Cytat(piotrekkr @ 31.08.2006, 22:44:47 )

Witam mam pytanie czy boty np przyjmuja ciasteczka?? [ciach]
Boty korzystają z OCR'ów, więc czemu nie miałyby korzystać z ciastek?
Cytat(piotrekkr @ 31.08.2006, 22:44:47 )

wysylam ciastko z informacja ze np ze nie dodano jeszcze wpisu i przy dodawaniu sprawdze czy tamto ciastko jest ustwaione i jak tak to czy jest rowne zero i wtedy dodaje lub nie wpis i po dodaniu zmieniam wartosc ciastka na 1?
Przecież to żadne zabezpieczenie. Można usunąć lub zmodyfikować cookiesy.
Cytat(piotrekkr @ 31.08.2006, 22:44:47 )

i czy mozna by analogicznie sesje tutaj zastosowac??
A co to zmieni? php identyfikuje sesje po SESSIONID z ciastka lub z adresu, więc co to za problem.
Niby można byłoby ustawić że SESSIONID to jakiś hasz z IP + jakieś w miare stałe dane, ale znowu wtedy można korzystać z proxy.
Cytat(piotrekkr @ 31.08.2006, 22:44:47 )

czy to wogole zadziala przed botami??
Nie
Osobiście uważam że rozwiązanie podane
tutaj w postaci tych wtyczek antyspamowych opartych na filtrach Bayesa (testował ktoś?)
piotrekkr
1.09.2006, 08:36:47
rozumiem a jakby powiedzmy oprzec to o baze i zapisywac tam ip tych co juz dodali wpis i ustawic czas np 10 minut przez ktore nie da sie pisac nastepnego wpisu. Wiem ze mozna korzystac z proxy ale to chyba troche trwa zmiana adresu ip itd. czy takie cos wystarczy??
Cytat(piotrekkr @ 1.09.2006, 09:36:47 )

rozumiem a jakby powiedzmy oprzec to o baze i zapisywac tam ip tych co juz dodali wpis i ustawic czas np 10 minut przez ktore nie da sie pisac nastepnego wpisu. Wiem ze mozna korzystac z proxy ale to chyba troche trwa zmiana adresu ip itd. czy takie cos wystarczy??
1. A pomyślałeś o sieciach osiedlowych

Dużo osób korzysta i 1 napisze na forum to pozostałe kilkadziesiąt ( kilkaset) nie będzie mogło pisać, ja bym zrezygnował, bo nie lubię czekać.
2. Zmiana proxy nie trwa długo
3. A jeśli bot ma zmienne IP? W takiej Neo+ trwa to z 10s (tzn. rozłączenie i podłączenie)
piotrekkr
1.09.2006, 08:47:07
no tak tyle ze na moja strone moze jeden wpis dziennie gora dwa przychodza to chyba raczej nie utrudni zbytnio korzystania z mojej strony
Cytat(piotrekkr @ 1.09.2006, 09:47:07 )

no tak tyle ze na moja strone moze jeden wpis dziennie gora dwa przychodza to chyba raczej nie utrudni zbytnio korzystania z mojej strony
No chyba że tak.
Jednak to nie jest rozwiązanie, jest to tylko półśrodek
Master Miko
1.09.2006, 11:54:39
Przeczytałem (już kiedyś wcześniej) artykuł którym rzucił UDAT i muszę stwierdzić, że rzeczywiście... obrazki i tzw. "PIĘĆ RAZY OSIEM" to złe rozwiązania a tępenie botów powinno się rozpocząć na poziomie zapytań http. Niestety. To programy przez nas napisane muszą walczyć z innymi programami i nie można zostawiać tego użytkownikom (zmęczonym, niepełnosprawnym, lub w złym samopoczuciu)
Pliki dźwiękowe to głupi pomysł:
1. Niesłyszący
2. Ludzie bez kart dźwiękowych/słuchwek/głośników
Przecież w 50% szkołach polskich nie ma komputerów z kartami muzycznymi, a dla wielu osob jest to jedyny sposób na serforwanie po internecie... nie wolno o tym zapominać :/
Moim zdaniem trzeba się zainteresować
akismetem i
Bad Behaviorem
thornag
3.10.2006, 09:51:22
Czytalem troche topic i jako ze padly wnioski ze dzisiejsze obrazki typu Captcha musza byc dosyc skomplikowane by bot nie mogl ich przeczytac, co jednoczesnie jest strasznie uciazliwe dla uzytkownikow. Captcha wygodne dla usera ktore jest czytelne beda latwe w odczytaniu dla bota.
Co sadzicie o zastosowaniu np 50 obrazkow (dla Mamus i Tatusiow pamietacie moze takie kziazeczki dla dzieci z duzymi kolorowymi konikami zabkami swinkami ?). Wyswitlamy obrazek i prosimy o wpisanie tego co jest na obrazku, kot, kon itp.
Waszym zdaniem ma to jakakolwiek szanse powodzenia ?
kszychu
3.10.2006, 10:09:14
Generalnie pomysł ciekawy, tylko mam kilka wątpliwości:
1. świnia, swinia czy świnka (pomijam tu małe-duże litery, bo to łatwo obejść),
2. co z obcokrajowcami; świnia czy pig,
3. obrazki muszą być generowane dynamicznie, z przesunięciem i obrotem figurek, by nie można było "nauczyć" bota danej typografii.
thornag
3.10.2006, 10:14:34
@kszychu generalnie pomysl ma byc zastosowany w anglojezycznym seriwsie wiec nie przewidujemy tutaj jezyka innego. Myslalem nad daniem np jakiejs select listy. I czy moglbys rozwinac troche mysl trzecia ? Jesli nie bedzie select listy a jedynie text input nawet jesli bot bedzie rozpoznawal obrazki to ciezko mu sie bedzie nauczyc tego, fakt faktem chyba ze ktos mu powprowaca mozliwosci. Jednakze idac dalej co sadzicie o select'cie ?
OT Kszychu i nie patrz tak na mnie z tego avatara i tak nic nie powiem
nospor
3.10.2006, 10:21:24
Jesli to bedzie podana lista, to boot bedzie mogl wyslac ci tyle requestow i ile masz wartosci na liscie i w koncu na jakac trafi.
kszychu
3.10.2006, 10:28:35
Lista odpada, z powodów, które podał nospor.
Co do mojej trzeciej uwagi, faktycznie, ktoś mógłby powprowadzać dla bota odpowiednie nazwy dla odpowiednich obrazków. Ale wówczas przesunięcie trochę tego obrazka i/lub obrócenie sprawia, że to już nie jest ten sam obrazek.
thornag
3.10.2006, 10:46:54
Niedlugo sie wezme za implementacje tego, zobaczymy co wyjdzie

Dzieki za opinie.
Dex1987
3.10.2006, 16:48:22
myslalem nad takim rozwiazaniem aby wyslac formularz trzebaby bylo odczekac np 10 sekund (czas poswiecony na wypelnianie formularza), ale jesli jest to strona gdzie bot nie dodaje masowo wpisow nie ma to chyba sensu.
Master Miko
3.10.2006, 20:37:24
A niewidomi? Osoby niepełnosprawne? Osoby z przeglądarkami tekstowymi?
Pomimo, że jest to dosyć ciekawy pomysł, nadal twierdzę, że walkę z botami powinny prowadzić skrypty, a nie użytkownicy...
missile
16.10.2006, 08:17:52
Ja stosuję mieszany obrazek, tzn kod do przepisania w losowym położeniu na losowym tle + opis co trzeba zrobić z tym kodem i adresem strony. Tekstu jest na tyle dużo, że trudno wybrać ten właściwy (oczywiście dla botów).
shpyo
16.10.2006, 09:17:30
Ja stosuję prostą metodę.
Pod formularzem mam kilka radiobuttonów. A nad nimi napis: zaznacz radiobutton nr. {LICZBA} od lewej.

Spotkalem sie jeszcze z innymi sztuczkami podobnymi np. podaj stolicę Polski.
PhuyeR
16.10.2006, 14:31:31
Mam pytanie: czy na forum np. o zespole muzycznym,dobrym zabezpieczeniem (przy logowaniu) jest generowanie obrazka z pytaniem w języku polskim,na które od razu odpowie fan tego zespołu?Czy język polski stanowi dużą przeszkodę dla botów?
thornag
17.10.2006, 09:56:36
Tu nie chodzi o jezyk, bot przeciez nie zrozumie chyba ze go ktos nauczy, ogolnie tak jak sie sprawa miala w przypadku moich zwierzaczkow, Doors albo The Doors ? Nie mozna dac select listy (dlaczego jest wyzej napisane), do tego jesli by sie ktos uparl to by nauczyl bota tych pytan i juz.
PhuyeR
17.10.2006, 15:38:18
Odpowiedź ma być wpisywana w pole tekstowe.Wszystkie boty rejestrujące się na forum piszą posty w języku angielskim.Nie wiem czy bot tak szybko poradzi sobie z pytaniem w stylu: "Podaj tytuł ostatniej piosenki z trzeciego albumu zespołu ...".Może się mylę,ale cały czas wydawało mi się,że boty działają na pewnych standardowych zachowaniach (np. atakach na fora) i odejście od tych reguł (np. jakiś nietypowy hack na forum własnej roboty) jest w stanie się oprzeć ich atakom.
fx69
17.10.2006, 15:55:50
a co jesli ktos zaklada sobie konto na forum, a nie ma pojecia w wiekszym stopniu nt. zespolu ? wiekszosc moze uwazac sie za fanow, ale niekoniecznie moga znac wszystkie albumy wraz z piosenkami.
dyskusja chyba sprowadza sie jak narazie do tego, ze ktos rzuca pomyslem zabezpieczenia, a inna osoba zaprzecza (podajac lepsze lub gorsze argumenty) jego skutecznosci...
erix
17.10.2006, 16:00:30
Cytat
Wszystkie boty rejestrujące się na forum piszą posty w języku angielskim.Nie wiem czy bot tak szybko poradzi sobie z pytaniem w stylu...
A myślisz, że nie powstają boty w konkretnych wersjach językowych?
Cytat
dyskusja chyba sprowadza sie jak narazie do tego, ze ktos rzuca pomyslem zabezpieczenia, a inna osoba zaprzecza (podajac lepsze lub gorsze argumenty) jego skutecznosci...
Chyba ma to właśnie na celu: znaleźć metodę najbardziej
zbliżoną do ideału.
Master Miko
17.10.2006, 16:54:25
Jakie istnieją sposoby identyfikacji bota?
- prędkość poruszania (da się zmienić przez sleep(rand))
- headersy (każdy je zmienia więc to się nie liczy)
- SPAM ataki? (ograniczać/banować - 40 spam na sekunde to raczej nie człowiek?)
- Wykrywanie SPAM ataków? = może być np. 1 proxy
Zapobieganie:
- moderacja? Duuuużo zmarnowanego czasu
- rejestracja? - leniwość użytkowników + boty z łatwością sobie z tym radzą
- Moderacja słów? I tak znajdą na to sposób...
erix
17.10.2006, 17:54:50
Cytat
Jakie istnieją sposoby identyfikacji bota?
A takie istnieją?
Cytat
- prędkość poruszania (da się zmienić przez sleep(rand))
Jak botom "zależy" na zaspamowaniu konkretnego serwisu (bo ma np. wzięcie), to będzie się "poruszał" jak zwykły użytkownik.
W końcu bot został przez kogoś napisany - przez człowieka.
Cytat
- headersy (każdy je zmienia więc to się nie liczy)
Bot wyśle Ci User-Agenta powiedzmy IE, to co po tym?
Cytat
- SPAM ataki? (ograniczać/banować - 40 spam na sekunde to raczej nie człowiek?)
Zależy jak wykrywasz. Jeśli po IP, to istnieje bardzo duże prawdopodobieństwo, że zablokujesz sieć osiedlową. Mam tu na uwadzę jakąś bardzo popularną stronę.
Cytat
- moderacja? Duuuużo zmarnowanego czasu
Ale najskuteczniejsze...
Cytat
- rejestracja? - leniwość użytkowników + boty z łatwością sobie z tym radzą
Chyba poruszamy m.in. kwestię utrudnienia rejestracji botom, nie?
A na
lenistwo użytkowników nic się nie da poradzić...
Master Miko
17.10.2006, 18:13:36
Nie musisz dawać kontr argumentów do moich kontrargumentów

Pisałem sposoby/metody a w nawiasach czemu ich nie używać/lub czemu nie zadziałają
bugme
11.02.2007, 14:50:01
Chciałbym polecić filtr, który używa chyba wszystkich metod tutaj wymienionych:
http://spam.geekhood.net- używa baz DNSRBL
- ma uczący się filtr bayesowski
- analizuje nagłówki HTTP
- analizuje linki w SURBL i LinkSleeve
- sprawdza obecność i poprawność interpretacji JavaScript
- pozwala na moderację niepewnych przypadków (ok. 2% postów)
Pilsener
12.11.2007, 20:15:36
A co myślicie o losowaniu kolejności pól formularza? Np. tam gdzie zazwyczaj wpisuje się www, pojawia się numer gg - bot wpisuje url a całą resztę odwalają wyrażenia regularne. Tylko:
1. Czy to ma szansę zadziałać?
2. Bot ma wciąż 50%, musiałoby być więcej pól
3. I czy użytkownicy się nie obrażą, że im formularz skacze?
Bo te kurde boty buszują i jakbym nie zmieniał formularzy, one zawsze wiedzą co trzeba w którym polu wpisać. Jak one to robią? Może po opisie pola poznają? Bocisz jakimś 6-tym zmysłem trafia do pola, gdzie trzeba wpisać www.
Myślałem czy coś da, jak pole formularza będzie np. takie:
Kod
<p><img src="xxx.gif" alt=""/><input type="text" name="xxx" /></p>
- gdzie xxx to losowy ciąg znaków a w gifie byłby opisik, co trzeba wpisać
I połączyć to z losowaniem kolejności pól? Coś by to dało?
cicik
13.11.2007, 19:30:50
Ja polecam zakupić numer 2/2008 magazynu "php solutions". Będzie tam mój artykuł o eliminacji spamu z wykorzystaniem filtra statystycznego.
Wkleić tutaj nie mogę bo nie opublikują i nie zapłacą ;-).
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.