Идея по защите форума от спамботов

[Idrassil]

Предлагаю обсудить такую тему. Как можно судить из обсуждений на форуме, многих людей достают различные спам-боты. Капча в борьбе с ними не всегда помогает, потому что, во-первых, эту капчу обходят с помощью различных сервисов типа антигейта,а во-вторых, слишком сложную капчу тяжело разгадать и человеку, что может отпугнуть потенциальных пользователей от проекта.
В одном из блогов нашел интересную статью, про защите форума с помощью javascript. Т.к. я не специалист, мне сложно судить об эффективности, но, на 1 бесплатном хостинге форумов (название не скажу, ибо хостинг тот редкое г..но и ничего хорошего, кроме этой защиты, не имеет) никогда не было спамботов, да и автореггеров под них я не встречал. А все потому, что там стоит подобная защита через яваскрипт.

Интересно узнать мнение программистов по этому поводу. Вот ссылка на саму статью:
http://www.manhunter.ru/webmaster/53_zaschita_ot_spama_na_saytah_i_forumah.html

[nu11]

Против не очень интеллектуальных автоматических ботов может сработать.
Против человека, анализирующего сайт и создающего конфиг для хрумера - нет.

Да и вообще, элементарно все это обходится: ключик с сервера получаешь, загружая страницу с формой, при необходимости преобразуешь его по алгоритму, найденному из js-скриптов с этой страницы, отправляешь спам.
Динамические названия полей - говно-вопрос, идентифицируешь их по css классам и вперед.
Если нет капчи, нет и защиты.

Можно например со страницы отправки запрашивать какую-нибудь картинку, при загрузке которой в сессию будет записано, что она загружена. Для пущей надежности, можно эту картинку запросить из джаваскрипта. Тогда можно быть как бы уверенным в том, что это браузер с включенными скриптами. На самом деле это тоже очень ненадежно.

[BIOHAZARD]

пока нет более простой и эффективной защиты, чем контрольные вопросы при регистрации, поэтому в SMF 2.0 вообще нет такой проблемы, как спам-боты

[nu11]

Ответы на контрольные вопросы можно ввести в спамбот и они не будут защищать вовсе.
В любом случае что-то придется вводить. Капчу тоже надо вводить, зато она гораздо более надежна.

[BIOHAZARD]

с каких это пор?
капча одинаковая на 100500 форумов, вопросы индивидуальны для каждого форума
практика показала, что капча любой сложности хавается на ура хрумером, а вот после выставления дополнительных вопросов ни одной спамерской регистрации ни на одном из "своих" форумов за два года не видел

[nu11]

Можно использовать нестандартную капчу, с которой нужно вводить только определенные символы, а не все.
Такая капча уже не берется антигейтами, полный успех.

Вопросы могут быть неочевидны многим, человеческий фактор в общем. Да и букв много вводить, черт побери. Я лучше введу сто капч, чем сто раз отвечу на вопрос - это будет просто быстрее.
Поставьте себя на место пользователей.

[GeorG]

Иногда капчи такие мудрёные, что с первого раза и не ввести правильно. ИХМО, лучше на вопрос ответить, к тому же, они не сложные как привило, а логически понятные (для меня лично, лучше так).

[trora]

надо сделать капчу с 5 знаками непример, а просить вводить- первые три. или последние три.  или средние три.
и  сделать просьбу не текстом-  а картинкой  например. и подгружать явой .
а бот будет вводить все.- и получит регистрацию- на мыло. и если ссылку с мыла активирует- попадет в скрытый спамерский раздел, закрытый от глаз юзеров и поисковиков. и пусть там резвится...  а если еще в спамерской группе поставить право делать 1 сообщение в сутки, например...или в месяц...
а если к капче и вопрос контрольный приделать в дополнение...

[BIOHAZARD]

надо сделать капчу с 5 знаками непример, а просить вводить- первые три. или последние три.  или средние три.
и  сделать просьбу не текстом-  а картинкой  например. и подгружать явой .
а бот будет вводить все.- и получит регистрацию- на мыло. и если ссылку с мыла активирует- попадет в скрытый спамерский раздел, закрытый от глаз юзеров и поисковиков. и пусть там резвится...  а если еще в спамерской группе поставить право делать 1 сообщение в сутки, например...или в месяц...
а если к капче и вопрос контрольный приделать в дополнение...

может проще тогда сразу винт на серваке отформатировать?

Вопросы могут быть неочевидны многим, человеческий фактор в общем. Да и букв много вводить, черт побери. Я лучше введу сто капч, чем сто раз отвечу на вопрос - это будет просто быстрее.
Поставьте себя на место пользователей.

ну да, ответ на вопрос сколько углов у треугольника сразу отсеет людей без высшего технического образования, а без флудеров форум зачахнет

создавайте вменяемые вопросы и будет вам счастье

Иногда капчи такие мудрёные, что с первого раза и не ввести правильно

иногда и с третьего, и с каждым годом становится только хуже

[GeorG]

попадет в скрытый спамерский раздел

Вот это самое интересное, осталось только отличить спам боты, и как-то не допустить до раздела других... Тогда можно и не делать всякие ухищрения, а тупо, их всех (спам ботов) туда направлять

иногда и с третьего, и с каждым годом становится только хуже

Ага, иногда даже на регистрацию забиваю, не могу капчу осилить, чаще всего, это на Вбуллетин так (там такие закорючки, что - "мама не горюй").

Так что серьёзная, суровая капча, стопудово отпугивает, за себя точно сказать могу, так оно и есть. И да, всё чаще начинаю видеть на тех же "Буллках", окромя капчи, еще дополнительные вопросы, потому как капча, не справляется со своим предназначением.

[BIOHAZARD]

окромя капчи, еще дополнительные вопросы

а это уже излишне
там, где у меня стоят вопросы, капчу я вообще отключаю обычно

[nu11]

Надо совершенствовать капчу, а не увеличивать количество слоев защиты.

Вопрос про углы треугольника уязвим: бота можно научить пробовать ответы по словарю, включив в него ответы на самые банальные вопросы. Я не говорю уже о том, что можно посидеть пособирать эти вопросы вручную, включив их потом в конфиг бота.
У серьезных контор (гуглов всяких) везде капча + анализ запросов и ввода. Вопросы пригодны для небольших форумов и блогов, на более высоком уровне это совершенно нежизнеспособно.

Я свой форум почти полностью огородил от спама простым запретом ссылок в постах гостей. Два-три поста в неделю проскакивает, я их удаляю.

[Idrassil]

Защита через капчу мне не нравится по 2м причинам:
1. Чем сложнее капча, тем тяжелей ее обойти обычным людям. Например, у меня не очень хорошее зрение + слабо различаю некоторые цвета. И новые капчи того же IPB я никак не могу пройти! Может кому-то смешно, но мне приходилось просить знакомых, чтобы зарегились за меня на одном из форумов.
2. Почти любая капча обходится с помощью сервисов типа антигейт. Если кто не в курсе - это такая контора, с одной стороны которой спамеры, шлющие конторе капчу, а с другой - тысячи негров, вбивающих эту капчу за деньги (такой себе способ заработка для тех, кто ничего не умеет в инете).

По вопросам - у меня на форуме тоже стоят 3 вопроса, и ботов-спамеров нет. Но это потому, что никто всерьез не занимался форумом. Если захотеть и кодить скрипт под конкретный форум, то эти вопросы обходятся на раз (или у кого то 10000 вопросов, которые динамически меняются? Сомневаюсь). Поэтому яваскрипт мне кажется достаточно неплохой альтернативой в сложных случаях. Может и эту защиту можно обойти, но наверное все таки потяжелей, чем составить обычный пост запрос.

[nu11]

Капчу, которую нужно вводить по определенному правилу, например, на картинке смесь кириллицы и латиницы, а вводить нужно только латиницу(или наоборот), антигейт вряд ли возьмет.
Кириллическая капча - тоже путь, большая часть обезьянок отсеивается из-за незнания языка.

Капча, трудноразгадываемая для ботов, не всегда сложна для человека(пример: http://code.google.com/p/3dcaptcha/). Вы просто не умеете ее готовить. :)

http://ocr-research.org.ua/list.html а вот списочек слабых капч, которые однако не так просты для разгадывания людьми.

[BIOHAZARD]

капча сама по себе противоестественна - мы ведь не в военкомате, чтоб размытые буквы на цветном фоне разглядывать
а вопросы, мало того, что на порядок эффективнее, так ещё и проще воспринимаются человеком, вне зависимости от его стажа в этих ваших интернетах

Кириллическая капча - тоже путь

капча на кириллице? тогда вам персональное задание - отличить на картинке 0ОOΟ // все четыре символа абсолютно разные
или хотя бы в тексте

[nu11]

Если капча написана не идиотом, в ней есть что-то вроде

Код Выделить Развернуть

if(!preg_match('/cp|cb|ck|c6|c9|rn|rm|mm|co|do|cl|db|qp|qb|dp|ww/', $this->keystring))
Неоднозначные сочетания отсеиваются. Вы просто предвзято относитесь к капче. Это нормальное явление.
А еще (кто бы мог подумать) используются не все символы алфавита, а только пригодные для этого.

Плохочитаемые капчи - плоды обезьяньего труда дилетантов. Выбирайте качественные продукты и будет вам счастье.

[trora]

Вот это самое интересное, осталось только отличить спам боты, и как-то не допустить до раздела других... Тогда можно и не делать всякие ухищрения, а тупо, их всех (спам ботов) туда направлять

ну так простейший скрипт и будет сортировать- ответил правильно ( ввел три средние буквы капчи)-чел. неправильно- (ввел все пять букв капчи)-бот
и тому и другому разрешено региться- только чел   в одну группу попадает, а бот- в другую, с поражением в правах.
.
или нужен мод- который переносит посты с ссылками в скрытый раздел или удаляет их- если на форуме стоит запрет постить ссылки до достижения например 3 или 5 постов.
а если чуть усложнить- то исам юзер отправляется в особйю группу- спамеров. и может писать только в скрытом разделе. и все боты сами тудаи попадут автоматом

[Серый Лис]

Концепция защиты по методе Honeypot  "Горшочек с медом"