Comments 88
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
расчитывать надо на нормаьных людей. а не плодить дебилов.
точно. Самое лучшее решение досих пор CAPTCHA и вопросы типа "Сколько будет 1+3". Но идея насчет CSS тоже имеет право на существование, прошли те времена, когда CSS был камнем предкновения для броузеров. Единственный минус данной системы - если человек будет смотреть сайт с трубы/кпк и с отключенным CSS, то он введет в это поле что-нибудь.
я не буду качать флеш, что бы зарегаться на каком-ьо одном сайте
Хмм. Интересная идея. Спасибо за ссылку.
Если нужно заточить бота под конкретный сайт - флеш или жаба - слабые помощники.
И на массовых сервисах подобных вещей не будет никогда, если только эти сервисы не заботятся о аудитории.
И на массовых сервисах подобных вещей не будет никогда, если только эти сервисы не заботятся о аудитории.
Хорошо придумал :)
Кстати, а можно защититься от спам ботов с помощью JS?
Кстати, а можно защититься от спам ботов с помощью JS?
C помощью JS можно придумать антиспам штук больше чем всего ботов существует. Например можно динамически создавать форму при помощи JS - тогда в оригинальном документа формы вообще не будет - она появится после того, как загрузится документ. Еще метод с JS - таймер, но он не попадает ни в какое сравнение с серверным таймером, когда вычисляется время между моментом выдачи документа и моментом отправки формы - ясно, что бот делает все оочень быстро и его легко вычислить. Много методов я могу придумать просто болтая с любым из вас прямо сдесь и все они в 99,9% случаев будут рабочими (универсального механизма еще не придумали). То, что предложил автор - больше чем чушь. Простой и самый актуальный пример - блоги. Бот знает все поля, которые есть, которые вводить обязательно и которые вводить не обязательно. Бот заполнит name, e-mail и URL, а на ваше скрытое поле даже не посмотрит. Куда более эффективнее в защите блогов простое переименование полей каждого поля формы и тогда, если запретить трекбеки во всех записях, антиспам-плагины можно удалять (проверено).
Сделав такое вы автоматически отсекаете людей сознательно отключивших и флеш и яву (не ява-скрипт) для экономии трафика или что бы не видеть рекламу или что бы не подхватить вирус какой.
Замечание - там плавающую кнопочку сложновато разглядеть, причем на зрение я не жалуюсь. А как быть тем у кого картинку мира блюрит?
Простое наивное и неверное решение. Ломается элементарно: бот просто перебирает заполняемы/незаполняемые поля, и выявляет что нужно заполнять, а что нет.
Зато рабочее. Крутится несколько месяцев, проходит 1 спамовое сообщение из 30-40 в день.
И как он это перебирает, интересно? CSS парсит? Знаешь, сколько есть методов скрытия контента с помощью CSS? Спамеры не могут себе позволить такое расточительство в вычислительных ресурсах.
Красивая, но бестолковая идея. Красивая в своей простоте и бестолковая в том смысле, что, к сожалению, регистрационный спам делается вручную. Как показывает моя практика. Так что работать надо в направлении лишения боторегов смысла. Чтобы результатом всех хитрозадых операций по взлому вашего алгоритма была удачная, но бессмысленная регистрация.
Самая простая текстовая капча убивает 90% ботов. И очень редко боты затачиваются под конкретные сайты (если не кровь из носу надо, а просто проспамиться...) Если нужно будет кровь из носу - любую капчу сломают, окромя может быть... один раз видел там был написан офигительный предел, я его сам (математик по образованию) решал 15 минут, отрешфрешил (просто позырить) там новый был. Вот эти ботами фиг сломаешь. А если нужно просто и быро и 90% отбить - это самый простой способ.
господа я знаю одно ПО у которого эта фича уже как год есть.
Но, если форму заполнит бот, он вставит в это поле какой-нибудь текст(он ведь не узнает, что это поле скрыто) и засабмитит её.
Если бы боты заполняли формы от балды, то так бы оно и было :)
Но если в стандартной форме регистрации IPB, phpBB, Joomla и т.п. такого поля нет, то оно и будет пропущено.
В форумах, кстати, боты легко сбиваются с толку сменой значения галки "я согласен с лиц. соглашением" на противоположное. То есть флаг тот же, а вот обработка меняется местами. Бот флаг поставит, а человек прочитает текст предварительно.
Да и в случае стандартных движков есть более простые варианты - добавление любого дополнительного обязательного поля определённого формата. Как только ваш движок перестаёт быть идентичным стандартному, большая часть ботов отпадёт.
Фигня это. Для защиты конкретного форума - сойдет. Но защитить один форум (под который никто специально писать софт не будет) - легко, есть тысяча других способов. А вот придумать что-то для широких масс - это вам не поля переименовывать или через CSS (JS) прятать.
У меня стоял такой механизм пару лет. Без всяких CSS-ов я просто убрал одно из стандартных полей формы, а роботы продолжали его сабмитить.
Работает, подтверждаю.
Работает, подтверждаю.
А нельзя что-то вроде такого:
смотрим время загрузки страницы с формой,
время сабмита регистрации,
и если разница меньше какой-то разумной, за сколько живой человек заполнит форму, то знач бот.
смотрим время загрузки страницы с формой,
время сабмита регистрации,
и если разница меньше какой-то разумной, за сколько живой человек заполнит форму, то знач бот.
а вот эвристическая капча: http://abava.blogspot.com/2006/10/spam-b…
Когда же придумают фильтр от людей-спамеров? У меня на подведомственном форуме десятка два за день сообщений про проституток. Пишут люди, а после удаления их сообщений приходят и жалуются, что их сообщения удаляются ;) Видимо им по центу за каждое такое сообщение платят, вот они и трудятся на просторах инета.
- Запретить (отфильтровывать) помещать в сообщения ссылки/картинки до достижения определённого кол-ва сообщений.
- Не считать кол-во сообщений из темы "Флуд"
- Все остальные темы модерировать жестоко
- За нарушение правил банить и по IP + ещё в куки сажать идентификатор (ну мало ли поможет)
- Применять все прочие методы защиты типа CAPTCHA, смена идентификаторов полей форм и т.д.
Это не спасёт, но легче станет.
- Не считать кол-во сообщений из темы "Флуд"
- Все остальные темы модерировать жестоко
- За нарушение правил банить и по IP + ещё в куки сажать идентификатор (ну мало ли поможет)
- Применять все прочие методы защиты типа CAPTCHA, смена идентификаторов полей форм и т.д.
Это не спасёт, но легче станет.
Банить по IP?
В российских, да и не только российских реалиях это зачастую эквивалентно бану многих, если не всех, пользователей провайдера
В российских, да и не только российских реалиях это зачастую эквивалентно бану многих, если не всех, пользователей провайдера
Бан это только одна из мер. Его надо применять последним в случаях когда это эффективно.
До этого тьма других методов которые конечно не спасут, но могут сильно помочь.
Например, можно дать пользователям возможность жаловаться на спамеров - модератору на больших форумах станет проще разбирать сотни сообщений.
Интересно было бы прикрутить к форуму антиспамовый фильтр типа почтовых.
До этого тьма других методов которые конечно не спасут, но могут сильно помочь.
Например, можно дать пользователям возможность жаловаться на спамеров - модератору на больших форумах станет проще разбирать сотни сообщений.
Интересно было бы прикрутить к форуму антиспамовый фильтр типа почтовых.
Пишутся условия размещения с галкой «Я согласен», и на все жалобы просто дается ссылка на это соглашение.
Китайцев никто не отменял :) обойдут любые captcha
Есть ещё вариант когда вместо сабмита кнопки использовать сабмит картинку. Тогда если чел кликнул на кнопку то передаются дополнительные параметры координаты на картинке где был клик.
Если это ещё доработать, сделать кнопку на половину невидимой (такой же как цвет фона) а половину прорисовывать, то естественно что юзер будет кликать по тому месту что прорисовано а не мимо. Соответственно потом можно по координатам определять попали на кнопку или нет. Ну если ещё пофантазировать то можно и динамически менять положение кнопки (справа или слева), т.е. менять местами кнопку и прозрачный фон.
Если это ещё доработать, сделать кнопку на половину невидимой (такой же как цвет фона) а половину прорисовывать, то естественно что юзер будет кликать по тому месту что прорисовано а не мимо. Соответственно потом можно по координатам определять попали на кнопку или нет. Ну если ещё пофантазировать то можно и динамически менять положение кнопки (справа или слева), т.е. менять местами кнопку и прозрачный фон.
А если не мышкой кликать, а скажем перейти на кнопку табом и нажать enter?
в этом месте господин prudis чешет репу...
И если графика отключена, юзер в пролете ;)
Есть текстовые каптчи.
Пример http://velopiter.spb.ru/forum/index.php?…
Пример http://velopiter.spb.ru/forum/index.php?…
Речь шла об этом:
Есть ещё вариант когда вместо сабмита кнопки использовать сабмит картинку. Тогда если чел кликнул на кнопку то передаются дополнительные параметры координаты на картинке где был клик.
Если это ещё доработать, сделать кнопку на половину невидимой (такой же как цвет фона) а половину прорисовывать, то естественно что юзер будет кликать по тому месту что прорисовано а не мимо. Соответственно потом можно по координатам определять попали на кнопку или нет. Ну если ещё пофантазировать то можно и динамически менять положение кнопки (справа или слева), т.е. менять местами кнопку и прозрачный фон.
Есть ещё вариант когда вместо сабмита кнопки использовать сабмит картинку. Тогда если чел кликнул на кнопку то передаются дополнительные параметры координаты на картинке где был клик.
Если это ещё доработать, сделать кнопку на половину невидимой (такой же как цвет фона) а половину прорисовывать, то естественно что юзер будет кликать по тому месту что прорисовано а не мимо. Соответственно потом можно по координатам определять попали на кнопку или нет. Ну если ещё пофантазировать то можно и динамически менять положение кнопки (справа или слева), т.е. менять местами кнопку и прозрачный фон.
Крутая идея :))
так сделано на mp3.rin.ru - со скрипом, но работает
1. одно неплохое решение - вешать на элементы форм JS события, которые возникают (onClick,onChange) именно при ручном вводе, а там уже устанавливать спец. переменные. Бот явно не будет исполнять JS
2. менять имена элементов формы, точнее генерить по формуле каждый раз новые. Правда для некоторых полей типа email это даст отрицательный эффект - отсутствие автозаполнения.
2. менять имена элементов формы, точнее генерить по формуле каждый раз новые. Правда для некоторых полей типа email это даст отрицательный эффект - отсутствие автозаполнения.
...и все пользователи с отключенным javascript идут лесом
А много ли реально таких? Тем более, с учетом веб20 мании. Кроме того, можно ведь и предупредить, что JS required
А теперь представьте себе, что бы сказали о гугле, если бы в gmail они откинули всех пользователей, у которых отключен js?
Они вот не поленились, и сделали вторую версию полностью без javascript. Значит доля таких весьма немалая.
Они вот не поленились, и сделали вторую версию полностью без javascript. Значит доля таких весьма немалая.
UFO just landed and posted this here
Универсальных средств нет. Тоже самое относится например к капчам, для людей отключающих графику - их невидно. Приходится чем-то жертвовать или разгребать спам.
Создание скрытых полей через display:none тоже имеет свои минусы, как например, анализирование спамботом стилей вокруг полей формы (не столь и сложная задача)
Создание скрытых полей через display:none тоже имеет свои минусы, как например, анализирование спамботом стилей вокруг полей формы (не столь и сложная задача)
Гугл конечно вынужден делать все варианты ... с его-то базой. А вообще смысл делать вариант сайта без JS, если такой посетитель js-disabled не придет, или кол-во таких посетителей меньше процента например. Нужно еще соотносить затраты на создание. Вот здесь на хабре нету варианта сайта без JS - и ничего. :)
А хабру и не нужен отдельный вариант сайта без js.
Его функциональность на нынешний момент, в принципе, можно и так организовать, проверяя есть у человека возможность использовать xmlhttprequest или нет, и в зависимости от этого используя его, или отправляя пользователя по ссылке.
Но объём работ будет не маленький.
Его функциональность на нынешний момент, в принципе, можно и так организовать, проверяя есть у человека возможность использовать xmlhttprequest или нет, и в зависимости от этого используя его, или отправляя пользователя по ссылке.
Но объём работ будет не маленький.
Ну и наверное нету смысла спорить про JS. Мне также тружно понять в общем случае смысл отключения JS (исключая PDA, мобильные телефоны), хотя такие есть.
С другой стороны спам трудно уничтожить чисто техническими решениями. Чем больше будет использоватся в популярных форумных движках,гостевых,блогах NoFollow,NoIndex, тем меньше это будет интересовать спамботы...
С другой стороны спам трудно уничтожить чисто техническими решениями. Чем больше будет использоватся в популярных форумных движках,гостевых,блогах NoFollow,NoIndex, тем меньше это будет интересовать спамботы...
Правильно реализовывать надо - с фоллбэком, и тогда всё будет чудно. Например, сначала реализовать текстовую каптчу, а потом JS-решением ее автоматически заполнять и прятать. Это будет легко доступно пользователем без JS и удобно с ним.
UFO just landed and posted this here
Вообще думаю проблема даже не в том как обезопасить сайт от ботов. Способов полно, самый популярный из них это капча. Как и упоминалось что она убивает 90% ботов, да и это самый привычный метод для юзеров.
проблема думаю в администраторах сайтов, форумов, бордов которые ленятся сделать даже капчу. Многие плачут типа задолбали боты и ничего не предпринимают, там даже капч нету. Не можете предпринять шагов - модерируйте.
проблема думаю в администраторах сайтов, форумов, бордов которые ленятся сделать даже капчу. Многие плачут типа задолбали боты и ничего не предпринимают, там даже капч нету. Не можете предпринять шагов - модерируйте.
Роботов пишут люди. В этом случае, люди, которые не видели скрытого поля.
UFO just landed and posted this here
Ну а как вам вот этот вот (http://www.cssplay.co.uk/menu/email.html) вариант?
защита от спама это вообще не проблема. методов куча, используется еденицы.
99.9% спама убивает капча, либо вообще несколько запрещенных слов которые не введет человек (проверено), а боты их всегда вводят.
99.9% спама убивает капча, либо вообще несколько запрещенных слов которые не введет человек (проверено), а боты их всегда вводят.
Как насчет генерить уникальный урл для страницы с формой?
Sign up to leave a comment.
Альтернатива CAPTCHA.