Регистрируются мутные пользователи

[IgorA100 90]

ботов однозначно перепишут и адаптируют.

А КАК они их адаптируют? Каким образом можно будет "найти" страницу регистрации? Делать несколько динамически меняющихся ID полей ввода, одно поле с правильным именем, остальные - ловушки. Были отправлены данные с использованием ловушки - бан на IP на 5 минут.

[celsoft 5 990]

А КАК они их адаптируют? Каким образом можно будет "найти" страницу регистрации?

А как по вашему ее находят обычные люди на сайте? Силой мысли? Нет конечно. Обучить бота находить нужную информацию на странице, весьма простая задача, в миллион раз проще чем обучить распознать текст каптчи. Он найдет ее в тысячу раз быстрей чем человек.

[Mek 99]

Сейчас собрать базу данных DLE сайтов с открытой регистрацией не составляет труда. Достаточно ввести в яндексе "/index.php?do=register" И регься сколько хочешь.

Можно ведь сделать чтоб при регистрации на сайте пользователь ставил галочку в чекбоксе "зарегистрироваться" нажимал "далее", генерируется случайная ссылка и дальше уже регистрация проходит по её адресу. Я понимаю что взломать можно что угодно, даже сайт Пентагона, но ведь можно в каждой новой версии DLE менять алгоритм регистрации. Спамерам придётся каждый раз переписывать свой софт, старый уже будет не актуальным. Это СУЩЕСТВЕННО снизит регистрацию ботов.

Как сейчас регятся спамеры/боты. Софт парсит страницы /index.php?do=register пробует заполнить все поля в автоматическом режиме, если при реги стоит вопрос-ответ то все эти поля выводятся и заполняются вручную!!! По этому нет разницы какой стоит вопрос "2+2" или более замороченный. Смысл в том чтоб убрать статичный адрес (который уже сто лет не меняется) страницы с регистрацией. Если это произойдёт то придётся переписывать весь софт для автоматической реги. А если алгоритм генерирования страницы для регистрации будет меняться каждую версию, то это может практически полностью избавить DLE это этой напасти.

И ещё немаловажный момент!!! Рядовой пользователь не должен страдать из за этой борьбы со спамерами и ботами. Под страдать я подразумеваю всякую рекапчу, которую я не всегда могу понять даже с третьего раза, не говоря уже о пользователях в возрасте. Юзеры не должны собирать пазлы из кусочков изображений для регистрации. Не должны знать дату регистрации админа, чтоб ответить на этот вопрос при регистрации.

Изменено 21 июня 2013 пользователем Mek

[celsoft 5 990]

Сейчас собрать базу данных DLE сайтов с открытой регистрацией не составляет труда. Достаточно ввести в яндексе "/index.php?do=register" И регься сколько хочешь. Можно ведь сделать чтоб при регистрации на сайте пользователь ставил галочку в чекбоксе "зарегистрироваться" нажимал "далее", генерируется случайная ссылка и дальше уже регистрация проходит по её адресу. Я понимаю что взломать можно что угодно, даже сайт Пентагона, но ведь можно в каждой новой версии DLE менять алгоритм регистрации. Спамерам придётся каждый раз переписывать свой софт, старый уже будет не актуальным. Это СУЩЕСТВЕННО снизит регистрацию ботов. Как сейчас регятся спамеры/боты. Софт парсит страницы /index.php?do=register пробует заполнить все поля в автоматическом режиме, если при реги стоит вопрос-ответ то все эти поля выводятся и заполняются вручную!!! По этому нет разницы какой стоит вопрос "2+2" или более замороченный. Смысл в том чтоб убрать статичный адрес (который уже сто лет не меняется) страницы с регистрацией. Если это произойдёт то придётся переписывать весь софт для автоматической реги. А если алгоритм генерирования страницы для регистрации будет меняться каждую версию, то это может практически полностью избавить DLE это этой напасти.

То что предлагаете вы никак не защищает от спама и регистраций от ботов. То что сейчас боты парсят /index.php?do=register не говорит о том что это не дает защиты, будут парсить index.php, выбирать адрес регистрации, и потом уже парсить страницу регистрации. Это не представляет проблемы для ботов, а нагрузка на ваш сайт резко возрастет, потому как будет парсится не одна а две страницы. Для бота это не сложно, и не представляет никакой проблемы. И никакие новые версии версии и новые алгоритмы вас не спасут. Я вам говорю не как теоретик, а как практик. Я просто знаю как делается распознование любого алгоритма. То что видно человеку, не скрыть от машины. Машина способна проанализировать страницу лучше чем человек. А вы по наивности просто полагаете что это сложно и невозможно, это дело получаса, обучить бота. Боты обучают под CMS и редко когда под определенный сайт. Поэтому любая система эффективна, даже простейшая, когда она уникальна и только на вашем сайте. И бессмысленная когда она в коробочной CMS.

[MiXa 5]

Вопросы примерно такие:

"У Лены дома три кота и три кошки. Сколько всего кошек и котов у Лены дома?"

Парсится проще некуда:

"У Лены дома три кота и три кошки. Сколько всего кошек и котов у Лены дома?"

Хрумер такое кушал еще года три назад, только причмокивал. Любые математические вопросы состоят из чисел и математических операций, все остальное мусор...

в DLE система ничего не банит, она не разрешает регистрироваться и писать комментарии спамерам. Яндекс и гугл не регистрирутся и тем более не пишут комментарии на вашем сайте.

Владимир, а есть возможность закрыть только регистрацию? Т.е. если юзер зарегистрирован и не удален админом, то и бог с ним.

[celsoft 5 990]

Владимир, а есть возможность закрыть только регистрацию?

Да можно. В настройках скрипта

 

[b]Максимальное количество зарегистрированных пользователей:[/b]

0 если ограничений нет

[/CODE]

Ставите например 1 и больше никто не сможет зарегистрироваться. А существующие никуда не денуться и могут также авторизовываться.

[Dnny 0]

я составил с 20 вопросов при регистрации. и обновил с 9.7 до 9.8 спам боты уменьшились с 400 в день до 10 в день

[MiXa 5]

Владимир, я не это имел ввиду. Я имел ввиду закрыть только регистрацию для спамеров по базе антиспама. А написание комментариев оставить. Т.е. если юзер УЖЕ зарегистрирован, то вне зависимости от его IP (даже если он есть в базе антиспама) он может писать комментарии.

[celsoft 5 990]

Владимир, я не это имел ввиду. Я имел ввиду закрыть только регистрацию для спамеров по базе антиспама. А написание комментариев оставить. Т.е. если юзер УЖЕ зарегистрирован, то вне зависимости от его IP (даже если он есть в базе антиспама) он может писать комментарии.

Нет этого пока не предусмотрено. Это в будущем будет реализовано в новых версиях скрипта, эта настройка будет разбита по группам и будет включаться для разных групп пользователей отдельно.

[IgorA100 90]

А как по вашему ее находят обычные люди на сайте? Силой мысли? Нет конечно.

Есть два варианта:

- визуально находить нужные элементы.

- парсить страницу.

Обучить бота находить нужную информацию на странице, весьма простая задача, в миллион раз проще чем обучить распознать текст каптчи. Он найдет ее в тысячу раз быстрей чем человек.

Владимир, при всем моем Уважении к Вам - это не более чем пустые слова, это во первых. Во вторых - если "сложить руки" и идти "стандартными путями", то ничего хорошего не выйдет, можно обвешаться десятком капч, и 2я десятками вопросов и ответов.

Я предложил интересное решение с ловушками. Чем оно Вам не нравится? Вы можете хотя-бы вкратце описать алгоритм обработки такой защиты спам-ботом в целях регистрации ?

[celsoft 5 990]

Я предложил интересное решение с ловушками. Чем оно Вам не нравится? Вы можете хотя-бы вкратце описать алгоритм обработки такой защиты спам-ботом в целях регистрации ?

Потому что ваше решение интересно и эффективно только до тех пор пока его нет в коробочном CMS. Как вы это не понимаете. Научить бот вашему решению дело 10 минут, и соответственно это не эффективно и пустая трата времени. Это было в DLE, только незаметно для вас, и не для регистрации, а для добавления новостей. И алгоритмы менялись каждые версию. Но это не мешало создавать программы для массовой рассылки новостей на сайты работающие под все версии. А промышленные спам боты вроде Хрумера намного умнее этих программ и поддерживаются они в десятки раз лучше. Поэтому пустые слова, не мои, а ваши, потому как я на практике проверяю и изучаю проблемы, а вы лишь теоретическими рассуждениями.

[IgorA100 90]

И алгоритмы менялись каждые версию.

Владимир, "ловушки" были или нет? Без ловушек - можно обучить ботов, с ловушками + динамически меняющимися (при каждом обновлении страницы) ID и именами - проблематично, и ИМХО практически не реально. Естественно ни о каких куках для сохранения ИД и имен не идет речь. Я не могу представить себе алгоритм обучения ботов при использовании ловушек. Вы можете представить такой алгоритм? Поделитесь тогда...

а вы лишь теоретическими рассуждениями.

У меня нет возможностей экспериментировать в глобальных масштабах, в у Вас - есть

[celsoft 5 990]

Владимир, "ловушки" были или нет? Без ловушек - можно обучить ботов, с ловушками + динамически меняющимися (при каждом обновлении страницы) ID и именами - проблематично, и ИМХО практически не реально.

Я предложил интересное решение с ловушками. Чем оно Вам не нравится? Вы можете хотя-бы вкратце описать алгоритм обработки такой защиты спам-ботом в целях регистрации ?

Хотите алгоритм вкратце, легко. Я выберу все поля из форм, определю из них видимые на сайте, с разрешенным реальным вводом для пользователя, т.е. выберу те поля которые вводит человек. И заполню его. На ваши ID и их уникальные названия мне будет побоку. Это общий алгоритм без деталей. Детали уже дополняются видя сам конкретный алгоритм. А он видим всегда в коробчной CMS, потому как исходный код доступен. Промышленный бот способен эмулировать и перехватывать выполняемый JS код, а вы о такой простейшей задачи как парсинг страниц говорите.

[IgorA100 90]

определю из них видимые на сайте, с разрешенным реальным вводом для пользователя

Да, упущение... Надо подумать....

[celsoft 5 990]

Вот конкретный ваш алгоритм http://forum.dle-new...showtopic=63450 По маске $('#XXXXX').attr('name','antibot'); я определяю поле ID поля у которого вы меняете имя на значение antibot, потом беру его значение и отправляю на сервер. Все остальное это шелуха, которая даже не учитывается, все эти ловушки и прочее. Алгоритм обхода с перекурами пишется минут 5.

[IgorA100 90]

По маске $('#XXXXX').attr('name','antibot'); я определяю поле ID поля

Эмммм... Владимир, это упрощенный вариант для единичного сайта. И к тому-же я писал:

Переменную "antibot" меняем на любую свою

Т.е. Вы не будите знать что искать. Толи $('#XXXXX').attr('name','antibot');, толи $('#XXXXX').attr('name','bla-bla-bla');

Искать $('#XXXXX').attr('name','ХХХХХ') - как минимум глупо, ибо их может быть много...

Если искать видимые элементы на сайте, анализируя CSS - тут да, можно найти нужные поля.... Необходимо подумать как избежать такого нахождения.

[Alextovn 4]

Уважаемые, а у вас какая регистрация стоит? С активацией по email?

Ботов на сайте никогда не было. Регистрируются только настоящие люди.

[celsoft 5 990]

Т.е. Вы не будите знать что искать. Толи $('#XXXXX').attr('name','antibot');, толи $('#XXXXX').attr('name','bla-bla-bla'); Искать $('#XXXXX').attr('name','ХХХХХ') - как минимум глупо, ибо их может быть много...

Я вам лишь привел банальный пример под ваш код. Получить любою и в том числе под 'bla-bla-bla' не представляет никакой сложности. То что привел я это лишь показал как можно отсеять весь ваш "мусорный код" как ненужный. Вы в своем коде прописали 10 строк, и я вам продемонстировал, что эти ваши строки принципе неважны и достаточно одной чтобы получить все нужные данные. В этом была демонстрация. Чем больше вы подобных строк придумаете, тем проще его отбрасывать и анализировать. Это можно проделать с любым вашим алгоритмом. Можете его как угодно придумывать и генерировать, его все равно можно "просеять" и взять только нужное.

Если искать видимые элементы на сайте, анализируя CSS - тут да, можно найти нужные поля.... Необходимо подумать как избежать такого нахождения.

Глупость, ибо CSS файл статичен, а не динамичен, мне его нужно только знать, а не анализировать. Если делать динамическим, его нужно внести в код страницы, а из кода страницы я опять смогу его легко просеять.

P.S. Не пытайтесь думать и копать в эту сторону. Потратите зря время и свое и мое. Это тупиковый путь. И самый легкий для распознавания ботами. Какой бы алгоритм вы не придумали и какой бы сверх сложный код вы не придумали, зная его я смогу отсеять со страницы весь мусор и ввести нужные данные. Потому как для спам бота важны данные, которые нужно посылать на сервер, а не то как вы их кодируете на своей странице, и из любого вашего алгоритма эти данные я и любой маломальский программист сможет извлечь без проблем. А спам боты пишут профессионалы очень высокого уровня. Потому как распознать тот же код с каптчи в тысячу раз сложнее, чем распознать текст со страницы с любым придуманным вами алгоритмом. Это направление защиты, тупиковое для коробочных CMS, а вот для отдельного сайта очень даже пойдет, потому как врядли кто будет писать распознавание именно под ваш сайт. Спам это бизнес. И этот бизнес делается на массовости, а не на отдельном сайте.

[IgorA100 90]

Получить любою и в том числе под 'bla-bla-bla' не представляет никакой сложности.

Получить то можно, но ведь неизвестно какое именно правильное имя(ИД), а какое нет среди множества. Вариант - только найти видимые элементы и их анализировать. Следовательно нужно как-то сделать так, что-бы бот не мог понять видимый это элемент или скрытый.

Спам это бизнес. И этот бизнес делается на массовости, а не на отдельном сайте.

Это то понятно.....

[celsoft 5 990]

Получить то можно, но ведь неизвестно какое именно правильное имя(ИД), а какое нет среди множества. Вариант - только найти видимые элементы и их анализировать. Следовательно нужно как-то сделать так, что-бы бот не мог понять видимый это элемент или скрытый.

Вот придумайте и приведите конкретный пример своего алгоритма я вам покажу как это делается. Вы почему то наивно полагаете что по маске можно искать только одно неизвестное, пусть их будет хоть 100, видя алгоритм и как он появляется на странице я сразу смогу написать программу которая будет брать данные хоть сколько неизвестных в ней будет, пусть даже эти поля, значения, их имена и что угодно генерируется случайным образом. Все это мелочи и сложности для выявления и распознования не представляет. Нужно знать только алгоритм как построена защита и обойти ее уже не проблема.

[IgorA100 90]

Вот придумайте и приведите конкретный пример своего алгоритма я вам покажу как это делается.

Ок, на досуге покумекаю...

Вы почему то наивно полагаете

Возможно, Галилею тоже не верили, что земля круглая Вдруг и я что-то открою новое

[kabbalahportal.org 4]

в DLE система ничего не банит, она не разрешает регистрироваться и писать комментарии спамерам. Яндекс и гугл не регистрирутся и тем более не пишут комментарии на вашем сайте.

Подтверждаю слова разработчика - действительно, сразу после обновления на 10.0, кол-во спамеров регистрирующихся просто исчезло. Я даже было подумал, что сайт перестали посещать. Так что, пока сижу и радуюсь...