, когда вычисляется время между моментом выдачи документа и моментом отправки формы - ясно, что бот делает все оочень быстро и его легко вычислить. Много методов я могу придумать просто болтая с любым из вас прямо сдесь и все они в 99,9% случаев будут рабочими (универсального механизма еще не придумали). То, что предложил автор - больше чем чушь. Простой и самый актуальный пример - блоги. Бот знает все поля, которые есть, которые вводить обязательно и которые вводить не обязательно. Бот заполнит name, e-mail и URL, а на ваше скрытое поле даже не посмотрит. Куда более эффективнее в защите блогов простое переименование полей каждого поля формы и тогда, если запретить трекбеки во всех записях, антиспам-плагины можно удалять (проверено).
Эй, мы же сошлись недавно на том, что ты во второй половине абзаца абсолютно неправ? Ай-яй-яй, как некрасиво, Сетти, что же ты. :)
Ты что, меня преследуешь? Посмотри на дату и отстань.
хеххехе :)
я случайно дату проглядел, прости :)
Сделав такое вы автоматически отсекаете людей сознательно отключивших и флеш и яву (не ява-скрипт) для экономии трафика или что бы не видеть рекламу или что бы не подхватить вирус какой.
Замечание - там плавающую кнопочку сложновато разглядеть, причем на зрение я не жалуюсь. А как быть тем у кого картинку мира блюрит?
Простое наивное и неверное решение. Ломается элементарно: бот просто перебирает заполняемы/незаполняемые поля, и выявляет что нужно заполнять, а что нет.
Зато рабочее. Крутится несколько месяцев, проходит 1 спамовое сообщение из 30-40 в день.
И как он это перебирает, интересно? CSS парсит? Знаешь, сколько есть методов скрытия контента с помощью CSS? Спамеры не могут себе позволить такое расточительство в вычислительных ресурсах.
Пардон, а формочку для заполнения в html он как по вашему находит? Что, просто видит её что-ли? ;)
Ты, видимо, не понимаешь, о чём вообще речь идёт.
Бот парсит HTML-код и видит то, что ему подсовывают, а вот юзер благодаря CSS всё видит несколько иначе.
Наверное не понимаю, но штуку такую писать разок прихоилось ;)
Красивая, но бестолковая идея. Красивая в своей простоте и бестолковая в том смысле, что, к сожалению, регистрационный спам делается вручную. Как показывает моя практика. Так что работать надо в направлении лишения боторегов смысла. Чтобы результатом всех хитрозадых операций по взлому вашего алгоритма была удачная, но бессмысленная регистрация.
Не сказал бы, что идея полностью бестолковая - во многих случаях она здорово помогает. Зависит от применения. Речь ведь идёт не только о регистрационном спаме - те же комментарии в блогах, например.
Самая простая текстовая капча убивает 90% ботов. И очень редко боты затачиваются под конкретные сайты (если не кровь из носу надо, а просто проспамиться...) Если нужно будет кровь из носу - любую капчу сломают, окромя может быть... один раз видел там был написан офигительный предел, я его сам (математик по образованию) решал 15 минут, отрешфрешил (просто позырить) там новый был. Вот эти ботами фиг сломаешь. А если нужно просто и быро и 90% отбить - это самый простой способ.
UFO landed and left these words here
Не юзал такую штуку, но нет у меня уверенности что она прямо-таки разлюбой предел возмёт... Да и как написал ваще - если нужно будет любую каптчу сломать можно будет.
практически любые, а еще интегралы и производные.
По крайней мере те пределы, которые человек решает 15 минут, МатКад берет за секунды
господа я знаю одно ПО у которого эта фича уже как год есть.
Но, если форму заполнит бот, он вставит в это поле какой-нибудь текст(он ведь не узнает, что это поле скрыто) и засабмитит её.

Если бы боты заполняли формы от балды, то так бы оно и было :)
Но если в стандартной форме регистрации IPB, phpBB, Joomla и т.п. такого поля нет, то оно и будет пропущено.

В форумах, кстати, боты легко сбиваются с толку сменой значения галки "я согласен с лиц. соглашением" на противоположное. То есть флаг тот же, а вот обработка меняется местами. Бот флаг поставит, а человек прочитает текст предварительно.

Да и в случае стандартных движков есть более простые варианты - добавление любого дополнительного обязательного поля определённого формата. Как только ваш движок перестаёт быть идентичным стандартному, большая часть ботов отпадёт.
Фигня это. Для защиты конкретного форума - сойдет. Но защитить один форум (под который никто специально писать софт не будет) - легко, есть тысяча других способов. А вот придумать что-то для широких масс - это вам не поля переименовывать или через CSS (JS) прятать.
У меня стоял такой механизм пару лет. Без всяких CSS-ов — я просто убрал одно из стандартных полей формы, а роботы продолжали его сабмитить.

Работает, подтверждаю.
Логично.
Также можно добавить обязательное поле - будет похожий результат.
А нельзя что-то вроде такого:

смотрим время загрузки страницы с формой,
время сабмита регистрации,
и если разница меньше какой-то разумной, за сколько живой человек заполнит форму, то знач бот.
Когда же придумают фильтр от людей-спамеров? У меня на подведомственном форуме десятка два за день сообщений про проституток. Пишут люди, а после удаления их сообщений приходят и жалуются, что их сообщения удаляются ;) Видимо им по центу за каждое такое сообщение платят, вот они и трудятся на просторах инета.
- Запретить (отфильтровывать) помещать в сообщения ссылки/картинки до достижения определённого кол-ва сообщений.
- Не считать кол-во сообщений из темы "Флуд"
- Все остальные темы модерировать жестоко
- За нарушение правил банить и по IP + ещё в куки сажать идентификатор (ну мало ли поможет)
- Применять все прочие методы защиты типа CAPTCHA, смена идентификаторов полей форм и т.д.

Это не спасёт, но легче станет.
Банить по IP?
В российских, да и не только российских реалиях это зачастую эквивалентно бану многих, если не всех, пользователей провайдера
Бан это только одна из мер. Его надо применять последним в случаях когда это эффективно.

До этого тьма других методов которые конечно не спасут, но могут сильно помочь.

Например, можно дать пользователям возможность жаловаться на спамеров - модератору на больших форумах станет проще разбирать сотни сообщений.

Интересно было бы прикрутить к форуму антиспамовый фильтр типа почтовых.
Вот интересный антиспам-плагин для Wordpress, а вот его вторая версия.

Для форумов его можно перепилить.
Теперь встаёт самый главный вопрос для всех более или менее посещаемых форумов - баланс производительности и цены хостинга т.к. всевозможные фильтры, капчи и антиспамы потребуют больше процессорного времени.
Пишутся условия размещения с галкой «Я согласен», и на все жалобы просто дается ссылка на это соглашение.
Китайцев никто не отменял :) обойдут любые captcha
Китайцы это капля в море по сравнению с Индусами :)
Есть ещё вариант когда вместо сабмита кнопки использовать сабмит картинку. Тогда если чел кликнул на кнопку то передаются дополнительные параметры координаты на картинке где был клик.
Если это ещё доработать, сделать кнопку на половину невидимой (такой же как цвет фона) а половину прорисовывать, то естественно что юзер будет кликать по тому месту что прорисовано а не мимо. Соответственно потом можно по координатам определять попали на кнопку или нет. Ну если ещё пофантазировать то можно и динамически менять положение кнопки (справа или слева), т.е. менять местами кнопку и прозрачный фон.
А если не мышкой кликать, а скажем перейти на кнопку табом и нажать enter?
в этом месте господин prudis чешет репу...
И если графика отключена, юзер в пролете ;)
Речь шла об этом:
Есть ещё вариант когда вместо сабмита кнопки использовать сабмит картинку. Тогда если чел кликнул на кнопку то передаются дополнительные параметры координаты на картинке где был клик.
Если это ещё доработать, сделать кнопку на половину невидимой (такой же как цвет фона) а половину прорисовывать, то естественно что юзер будет кликать по тому месту что прорисовано а не мимо. Соответственно потом можно по координатам определять попали на кнопку или нет. Ну если ещё пофантазировать то можно и динамически менять положение кнопки (справа или слева), т.е. менять местами кнопку и прозрачный фон.
Вроде уже отвечал на это.
Кнопки можно нажимать не только мышью, но и клавишей Enter перейдя на ссылку Tab`ом. Как при таком варианте будете координаты считать? А если ява скрипты отключены или отфильтровались? А если картинки отключены?
1. одно неплохое решение - вешать на элементы форм JS события, которые возникают (onClick,onChange) именно при ручном вводе, а там уже устанавливать спец. переменные. Бот явно не будет исполнять JS
2. менять имена элементов формы, точнее генерить по формуле каждый раз новые. Правда для некоторых полей типа email это даст отрицательный эффект - отсутствие автозаполнения.
...и все пользователи с отключенным javascript идут лесом
А много ли реально таких? Тем более, с учетом веб20 мании. Кроме того, можно ведь и предупредить, что JS required
А теперь представьте себе, что бы сказали о гугле, если бы в gmail они откинули всех пользователей, у которых отключен js?

Они вот не поленились, и сделали вторую версию полностью без javascript. Значит доля таких весьма немалая.
UFO landed and left these words here
Я предлагаю отказаться от javascript в тех местах, в которых нельзя сделать ему альтернативу для тех, у кого он задизаблен.

Сайту нужнее пользователи, чем пользователю сайт, так сказать.
Сеть большая, сайтов много, а вот минус посетитель у вас - плюс посетитель у конкурента)
Универсальных средств нет. Тоже самое относится например к капчам, для людей отключающих графику - их невидно. Приходится чем-то жертвовать или разгребать спам.
Создание скрытых полей через display:none тоже имеет свои минусы, как например, анализирование спамботом стилей вокруг полей формы (не столь и сложная задача)
Гугл конечно вынужден делать все варианты ... с его-то базой. А вообще смысл делать вариант сайта без JS, если такой посетитель js-disabled не придет, или кол-во таких посетителей меньше процента например. Нужно еще соотносить затраты на создание. Вот здесь на хабре нету варианта сайта без JS - и ничего. :)
А хабру и не нужен отдельный вариант сайта без js.

Его функциональность на нынешний момент, в принципе, можно и так организовать, проверяя есть у человека возможность использовать xmlhttprequest или нет, и в зависимости от этого используя его, или отправляя пользователя по ссылке.

Но объём работ будет не маленький.
Ну и наверное нету смысла спорить про JS. Мне также тружно понять в общем случае смысл отключения JS (исключая PDA, мобильные телефоны), хотя такие есть.
С другой стороны спам трудно уничтожить чисто техническими решениями. Чем больше будет использоватся в популярных форумных движках,гостевых,блогах NoFollow,NoIndex, тем меньше это будет интересовать спамботы...
Правильно реализовывать надо - с фоллбэком, и тогда всё будет чудно. Например, сначала реализовать текстовую каптчу, а потом JS-решением ее автоматически заполнять и прятать. Это будет легко доступно пользователем без JS и удобно с ним.
UFO landed and left these words here
Вообще думаю проблема даже не в том как обезопасить сайт от ботов. Способов полно, самый популярный из них это капча. Как и упоминалось что она убивает 90% ботов, да и это самый привычный метод для юзеров.
проблема думаю в администраторах сайтов, форумов, бордов которые ленятся сделать даже капчу. Многие плачут типа задолбали боты и ничего не предпринимают, там даже капч нету. Не можете предпринять шагов - модерируйте.
Роботов пишут люди. В этом случае, люди, которые не видели скрытого поля.
UFO landed and left these words here
защита от спама это вообще не проблема. методов куча, используется еденицы.
99.9% спама убивает капча, либо вообще несколько запрещенных слов которые не введет человек (проверено), а боты их всегда вводят.
Как насчет генерить уникальный урл для страницы с формой?
Only those users with full accounts are able to leave comments. Log in, please.