Когда боты атакуют!

Ответ 1

Я попытался сделать "honeypots", где вы поместили поле, а затем спрятали его с помощью CSS (отметив его как "оставить пустым" для любого, у кого отключены стили), но я обнаружил, что многие боты могут пройти мимо него очень быстро. Существуют также методы, такие как установка полей на определенное значение и изменение их с помощью JS, вычисление времени между временем загрузки и временем отправки, проверка URL-адреса референта и миллион других вещей. У всех у них есть свои подводные камни, и почти все, на что вы можете надеяться, это отфильтровать столько, сколько вы можете с ними, не отчуждая, кто вы здесь, для пользователей.

В конце дня, хотя, если вы действительно, действительно, не хотите, чтобы боты отправляли вещи через вашу форму, вы захотите поставить CAPTCHA на нее - лучше всего я видел, что заботится, главным образом, все reCAPTCHA - но благодаря Индии CAPTCHA решает рынок и изобретательность спамеров повсюду, что даже не успевает все время, Я бы остерегался использовать что-то "гениальное", но вроде "там", поскольку это было бы скорее "wtf" для пользователей, которые, по крайней мере, несколько привыкли к вашим обычным CAPTCHA.

Ответ 2

Шокирующий, но почти каждый ответ здесь включал некоторую форму CAPTCHA. OP хотел чего-то другого, возможно, он хотел что-то, что действительно работает, и, возможно, даже решает настоящую проблему.
CAPTCHA не работает, и даже если бы это было так - его неправильная проблема - люди все еще могут наводнить вашу систему, и по определению CAPTCHA не перестанет это делать (поскольку она предназначена только для того, чтобы сказать, человек или нет - не то, чтобы это хорошо...)

Итак, какие существуют другие решения? Ну, это зависит... от вашей системы и ваших потребностей. Например, если все, что вы пытаетесь сделать, это ограничить, сколько раз пользователь может заполнить форму "Связаться со мной", вы можете просто уменьшить количество запросов, которые каждый пользователь может отправлять в час/день/независимо. Если ваши пользователи анонимны, возможно, вам нужно дросселировать в соответствии с IP-адресами, а иногда и черный список IP (хотя это тоже можно обойти и вызвать другие проблемы).
Если вы имеете в виду комментарии к форуму или блогу (например, этот), тем больше я использую его, тем больше мне нравится решение. Сочетание аутентифицированных пользователей, авторизация (основанная на репутации, которая вряд ли будет накапливаться путем наводнения), дросселирование (сколько вы можете сделать в день), случайный CAPTCHA и, наконец, модерацию сообщества для очистки нескольких, которые проходят - все объединяют чтобы обеспечить достойное решение. (Интересно, может ли Jeff предоставить некоторую информацию о том, сколько спама и других халф-постов действительно проходят...?)

Еще один элемент управления, который следует учитывать (не знаю, есть ли у него здесь), является некоторой формой IDS/IPS - если вы можете обнаружить и распознать спам, вы можете заблокировать шаблон THAT. Модерация заполняется, что нужно вручную, здесь...

Обратите внимание, что любой из них не предотвращает спам, но постепенно снижает вероятность и, следовательно, рентабельность. Это изменяет экономическое уравнение и оставляет CAPTCHA фактически достаточным для того, чтобы стоить того, потому что его больше не стоит для спамеров, чтобы беспокоить его нарушение или обойти его (благодаря другим элементам управления).

Ответ 3

Дайте пользователю возможность рассчитать:

Какова сумма 3 и 8?

Кстати: просто просмотрел интересный подход Microsoft Research: Asirra.

http://research.microsoft.com/asirra/

Он показывает вам несколько снимков, и вы должны идентифицировать изображения с заданным мотивом.

Ответ 4

Попробуйте Akismet

Капча или любая форма вопросов, связанных с человеком, ужасают с точки зрения удобства использования. Иногда они необходимы, но я предпочитаю убивать спам, используя фильтры, такие как Akismet.

Akismet изначально был создан, чтобы помешать комментариям спама в блогах WordPress, но API способен адаптироваться для других целей.

Обновление. Мы начали использовать рубиновую библиотеку Rakismet в нашем приложении Rails, Yarp.com. До сих пор он отлично работал над тем, чтобы помешать спам-ботам.

Ответ 5

Очень простой метод, который не загружает пользователя, - это просто отключить кнопку отправки в течение секунды после загрузки страницы. Я использовал его на публичном форуме, на котором были непрерывные спам-сообщения, и с тех пор он их прекратил.

Ответ 6

Ned Batchelder написал технику, которая объединяет хэши с приманками для какой-то злой эффективной бот-профилактики. Нет никаких капчей, просто код.

Наверх Остановка спам-ботов с помощью хэшей и приманок:

Вместо того, чтобы останавливать ботов, заставляя людей идентифицировать себя, мы можем остановить ботов, затрудняя им успешную работу или непреднамеренно идентифицировать себя как ботов. Это снимает нагрузку с людей и оставляет форму комментария без видимых мер защиты от спама.

Этот метод - это то, как я предотвращаю спам-боты на этом сайте. Оно работает. Описанный здесь метод вообще не рассматривает содержимое. Он может быть дополнен защитой на основе контента, такой как Akismet, но я считаю, что он отлично работает сам по себе.

Ответ 7

http://chongqed.org/ поддерживает черные списки активных источников спама и URL-адреса, рекламируемые в спамах. Я нашел фильтрующие сообщения, чтобы последние были очень эффективными в форумах.

Ответ 8

Наиболее распространенные из них, которые я наблюдал, ориентированы на ввод пользователя для решения простых головоломок, например. из следующего - картина кошки. (отображение изображений миниатюр собак, окружающих кошку). Или простые математические проблемы.

В то время как интересно, я уверен, что гонка вооружений также сокрушит эти системы.

Ответ 9

Вы можете использовать Recaptcha, чтобы хотя бы сделать капчу полезной. Тогда вы можете задавать вопросы с помощью простых словесных математических задач или подобных. Microsoft Asirra заставляет вас находить фотографии кошек и собак. Требование действительного адреса электронной почты для активации учетной записи перестает спамерами, когда они не получат достаточную выгоду от этой услуги, но могут также сдерживать обычных пользователей.

Ответ 10

Следующее невозможно с сегодняшней технологией, но я не думаю, что это слишком далеко. Это также, вероятно, слишком велико для общения со спамом в форуме, но может быть полезно для регистрации в аккаунте или в любой ситуации, когда вы действительно хотите быть уверенными в том, что имеете дело с людьми, и они будут готовы к тому, чтобы он занял несколько минут, чтобы завершить процесс.

У вас есть 2 пользователя, которые пытаются доказать, что люди соединяются друг с другом через свои веб-камеры и спрашивают их, является ли человек, которого они видят, человеком и живым (т.е. не записью), путем привлечения их, например, к зеркалу каждого другие движения или написать что-нибудь на листе бумаги. Попросите всех сделать это несколько раз с разными пользователями и бросьте несколько записей в микс, которые они также должны правильно идентифицировать как таковые.

Ответ 11

Популярный метод на форумах состоит в том, чтобы просто поставить в очередь потоки членов с менее чем 10 сообщениями в очереди модерации. Конечно, это не поможет, если у вас нет модераторов, или это не форум. Более общий метод - вычисление гиперссылок на текстовые соотношения. Часто сообщения спама содержат тонну гиперссылок, и вы можете много ловить этот путь. В том же духе сравнивается содержание последовательных сообщений. Просто не допускайте, чтобы последовательные сообщения были очень похожи.

Конечно, любой, кто знает о ваших мерах, сможет обойти их. Честно говоря, мало что можно сделать, если вы являетесь объектом конкретной атаки. Скорее, вы должны сосредоточиться на предотвращении более общих, неквалифицированных атак.

Ответ 12

Для человеческих модераторов это, безусловно, помогает легко находить и удалять все сообщения из некоторого IP-адреса или всех сообщений от какого-то пользователя, если бот достаточно умен, чтобы использовать зарегистрированную учетную запись. Аналогичным образом, возможность легко блокировать IP-адреса или учетные записи в течение некоторого времени без дальнейшего администрирования уменьшит административную нагрузку для модераторов.

Использование файлов cookie для создания ботов и человеческих спамеров считает, что их сообщение на самом деле видимо (хотя только они сами видят это) мешает им (или троллям) изменять методы. Пусть спамеры и тролли видят другие сообщения спама и троллей.

Ответ 13

Методы оценки Javascript, подобные этой системе Invisible Captcha, требуют, чтобы браузер оценивал Javascript до того, как будет отправлена ​​заявка на страницу. Он отлично отпадает, когда пользователь не имеет Javascript, только что отображая обычный тест CAPTCHA.

Ответ 14

Honeypots - один эффективный метод. Фил Хаак дает один хороший метод honeypot, который может быть использован в принципе для любого форума/блога и т.д.

Вы также можете написать сканер, который следует за спам-ссылками и анализирует их страницу, чтобы узнать, действительно ли это ссылка или нет. Наиболее очевидными будут страницы с точной копией вашего контента, но вы можете выбрать другие индикаторы.

Модерация и черный список, особенно с такими плагинами, как WordPress (или что бы вы ни использовали, аналогичное программное обеспечение доступно для большинство платформ), будет работать в среде с небольшим объемом. Если ваша окружающая среда имеет низкий уровень громкости, не стоит недооценивать преимущества, которые это дает вам. Лично решая, что является разумным содержанием и что не дает вам максимальной гибкости в управлении спамом, если у вас есть время.

Не забывайте, как указывали другие, что CAPTCHA не ограничиваются распознаванием текста с изображения. Визуальная ассоциация, математические проблемы и другие не субъективные вопросы, передаваемые через изображение, также квалифицируются.

Ответ 15

Анимированный капчет - прокручиваемый текст - все еще легко распознается людьми, но если вы убедитесь, что ни один из фреймов не предлагает что-то полное для распознавания.

вопрос с множественным выбором - все, что требуется, - это ______ и улыбка. идея заключается в том, что пользователю придется выбирать/понимать.

session variable - проверка того, что переменная, помещенная в сеанс, является частью запроса. будут осквернять немых ботов, которые просто генерируют запросы, но, вероятно, не боты, которые моделируются как браузер.

Математический вопрос - 2 + 5 = - это снова задает вопрос, который легко решить, но препятствует способности ботов генерировать ответ.

сетка изображений - вы создаете сетку изображений - выберите 1 или 2 определенного типа, например изображение сетки 3x3, и вы должны выбрать всех птиц на сетке.

Надеюсь, это даст вам некоторые идеи для вашего нового решения.

Ответ 16

У друга есть самый простой метод защиты от спама, и он работает.

У него есть настраиваемое текстовое поле, в котором говорится: "Пожалуйста, введите номер 4".

Его блог довольно популярен, но все еще недостаточно популярен для ботов, чтобы понять это (пока).

Ответ 17

Не забудьте сделать ваше решение доступным для тех, кто не использует обычные браузеры. Нельзя игнорировать толпу iPhone, и те, у кого есть проблемы со зрением и когнитивными проблемами, также нельзя исключать.

Ответ 18

Sblam - интересный проект.

Ответ 19

Невидимые поля формы. Создайте поле формы, которое не отображается на экране пользователю. используя display: none как стиль css, чтобы он не отображался. Для обеспечения доступности вы можете даже поместить скрытый текст, чтобы люди, использующие программы чтения с экрана, знали, что они не заполняют его. Боты почти всегда заполняют все поля, поэтому вы можете заблокировать любую запись, заполняющую невидимое поле.

Ответ 20

Блокировать доступ на основе черного списка IP-адресов спамеров.

Ответ 21

Методы Honeypot помещают невидимую форму приманки вверху страницы. Пользователи не видят этого и не отправляют правильную форму, боты представляют неправильную форму, которая ничего не делает или запрещает их IP.

Ответ 22

Я видел несколько опрятных идей в строках Asira, которые просят вас определить, какие картинки являются кошками. Я считаю, что идея возникла из KittenAuth некоторое время назад.

Ответ 23

Используйте что-то вроде Google image labeler с правильно подобранными изображениями, чтобы компьютер не смог распознать доминирующие его особенности что человек мог бы.

Пользователю будет показано изображение и ему придется вводить слова, связанные с ним. Они будут продолжать показывать изображения, пока они не набрали достаточное количество слов, которые согласуются с тем, что предыдущие пользователи набрали для одного и того же изображения. Некоторые изображения будут новыми, с которыми они не тестировались, но были включены для записи того, какие слова связаны с ними. В зависимости от вашей аудитории вы также можете выбрать изображения, которые только они узнали бы.

Ответ 24

Mollom якобы хорош в прекращении спама. Доступны как личные (бесплатные), так и профессиональные версии.

Ответ 25

Я знаю, что некоторые люди упомянули ASIRRA, но если вы пойдете на все усыновленные мной ссылки на изображения, то он скажет на этой связанной странице, если это кошка или собака. Поэтому для бота должно быть относительно легко просто перейти ко всем ссылкам усыновления. Так что это просто вопрос времени для этого проекта.

Ответ 26

просто проверьте адрес электронной почты и позвольте google/yahoo и т.д. беспокоиться об этом

Ответ 27

Вы можете получить какое-то программное обеспечение ID устройства. В коде 41 есть программное обеспечение для предотвращения мошенничества, которое может обнаруживать аппаратное обеспечение, используемое для доступа к вашему сайту. Я верю, что они используют его, чтобы поймать мошенников, но могут быть использованы для остановки ботов. Как только вы определили устройство, используемое ботом, вы можете просто заблокировать это устройство. В прошлый раз, когда вы проверили, он может даже проследить ваш маршрут через свою телефонную сеть (не ваш Geo-IP!!), поэтому вы можете даже заблокировать почтовый код, если хотите.

Его дорогая благодаря такой опоре. лучшее более дешевое решение, которое является немного менее крупным братом.