Bot na stronie - zachowanie i detekcja Opcje

[Blame]

Siemka!
Ostatnio wziąłem się za pewien projekt gry przeglądarkowej. Jak wiadomo taką grę trzeba jakoś zabezpieczyć przed botami automatycznie wykonującymi pewne prace itp. Oczywiście rejestracja wymaga potwierdzenia linkiem z e-mail'a. Problem pojawia się z logowaniem. Nie chciałbym dodawać żadnej captchy bo wiem, że jest to dość uciążliwe rozwiązanie dla użytkownika. Stwierdziłem, że najlepszym pomysłem będzie wychwycenie podejrzanych zachowań i na ich podstawie wykrywanie czy ktoś używa automatu czy nie. Teraz pytanie do was, na co powinienem zwracać szczególną uwagę? Jakie są zachowania charakterystycznie dla botów? I ostatnie: czy ew. logowanie każdej akcji użytkownika do bazy to duże obciążenie dla serwera?
Z góry dzięki za pomoc (IMG:style_emoticons/default/smile.gif)

[O$iek]

potwierdzenia linkiem z e-mail'a

Żadne zabezpieczenie

Nie chciałbym dodawać żadnej captchy

W większości przypadków jw.

Logowanie każdej akcji do bazy chyba jest w stanie zajechać każdy serwer przy dużej oglądalności. Chociaż Facebook prawdopodobnie loguje od cholery danych, które potem może wykorzystać, ale to jednak trochę inna liga.

[mlawnik]

Zamiast captchy spróbuj ASIRRA
http://research.microsoft.com/en-us/um/red...rojects/asirra/

Co prawda to micro$hit, ale to rozwiązanie akurat dobre mają.

Tutaj example:
http://www.asirra.com/examples/ExampleService-PHP.html

I tu art po polsku:

http://blog.kmg.hcm.pl/captcha-i-asirra/

Ten post edytował mlawnik 15.05.2011, 15:30:37

[Blame]

ASIRRA to ciekawe rozwiązanie ale ja szukam czegoś bardziej kompaktowego. Wyjeżdżanie z 12 obrazkami to nie jest coś czego bym chciał. W sumie to najprościej byłoby zmienić zawartość formularza za pomocą JavaScriptu ale to z kolei sprawi problemy użytkownikom, którzy mają go wyłączonego.

[thek]

Właśnie najlepiej kombinować z JS. Boty z reguły działają o cURL i podobne technlogie, a to znaczy, że JavaScript i jego manipulacje, choćby w DOM, są dla nich niewidoczne (IMG:style_emoticons/default/smile.gif) A jeśli już ktoś gra w grę przeglądarkową, to niemal murowane, że ma JS włączony (IMG:style_emoticons/default/smile.gif)

[mlawnik]

Will it work for my users with slow Internet connections? That's a lot of images to download.

The average size of the images in our database is about 3,100 bytes. Our challenges currently use 12 images, or an average of about 37,000 bytes for the entire challenge. That's not too big compared to other objects found on typical web pages, and should be downloadable by a 56k modem user in about 10 seconds.

Za dużo w sensie kB czy ilości (12)?

Ten post edytował mlawnik 15.05.2011, 16:17:07

[Blame]

Za dużo w sensie miejsca jakie zajmuje cała łamigłówka. Nie oszukujmy się, jest to rozwiązanie raczej mało poręczne np. przy wąskim pasku logowania tak jak na tym forum u góry (IMG:style_emoticons/default/tongue.gif)

Wydaje mi się, że zabezpieczę się po prostu jakąś manipulacją w JavaScript, a dla tych, którzy tego zabezpieczenia nie przejdą albo dam komunikat o wymaganym JS albo zaserwuję reCaptche.
W sumie thek rozwiałeś moje wątpliwości. Temat do zamknięcia (IMG:style_emoticons/default/smile.gif)

[outsider]

W sumie to najprościej byłoby zmienić zawartość formularza za pomocą JavaScriptu ale to z kolei sprawi problemy użytkownikom, którzy mają go wyłączonego.

Tak, tylko za "zawartość" musiała by być unikalna dla każdej, powiedzmy sesji. Bo ktoś kto zrobi bota, nie będzie parsował kodu, on będzie już wiedział co ma przesłać. Chyba, że napotka trudną captche, lub inne zabezpieczenie, które będzie wymagało czegoś, co potrafi tylko istota myśląca (IMG:style_emoticons/default/smile.gif)

Ten post edytował outsider 15.05.2011, 16:39:20

[mlawnik]

Czyli odróżnianie kotów od psów.

Nawet add-on do wordpressa napisali, a sam byłem inicjatorem przystosowania tego pod phpBB by przemo.