¡Cuando los robots atacan![cerrado]

Question

¿Cuáles son algunos métodos populares de prevención de spam además de CAPTCHA?

Answer 1

Intenté hacer 'honeypots' donde colocas un campo y luego lo ocultas con CSS (marcándolo como 'dejar en blanco' para cualquiera que tenga las hojas de estilo deshabilitadas), pero descubrí que muchos robots pueden superarlo muy rápidamente.También existen técnicas como establecer campos con un valor determinado y cambiarlos con JS, calcular los tiempos entre el tiempo de carga y el tiempo de envío, verificar la URL de referencia y un millón de cosas más.Todos tienen sus inconvenientes y prácticamente todo lo que puedes esperar es filtrar todo lo que puedas con ellos sin alienar a quién estás aquí:Los usuarios.

Sin embargo, al final del día, si realmente no quieres que los robots envíen cosas a través de tu formulario, querrás ponerle un CAPTCHA: el mejor que he visto que se encarga de casi todo es reCAPTCHA - pero gracias al mercado de resolución de CAPTCHA de la India y al ingenio de los spammers de todo el mundo, eso ni siquiera tiene éxito todo el tiempo.Tendría cuidado con el uso de algo que sea "ingenioso" pero que esté "allí", ya que sería más bien un "wtf" para los usuarios que están al menos algo acostumbrados a sus CAPTCHA habituales.

Answer 2

Es impactante, pero casi todas las respuestas aquí incluyeron algún tipo de CAPTCHA.El OP quería algo diferente, supongo que tal vez quería algo que realmente funcione y tal vez incluso resuelva el problema real.
CAPTCHA no funciona, e incluso si lo hiciera, es el problema equivocado, los humanos aún pueden inundar su sistema y, por definición, CAPTCHA no detendrá eso (porque está diseñado solo para saber si es un humano o no, no es que lo haga tan bien). ..)

Entonces, ¿qué otras soluciones son ¿allá?Bueno, eso depende...en su sistema y sus necesidades.Por ejemplo, si todo lo que intenta hacer es limitar la cantidad de veces que un usuario puede completar un formulario "Contácteme", simplemente puede limitar la cantidad de solicitudes que cada usuario puede enviar por hora/día/lo que sea.Si sus usuarios son anónimos, tal vez necesite acelerar según las direcciones IP y, ocasionalmente, incluir una IP en la lista negra (aunque esto también puede evitarse y causar otros problemas).
Si te refieres a un foro o a comentarios de un blog (como este), cuanto más lo uso, más me gusta la solución.Una combinación entre usuarios autenticados, autorización (basada en la reputación, que no es probable que se acumule mediante inundaciones), limitación (cuántos puedes hacer por día), el CAPTCHA ocasional y, finalmente, moderación de la comunidad para limpiar los pocos que logran pasar: todo se combina para ofrecer una solución digna.(Me pregunto si Jeff puede proporcionar alguna información sobre cuánto spam y otras publicaciones incorrectas llegan realmente...)

Otro control a considerar (no sé si lo tienen aquí) es algún tipo de IDS/IPS: si puede detectar y reconocer el spam, puede bloquear ESE patrón.La moderación llena esa necesidad manualmente, aquí...

Tenga en cuenta que cualquiera de estos no prevenir el spam, pero de forma incremental reduce la probabilidad, y por tanto la rentabilidad.Esto cambia la ecuación económica y deja que CAPTCHA proporcione suficiente valor para que valga la pena, ya que ya no vale la pena que los spammers se molesten en romperlo o eludirlo (gracias a los otros controles).

Answer 3

Darle al usuario la posibilidad de calcular:

¿Cuál es la suma de 3 y 8?

Por cierto:Acabo de navegar por un enfoque interesante de Microsoft Research:Asira.

http://research.microsoft.com/asirra/

Te muestra varias imágenes y tienes que identificar las imágenes con un motivo determinado.

Answer 4

Intentar akismet

Los captchas o cualquier forma de preguntas exclusivas para humanos son horribles desde la perspectiva de la usabilidad.A veces son necesarios, pero prefiero acabar con el spam usando filtros como Akismet.

akismet Se creó originalmente para frustrar los comentarios no deseados en los blogs de WordPress, pero la API se puede adaptar para otros usos.

Actualizar:Hemos comenzado a usar la biblioteca Ruby. rakismet en nuestra aplicación Rails, Yarp.com.Hasta ahora, ha funcionado muy bien para frustrar a los robots de spam.

Answer 5

Un método muy simple que no supone ninguna carga para el usuario es simplemente desactivar el botón de envío durante un segundo después de que se haya cargado la página.Lo usé en un foro público que tenía continuas publicaciones de spam y desde entonces las detuvo.

Answer 6

Ned Batchelder escribió una técnica que combina hashes con honeypots para una prevención de bots perversamente efectiva.Sin captchas, solo código.

está arriba en Detener los robots de spam con hashes y honeypots:

En lugar de detener los bots haciendo que las personas se identifiquen, podemos detenerlos dificultándoles la realización de una publicación exitosa o haciendo que se identifiquen sin darse cuenta como bots.Esto elimina la carga de las personas y deja el formulario de comentarios libre de medidas antispam visibles.

Esta técnica es la forma en que evito los robots de spam en este sitio.Funciona.El método descrito aquí no analiza el contenido en absoluto.Se puede complementar con prevención basada en contenidos como Akismet, pero creo que funciona muy bien por sí solo.

Answer 7

http://chongqed.org/ mantiene listas negras de fuentes activas de spam y las URL que se anuncian en los spam.He descubierto que filtrar publicaciones para este último es muy efectivo en los foros.

Answer 8

Los más comunes que he observado se centran en la entrada del usuario para resolver acertijos simples, p.De lo siguiente hay una imagen de un gato.(mostrando imágenes de miniaturas de perros rodeando a un gato).O problemas matemáticos simples.

Si bien es interesante, estoy seguro de que la carrera armamentista también abrumará a esos sistemas.

Answer 9

Puedes usar recaptcha para al menos hacer que un captcha sea útil.Luego podrás realizar preguntas con problemas matemáticos verbales sencillos o similares.Microsoft Asira te hace encontrar fotos de perros y gatos.Exigir una dirección de correo electrónico válida para activar una cuenta detiene a los spammers cuando no obtendrían suficiente beneficio del servicio, pero también podría disuadir a los usuarios normales.

Answer 10

Lo siguiente es inviable con la tecnología actual, pero no creo que esté demasiado lejos.Probablemente también sea excesivo para lidiar con el spam en foros, pero podría ser útil para registros de cuentas o cualquier situación en la que quisieras estar realmente seguro de que estás tratando con humanos y que estarían preparados para que le tome unos minutos completar el proceso. proceso.

Haga que dos usuarios que intentan demostrar su valía humana se conecten entre sí a través de sus cámaras web y pregúnteles si la persona que están viendo es humana y está viva (es decir,no una grabación), haciendo que, por ejemplo, reflejen los movimientos de los demás o escriban algo en una hoja de papel.Haga que todos hagan esto varias veces con diferentes usuarios y agregue algunas grabaciones a la mezcla que también deben identificar correctamente como tales.

Answer 11

Un método popular en los foros es simplemente poner en cola los hilos de los miembros con menos de 10 publicaciones en una cola de moderación.Por supuesto, esto no ayuda si no tienes moderadores o no es un foro.Un método más general es el cálculo de las proporciones de hipervínculo a texto.A menudo, las publicaciones de spam contienen una gran cantidad de hipervínculos y puedes captar muchos de esta manera.En la misma línea está comparar el contenido de publicaciones consecutivas.Simplemente no permita publicaciones consecutivas que sean extremadamente similares.

Por supuesto, cualquier persona que conozca las medidas que usted toma podrá sortearlas.Para ser honesto, es poco lo que puedes hacer si eres el objetivo de un ataque específico.Más bien, debería centrarse en prevenir ataques más generales y no especializados.

Answer 12

Para los moderadores humanos seguramente ayuda poder encontrar y eliminar fácilmente todas las publicaciones de alguna IP, o todas las publicaciones de algún usuario si el bot es lo suficientemente inteligente como para usar una cuenta registrada.Asimismo, la opción de bloquear fácilmente direcciones IP o cuentas durante algún tiempo, sin necesidad de administración adicional, reducirá la carga administrativa para los moderadores humanos.

El uso de cookies para hacer que los robots y los spammers humanos crean que su publicación es realmente visible (aunque sólo ellos mismos la ven) les impide a ellos (o a los trolls) cambiar de técnica.Deje que los spammers y los trolls vean los demás mensajes de spam y trolls.

Answer 13

Técnicas de evaluación de Javascript como esta Captcha invisible El sistema requiere que el navegador evalúe Javascript antes de que se acepte el envío de la página.Retrocede muy bien cuando el usuario no tiene Javascript habilitado simplemente mostrando una prueba CAPTCHA convencional.

Answer 14

Los captchas animados (texto que se desplaza) siguen siendo fáciles de reconocer por los humanos, pero si te aseguras de que ninguno de los marcos ofrezca algo completo para reconocer.

Pregunta de opción múltiple: todo lo que necesitas es ______ y ​​una sonrisa.La idea aquí es que el usuario tendrá que elegir/comprender.

variable de sesión: comprobar que una variable que ingresas en una sesión es parte de la solicitud.frustrará a los bots tontos que simplemente generan solicitudes, pero probablemente no a los bots que están modelados como un navegador.

pregunta de matemáticas - 2 + 5 = - esto nuevamente es para hacer una pregunta que es fácil de resolver pero que impide que los robots generen una respuesta.

cuadrícula de imágenes: usted crea una cuadrícula de imágenes, seleccione 1 o 2 de un tipo particular, como una imagen de animales en cuadrícula de 3x3, y debe seleccionar todas las aves en la cuadrícula.

Espero que esto le brinde algunas ideas para su nueva solución.

Answer 15

Un amigo tiene el método antispam más sencillo y funciona.

Tiene un cuadro de texto personalizado que dice "escriba el número 4".

Su blog es bastante popular, pero aún no lo suficientemente popular como para que los robots lo descubran (todavía).

Answer 16

Recuerde hacer que su solución sea accesible para quienes no utilizan navegadores convencionales.No se debe ignorar a la multitud del iPhone, y tampoco se debe excluir a aquellos con problemas de visión y cognitivos.

Answer 17

Los Honeypots son un método eficaz.Phil Haack da uno buen método honeypot, que podría usarse en principio para cualquier foro/blog/etc.

También puedes escribir un rastreador que siga enlaces de spam y analice su página para ver si es un enlace genuino o no.Las más obvias serían las páginas con una copia exacta de tu contenido, pero puedes seleccionar otros indicadores.

Moderación y listas negras, especialmente con complementos como estos para WordPress (o lo que sea que esté usando, hay software similar disponible para la mayoría de las plataformas), funcionará en un entorno de bajo volumen.Si su entorno es de bajo volumen, no subestime la ventaja que esto le brinda.Decidir personalmente qué contenido es razonable y qué no le brinda la máxima flexibilidad en el control de spam, si tiene tiempo.

No olvide, como otros han señalado, que los CAPTCHA no se limitan al reconocimiento de texto a partir de una imagen.También califican la asociación visual, los problemas matemáticos y otras preguntas no subjetivas transmitidas a través de una imagen.

Answer 18

Sblam Es un proyecto interesante.

Answer 19

Campos de formulario invisibles.Cree un campo de formulario que no aparezca en la pantalla para el usuario.usando la pantalla:none como estilo CSS para que no aparezca.Por razones de accesibilidad, incluso podrías poner texto oculto para que las personas que usan lectores de pantalla sepan que no deben completarlo.Los bots casi siempre completan todos los campos, por lo que puedes bloquear cualquier publicación que complete el campo invisible.

Answer 20

Bloquee el acceso basándose en una lista negra de direcciones IP de spammers.

Answer 21

Las técnicas de Honeypot colocan un señuelo invisible en la parte superior de la página.Los usuarios no lo ven y envían el formulario correcto, los bots envían el formulario incorrecto que no hace nada o prohíbe su IP.

Answer 22

He visto algunas ideas interesantes en la línea de asiria que te piden que identifiques qué imágenes son gatos.Creo que la idea surgió de GatitoAuth Hace un tiempo..

Answer 23

Utilice algo como el etiquetador de imágenes de google con imágenes elegidas apropiadamente de modo que una computadora no sería capaz de reconocer las características dominantes que un humano podría reconocer.

Al usuario se le mostraría una imagen y tendría que escribir las palabras asociadas a ella.Se les seguirían mostrando imágenes hasta que hayan escrito suficientes palabras que coincidan con lo que los usuarios anteriores habían escrito para la misma imagen.Algunas imágenes serían nuevas con las que no se estaban probando, pero se incluyeron para registrar qué palabras están asociadas con ellas.Dependiendo de tu audiencia, también podrías elegir imágenes que sólo ellos reconocerían.

Answer 24

Mollom supuestamente es bueno para detener el spam.Están disponibles versiones personales (gratuitas) y profesionales.

Answer 25

Sé que algunas personas mencionaron a ASIRRA, pero si vas a todos los enlaces de adoptarme para las imágenes, en esa página vinculada dirá si es un gato o un perro.Por lo tanto, debería ser relativamente fácil para un bot ir a todos los enlaces de adopción.Así que es sólo cuestión de tiempo para ese proyecto.

Answer 26

simplemente verifique la dirección de correo electrónico y deje que Google/Yahoo, etc. se preocupe por ello.

Answer 27

Puede obtener algún software de identificación de dispositivo; 41 tiene algún software de prevención de fraude que puede detectar el hardware que se utiliza para acceder a su sitio.Creo que lo usan para atrapar a los estafadores, pero podrían usarse para detener a los bots.Una vez que haya identificado un dispositivo que está utilizando un bot, puede simplemente bloquear ese dispositivo.La última vez que lo comprobé, incluso puede rastrear su ruta a través de la red telefónica (¡¡No su Geo-IP!!) por lo que incluso puedes bloquear un código postal si lo deseas.

Es caro debido a esa prop.una solución mejor y más barata que es un poco menos hermano mayor.