Сейчас на хабре стала очень популярной тема защиты форм от ботов. У меня сложилось впечатление, что большинство писателей не до конца представляют себе эту задачу. Здесь я попытаюсь дать краткий обзор проблем встающих перед разработчиками и некоторые варианты их решения.
1) Мы делаем защиту не от случайных спам ботов(для обычного парсера читающего информацию и отправляющего формы достаточно минимальной защиты)
2) Наш сервис достаточно интересен для спамеров или других роботов, т.е мы делаем защиту которую будут внимательно изучать (если вы хотите защитить свой бложик, то достаточно поменять имена полей и/или подставить невидимую форму)
3) Наш продукт распространен(т.е. он стандартизирован)
4) Для сохранения популярности пользователям должно быть удобно
1) Подстановка и отправка любых полей так же как и получение любых страниц без проблем.
2) Статистические обработчики
3) Средства работы с изображениями
4) Знание технологий не хуже нас с вами!!!
UPD:5) Использование в компонентах ботов браузеров
А теперь смотрим большинство опубликованных статей и нам становится грустно, т.к. средства злоумышленников позволяют свершить обход защиты без проблем.
1) Статистические данные стремящиеся к бесконечности (капча google куча шрифтов очень разных)
2) Нестандартные решения (rapidshare с котиками и задержка)
3) Сложноформируемая и сложнораспознаваемая роботами капча(yandex)
4) Для распространненных движков — генерируемая защита в зависимости от параметров(вариации стремяться к бесконечности) похоже на 1 но здесь не общая база а уникальность каждого экземпляра(bitrix недавно)
UPD: Друзьями был поднят метод генерации формы аяксом из сессии и была признана его несостоятельность в промышленных масштабах т.к. существуют боты использующие ie, firefox и т.д.
Условия задачи разработки формы
1) Мы делаем защиту не от случайных спам ботов(для обычного парсера читающего информацию и отправляющего формы достаточно минимальной защиты)
2) Наш сервис достаточно интересен для спамеров или других роботов, т.е мы делаем защиту которую будут внимательно изучать (если вы хотите защитить свой бложик, то достаточно поменять имена полей и/или подставить невидимую форму)
3) Наш продукт распространен(т.е. он стандартизирован)
4) Для сохранения популярности пользователям должно быть удобно
Инструменты злоумышленника
1) Подстановка и отправка любых полей так же как и получение любых страниц без проблем.
2) Статистические обработчики
3) Средства работы с изображениями
4) Знание технологий не хуже нас с вами!!!
UPD:5) Использование в компонентах ботов браузеров
А теперь смотрим большинство опубликованных статей и нам становится грустно, т.к. средства злоумышленников позволяют свершить обход защиты без проблем.
Возможные направления решения задач применяемые с определенной долей успеха
1) Статистические данные стремящиеся к бесконечности (капча google куча шрифтов очень разных)
2) Нестандартные решения (rapidshare с котиками и задержка)
3) Сложноформируемая и сложнораспознаваемая роботами капча(yandex)
4) Для распространненных движков — генерируемая защита в зависимости от параметров(вариации стремяться к бесконечности) похоже на 1 но здесь не общая база а уникальность каждого экземпляра(bitrix недавно)
UPD: Друзьями был поднят метод генерации формы аяксом из сессии и была признана его несостоятельность в промышленных масштабах т.к. существуют боты использующие ie, firefox и т.д.
