kody z obrazków - human verify, czy skuteczne? Opcje

[Kabraxis]

Witam,

Czy przepisywanie cyferek i literek z obrazków w formie czytelnej dla usera na tyle aby się nie mylił przepisując tak na prawdę chroni przed robotami? Czy jest to w ogóle skuteczne? Ktoś ma jakieś doświadczenia?

[l0ud]

Jest skuteczne na boty uniwersalne, czyli takie co chodzą po stronach i pakują do wszystkich możliwych formularzy strony porno (IMG:style_emoticons/default/winksmiley.jpg)
Jeżeli ktoś doświadczony nad tym przysiądzie - niestety, złamie całość w parę minut. Niemniej, dopóki strona nie będzie zbyt popularna token powinien się sprawdzić.

[kamil4u]

Wszystko da się załamać. Jeżeli jednak nie generujesz bardzo dużego ruchu, powinno to być skuteczne, gdyż nikomu nie będzie się chciało łamać twojego CATPCHA (IMG:style_emoticons/default/smile.gif)

[Kabraxis]

Obawiam się, że docelowo serwis będzie miał dość spory ruch. Czy w takim razie istnieje coś innego jak weryfikacja przez e-mail?

Chociaż tak sobie pomyślałem, że weryfikacje e-mail jeszcze łatwiej złamać...

Jakaś podpowiedź co najlepiej konkretnie zastosować?

Ten post edytował Kabraxis 15.03.2010, 18:28:45

[l0ud]

Możesz posiłkować się gotowym rozwiązaniem, typu http://recaptcha.net/ (choć tego akurat nigdy jako użytkownik nie lubiłem przepisywać, po ilości serwisów to wykorzystujących wydaje się być bezpieczne)

[Kabraxis]

Nieprzyjazne dla usera zupełnie... Coś bardziej przyjaznego się znajdzie?

[icetique]

Nie popadajmy w paranoję, captcha całkiem nieźle się sprawdza.

Nie ma sposobu, by w stu procentach zapobiec zjawisku botowania.

Myślę, że komentarze tylko dla zarejestrowanych użytkowników + captcha będzie śmigać długo bez botów. Dodatkowo zabezpieczenie weryfikacji e-mail użytkownika oraz możliwość umieszczenia jednego komentarza na np. minutę.

Ten post edytował icetique 16.03.2010, 09:31:17

[bogdan89]

podepnę się trochę pod temat...

Od zawsze jestem przeciwnikiem kodów z obrazków, te obrazki stają się coraz bardziej nieczytelne, do tego czasem wyświetlają się dwa, które trzeba wpisać. strasznie to niewygodne.
Jak można inaczej się zabezpieczyć przed botami?
- sprawdzać z jaką prędkością bot poruszą się po stronie i blokować jeśli bot jest nieprzyjazny?
- dodatkowe, niewidoczne pole w formularzu, które powinno zostać puste?
- jakaś baza botów, która zablokuje je jeszcze przed wykonywaniem się wszystkich skryptów?
- czy error 404 zniechęca boty?

Chciałbym zrobić coś, co zablokuje dostęp botów do całej strony. Nie tylko do formularzy.
Chodzi mi przede wszystkim o to, żeby nie marnować zasobów serwera na takie boty, które mogą wykonywać setki zapytań do bazy danych.

[Daiquiri]

Sporo zdjęć + lekki filtr i pytanie: "co jest na obrazku?" Mi się podobają takie CAPTCHA, bo nie mam problemów z odczytaniem zawartości wygenerowanego tekstu...

Ten post edytował Daiquiri 16.03.2010, 10:28:37

[thek]

Frameworki posiadają zazwyczaj stopień komplikacji captchy. Proste są bardzo czytelne, ale uniwersalne boty z reguły się tu wysypią.
Sprawdzanie szybkości to kwestia dyskusyjna. Przykładowo na forum wchodząc otwieram często kilkanaście zakładek z nowymi postami, więc mogę być uznany za bota z racji wywoływania wielu adresów w krótkim odstępie czasu (IMG:style_emoticons/default/winksmiley.jpg)
Dodatkowe puste pole działa na wiele botów. Sam stosuję to rozwiązanie ukrywając je poprzez CSS ustawiając mu klasę, która w dołączanym pliku CSS ma ustawione display na niewidoczny i nadając mu dodatkowo name="WWW" co często kusi boty do wpisania tam adresu (IMG:style_emoticons/default/winksmiley.jpg) User tego pola z poziomu strony nie zobaczy, ale bot jak najbardziej. Nie stosować tutaj stylu inline, bo bot zobaczywszy display:none może to pole sobie odpuścić.
Nie rozpoznasz bota na podstawie jakiejś bazy. To nie trojany czy wirusy, które posiadają określoną sygnaturę z racji pewnego powtarzalnego fragmentu binarnego. Bota rozpoznajesz po zachowaniu, a więc musiałbyś mieć "bazę behawioralną botów", która byłaby mało skuteczna z racji konfigurowalności tych narzędzi zazwyczaj.
Eroor 404 nie zniechęca bota. To nie człowiek tylko skrypt. Będzie pracował bez wytchnienia i nie zważając na nic, zgodnie z napisanym algorytmem. To pozwala czasem wyłapywać te popularne lub na podstawie błędów kodu oznaczać "to może być bot, trzeba się przyjrzeć temu userowi/IP".

Walka z botami jest trudna. To forum niedawno miało DDoS, co można porównać do zmasowanego ataku botów. Bez analizy logów (serwera, baz danych, frameworka) nie zrobisz wiele by temu przeciwdziałać. Możesz próbować ograniczać poprzez choćby aktualizacje baz danych spamerów. Takie "black listy" są w necie dostępne i aktualizowane na bieżąco. Podpina się je choćby pod htaccess, który filtruje userów odwiedzających pod kątem obecności na owych listach konkretnych IP lub ich zakresów.

Powód edycji: [kwiateusz]: e tam miał... cały czas ma tylko na bierzaco z tym walcze :)