عندما تهاجم الروبوتات![مغلق]
https://stackoverflow.com/questions/111576
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ما هي بعض طرق منع البريد العشوائي الشائعة إلى جانب اختبار CAPTCHA؟
المحلول
لقد حاولت القيام بـ "مصائد الجذب" حيث تضع حقلاً ثم تخفيه باستخدام CSS (وضع علامة عليه على أنه "اتركه فارغًا" لأي شخص لديه أوراق أنماط معطلة) لكنني وجدت أن الكثير من برامج الروبوت قادرة على تجاوزها بسرعة كبيرة.هناك أيضًا تقنيات مثل ضبط الحقول على قيمة معينة وتغييرها باستخدام JS، وحساب الأوقات بين وقت التحميل ووقت الإرسال، والتحقق من عنوان URL المرجعي، ومليون شيء آخر.جميعهم لديهم عيوبهم وكل ما يمكنك أن تأمل فيه تقريبًا هو التصفية قدر الإمكان معهم مع عدم تنفير من أنت هنا من أجله:المستخدمين.
ومع ذلك، في نهاية اليوم، إذا كنت لا تريد حقًا أن ترسل الروبوتات الأشياء من خلال النموذج الخاص بك، فستحتاج إلى وضع اختبار CAPTCHA عليه - أفضل ما رأيته يعتني به في الغالب كل شيء reCAPTCHA - ولكن بفضل سوق حل اختبار CAPTCHA في الهند وبراعة مرسلي البريد العشوائي في كل مكان، لم يكن هذا الأمر ناجحًا طوال الوقت.سأحذر من استخدام شيء "عبقري" ولكنه نوع من "الموجود" لأنه سيكون أكثر من "wtf" للمستخدمين الذين اعتادوا على الأقل إلى حد ما على اختبارات CAPTCHA المعتادة.
نصائح أخرى
إنه أمر صادم، ولكن كل الردود تقريبًا هنا تضمنت شكلاً من أشكال اختبار CAPTCHA.أراد OP شيئًا مختلفًا، أعتقد أنه ربما أراد شيئًا يعمل بالفعل، وربما يحل المشكلة الحقيقية.
اختبار CAPTCHA لا العمل، وحتى لو حدث ذلك - إنها مشكلة خاطئة - فلا يزال بإمكان البشر إغراق نظامك، وبحكم التعريف، لن يوقف اختبار CAPTCHA ذلك (لأنه مصمم فقط لمعرفة ما إذا كنت إنسانًا أم لا - وليس لأنه يفعل ذلك جيدًا. ..)
إذن ما هي الحلول الأخرى نكون هناك؟حسنا، ذلك يعتمد...على نظامك واحتياجاتك.على سبيل المثال، إذا كان كل ما تحاول القيام به هو تحديد عدد المرات التي يمكن للمستخدم فيها ملء نموذج "اتصل بي"، فيمكنك ببساطة تقليل عدد الطلبات التي يمكن لكل مستخدم إرسالها في الساعة/اليوم/أيًا كان.إذا كان المستخدمون لديك مجهولين، فربما تحتاج إلى التحكم وفقًا لعناوين IP، وأحيانًا إدراج عنوان IP في القائمة السوداء (على الرغم من أنه يمكن التحايل على هذا أيضًا ويسبب مشاكل أخرى).
إذا كنت تشير إلى تعليقات منتدى أو مدونة (مثل هذا التعليق)، حسنًا، كلما استخدمته أكثر، زاد إعجابي بالحل.مزيج بين المستخدمين المصادق عليهم، والتفويض (استنادًا إلى السمعة، وليس من المحتمل أن يتم تجميعه من خلال الغمر)، والاختناق (كم يمكنك القيام به يوميًا)، واختبار CAPTCHA العرضي، وأخيرًا الإشراف المجتمعي لتنظيف القلة التي تمر - كل ذلك يجمع لتقديم حل لائق.(أتساءل عما إذا كان بإمكان جيف تقديم بعض المعلومات حول مقدار الرسائل غير المرغوب فيها وغيرها من الرسائل الخبيثة التي تصل فعليًا...؟)
هناك عنصر تحكم آخر يجب مراعاته (لا أعرف إذا كان لديهم هنا)، وهو أحد أشكال IDS/IPS - إذا كان بإمكانك اكتشاف البريد العشوائي والتعرف عليه، فيمكنك حظر هذا النمط.عمليات الاعتدال التي تحتاج إلى يدويا، هنا...
لاحظ أن أي واحد من هؤلاء لا يمنع البريد العشوائي، ولكن بشكل تدريجي يقلل من الاحتمال, ، وبالتالي الربحية.يؤدي هذا إلى تغيير المعادلة الاقتصادية، ويترك اختبار CAPTCHA ليوفر بالفعل قيمة كافية تستحق العناء - نظرًا لأنه لم يعد يستحق العناء بالنسبة لمرسلي البريد العشوائي أن يكلفوا أنفسهم عناء كسره أو الالتفاف حوله (بفضل عناصر التحكم الأخرى).
امنح المستخدم إمكانية حساب:
ما هو مجموع 3 و 8؟
بالمناسبة:لقد تصفحت للتو أسلوبًا مثيرًا للاهتمام لأبحاث Microsoft:عصيرة.
http://research.microsoft.com/asirra/
يعرض لك العديد من الصور وعليك التعرف على الصور بفكرة معينة.
يحاول أكيسميت
تعتبر Captchas أو أي شكل من أشكال الأسئلة المخصصة للإنسان فقط أمرًا مروعًا من منظور سهولة الاستخدام.في بعض الأحيان تكون ضرورية، ولكني أفضل التخلص من الرسائل غير المرغوب فيها باستخدام مرشحات مثل Akismet.
أكيسميت تم تصميمه في الأصل لإحباط التعليقات غير المرغوب فيها على مدونات WordPress، ولكن واجهة برمجة التطبيقات (API) قادرة على التكيف لاستخدامات أخرى.
تحديث:لقد بدأنا باستخدام مكتبة روبي راكيسميت على تطبيق Rails الخاص بنا، Yarp.com.حتى الآن، تم العمل بشكل رائع لإحباط روبوتات البريد العشوائي.
هناك طريقة بسيطة جدًا لا تضع أي تحميل على المستخدم وهي فقط تعطيل زر الإرسال لمدة ثانية بعد تحميل الصفحة.لقد استخدمته في منتدى عام يحتوي على مشاركات غير مرغوب فيها بشكل مستمر، وقد أوقفها منذ ذلك الحين.
كتب نيد باتشيلدر تقنية تجمع بين التجزئات ومصائد مخترقي الشبكات من أجل منع الروبوتات بشكل فعال وشر.لا يوجد كلمة التحقق، فقط رمز.
انها تصل في إيقاف برامج السبام باستخدام التجزئة ومصائد الجذب:
بدلاً من إيقاف الروبوتات من خلال جعل الأشخاص يعرّفون عن أنفسهم، يمكننا إيقاف الروبوتات من خلال جعل من الصعب عليهم إنشاء منشور ناجح، أو من خلال جعلهم يعرّفون أنفسهم عن غير قصد على أنهم روبوتات.يؤدي هذا إلى إزالة العبء عن الأشخاص، ويترك نموذج التعليق خاليًا من إجراءات مكافحة البريد العشوائي المرئية.
هذه التقنية هي الطريقة التي أمنع بها روبوتات السبام على هذا الموقع.إنها تعمل.الطريقة الموضحة هنا لا تنظر إلى المحتوى على الإطلاق.ويمكن تعزيزها بالوقاية المستندة إلى المحتوى مثل Akismet، لكنني أجد أنها تعمل بشكل جيد جدًا من تلقاء نفسها.
http://chongqed.org/ يحتفظ بقوائم سوداء لمصادر البريد العشوائي النشطة وعناوين URL التي يتم الإعلان عنها في الرسائل غير المرغوب فيها.لقد وجدت أن تصفية المشاركات لهذا الأخير تكون فعالة جدًا في المنتديات.
الأكثر شيوعًا التي لاحظتها تركز على مدخلات المستخدم لحل الألغاز البسيطة، على سبيل المثال.فيما يلي صورة قطة.(عرض صور مصغرة للكلاب المحيطة بقطة).أو مسائل حسابية بسيطة.
على الرغم من أنه مثير للاهتمام، إلا أنني متأكد من أن سباق التسلح سوف يطغى أيضًا على تلك الأنظمة.
يمكنك استخدام إعادة التحقق لجعل كلمة التحقق مفيدة على الأقل.وبعد ذلك يمكنك طرح أسئلة باستخدام مسائل حسابية لفظية بسيطة أو ما شابه ذلك.مايكروسوفت عصيرة يجعلك تجد صور القطط والكلاب.يؤدي طلب عنوان بريد إلكتروني صالح لتنشيط الحساب إلى إيقاف مرسلي البريد العشوائي عندما لا يحصلون على فائدة كافية من الخدمة، ولكنه قد يردع المستخدمين العاديين أيضًا.
ما يلي غير ممكن مع تكنولوجيا اليوم، لكنني لا أعتقد أنه بعيد المنال.ربما يكون هذا أيضًا مبالغة في التعامل مع البريد العشوائي في المنتدى، ولكنه قد يكون مفيدًا لعمليات الاشتراك في الحساب، أو في أي موقف تريد فيه التأكد من أنك تتعامل مع بشر وسيكونون مستعدين لأن يستغرق الأمر بضع دقائق لإكمال عملية.
اطلب من مستخدمين يحاولان إثبات أنهما بشر أن يتواصلا مع بعضهما البعض عبر كاميرات الويب الخاصة بهما واسألهما عما إذا كان الشخص الذي يرونه إنسانًا ويعيش (على سبيل المثال.وليس تسجيلًا)، من خلال جعلهم، على سبيل المثال، يعكسون حركات بعضهم البعض، أو يكتبون شيئًا ما على قطعة من الورق.اطلب من الجميع القيام بذلك عدة مرات مع مستخدمين مختلفين، وقم بإدراج بعض التسجيلات في المزيج والتي يتعين عليهم أيضًا تحديدها بشكل صحيح على هذا النحو.
إحدى الطرق الشائعة في المنتديات هي وضع قائمة انتظار مواضيع الأعضاء الذين لديهم أقل من 10 مشاركات في قائمة انتظار الإشراف.وبطبيعة الحال، هذا لا يساعد إذا لم يكن لديك مشرفين، أو إذا لم يكن المنتدى.الطريقة الأكثر عمومية هي حساب نسب الارتباط التشعبي إلى النص.في كثير من الأحيان، تحتوي المنشورات غير المرغوب فيها على الكثير من الارتباطات التشعبية، ويمكنك التقاط الكثير بهذه الطريقة.وفي نفس السياق يتم مقارنة محتوى المشاركات المتتالية.ببساطة لا تسمح بالمشاركات المتتالية المتشابهة للغاية.
وبطبيعة الحال، فإن أي شخص لديه معرفة بالإجراءات التي تتخذها سيكون قادرًا على الالتفاف حولها.لكي نكون صادقين، ليس هناك الكثير مما يمكنك فعله إذا كنت هدفًا لهجوم معين.وبدلاً من ذلك، يجب عليك التركيز على منع الهجمات الأكثر عمومية والتي لا تتطلب مهارات.
بالنسبة للمشرفين البشريين، من المؤكد أنه من المفيد أن يكونوا قادرين على العثور بسهولة على جميع المشاركات وحذفها من بعض عناوين IP، أو جميع المشاركات من بعض المستخدمين إذا كان الروبوت ذكيًا بما يكفي لاستخدام حساب مسجل.وبالمثل، فإن خيار حظر عناوين IP أو الحسابات بسهولة لبعض الوقت، دون مزيد من الإدارة، سيخفف العبء الإداري على المشرفين البشريين.
إن استخدام ملفات تعريف الارتباط لجعل الروبوتات ومرسلي البريد العشوائي يعتقدون أن منشوراتهم مرئية بالفعل (بينما هم وحدهم الذين يرونها) يمنعهم (أو المتصيدون) من تغيير التقنيات.اسمح لمرسلي البريد العشوائي والمتصيدين برؤية رسائل البريد العشوائي والمتصيدين الأخرى.
تقنيات تقييم جافا سكريبت مثل هذا كلمة التحقق غير مرئية يتطلب النظام من المتصفح تقييم Javascript قبل قبول إرسال الصفحة.إنه يتراجع بشكل جيد عندما لا يكون Javascript ممكّنًا لدى المستخدم بمجرد عرض اختبار CAPTCHA التقليدي.
لا يزال من السهل التعرف على رموز التحقق المتحركة - النص التمريري - من قبل البشر ولكن إذا تأكدت من عدم تقديم أي من الإطارات شيئًا كاملاً للتعرف عليه.
سؤال الاختيار من متعدد - كل ما يتطلبه الأمر هو ______ وابتسامة.الفكرة هنا هي أنه سيتعين على المستخدم الاختيار/الفهم.
متغير الجلسة - التحقق من أن المتغير الذي تضعه في الجلسة هو جزء من الطلب.سوف يحبط الروبوتات الغبية التي تولد الطلبات ببساطة ولكن ربما ليس الروبوتات التي تم تصميمها مثل المتصفح.
سؤال رياضي - 2 + 5 = - هذا مرة أخرى لطرح سؤال يسهل حله ولكنه يمنع قدرة الروبوتات على توليد استجابة.
شبكة الصور - تقوم بإنشاء شبكة من الصور - حدد 1 أو 2 من نوع معين مثل صورة شبكة 3 × 3 للحيوانات وعليك اختيار جميع الطيور الموجودة على الشبكة.
نأمل أن يمنحك هذا بعض الأفكار لحلك الجديد.
لدى أحد الأصدقاء أبسط طريقة لمكافحة البريد العشوائي، وهي فعالة.
لديه مربع نص مخصص يقول "الرجاء كتابة الرقم 4".
تحظى مدونته بشعبية كبيرة، ولكنها لا تزال غير مشهورة بدرجة كافية حتى تتمكن الروبوتات من اكتشافها (حتى الآن).
يرجى تذكر إتاحة الوصول إلى الحل الخاص بك لأولئك الذين لا يستخدمون المتصفحات التقليدية.لا ينبغي تجاهل جمهور iPhone، ولا ينبغي أيضًا استبعاد الأشخاص الذين يعانون من مشاكل في الرؤية والإدراك.
مصائد الجذب هي إحدى الطرق الفعالة.فيل هاك يعطي واحدة طريقة مصيدة جيدة, ، يمكن استخدامه من حيث المبدأ لأي منتدى/مدونة/إلخ.
يمكنك أيضًا كتابة زاحف يتتبع الروابط غير المرغوب فيها ويحلل صفحته لمعرفة ما إذا كان رابطًا حقيقيًا أم لا.الأكثر وضوحًا هو الصفحات التي تحتوي على نسخة طبق الأصل من المحتوى الخاص بك، ولكن يمكنك اختيار مؤشرات أخرى.
الإشراف والقائمة السوداء، خاصة مع المكونات الإضافية مثل هذه ووردبريس (أو أيًا كان ما تستخدمه، تتوفر برامج مماثلة لمعظم الأنظمة الأساسية)، ستعمل في بيئة منخفضة الحجم.إذا كانت بيئتك منخفضة الحجم، فلا تقلل من شأن الميزة التي يوفرها لك هذا.إن تحديد المحتوى المعقول وما هو غير معقول شخصيًا يمنحك المرونة المطلقة في التحكم في البريد العشوائي، إذا كان لديك الوقت.
لا تنس، كما أشار آخرون، أن اختبارات CAPTCHA لا تقتصر على التعرف على النص من الصورة.الارتباط البصري، والمسائل الرياضية، وغيرها من الأسئلة غير الذاتية التي يتم ترحيلها من خلال الصورة مؤهلة أيضًا.
إهانة هو مشروع مثير للاهتمام.
حقول النموذج غير مرئية.قم بإنشاء حقل نموذج لا يظهر على الشاشة للمستخدم.باستخدام العرض:لا شيء كنمط CSS حتى لا يظهر.ومن أجل إمكانية الوصول، يمكنك أيضًا وضع نص مخفي حتى يعرف الأشخاص الذين يستخدمون قارئات الشاشة عدم ملؤه.تملأ الروبوتات دائمًا جميع الحقول، لذا يمكنك حظر أي مشاركة تملأ الحقل غير المرئي.
قم بحظر الوصول بناءً على القائمة السوداء لعناوين IP لمرسلي البريد العشوائي.
تضع تقنيات مصيدة الجذب شكلًا خادعًا غير مرئي في أعلى الصفحة.لا يراه المستخدمون ويقدمون النموذج الصحيح، بينما ترسل الروبوتات النموذج الخاطئ الذي لا يفعل شيئًا أو يحظر عنوان IP الخاص بهم.
لقد رأيت بعض الأفكار الرائعة على غرار عصيرة والتي تطلب منك التعرف على الصور التي هي القطط.أعتقد أن الفكرة جاءت من KittenAuth منذ فترة..
استخدم شيئًا مثل جوجل صورة التسمية مع الصور المختارة بشكل مناسب بحيث لا يتمكن الكمبيوتر من التعرف على السمات السائدة التي يستطيع الإنسان التعرف عليها.
سيتم عرض صورة للمستخدم وسيتعين عليه كتابة الكلمات المرتبطة بها.سيستمر عرض الصور لهم حتى يكتبوا ما يكفي من الكلمات التي تتفق مع ما كتبه المستخدمون السابقون لنفس الصورة.قد تكون بعض الصور صورًا جديدة لم يتم اختبارها عليها، ولكن تم تضمينها لتسجيل الكلمات المرتبطة بها.اعتمادًا على جمهورك، يمكنك أيضًا اختيار الصور التي لن يتعرف عليها أحد سواهم.
مولوم من المفترض أن يكون جيدًا في إيقاف البريد العشوائي.تتوفر الإصدارات الشخصية (المجانية) والمهنية.
أعلم أن بعض الأشخاص ذكروا ASIRRA، ولكن إذا ذهبت إلى جميع روابط تبنيني للصور، فسوف تظهر في تلك الصفحة المرتبطة ما إذا كانت قطة أو كلبًا.لذلك ينبغي أن يكون من السهل نسبيًا على الروبوت الانتقال إلى جميع روابط تبنيمي.لذا فهي مجرد مسألة وقت لهذا المشروع.
فقط قم بالتحقق من عنوان البريد الإلكتروني واترك جوجل/ياهو وما إلى ذلك تقلق بشأن ذلك
يمكنك الحصول على بعض برامج معرف الجهاز، حيث يحتوي the41 على بعض برامج منع الاحتيال التي يمكنها اكتشاف الأجهزة المستخدمة للوصول إلى موقعك.أعتقد أنهم يستخدمونه للقبض على المحتالين ولكن يمكن استخدامه لإيقاف الروبوتات.بمجرد تحديد الجهاز الذي يستخدمه الروبوت، يمكنك فقط حظر هذا الجهاز.في المرة الأخيرة التي تم التحقق فيها، يمكنه حتى تتبع مسارك عبر شبكة الهاتف (وليس عنوان IP الجغرافي الخاص بك !!)) حتى تتمكن من حظر الرمز البريدي إذا كنت تريد ذلك.
انها مكلفة من خلال ذلك الدعامة.حل أفضل وأرخص وأقل قليلاً من الأخ الأكبر.
