Quando i robot attaccano! [chiuso]

Question

Quali sono alcuni metodi popolari di prevenzione dello spam oltre a CAPTCHA?

Answer 1

Ho provato a fare 'honeypots' in cui hai inserito un campo e poi lo hai nascosto con CSS (contrassegnandolo come 'lasciare vuoto' per chiunque abbia i fogli di stile disabilitati) ma ho scoperto che molti robot sono in grado di superarlo molto velocemente. Esistono anche tecniche come impostare i campi su un determinato valore e modificarli con JS, calcolare i tempi tra il tempo di caricamento e il tempo di invio, controllare l'URL del referer e un milione di altre cose. Tutti hanno le loro insidie ??e praticamente tutto ciò che puoi sperare è di filtrare il più possibile con loro senza alienare per chi sei qui: gli utenti.

Alla fine della giornata, però, se davvero, davvero, non vuoi che i robot inviano cose attraverso il tuo modulo, vorrai mettere un CAPTCHA su di esso - il migliore che abbia mai visto si occupa principalmente di tutto ciò che è reCAPTCHA - ma grazie al mercato di risoluzione dei CAPTCHA in India e all'ingegnosità degli spammer di tutto il mondo non ha nemmeno avuto successo il tempo. Farei attenzione a usare qualcosa che è "geniale" ma un po '"là fuori" in quanto sarebbe più un "wtf" per gli utenti che sono almeno in qualche modo abituati ai tuoi normali CAPTCHA.

Answer 2

Scioccante, ma quasi tutte le risposte qui includevano una qualche forma di CAPTCHA. L'OP voleva qualcosa di diverso, immagino che forse voleva qualcosa che funzioni davvero e che forse risolva anche il vero problema.
CAPTCHA non non funziona, e anche se lo facesse - è un problema sbagliato - gli umani possono comunque inondare il tuo sistema, e per definizione CAPTCHA non lo fermerà (perché è progettato solo per dire se sei un umano o no - non che lo faccia bene ...)

Quindi, quali altre soluzioni ci sono lì? Bene, dipende ... dal tuo sistema e dalle tue esigenze. Ad esempio, se tutto ciò che stai cercando di fare è limitare il numero di volte in cui un utente può compilare un " Contattami " modulo, puoi semplicemente limitare il numero di richieste che ogni utente può inviare per ora / giorno / qualunque cosa. Se i tuoi utenti sono anonimi, forse devi limitare l'accelerazione in base agli indirizzi IP e occasionalmente inserire nella lista nera un IP (anche se anche questo può essere aggirato e causa altri problemi).
Se ti riferisci a un forum o a un blog (come questo), beh, più lo uso e più mi piace la soluzione. Un mix tra utenti autenticati, autorizzazione (basata sulla reputazione, che probabilmente non si accumulerà attraverso inondazioni), limitazione (quanti ne puoi fare al giorno), il CAPTCHA occasionale e infine la moderazione della comunità per ripulire i pochi che riescono - tutti combinano per fornire una soluzione decente. (Mi chiedo se Jeff possa fornire alcune informazioni su quanto spam e altri malposts riescono effettivamente a superare ...?)

Un altro controllo da considerare (non so se lo hanno qui), è una qualche forma di IDS / IPS: se riesci a rilevare e riconoscere lo spam, puoi bloccare QUELLO modello. Riempimenti di moderazione che richiedono manualmente, qui ...

Nota che uno di questi non previene lo spam, ma incrementa progressivamente la probabilità , e quindi la redditività. Ciò modifica l'equazione economica e lascia CAPTCHA a fornire effettivamente abbastanza valore per valerne la pena, poiché non vale più la pena per gli spammer di disturbare a romperlo o aggirarlo (grazie agli altri controlli).

Answer 3

Offri all'utente la possibilità di calcolare:

Qual è la somma di 3 e 8?

A proposito: appena navigato da un approccio interessante di Microsoft Research: Asirra.

http://research.microsoft.com/asirra/

Ti mostra diverse immagini e devi identificarle con un determinato motivo.

Answer 4

Prova Akismet

I captcha o qualsiasi forma di domande esclusivamente umane sono orribili dal punto di vista dell'usabilità. A volte sono necessari, ma preferisco uccidere lo spam utilizzando filtri come Akismet.

Akismet è stato originariamente creato per contrastare i commenti spam sui blog di WordPress, ma l'API è in grado di adattarsi ad altri usi .

Aggiornamento : abbiamo iniziato a utilizzare la libreria ruby ?? Rakismet sulla nostra app Rails, Yarp.com . Finora ha funzionato benissimo per contrastare i robot spam.

Answer 5

Un metodo molto semplice che non carica l'utente è solo quello di disabilitare il pulsante di invio per un secondo dopo che la pagina è stata caricata. L'ho usato su un forum pubblico con post di spam continui e da allora li ha fermati.

Answer 6

Ned Batchelder ha elaborato una tecnica che combina hash e honeypot per una bot-prevenzione diabolicamente efficace. Nessun captcha, solo codice.

È disponibile su Fermare gli spambots con hash e honeypot :

  

Invece di fermare i robot facendo in modo che le persone si identifichino, possiamo fermare i robot rendendo difficile per loro pubblicare un post di successo o facendoli identificare inavvertitamente come robot. Ciò rimuove l'onere delle persone e lascia il modulo di commento libero da misure anti-spam visibili.

     

Questa tecnica è come prevenire gli spambots su questo sito. Funziona. Il metodo descritto qui non esamina affatto il contenuto. Può essere aumentato con la prevenzione basata sul contenuto come Akismet, ma trovo che funzioni molto bene da solo.

Answer 7

http://chongqed.org/ mantiene liste nere di fonti di spam attive e gli URL pubblicizzati negli spam. Ho trovato post di filtro per questi ultimi molto efficaci nei forum.

Answer 8

I più comuni che ho osservato orientano l'input dell'utente per risolvere semplici enigmi, ad es. di seguito è una foto di un gatto. (mostra immagini di miniature di cani che circondano un gatto). O semplici problemi di matematica.

Sebbene interessante, sono sicuro che anche la corsa agli armamenti travolgerà anche quei sistemi.

Answer 9

Puoi utilizzare Recaptcha almeno per rendere utile un captcha. Quindi puoi fare domande con semplici problemi matematici verbali o simili. Asirra di Microsoft ti fa trovare foto di cani e gatti. La richiesta di un indirizzo email valido per l'attivazione di un account blocca gli spammer quando non trarrebbero abbastanza beneficio dal servizio, ma potrebbero scoraggiare anche gli utenti normali.

Answer 10

Quanto segue non è fattibile con la tecnologia di oggi, ma non penso che sia troppo lontano. Probabilmente è anche eccessivo per gestire lo spam nei forum, ma potrebbe essere utile per le registrazioni degli account o per qualsiasi situazione in cui volessi essere veramente sicuro di avere a che fare con umani e sarebbero pronti per il completamento del processo in pochi minuti processo.

Chiedi a 2 utenti che stanno cercando di dimostrarsi umani di connettersi tra loro tramite le loro webcam e di chiedere loro se la persona che vedono è umana e in diretta (cioè non una registrazione), facendoli, ad esempio, rispecchiando ciascuno i movimenti degli altri, o scrivere qualcosa su un pezzo di carta. Fai in modo che tutti lo facciano un paio di volte con utenti diversi e aggiungi alcune registrazioni al mix che devono anche identificare correttamente come tali.

Answer 11

Un metodo popolare nei forum è semplicemente mettere in coda i thread dei membri con meno di 10 post in una coda di moderazione. Naturalmente, questo non aiuta se non si dispone di moderatori o non è un forum. Un metodo più generale è il calcolo del collegamento ipertestuale ai rapporti di testo. Spesso, i post di spam contengono molti collegamenti ipertestuali e puoi catturarli molto in questo modo. Nella stessa ottica si sta confrontando il contenuto di post consecutivi. Semplicemente non consentire post consecutivi estremamente simili.

Ovviamente, chiunque sia a conoscenza delle misure che prenderai sarà in grado di aggirarle. Ad essere onesti, c'è poco che puoi fare se sei il bersaglio di un attacco specifico. Piuttosto, dovresti concentrarti sulla prevenzione di attacchi più generici e non qualificati.

Answer 12

Per i moderatori umani aiuta sicuramente a trovare ed eliminare facilmente tutti i post da un IP o tutti i post di un utente se il bot è abbastanza intelligente da usare un account registrato. Allo stesso modo l'opzione per bloccare facilmente indirizzi IP o account per qualche tempo, senza ulteriore amministrazione, ridurrà l'onere amministrativo per i moderatori umani.

L'uso dei cookie per far sì che robot e spammer umani credano che il loro post sia effettivamente visibile (mentre solo loro stessi lo vedono) impedisce loro (o troll) di cambiare tecnica. Consenti agli spammer e ai troll di vedere gli altri messaggi di spam e troll.

Answer 13

Tecniche di valutazione Javascript come questo Captcha invisibile richiedono il browser per valutare Javascript prima che venga accettata l'invio della pagina. Ritorna bene quando l'utente non ha Javascript abilitato solo visualizzando un test CAPTCHA convenzionale.

Answer 14

captcha animati '- testo scorrevole - ancora facile da riconoscere dagli umani ma se ti assicuri che nessuna delle cornici offra qualcosa di completo da riconoscere.

Domanda a scelta multipla - Tutto ciò che serve è un ______ e un sorriso. l'idea qui è che l'utente dovrà scegliere / comprendere.

Variabile di sessione: verifica che una variabile inserita in una sessione faccia parte della richiesta. ostacolerà i robot stupidi che generano semplicemente richieste ma probabilmente non i robot modellati come un browser.

domanda matematica - 2 + 5 = - questo è ancora una volta porre una domanda che è facile da risolvere ma impedisce alla capacità dei robot di generare una risposta.

griglia immagine - crei una griglia di immagini - seleziona 1 o 2 di un tipo particolare come la griglia 3x3 di animali e devi scegliere tutti gli uccelli sulla griglia.

Spero che questo ti dia alcune idee per la tua nuova soluzione.

Answer 15

Un amico ha il metodo antispam più semplice e funziona.

Ha una casella di testo personalizzata che dice " si prega di digitare il numero 4 " ;.

Il suo blog è piuttosto popolare, ma non ancora abbastanza popolare perché i robot lo capiscano (ancora).

Answer 16

Ricorda di rendere la tua soluzione accessibile a coloro che non utilizzano browser convenzionali. La folla di iPhone non deve essere ignorata e nemmeno quelli con problemi di vista e cognitivi.

Answer 17

Gli honeypot sono un metodo efficace. Phil Haack offre un buon metodo honeypot , che potrebbe essere usato in linea di principio per qualsiasi forum / blog / ecc.

Puoi anche scrivere un crawler che segue i link di spam e analizza la loro pagina per vedere se si tratta di un link autentico o meno. Le più ovvie sarebbero le pagine con una copia esatta dei tuoi contenuti, ma potresti scegliere altri indicatori.

Moderazione e lista nera, in particolare con plugin come questi per WordPress (o qualunque cosa tu stia usando, un software simile è disponibile per la maggior parte delle piattaforme), funzionerà in un ambiente a basso volume. Se il tuo ambiente è a basso volume, non sottovalutare il vantaggio che ti offre. Decidere personalmente qual è il contenuto ragionevole e ciò che non lo è ti dà la massima flessibilità nel controllo dello spam, se hai tempo.

Non dimenticare, come altri hanno sottolineato, che i CAPTCHA non si limitano al riconoscimento del testo da un'immagine. Anche l'associazione visiva, i problemi di matematica e altre domande non soggettive trasmesse attraverso un'immagine sono idonee.

Answer 18

Sblam è un progetto interessante.

Answer 19

Campi modulo invisibili. Crea un campo modulo che non appare sullo schermo per l'utente. usando display: none come uno stile css in modo che non venga visualizzato. Per motivi di accessibilità, potresti persino mettere un testo nascosto in modo che le persone che usano gli screen reader sappiano che non devono riempirlo. I robot quasi sempre riempiono tutti i campi, in modo da poter bloccare qualsiasi post che riempia il campo invisibile.

Answer 20

Blocca l'accesso in base a una lista nera di indirizzi IP di spammer.

Answer 21

Le tecniche di Honeypot mettono una forma di richiamo invisibile nella parte superiore della pagina. Gli utenti non lo vedono e inviano il modulo corretto, i robot inviano il modulo sbagliato che non fa nulla o vieta il loro IP.

Answer 22

Ho visto alcune idee chiare sulla falsariga di Asira che ti chiedono di identificare quali immagini sono gatti. Credo che l'idea sia nata da KittenAuth qualche tempo fa ..

Answer 23

Usa qualcosa come google image labeler con immagini scelte in modo appropriato in modo che un computer non possa essere in grado di riconoscerne le caratteristiche dominanti che un essere umano potrebbe.

All'utente verrebbe mostrata un'immagine e dovrebbe digitare le parole ad essa associate. Continuerebbero a essere mostrate immagini finché non avessero digitato abbastanza parole in accordo con ciò che gli utenti precedenti avevano digitato per la stessa immagine. Alcune immagini sarebbero nuove su cui non venivano testate, ma erano incluse per registrare quali parole fossero associate. A seconda del tuo pubblico, potresti anche scegliere immagini che solo loro potrebbero riconoscere.

Answer 24

Mollom è presumibilmente bravo a bloccare lo spam. Sono disponibili versioni personali (gratuite) e professionali.

Answer 25

Conosco alcune persone che hanno menzionato ASIRRA, ma se vai a tutti i collegamenti adottami per le immagini, su quella pagina collegata sarà indicato se è un gatto o un cane. Quindi dovrebbe essere relativamente facile per un bot andare a tutti i link di adozione. Quindi è solo una questione di tempo per quel progetto.

Answer 26

verifica semplicemente l'indirizzo e-mail e lascia che google / yahoo ecc. si preoccupino

Answer 27

Potresti ottenere alcuni software ID dispositivo the41 ha alcuni software anti-frode in grado di rilevare l'hardware utilizzato per accedere al tuo sito. Credo che lo usino per catturare i truffatori ma potrebbero essere usati per fermare i robot. Una volta identificato un dispositivo utilizzato da un bot, puoi semplicemente bloccare quel dispositivo. L'ultima volta che è stato verificato, può persino tracciare il percorso attraverso la rete telefonica (non il tuo Geo-IP !!), quindi puoi anche bloccare un codice postale, se lo desideri.

È costoso attraverso così prop. una soluzione più economica che è un po 'meno fratello maggiore.