Cообщество пользователей SMF

Принцип работы такой - если робот не загружает все картинки с нашего сайта значит он не получит
Cookies которое поставит картинка или javascript , а значит и не сможет зарегистрироваться и войти на сайт.


Пример картинки которая отправляет Cookies.

1: Картинка STOP контроль отправляет Cookies в ваш браузер.
Её нужно поставить на вашем сайте на страницу входа и регистрации или на все страницы сайта на пример снизу.
PHP файл png.php картинка и .htaccess должны быть в одной папке.
Это пишим в .htaccess для того что бы было правильное расширение у картинки png.php - filename.png

RewriteEngine On
RewriteRule filename\.png png.php [NC]

png.php

<?php
// Здесь пишем имя того файла который будем показывать.
$file = ("Stop_Control.png");
// Просмотр http-заголовков bertal.ru
// Удаляем X-Powered-By: PHP/5.3.8 для того что бы запутать роботов - работает только в PHP 5.3 и старше.
//header_remove("x-powered-by");
// Если у вас PHP/5.2 - прячем версию PHP X-Powered-By: PHP/5.2 - будет видно только X-Powered-By: и то что мы напишим.
header('x-powered-by: DJ-X');
// Отключаем кеширование в браузере.
header('Pragma: no-cache');
// Время создания файла
header('Last-Modified:Thu, 01 Jan 2012 01:01:15 GMT');
// Уберите эти две чёрточки // перед тем типом файла который будете использовать
// Тип файла для картинки .png
header('Content-type: image/png');
// Тип файла для картинки .jpg
//header('Content-type: image/jpeg');
// Тип файла для картинки .gif
//header("Content-type:  image/gif");
// Тип файла для javascript .js
//header('Content-type: application/x-javascript');
// Единица измерения
header('Accept-Ranges: bytes');
// Размер файла
header ("Content-Length: ".filesize($file));
// Устанавливаем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда ставим его.
    SetCookie("Stop_Control","1", $path,"/" );
    }
// Показываем картинку Stop_Control.png
readfile($file);
?>


2: Проверяем есть ли Cookies Stop_Control=1 при отправке POST запроса.
Этот <?php код в начале и этот ?> код в конце вставлены для красоты и их можно удалить.
Для форума SMF нужно в index.php в самом верху вставить этот код:


<?php
// Это нужно для проверки при входе - не обязательно.
   if (strstr($_SERVER['REQUEST_URI'], '=login2'))
   {
// Проверяем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда перенаправляем робота на страницу с предупреждением
// и с инструкциями что нужно сделать чтобы зарегистрироваться и войти .
   header("location: /warning.php");
// Останавливаемся
   exit();
    }   
    }
// Это нужно для проверки при регистрации.
   if (strstr($_SERVER['REQUEST_URI'], '=register2'))
   {
// Устанавливаем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда перенаправляем робота на страницу с предупреждением
// и с инструкциями что нужно сделать чтобы зарегистрироваться и войти .
   header("location: /warning.php");
// Останавливаемся
   exit();
    }   
    }
?>


В файле agreement.txt пишем:
Для успешной регистрации в вашем браузере должны быть включены картинки и javascript.
После того как всё включите обновите страницу.
Добро пожаловать!

Сделано компанией - Чикон Продакшнс DJ-X™ ® ©

т.е. если юзер, который на 3G, отключил картинки в браузере для экономии не сможет зарегиться?

Цитата: chilly86 от 07 января 2012, 21:55:14
т.е. если юзер, который на 3G, отключил картинки в браузере для экономии не сможет зарегиться?

Если все картинки отключить то и CAPTCHA

он тоже не увидит и зарегистрироваться по любому не сможет.

Можно картинку поставить и javascript - что то точно будет в браузере включено.
Роботы открывают только php файлы и одну картинку CAPTCHA - все остальные файлы - картинки и javascript они не загружают.

тогда было бы не плохо на странице регистрации предупредить потенциальных юзеров о том, что для успешной регистрации у них должны быть включены куки и картинки

Если пользователь отключает картинки (заметьте, по-умолчанию они включены), то он уже готов к тому, что с капчей у него проблемы, ибо он не первый раз уже сидит за компьютером. Я например картинки тоже отключал, когда был слабый интернет, но я был готов к возможным проблемам, и при регистрации например, включал их обратно.

Идея интересна, только, к сожалению, как и многие методы борьбы со спамом носит временный характер, вызывающий всего лишь адаптацию спам-софта к чтению всех картинок...

Пусть сначала адаптируют, а потом что нибудь ещё придумаем.
Точнее уже придумал - но не будем опережать события.
У меня полно новых идей!

Создатели хрумеров не будут ничего менять в своих программах пока этот способ проверки не станет массовым!
А это случится ещё не скоро.

У меня форум интегрирован в Joomla. Регистрация происходит на сайте через alpharegistration с капчей. Как мне лучше защититься от спамеров, а то я уже забодался удалять по 10 штук в неделю, проверяя их на StopForumSpam.

AlphaRegistration - там такой POST URL ?
/index.php/sign-up.html?name=2&username=2&email=2&email2=2&birthdate=2&gender=1&password=2&password2=2

Вставь этот код в index.php - это универсальный код, он должен подойти ко всем страницам регистрации.
Мне нужно знать URL !

<?php
// Это нужно для проверки при регистрации - обязательно.
   if (strstr($_SERVER['REQUEST_URI'], 'sign-up.html'))
   {
// Это сработает если в POST запросе будет email.
    if (isset($_POST['email']))
   {
// Проверяем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда перенаправляем робота на страницу с предупреждением
// и с инструкциями что нужно сделать чтобы зарегистрироваться и войти .
   header("location: /warning.php");
// Останавливаемся
   exit();
    }   
    }
   else
   {
    }
    }
?>

Тестовый форум с картинкой в IPv6 туннеле - иногда работает!
_http://smf2.dj-x.info

Для будущих продвинутых роботов которые будут загружать все картинки я рекомендую кодировать HTML код с картинкой в javascript.
Ищите в поисковике Кодировщик html.
Пример
<img src="/foto/png.png">

<script type="text/javascript">document.write('\u003c\u0069\u006d\u0067\u0020\u0073\u0072\u0063\u003d\u0022\u002f\u0066\u006f\u0074\u006f\u002f\u0070\u006e\u0067\u002e\u0070\u006e\u0067\u0022\u003e');</script>

Подскажите, пожалуйста, в .htaccess как правильно вписывать, до тегов, внутри или после?

Файл .htaccess должен быть с таким содержанием.

RewriteEngine On
RewriteRule filename\.png png.php [NC]

PHP файл png.php теперь будет называться filename.png

Качайте архив кому не понятно как собрать картинку.

Не понял. Php файл с расширением png? Или это название файла картинки?

Если у вас на сервере не работает файл .htaccess на пример на IIS или на бесплатном хостинге  тогда можно переименовать папку stop_control в stop_control.png
и внутри этой папки должен быть не png.php, а index.php
И получится вот такая ссылка на нашу картинку _http://www.___mysite.ru/stop_control.png

Спасибо! Все понятно.

Обновлено 13.02.2012
Добавьте в самом верху кода эту строку и в php-errors.log не будут записываться ошибки!

error_reporting(NULL);

Очень полезное дополнение для серверов IIS 7-8!
Лимит POST запросов до 79 байт без COOKIES - Stop_Control=1
На сервере должен быть установлен URL Rewrite Module 2.0!

Спасибо за помощь - Forums IIS 7 & IIS 8.

Вставляем код между тегами
<rewrite>
</rewrite>
В файле web.config в корне сайта.


<rule name="POST big Blocked" stopProcessing="true">
 <match url=".*" negate="false" />
 <conditions>
                       <add input="{HTTP_COOKIE}" pattern=".*Stop_Control=1" negate="true" />
                       <add input="{REQUEST_METHOD}" pattern="^POST$" />
                       <add input="{HTTP_CONTENT_LENGTH}" matchType="Pattern" pattern="^[0-9]$|^[0-7][0-9]$|^79$" ignoreCase="true" negate="true" />
 </conditions>
 <action type="AbortRequest" />
</rule>


утверждают что хрум 7 обходит и рекапчу и защиту смф
Преимущества X7 vs X5:

....... 5, распознавание капчи ReCaptcha, MyBB, VBulletin 3, DLE, SMF
НЕТ
....... 7, распознавание капчи ReCaptcha, MyBB, VBulletin 3, DLE, SMF
ДА

....... 5, количество известных графических капчей
~60
....... 7, количество известных графических капчей
более 130 (!)

....... 5, количество известных текстовых капчей
~2.000
....... 7, количество известных текстовых капчей
более 41.000 (!)
(Для справки - текстовые капчи это защиты в виде логических вопросов, типа "Какой сейчас год?", "Сколько будет 2+2?", и т.д. и т.п.)
1. Колоссальная разница в "пробиваемости" ресурсов

Только ....... 7.0 Elite (и более поздние версии) способен обходить современные виды защит в процессе рассылки, и Вы это сможете наблюдать уже через 1 минуту после старта программы.
7.0 на автомате регистрирует аккаунты и на mail.ru, и на gmail.com - под рассылку (для последующей активации).
SocPlugin - это бесплатное приложение к лицензионному .......-у, предназначенное для рассылки по ВКонтакте и Одноклассникам (при этом обходятся защиты в виде капчи на автомате).



получается что неэфективна рекапча ?

Получается что да!
База MD5 всех капч тоже должна где то быть!
Символы на картинках вообще не эффективны - сервисы автоматического распознавания всё распознают на ура!
Ни с первого раза, а с 10 точно.
Только люди глаза ломают и кроют матом сайты на которых не понятные изображения на картинке.
Или если спрашивают какие то заумные вопросы ответы на которые современные продвинутые роботы тоже знают.

Но есть у этих на первый взгляд очень крутых роботов и большие минусы!
На пример:

Робот заходит на сайт и видит что это SMF значит
Страница для входа и регистрации находится здесь
index.php?action=login
index.php?action=register
и POST запросы нужно отправлять на
index.php?action=login2
index.php?action=register2

Даже если её спрятать вообще!

А что нам мешает сделать другие URL для входа и регистрации и закодировать ссылки на них в джава скрипт ?
Оставив стандартные страницы для входа и регистрации закоментированными <!--  -->
специально для роботов - пусть там себе играются
Роботы ищут формы - так дадим им то что они ищут (подделку)!

Было бы классно если бы URL для входа и регистрации для каждого пользователя были бы уникальными
с привязкой к IP и HTTP_USER_AGENT .
Один видит эту
index.php?action=4iuderu48
а другой эту
index.php?action=ueuvhe74gt
и т.д.

Всё как то не продуманно и слишком предсказуемо в сегодняшних сайтах!
А ведь могло бы быть всё на много сложнее для роботов - но не для людей.
А пока всё на оборот.

Почему не спасают от автоматических регистраций проверочные вопросы и для чего они тогда нужны?
Что означает функция: Разрешить пользователям использовать OpenID для регистрации?

Цитата: emsmf от 03 декабря 2012, 20:32:04
Почему не спасают от автоматических регистраций проверочные вопросы и для чего они тогда нужны?
Что означает функция: Разрешить пользователям использовать OpenID для регистрации?

Хрумеры рулят - поэтому и не спасают проверочные вопросы.
Хрумер это очень сложная программа для регистраций практически на всех стандартных сайтах.
Что бы спастись от этой напасти цепляют OpenID, В контакте, Facebook и другие.
OpenID — это открытая децентрализованная система, которая позволяет пользователю использовать единую учётную запись для аутентификации на множестве не связанных друг с другом сайтов, порталов, блогов и форумов.

Кстати - с моей картинкой они до сих пор не справились - всё гениальное просто!
Ни каких проверочных вопросов и формул - можно оставить самую простую капчу.
Так что юзаем и радуемся!

Цитата: emsmf от 03 декабря 2012, 20:32:04
Почему не спасают от автоматических регистраций проверочные вопросы и для чего они тогда нужны?
Что означает функция: Разрешить пользователям использовать OpenID для регистрации?

Вопросы не спасают если ставите простые вопросы и очевидные ответы, и не меняете их. OpenID можно не только для регистрации использовать но и для входа. То есть пользователю не придётся знать логин+пароль к форуму. Например, если у вас есть ящик на яндексе - у вас есть этот openID. Также и с майлру, и прочими.

Цитата: maestrosite.ru от 04 декабря 2012, 09:24:50OpenID можно не только для регистрации использовать но и для входа. То есть пользователю не придётся знать логин+пароль к форуму.

То есть, если пользователь даже не зарегистрирован на форуме, он может зайти по OpenID?
А какой он будет иметь тогда логин? Как на Mail.ru или Yandex? А если человек будет заходить с разных социальных сетей, его можно будет отследить и будут группироваться его сообщения?

Если пользователь не зарегистрирован, то он сможет зарегистрироваться по openid. А также переключиться на openid, если уже зарегистрирован по логин+пароль.
При регистрации, openid-сервер скажет вашему форуму email, псевдоним и другую информацию пользователя. Но только ту, которую пользователь разрешил передавать.

Избавилась от автоматических регистраций, отключив капчу (не защищает), создав очень сложный проверочный вопрос для регистрации и забанив множество уже зарегистрированных ранее злоумышленников вручную по IP, e-mail, имени через админку и файл htaccess (по IP).

Вопрос вида:

Цитироватьскопируйте этот беспорядочный набор символов без первого и последнего символа: J<HBKJHF_E^5$%*JN%4

спасает от спама на 100% 

Лучше потратить пару минут и прописать пару демо вопросов и ответов  на них, которые пользователь должен ввести.

C определенного момента контрольные вопросы спасать перестают. Уж не знаю, дырка ли это в системе безопасности и устранена ли она в более поздних версиях форма или нет, но есть такой факт: в том случае, если сайт обкладывают какие-нибудь китайские боты, то контрольные вопросы они быстро обходят. А даже если не обходят, то набор вопросов статичен и при желании (если форум стоит таких действий), можно просто составить список вопросов и скормить ответы боту, дабы он их попросту подбирал.

Для себя я вопрос решил с помощью Avatar Verification. На мой взгляд, это самое эффективное и изящное решение с защитой от регистрации ботов, т.к. сами "китайцы" алгоритмов для ее обхода не знают (по крайней мере пока что), а для пользователей она гораздо более удобна и проста, в отличие от хитрых капч, которые боты распознавать умеют, а люди нет.

Цитата: Vanok от 14 января 2014, 12:52:40Для себя я вопрос решил с помощью Avatar Verification. На мой взгляд, это самое эффективное и изящное решение с защитой от регистрации ботов, т.к. сами "китайцы" алгоритмов для ее обхода не знают (по крайней мере пока что), а для пользователей она гораздо более удобна и проста, в отличие от хитрых капч, которые боты распознавать умеют, а люди нет.

После проблемы с отправкой емейл зарегистрированным пользователям принято решение вручную проводить одобрение профиля.Тем самым свожу к минимуму спам.

Для форума с 5 новыми пользователями в день можно и так. А если их 50? А если постинг на форуме порой требует срочности в виду специфики его тематики и ожидание пока администратор одобрит заявки является нежелательным? Автоматика для того и делается, чтобы упростить жизнь человеку. На мой взгляд, решение принятое Вами вызвано скорее безысходностью, хотя на самом деле спам побороть реально и без таких мер.

Цитата: Vanok от 14 января 2014, 13:10:56хотя на самом деле спам побороть реально и без таких мер.

Согласен. Но я и так по 10ч в онлайне.Можно и 200 одобрить, но теперь видно кто,с какого емейла и зачем

Цитата: Vanok от 14 января 2014, 12:52:40C определенного момента контрольные вопросы спасать перестают. Уж не знаю, дырка ли это в системе безопасности и устранена ли она в более поздних версиях форма или нет, но есть такой факт: в том случае, если сайт обкладывают какие-нибудь китайские боты, то контрольные вопросы они быстро обходят. А даже если не обходят, то набор вопросов статичен и при желании (если форум стоит таких действий), можно просто составить список вопросов и скормить ответы боту, дабы он их попросту подбирал.

Ну не знаю... У меня форум полумёртвый, но не первый год в сети, и атакуют меня частенько. Недавно хостер помогал отбиваться, иначе никак.

Но факт: после установки вопросов боты тыкаются, но пройти не могут. Через месяц вопрос раскалывают, и я его меняю. Например, недавно висело издевательское "Где можно найти админа?" (Подсказка: twitter). После чего мне один посетитель написал, что полдня искал меня в твиттере, и как же попасть на форум. Заменила слово "подсказка" на слово "скопируйте". Все равно пока тихо

Цитата: Serifa от 20 января 2014, 16:09:59. Заменила слово "подсказка" на слово "скопируйте".

Один из вариантов.


Можно также скомбинировать вопросы: "2+4 и мынус 2 умножить на 7 "   но нивкоем случае"  2+4-2х7

Зачем так издеваться над пользователями? Многие, увидев такие вот примеры, забьют вообще на регистрацию Я бы точно забила.

Поэтому я всегда пишу в самом вопросе подсказку для самых торопливых. И даже с подсказкой - ведь ее еще надо прочитать - боты какое-то время думают, прежде чем прорваться в премодерацию.

Я сделал так и забыл о проблеме ))

Цитата: sgtWhite от 20 января 2014, 19:31:07Я сделал так и забыл о проблеме ))

Помню один молодец, при вопросе показать "столицу Родины России", минут десять её на карте искал

хз, зачем такие сложности. у меня каптча отключена, один вопрос всего стоит и подтверждения регистрации нету при 1000-1500 посетителей в день ни один робот не зарегился года за 3. очень редко живые спамеры заходят по одному - сразу мордой у пол и на виселицу

GeorG, ну вы-то, смею надеяться, смогли бы ответить? 

Не исключено... ^^

Цитата: okk от 21 января 2014, 05:25:08
хз, зачем такие сложности. у меня каптча отключена, один вопрос всего стоит и подтверждения регистрации нету при 1000-1500 посетителей в день ни один робот не зарегился года за 3. очень редко живые спамеры заходят по одному - сразу мордой у пол и на виселицу

Дык, у меня разрешено постить без регистрации, вот они и стараются. Если прорвутся толпой - в премодерации бардак. Хорошо, что только в одном разделе.

и у меня. отвечай на простой вопрос - и пиши. без премодерации

Цитата: okk от 21 января 2014, 16:41:44и пиши. без премодерации

во всех разделах

именно. и так - годы

Вывод: у вас работают модераторы )

Цитата: Serifa от 22 января 2014, 21:41:39Вывод: у вас работают модераторы

Согласен

модераторы формально есть, но толку от них мало. поясню: есть неиндексируемый раздел "реклама" - по правилам туда идет вся коммерция и ссылки на другие сайты. а модераторы в случае чего НЕ переносят туда темы - вот такие вот они )) но при этом ни один бот с виагрой и казино никогда ничего не писал. иногда придет живой человек, закинет в индексируемый раздел пост про ксеноновые лампы со ссылкой на свой сайт, или кто-нибудь с продажей масел, а модераторы не реагируют - вот это и все наши "проблемы"

Значит, с виагрой и казино приходят не боты. Реально, боты мои проверочные вопросы пройти не в состоянии. А вот с живыми спамерами как?

Цитата: Serifa от 24 января 2014, 18:36:39А вот с живыми спамерами как?

Я сразу по ип и хосту блокирую, а если рекламируют хорошо- переношу в раздел - ваша реклама

Цитата: 2009bes от 24 января 2014, 18:40:30Я сразу по ип и хосту блокирую

А если TOR?

Цитата: Mr. Anviss от 24 января 2014, 20:09:47TOR?

Что это ?