Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Boty - Jak przeciwdziałać
Forum PHP.pl > Forum > PHP
Stron: 1, 2
UDAT
Cytat(piotrekkr @ 31.08.2006, 22:44:47 ) *
Witam mam pytanie czy boty np przyjmuja ciasteczka?? [ciach]

Boty korzystają z OCR'ów, więc czemu nie miałyby korzystać z ciastek?

Cytat(piotrekkr @ 31.08.2006, 22:44:47 ) *
wysylam ciastko z informacja ze np ze nie dodano jeszcze wpisu i przy dodawaniu sprawdze czy tamto ciastko jest ustwaione i jak tak to czy jest rowne zero i wtedy dodaje lub nie wpis i po dodaniu zmieniam wartosc ciastka na 1?

Przecież to żadne zabezpieczenie. Można usunąć lub zmodyfikować cookiesy.

Cytat(piotrekkr @ 31.08.2006, 22:44:47 ) *
i czy mozna by analogicznie sesje tutaj zastosowac??

A co to zmieni? php identyfikuje sesje po SESSIONID z ciastka lub z adresu, więc co to za problem.
Niby można byłoby ustawić że SESSIONID to jakiś hasz z IP + jakieś w miare stałe dane, ale znowu wtedy można korzystać z proxy.

Cytat(piotrekkr @ 31.08.2006, 22:44:47 ) *
czy to wogole zadziala przed botami??

Nie


Osobiście uważam że rozwiązanie podane tutaj w postaci tych wtyczek antyspamowych opartych na filtrach Bayesa (testował ktoś?)
piotrekkr
rozumiem a jakby powiedzmy oprzec to o baze i zapisywac tam ip tych co juz dodali wpis i ustawic czas np 10 minut przez ktore nie da sie pisac nastepnego wpisu. Wiem ze mozna korzystac z proxy ale to chyba troche trwa zmiana adresu ip itd. czy takie cos wystarczy??
UDAT
Cytat(piotrekkr @ 1.09.2006, 09:36:47 ) *
rozumiem a jakby powiedzmy oprzec to o baze i zapisywac tam ip tych co juz dodali wpis i ustawic czas np 10 minut przez ktore nie da sie pisac nastepnego wpisu. Wiem ze mozna korzystac z proxy ale to chyba troche trwa zmiana adresu ip itd. czy takie cos wystarczy??


1. A pomyślałeś o sieciach osiedlowych questionmark.gif
Dużo osób korzysta i 1 napisze na forum to pozostałe kilkadziesiąt ( kilkaset) nie będzie mogło pisać, ja bym zrezygnował, bo nie lubię czekać.
2. Zmiana proxy nie trwa długo
3. A jeśli bot ma zmienne IP? W takiej Neo+ trwa to z 10s (tzn. rozłączenie i podłączenie)
piotrekkr
no tak tyle ze na moja strone moze jeden wpis dziennie gora dwa przychodza to chyba raczej nie utrudni zbytnio korzystania z mojej strony
UDAT
Cytat(piotrekkr @ 1.09.2006, 09:47:07 ) *
no tak tyle ze na moja strone moze jeden wpis dziennie gora dwa przychodza to chyba raczej nie utrudni zbytnio korzystania z mojej strony

No chyba że tak.

Jednak to nie jest rozwiązanie, jest to tylko półśrodek
Master Miko
Przeczytałem (już kiedyś wcześniej) artykuł którym rzucił UDAT i muszę stwierdzić, że rzeczywiście... obrazki i tzw. "PIĘĆ RAZY OSIEM" to złe rozwiązania a tępenie botów powinno się rozpocząć na poziomie zapytań http. Niestety. To programy przez nas napisane muszą walczyć z innymi programami i nie można zostawiać tego użytkownikom (zmęczonym, niepełnosprawnym, lub w złym samopoczuciu)

Pliki dźwiękowe to głupi pomysł:
1. Niesłyszący
2. Ludzie bez kart dźwiękowych/słuchwek/głośników

Przecież w 50% szkołach polskich nie ma komputerów z kartami muzycznymi, a dla wielu osob jest to jedyny sposób na serforwanie po internecie... nie wolno o tym zapominać :/

Moim zdaniem trzeba się zainteresować akismetem i Bad Behaviorem
thornag
Czytalem troche topic i jako ze padly wnioski ze dzisiejsze obrazki typu Captcha musza byc dosyc skomplikowane by bot nie mogl ich przeczytac, co jednoczesnie jest strasznie uciazliwe dla uzytkownikow. Captcha wygodne dla usera ktore jest czytelne beda latwe w odczytaniu dla bota.

Co sadzicie o zastosowaniu np 50 obrazkow (dla Mamus i Tatusiow pamietacie moze takie kziazeczki dla dzieci z duzymi kolorowymi konikami zabkami swinkami ?). Wyswitlamy obrazek i prosimy o wpisanie tego co jest na obrazku, kot, kon itp.

Waszym zdaniem ma to jakakolwiek szanse powodzenia ?
kszychu
Generalnie pomysł ciekawy, tylko mam kilka wątpliwości:
1. świnia, swinia czy świnka (pomijam tu małe-duże litery, bo to łatwo obejść),
2. co z obcokrajowcami; świnia czy pig,
3. obrazki muszą być generowane dynamicznie, z przesunięciem i obrotem figurek, by nie można było "nauczyć" bota danej typografii.
thornag
@kszychu generalnie pomysl ma byc zastosowany w anglojezycznym seriwsie wiec nie przewidujemy tutaj jezyka innego. Myslalem nad daniem np jakiejs select listy. I czy moglbys rozwinac troche mysl trzecia ? Jesli nie bedzie select listy a jedynie text input nawet jesli bot bedzie rozpoznawal obrazki to ciezko mu sie bedzie nauczyc tego, fakt faktem chyba ze ktos mu powprowaca mozliwosci. Jednakze idac dalej co sadzicie o select'cie ?

OT Kszychu i nie patrz tak na mnie z tego avatara i tak nic nie powiem tongue.gif
nospor
Jesli to bedzie podana lista, to boot bedzie mogl wyslac ci tyle requestow i ile masz wartosci na liscie i w koncu na jakac trafi.
kszychu
Lista odpada, z powodów, które podał nospor.
Co do mojej trzeciej uwagi, faktycznie, ktoś mógłby powprowadzać dla bota odpowiednie nazwy dla odpowiednich obrazków. Ale wówczas przesunięcie trochę tego obrazka i/lub obrócenie sprawia, że to już nie jest ten sam obrazek.
thornag
Niedlugo sie wezme za implementacje tego, zobaczymy co wyjdzie smile.gif Dzieki za opinie.
Dex1987
myslalem nad takim rozwiazaniem aby wyslac formularz trzebaby bylo odczekac np 10 sekund (czas poswiecony na wypelnianie formularza), ale jesli jest to strona gdzie bot nie dodaje masowo wpisow nie ma to chyba sensu.
Master Miko
A niewidomi? Osoby niepełnosprawne? Osoby z przeglądarkami tekstowymi?

Pomimo, że jest to dosyć ciekawy pomysł, nadal twierdzę, że walkę z botami powinny prowadzić skrypty, a nie użytkownicy...
missile
Ja stosuję mieszany obrazek, tzn kod do przepisania w losowym położeniu na losowym tle + opis co trzeba zrobić z tym kodem i adresem strony. Tekstu jest na tyle dużo, że trudno wybrać ten właściwy (oczywiście dla botów).
shpyo
Ja stosuję prostą metodę.
Pod formularzem mam kilka radiobuttonów. A nad nimi napis: zaznacz radiobutton nr. {LICZBA} od lewej. smile.gif
Spotkalem sie jeszcze z innymi sztuczkami podobnymi np. podaj stolicę Polski.
PhuyeR
Mam pytanie: czy na forum np. o zespole muzycznym,dobrym zabezpieczeniem (przy logowaniu) jest generowanie obrazka z pytaniem w języku polskim,na które od razu odpowie fan tego zespołu?Czy język polski stanowi dużą przeszkodę dla botów?
thornag
Tu nie chodzi o jezyk, bot przeciez nie zrozumie chyba ze go ktos nauczy, ogolnie tak jak sie sprawa miala w przypadku moich zwierzaczkow, Doors albo The Doors ? Nie mozna dac select listy (dlaczego jest wyzej napisane), do tego jesli by sie ktos uparl to by nauczyl bota tych pytan i juz.
PhuyeR
Odpowiedź ma być wpisywana w pole tekstowe.Wszystkie boty rejestrujące się na forum piszą posty w języku angielskim.Nie wiem czy bot tak szybko poradzi sobie z pytaniem w stylu: "Podaj tytuł ostatniej piosenki z trzeciego albumu zespołu ...".Może się mylę,ale cały czas wydawało mi się,że boty działają na pewnych standardowych zachowaniach (np. atakach na fora) i odejście od tych reguł (np. jakiś nietypowy hack na forum własnej roboty) jest w stanie się oprzeć ich atakom.
fx69
a co jesli ktos zaklada sobie konto na forum, a nie ma pojecia w wiekszym stopniu nt. zespolu ? wiekszosc moze uwazac sie za fanow, ale niekoniecznie moga znac wszystkie albumy wraz z piosenkami.

dyskusja chyba sprowadza sie jak narazie do tego, ze ktos rzuca pomyslem zabezpieczenia, a inna osoba zaprzecza (podajac lepsze lub gorsze argumenty) jego skutecznosci... worriedsmiley.gif
erix
Cytat
Wszystkie boty rejestrujące się na forum piszą posty w języku angielskim.Nie wiem czy bot tak szybko poradzi sobie z pytaniem w stylu...

A myślisz, że nie powstają boty w konkretnych wersjach językowych?

Cytat
dyskusja chyba sprowadza sie jak narazie do tego, ze ktos rzuca pomyslem zabezpieczenia, a inna osoba zaprzecza (podajac lepsze lub gorsze argumenty) jego skutecznosci...

Chyba ma to właśnie na celu: znaleźć metodę najbardziej zbliżoną do ideału.
Master Miko
Jakie istnieją sposoby identyfikacji bota?
- prędkość poruszania (da się zmienić przez sleep(rand))
- headersy (każdy je zmienia więc to się nie liczy)
- SPAM ataki? (ograniczać/banować - 40 spam na sekunde to raczej nie człowiek?)
- Wykrywanie SPAM ataków? = może być np. 1 proxy

Zapobieganie:
- moderacja? Duuuużo zmarnowanego czasu
- rejestracja? - leniwość użytkowników + boty z łatwością sobie z tym radzą
- Moderacja słów? I tak znajdą na to sposób...
erix
Cytat
Jakie istnieją sposoby identyfikacji bota?

A takie istnieją?

Cytat
- prędkość poruszania (da się zmienić przez sleep(rand))

Jak botom "zależy" na zaspamowaniu konkretnego serwisu (bo ma np. wzięcie), to będzie się "poruszał" jak zwykły użytkownik.
W końcu bot został przez kogoś napisany - przez człowieka.

Cytat
- headersy (każdy je zmienia więc to się nie liczy)

Bot wyśle Ci User-Agenta powiedzmy IE, to co po tym?

Cytat
- SPAM ataki? (ograniczać/banować - 40 spam na sekunde to raczej nie człowiek?)

Zależy jak wykrywasz. Jeśli po IP, to istnieje bardzo duże prawdopodobieństwo, że zablokujesz sieć osiedlową. Mam tu na uwadzę jakąś bardzo popularną stronę.

Cytat
- moderacja? Duuuużo zmarnowanego czasu

Ale najskuteczniejsze...

Cytat
- rejestracja? - leniwość użytkowników + boty z łatwością sobie z tym radzą

Chyba poruszamy m.in. kwestię utrudnienia rejestracji botom, nie?
A na lenistwo użytkowników nic się nie da poradzić...
Master Miko
Nie musisz dawać kontr argumentów do moich kontrargumentów smile.gif
Pisałem sposoby/metody a w nawiasach czemu ich nie używać/lub czemu nie zadziałają
bugme
Chciałbym polecić filtr, który używa chyba wszystkich metod tutaj wymienionych:
http://spam.geekhood.net

- używa baz DNSRBL
- ma uczący się filtr bayesowski
- analizuje nagłówki HTTP
- analizuje linki w SURBL i LinkSleeve
- sprawdza obecność i poprawność interpretacji JavaScript
- pozwala na moderację niepewnych przypadków (ok. 2% postów)
Pilsener
A co myślicie o losowaniu kolejności pól formularza? Np. tam gdzie zazwyczaj wpisuje się www, pojawia się numer gg - bot wpisuje url a całą resztę odwalają wyrażenia regularne. Tylko:

1. Czy to ma szansę zadziałać?
2. Bot ma wciąż 50%, musiałoby być więcej pól
3. I czy użytkownicy się nie obrażą, że im formularz skacze?

Bo te kurde boty buszują i jakbym nie zmieniał formularzy, one zawsze wiedzą co trzeba w którym polu wpisać. Jak one to robią? Może po opisie pola poznają? Bocisz jakimś 6-tym zmysłem trafia do pola, gdzie trzeba wpisać www.

Myślałem czy coś da, jak pole formularza będzie np. takie:
Kod
<p><img src="xxx.gif" alt=""/><input type="text" name="xxx" /></p>
- gdzie xxx to losowy ciąg znaków a w gifie byłby opisik, co trzeba wpisać

I połączyć to z losowaniem kolejności pól? Coś by to dało?

sciana.gif
cicik
Ja polecam zakupić numer 2/2008 magazynu "php solutions". Będzie tam mój artykuł o eliminacji spamu z wykorzystaniem filtra statystycznego.
Wkleić tutaj nie mogę bo nie opublikują i nie zapłacą ;-).
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.