Boty korzystają z OCR'ów, więc czemu nie miałyby korzystać z ciastek?


Przecież to żadne zabezpieczenie. Można usunąć lub zmodyfikować cookiesy.


A co to zmieni? php identyfikuje sesje po SESSIONID z ciastka lub z adresu, więc co to za problem.
Niby można byłoby ustawić że SESSIONID to jakiś hasz z IP + jakieś w miare stałe dane, ale znowu wtedy można korzystać z proxy.


Nie


Osobiście uważam że rozwiązanie podane tutaj w postaci tych wtyczek antyspamowych opartych na filtrach Bayesa (testował ktoś?)

rozumiem a jakby powiedzmy oprzec to o baze i zapisywac tam ip tych co juz dodali wpis i ustawic czas np 10 minut przez ktore nie da sie pisac nastepnego wpisu. Wiem ze mozna korzystac z proxy ale to chyba troche trwa zmiana adresu ip itd. czy takie cos wystarczy??

1. A pomyślałeś o sieciach osiedlowych
Dużo osób korzysta i 1 napisze na forum to pozostałe kilkadziesiąt ( kilkaset) nie będzie mogło pisać, ja bym zrezygnował, bo nie lubię czekać.
2. Zmiana proxy nie trwa długo
3. A jeśli bot ma zmienne IP? W takiej Neo+ trwa to z 10s (tzn. rozłączenie i podłączenie)

no tak tyle ze na moja strone moze jeden wpis dziennie gora dwa przychodza to chyba raczej nie utrudni zbytnio korzystania z mojej strony

No chyba że tak.

Jednak to nie jest rozwiązanie, jest to tylko półśrodek

Przeczytałem (już kiedyś wcześniej) artykuł którym rzucił UDAT i muszę stwierdzić, że rzeczywiście... obrazki i tzw. "PIĘĆ RAZY OSIEM" to złe rozwiązania a tępenie botów powinno się rozpocząć na poziomie zapytań http. Niestety. To programy przez nas napisane muszą walczyć z innymi programami i nie można zostawiać tego użytkownikom (zmęczonym, niepełnosprawnym, lub w złym samopoczuciu)

Pliki dźwiękowe to głupi pomysł:
1. Niesłyszący
2. Ludzie bez kart dźwiękowych/słuchwek/głośników

Przecież w 50% szkołach polskich nie ma komputerów z kartami muzycznymi, a dla wielu osob jest to jedyny sposób na serforwanie po internecie... nie wolno o tym zapominać :/

Moim zdaniem trzeba się zainteresować akismetem i Bad Behaviorem

Czytalem troche topic i jako ze padly wnioski ze dzisiejsze obrazki typu Captcha musza byc dosyc skomplikowane by bot nie mogl ich przeczytac, co jednoczesnie jest strasznie uciazliwe dla uzytkownikow. Captcha wygodne dla usera ktore jest czytelne beda latwe w odczytaniu dla bota.

Co sadzicie o zastosowaniu np 50 obrazkow (dla Mamus i Tatusiow pamietacie moze takie kziazeczki dla dzieci z duzymi kolorowymi konikami zabkami swinkami ?). Wyswitlamy obrazek i prosimy o wpisanie tego co jest na obrazku, kot, kon itp.

Waszym zdaniem ma to jakakolwiek szanse powodzenia ?

Generalnie pomysł ciekawy, tylko mam kilka wątpliwości:
1. świnia, swinia czy świnka (pomijam tu małe-duże litery, bo to łatwo obejść),
2. co z obcokrajowcami; świnia czy pig,
3. obrazki muszą być generowane dynamicznie, z przesunięciem i obrotem figurek, by nie można było "nauczyć" bota danej typografii.

@kszychu generalnie pomysl ma byc zastosowany w anglojezycznym seriwsie wiec nie przewidujemy tutaj jezyka innego. Myslalem nad daniem np jakiejs select listy. I czy moglbys rozwinac troche mysl trzecia ? Jesli nie bedzie select listy a jedynie text input nawet jesli bot bedzie rozpoznawal obrazki to ciezko mu sie bedzie nauczyc tego, fakt faktem chyba ze ktos mu powprowaca mozliwosci. Jednakze idac dalej co sadzicie o select'cie ?

OT Kszychu i nie patrz tak na mnie z tego avatara i tak nic nie powiem

Jesli to bedzie podana lista, to boot bedzie mogl wyslac ci tyle requestow i ile masz wartosci na liscie i w koncu na jakac trafi.

Lista odpada, z powodów, które podał nospor.
Co do mojej trzeciej uwagi, faktycznie, ktoś mógłby powprowadzać dla bota odpowiednie nazwy dla odpowiednich obrazków. Ale wówczas przesunięcie trochę tego obrazka i/lub obrócenie sprawia, że to już nie jest ten sam obrazek.

Niedlugo sie wezme za implementacje tego, zobaczymy co wyjdzie Dzieki za opinie.

myslalem nad takim rozwiazaniem aby wyslac formularz trzebaby bylo odczekac np 10 sekund (czas poswiecony na wypelnianie formularza), ale jesli jest to strona gdzie bot nie dodaje masowo wpisow nie ma to chyba sensu.

A niewidomi? Osoby niepełnosprawne? Osoby z przeglądarkami tekstowymi?

Pomimo, że jest to dosyć ciekawy pomysł, nadal twierdzę, że walkę z botami powinny prowadzić skrypty, a nie użytkownicy...

Ja stosuję mieszany obrazek, tzn kod do przepisania w losowym położeniu na losowym tle + opis co trzeba zrobić z tym kodem i adresem strony. Tekstu jest na tyle dużo, że trudno wybrać ten właściwy (oczywiście dla botów).

Ja stosuję prostą metodę.
Pod formularzem mam kilka radiobuttonów. A nad nimi napis: zaznacz radiobutton nr. {LICZBA} od lewej.
Spotkalem sie jeszcze z innymi sztuczkami podobnymi np. podaj stolicę Polski.

Mam pytanie: czy na forum np. o zespole muzycznym,dobrym zabezpieczeniem (przy logowaniu) jest generowanie obrazka z pytaniem w języku polskim,na które od razu odpowie fan tego zespołu?Czy język polski stanowi dużą przeszkodę dla botów?

Tu nie chodzi o jezyk, bot przeciez nie zrozumie chyba ze go ktos nauczy, ogolnie tak jak sie sprawa miala w przypadku moich zwierzaczkow, Doors albo The Doors ? Nie mozna dac select listy (dlaczego jest wyzej napisane), do tego jesli by sie ktos uparl to by nauczyl bota tych pytan i juz.

Odpowiedź ma być wpisywana w pole tekstowe.Wszystkie boty rejestrujące się na forum piszą posty w języku angielskim.Nie wiem czy bot tak szybko poradzi sobie z pytaniem w stylu: "Podaj tytuł ostatniej piosenki z trzeciego albumu zespołu ...".Może się mylę,ale cały czas wydawało mi się,że boty działają na pewnych standardowych zachowaniach (np. atakach na fora) i odejście od tych reguł (np. jakiś nietypowy hack na forum własnej roboty) jest w stanie się oprzeć ich atakom.

a co jesli ktos zaklada sobie konto na forum, a nie ma pojecia w wiekszym stopniu nt. zespolu ? wiekszosc moze uwazac sie za fanow, ale niekoniecznie moga znac wszystkie albumy wraz z piosenkami.

dyskusja chyba sprowadza sie jak narazie do tego, ze ktos rzuca pomyslem zabezpieczenia, a inna osoba zaprzecza (podajac lepsze lub gorsze argumenty) jego skutecznosci...

A myślisz, że nie powstają boty w konkretnych wersjach językowych?


Chyba ma to właśnie na celu: znaleźć metodę najbardziej zbliżoną do ideału.

Jakie istnieją sposoby identyfikacji bota?
- prędkość poruszania (da się zmienić przez sleep(rand))
- headersy (każdy je zmienia więc to się nie liczy)
- SPAM ataki? (ograniczać/banować - 40 spam na sekunde to raczej nie człowiek?)
- Wykrywanie SPAM ataków? = może być np. 1 proxy

Zapobieganie:
- moderacja? Duuuużo zmarnowanego czasu
- rejestracja? - leniwość użytkowników + boty z łatwością sobie z tym radzą
- Moderacja słów? I tak znajdą na to sposób...

A takie istnieją?


Jak botom "zależy" na zaspamowaniu konkretnego serwisu (bo ma np. wzięcie), to będzie się "poruszał" jak zwykły użytkownik.
W końcu bot został przez kogoś napisany - przez człowieka.


Bot wyśle Ci User-Agenta powiedzmy IE, to co po tym?


Zależy jak wykrywasz. Jeśli po IP, to istnieje bardzo duże prawdopodobieństwo, że zablokujesz sieć osiedlową. Mam tu na uwadzę jakąś bardzo popularną stronę.


Ale najskuteczniejsze...


Chyba poruszamy m.in. kwestię utrudnienia rejestracji botom, nie?
A na lenistwo użytkowników nic się nie da poradzić...

Nie musisz dawać kontr argumentów do moich kontrargumentów
Pisałem sposoby/metody a w nawiasach czemu ich nie używać/lub czemu nie zadziałają

Chciałbym polecić filtr, który używa chyba wszystkich metod tutaj wymienionych:
http://spam.geekhood.net

- używa baz DNSRBL
- ma uczący się filtr bayesowski
- analizuje nagłówki HTTP
- analizuje linki w SURBL i LinkSleeve
- sprawdza obecność i poprawność interpretacji JavaScript
- pozwala na moderację niepewnych przypadków (ok. 2% postów)

A co myślicie o losowaniu kolejności pól formularza? Np. tam gdzie zazwyczaj wpisuje się www, pojawia się numer gg - bot wpisuje url a całą resztę odwalają wyrażenia regularne. Tylko:

1. Czy to ma szansę zadziałać?
2. Bot ma wciąż 50%, musiałoby być więcej pól
3. I czy użytkownicy się nie obrażą, że im formularz skacze?

Bo te kurde boty buszują i jakbym nie zmieniał formularzy, one zawsze wiedzą co trzeba w którym polu wpisać. Jak one to robią? Może po opisie pola poznają? Bocisz jakimś 6-tym zmysłem trafia do pola, gdzie trzeba wpisać www.

Myślałem czy coś da, jak pole formularza będzie np. takie:
- gdzie xxx to losowy ciąg znaków a w gifie byłby opisik, co trzeba wpisać

I połączyć to z losowaniem kolejności pól? Coś by to dało?

Ja polecam zakupić numer 2/2008 magazynu "php solutions". Będzie tam mój artykuł o eliminacji spamu z wykorzystaniem filtra statystycznego.
Wkleić tutaj nie mogę bo nie opublikują i nie zapłacą ;-).