Перейти к публикации

Рекомендованные сообщения

ботов однозначно перепишут и адаптируют.

А КАК они их адаптируют? Каким образом можно будет "найти" страницу регистрации? Делать несколько динамически меняющихся ID полей ввода, одно поле с правильным именем, остальные - ловушки. Были отправлены данные с использованием ловушки - бан на IP на 5 минут.

Ссылка на сообщение
Поделиться на других сайтах

А КАК они их адаптируют? Каким образом можно будет "найти" страницу регистрации?

А как по вашему ее находят обычные люди на сайте? Силой мысли? Нет конечно. Обучить бота находить нужную информацию на странице, весьма простая задача, в миллион раз проще чем обучить распознать текст каптчи. Он найдет ее в тысячу раз быстрей чем человек.

Ссылка на сообщение
Поделиться на других сайтах

Сейчас собрать базу данных DLE сайтов с открытой регистрацией не составляет труда. Достаточно ввести в яндексе "/index.php?do=register" И регься сколько хочешь.

Можно ведь сделать чтоб при регистрации на сайте пользователь ставил галочку в чекбоксе "зарегистрироваться" нажимал "далее", генерируется случайная ссылка и дальше уже регистрация проходит по её адресу. Я понимаю что взломать можно что угодно, даже сайт Пентагона, но ведь можно в каждой новой версии DLE менять алгоритм регистрации. Спамерам придётся каждый раз переписывать свой софт, старый уже будет не актуальным. Это СУЩЕСТВЕННО снизит регистрацию ботов.

Как сейчас регятся спамеры/боты. Софт парсит страницы /index.php?do=register пробует заполнить все поля в автоматическом режиме, если при реги стоит вопрос-ответ то все эти поля выводятся и заполняются вручную!!! По этому нет разницы какой стоит вопрос "2+2" или более замороченный. Смысл в том чтоб убрать статичный адрес (который уже сто лет не меняется) страницы с регистрацией. Если это произойдёт то придётся переписывать весь софт для автоматической реги. А если алгоритм генерирования страницы для регистрации будет меняться каждую версию, то это может практически полностью избавить DLE это этой напасти.

И ещё немаловажный момент!!! Рядовой пользователь не должен страдать из за этой борьбы со спамерами и ботами. Под страдать я подразумеваю всякую рекапчу, которую я не всегда могу понять даже с третьего раза, не говоря уже о пользователях в возрасте. Юзеры не должны собирать пазлы из кусочков изображений для регистрации. Не должны знать дату регистрации админа, чтоб ответить на этот вопрос при регистрации.

Изменено пользователем Mek
Ссылка на сообщение
Поделиться на других сайтах

Сейчас собрать базу данных DLE сайтов с открытой регистрацией не составляет труда. Достаточно ввести в яндексе "/index.php?do=register" И регься сколько хочешь. Можно ведь сделать чтоб при регистрации на сайте пользователь ставил галочку в чекбоксе "зарегистрироваться" нажимал "далее", генерируется случайная ссылка и дальше уже регистрация проходит по её адресу. Я понимаю что взломать можно что угодно, даже сайт Пентагона, но ведь можно в каждой новой версии DLE менять алгоритм регистрации. Спамерам придётся каждый раз переписывать свой софт, старый уже будет не актуальным. Это СУЩЕСТВЕННО снизит регистрацию ботов. Как сейчас регятся спамеры/боты. Софт парсит страницы /index.php?do=register пробует заполнить все поля в автоматическом режиме, если при реги стоит вопрос-ответ то все эти поля выводятся и заполняются вручную!!! По этому нет разницы какой стоит вопрос "2+2" или более замороченный. Смысл в том чтоб убрать статичный адрес (который уже сто лет не меняется) страницы с регистрацией. Если это произойдёт то придётся переписывать весь софт для автоматической реги. А если алгоритм генерирования страницы для регистрации будет меняться каждую версию, то это может практически полностью избавить DLE это этой напасти.

То что предлагаете вы никак не защищает от спама и регистраций от ботов. То что сейчас боты парсят /index.php?do=register не говорит о том что это не дает защиты, будут парсить index.php, выбирать адрес регистрации, и потом уже парсить страницу регистрации. Это не представляет проблемы для ботов, а нагрузка на ваш сайт резко возрастет, потому как будет парсится не одна а две страницы. Для бота это не сложно, и не представляет никакой проблемы. И никакие новые версии версии и новые алгоритмы вас не спасут. Я вам говорю не как теоретик, а как практик. Я просто знаю как делается распознование любого алгоритма. То что видно человеку, не скрыть от машины. Машина способна проанализировать страницу лучше чем человек. А вы по наивности просто полагаете что это сложно и невозможно, это дело получаса, обучить бота. Боты обучают под CMS и редко когда под определенный сайт. Поэтому любая система эффективна, даже простейшая, когда она уникальна и только на вашем сайте. И бессмысленная когда она в коробочной CMS.

Ссылка на сообщение
Поделиться на других сайтах

Вопросы примерно такие:

"У Лены дома три кота и три кошки. Сколько всего кошек и котов у Лены дома?"

Парсится проще некуда:

"У Лены дома три кота и три кошки. Сколько всего кошек и котов у Лены дома?"

Хрумер такое кушал еще года три назад, только причмокивал. Любые математические вопросы состоят из чисел и математических операций, все остальное мусор...

в DLE система ничего не банит, она не разрешает регистрироваться и писать комментарии спамерам. Яндекс и гугл не регистрирутся и тем более не пишут комментарии на вашем сайте.

Владимир, а есть возможность закрыть только регистрацию? Т.е. если юзер зарегистрирован и не удален админом, то и бог с ним.

Ссылка на сообщение
Поделиться на других сайтах

Владимир, а есть возможность закрыть только регистрацию?

Да можно. В настройках скрипта

 
[b]Максимальное количество зарегистрированных пользователей:[/b]
0 если ограничений нет
[/CODE]

Ставите например 1 и больше никто не сможет зарегистрироваться. А существующие никуда не денуться и могут также авторизовываться.

Ссылка на сообщение
Поделиться на других сайтах

я составил с 20 вопросов при регистрации. и обновил с 9.7 до 9.8 спам боты уменьшились с 400 в день до 10 в день

Ссылка на сообщение
Поделиться на других сайтах

Владимир, я не это имел ввиду. Я имел ввиду закрыть только регистрацию для спамеров по базе антиспама. А написание комментариев оставить. Т.е. если юзер УЖЕ зарегистрирован, то вне зависимости от его IP (даже если он есть в базе антиспама) он может писать комментарии.

Ссылка на сообщение
Поделиться на других сайтах

Владимир, я не это имел ввиду. Я имел ввиду закрыть только регистрацию для спамеров по базе антиспама. А написание комментариев оставить. Т.е. если юзер УЖЕ зарегистрирован, то вне зависимости от его IP (даже если он есть в базе антиспама) он может писать комментарии.

Нет этого пока не предусмотрено. Это в будущем будет реализовано в новых версиях скрипта, эта настройка будет разбита по группам и будет включаться для разных групп пользователей отдельно.

Ссылка на сообщение
Поделиться на других сайтах

А как по вашему ее находят обычные люди на сайте? Силой мысли? Нет конечно.

Есть два варианта:

- визуально находить нужные элементы.

- парсить страницу.

Обучить бота находить нужную информацию на странице, весьма простая задача, в миллион раз проще чем обучить распознать текст каптчи. Он найдет ее в тысячу раз быстрей чем человек.

Владимир, при всем моем Уважении к Вам - это не более чем пустые слова, это во первых. Во вторых - если "сложить руки" и идти "стандартными путями", то ничего хорошего не выйдет, можно обвешаться десятком капч, и 2я десятками вопросов и ответов.

Я предложил интересное решение с ловушками. Чем оно Вам не нравится? Вы можете хотя-бы вкратце описать алгоритм обработки такой защиты спам-ботом в целях регистрации ?

Ссылка на сообщение
Поделиться на других сайтах

Я предложил интересное решение с ловушками. Чем оно Вам не нравится? Вы можете хотя-бы вкратце описать алгоритм обработки такой защиты спам-ботом в целях регистрации ?

Потому что ваше решение интересно и эффективно только до тех пор пока его нет в коробочном CMS. Как вы это не понимаете. Научить бот вашему решению дело 10 минут, и соответственно это не эффективно и пустая трата времени. Это было в DLE, только незаметно для вас, и не для регистрации, а для добавления новостей. И алгоритмы менялись каждые версию. Но это не мешало создавать программы для массовой рассылки новостей на сайты работающие под все версии. А промышленные спам боты вроде Хрумера намного умнее этих программ и поддерживаются они в десятки раз лучше. Поэтому пустые слова, не мои, а ваши, потому как я на практике проверяю и изучаю проблемы, а вы лишь теоретическими рассуждениями.

Ссылка на сообщение
Поделиться на других сайтах

И алгоритмы менялись каждые версию.

Владимир, "ловушки" были или нет? Без ловушек - можно обучить ботов, с ловушками + динамически меняющимися (при каждом обновлении страницы) ID и именами - проблематично, и ИМХО практически не реально. Естественно ни о каких куках для сохранения ИД и имен не идет речь. Я не могу представить себе алгоритм обучения ботов при использовании ловушек. Вы можете представить такой алгоритм? Поделитесь тогда...

а вы лишь теоретическими рассуждениями.

У меня нет возможностей экспериментировать в глобальных масштабах, в у Вас - есть ;)

Ссылка на сообщение
Поделиться на других сайтах

Владимир, "ловушки" были или нет? Без ловушек - можно обучить ботов, с ловушками + динамически меняющимися (при каждом обновлении страницы) ID и именами - проблематично, и ИМХО практически не реально.

Я предложил интересное решение с ловушками. Чем оно Вам не нравится? Вы можете хотя-бы вкратце описать алгоритм обработки такой защиты спам-ботом в целях регистрации ?

Хотите алгоритм вкратце, легко. Я выберу все поля из форм, определю из них видимые на сайте, с разрешенным реальным вводом для пользователя, т.е. выберу те поля которые вводит человек. И заполню его. На ваши ID и их уникальные названия мне будет побоку. Это общий алгоритм без деталей. Детали уже дополняются видя сам конкретный алгоритм. А он видим всегда в коробчной CMS, потому как исходный код доступен. Промышленный бот способен эмулировать и перехватывать выполняемый JS код, а вы о такой простейшей задачи как парсинг страниц говорите.

Ссылка на сообщение
Поделиться на других сайтах

определю из них видимые на сайте, с разрешенным реальным вводом для пользователя

Да, упущение... Надо подумать....

Ссылка на сообщение
Поделиться на других сайтах

Вот конкретный ваш алгоритм http://forum.dle-new...showtopic=63450 По маске $('#XXXXX').attr('name','antibot'); я определяю поле ID поля у которого вы меняете имя на значение antibot, потом беру его значение и отправляю на сервер. Все остальное это шелуха, которая даже не учитывается, все эти ловушки и прочее. Алгоритм обхода с перекурами пишется минут 5.

Ссылка на сообщение
Поделиться на других сайтах

По маске $('#XXXXX').attr('name','antibot'); я определяю поле ID поля

Эмммм... Владимир, это упрощенный вариант для единичного сайта. И к тому-же я писал:

Переменную "antibot" меняем на любую свою :)

Т.е. Вы не будите знать что искать. Толи $('#XXXXX').attr('name','antibot');, толи $('#XXXXX').attr('name','bla-bla-bla');

Искать $('#XXXXX').attr('name','ХХХХХ') - как минимум глупо, ибо их может быть много...

Если искать видимые элементы на сайте, анализируя CSS - тут да, можно найти нужные поля.... Необходимо подумать как избежать такого нахождения.

Ссылка на сообщение
Поделиться на других сайтах

Уважаемые, а у вас какая регистрация стоит? С активацией по email?

Ботов на сайте никогда не было. Регистрируются только настоящие люди.

Ссылка на сообщение
Поделиться на других сайтах

Т.е. Вы не будите знать что искать. Толи $('#XXXXX').attr('name','antibot');, толи $('#XXXXX').attr('name','bla-bla-bla'); Искать $('#XXXXX').attr('name','ХХХХХ') - как минимум глупо, ибо их может быть много...

Я вам лишь привел банальный пример под ваш код. Получить любою и в том числе под 'bla-bla-bla' не представляет никакой сложности. То что привел я это лишь показал как можно отсеять весь ваш "мусорный код" как ненужный. Вы в своем коде прописали 10 строк, и я вам продемонстировал, что эти ваши строки принципе неважны и достаточно одной чтобы получить все нужные данные. В этом была демонстрация. Чем больше вы подобных строк придумаете, тем проще его отбрасывать и анализировать. Это можно проделать с любым вашим алгоритмом. Можете его как угодно придумывать и генерировать, его все равно можно "просеять" и взять только нужное.

Если искать видимые элементы на сайте, анализируя CSS - тут да, можно найти нужные поля.... Необходимо подумать как избежать такого нахождения.

Глупость, ибо CSS файл статичен, а не динамичен, мне его нужно только знать, а не анализировать. Если делать динамическим, его нужно внести в код страницы, а из кода страницы я опять смогу его легко просеять.

P.S. Не пытайтесь думать и копать в эту сторону. Потратите зря время и свое и мое. Это тупиковый путь. И самый легкий для распознавания ботами. Какой бы алгоритм вы не придумали и какой бы сверх сложный код вы не придумали, зная его я смогу отсеять со страницы весь мусор и ввести нужные данные. Потому как для спам бота важны данные, которые нужно посылать на сервер, а не то как вы их кодируете на своей странице, и из любого вашего алгоритма эти данные я и любой маломальский программист сможет извлечь без проблем. А спам боты пишут профессионалы очень высокого уровня. Потому как распознать тот же код с каптчи в тысячу раз сложнее, чем распознать текст со страницы с любым придуманным вами алгоритмом. Это направление защиты, тупиковое для коробочных CMS, а вот для отдельного сайта очень даже пойдет, потому как врядли кто будет писать распознавание именно под ваш сайт. Спам это бизнес. И этот бизнес делается на массовости, а не на отдельном сайте.

Ссылка на сообщение
Поделиться на других сайтах

Получить любою и в том числе под 'bla-bla-bla' не представляет никакой сложности.

Получить то можно, но ведь неизвестно какое именно правильное имя(ИД), а какое нет среди множества. Вариант - только найти видимые элементы и их анализировать. Следовательно нужно как-то сделать так, что-бы бот не мог понять видимый это элемент или скрытый.

Спам это бизнес. И этот бизнес делается на массовости, а не на отдельном сайте.

Это то понятно.....

Ссылка на сообщение
Поделиться на других сайтах

Получить то можно, но ведь неизвестно какое именно правильное имя(ИД), а какое нет среди множества. Вариант - только найти видимые элементы и их анализировать. Следовательно нужно как-то сделать так, что-бы бот не мог понять видимый это элемент или скрытый.

Вот придумайте и приведите конкретный пример своего алгоритма я вам покажу как это делается. Вы почему то наивно полагаете что по маске можно искать только одно неизвестное, пусть их будет хоть 100, видя алгоритм и как он появляется на странице я сразу смогу написать программу которая будет брать данные хоть сколько неизвестных в ней будет, пусть даже эти поля, значения, их имена и что угодно генерируется случайным образом. Все это мелочи и сложности для выявления и распознования не представляет. Нужно знать только алгоритм как построена защита и обойти ее уже не проблема.

Ссылка на сообщение
Поделиться на других сайтах

Вот придумайте и приведите конкретный пример своего алгоритма я вам покажу как это делается.

Ок, на досуге покумекаю...

Вы почему то наивно полагаете

Возможно, Галилею тоже не верили, что земля круглая :D Вдруг и я что-то открою новое :rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

в DLE система ничего не банит, она не разрешает регистрироваться и писать комментарии спамерам. Яндекс и гугл не регистрирутся и тем более не пишут комментарии на вашем сайте.

Подтверждаю слова разработчика - действительно, сразу после обновления на 10.0, кол-во спамеров регистрирующихся просто исчезло. Я даже было подумал, что сайт перестали посещать. Так что, пока сижу и радуюсь... :)

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...