ボットが攻撃してきたとき！[閉まっている]

Question

CAPTCHA 以外によく使われるスパム防止方法にはどのようなものがありますか?

Answer 1

私はフィールドを配置してCSSで非表示にする「ハニーポット」を実行してみました（スタイルシートが無効になっている人には「空白のまま」とマークします）が、多くのボットがそれを非常に素早く回避できることがわかりました。また、フィールドを特定の値に設定して JS で変更する、ロード時間と送信時間の間の時間を計算する、リファラー URL をチェックする、その他無数のテクニックもあります。それらにはすべて落とし穴があり、あなたが望むことができるのは、自分がここにいる人を遠ざけずに、それらをできる限りフィルタリングすることだけです。ユーザーたち。

しかし、結局のところ、ボットがフォームを通じて何かを送信することを本当に本当に望んでいない場合は、それに CAPTCHA を付ける必要があります。これは、私がこれまでに見た中で最も優れたものです。ほとんどすべてがそうだ 再キャプチャ - しかし、インドの CAPTCHA 解決市場と世界中のスパマーの創意工夫のおかげで、常に成功するわけではありません。通常の CAPTCHA に少なくともある程度慣れているユーザーにとっては、「独創的」ではあるが「ありふれた」ようなものを使用することには注意します。

Answer 2

衝撃的ではありましたが、ここでのほぼすべての応答には何らかの形式の CAPTCHA が含まれていました。OP は何か違うものを望んでいました。おそらく彼は実際に機能するもの、そしておそらく本当の問題を解決するものを望んでいたのだと思います。
キャプチャ しません たとえそれが機能したとしても、それは間違った問題です。人間は依然としてシステムにフラッドする可能性があり、定義上、CAPTCHA はそれを阻止しません（なぜなら、ユーザーが人間であるかどうかを識別するためだけに設計されているため、それほどうまく機能するわけではありません。 ..)

それで、他の解決策は何ですか は そこには？まあ、それは状況によりますが...システムとニーズに合わせて。たとえば、ユーザーが「連絡先」フォームに入力できる回数を制限したいだけの場合、各ユーザーが 1 時間/1 日などに送信できるリクエストの数を単純に制限することができます。ユーザーが匿名の場合は、IP アドレスに応じて調整し、場合によっては IP をブラックリストに登録する必要があるかもしれません (ただし、これも回避でき、他の問題が発生する可能性があります)。
フォーラムやブログのコメント (このコメントなど) を参照している場合、使用すればするほどそのソリューションが気に入ってきます。認証されたユーザー、承認 (評判に基づいており、フラッディングによって蓄積される可能性は低い)、スロットリング (1 日に実行できる回数)、時折の CAPTCHA、そして最後に、通過した少数をクリーンアップするコミュニティのモデレーションの組み合わせ - すべてが組み合わされています。まともな解決策を提供するために。(スパムやその他のマル投稿が実際にどの程度通過するかについて、Jeff が情報を提供してくれるだろうか...?)

考慮すべきもう 1 つの制御 (ここにあるのかどうかはわかりません) は、何らかの形式の IDS/IPS です。スパムを検出して認識できれば、そのパターンをブロックできます。手動で必要なモデレートフィルはここにあります...

これらのいずれもそうではないことに注意してください 防ぐ スパムだが徐々に 確率を下げる, 、したがって収益性が向上します。これにより経済方程式が変化し、CAPTCHA は実際にその価値に見合った十分な価値を提供することになります。スパマーがわざわざそれを破ったり回避したりする価値はもうないからです (他のコントロールのおかげで)。

Answer 3

ユーザーに以下を計算できるようにします。

3と8の和は何ですか?

ところで：Microsoft Research の興味深いアプローチを参照してみました。アシラ。

http://research.microsoft.com/asirra/

いくつかの絵が表示され、与えられたモチーフを含む絵を特定する必要があります。

Answer 4

試す アキスメット

キャプチャや人間のみの質問は、ユーザビリティの観点からするとひどいものです。必要な場合もありますが、私は Akismet などのフィルターを使用してスパムを排除することを好みます。

アキスメット はもともと WordPress ブログのスパム コメントを阻止するために構築されましたが、この API は他の用途にも応用できます。

アップデート:Rubyライブラリを使い始めました ラキスメット Rails アプリでは、 Yarp.com. 。これまでのところ、スパムボットの阻止にうまく機能しています。

Answer 5

ユーザーに負荷をかけない非常に簡単な方法は、ページが読み込まれた後に送信ボタンを 1 秒間無効にするだけです。継続的にスパム投稿があった公開フォーラムでこれを使用したところ、それ以来スパム投稿が停止されました。

Answer 6

Ned Batchelder は、非常に効果的なボット防止のためにハッシュとハニーポットを組み合わせた手法を作成しました。キャプチャはなく、コードだけです。

それは次のとおりです ハッシュとハニーポットを使用してスパムボットを阻止する:

ユーザーに自分自身を識別させることでボットを停止するのではなく、投稿が成功するのを困難にするか、ユーザーが誤って自分自身をボットであると識別させることによって、ボットを停止することができます。これにより、ユーザーの負担が軽減され、コメント フォームには目に見えるスパム対策が不要になります。

このテクニックは、このサイトでスパムボットを防ぐ方法です。それは動作します。ここで説明する方法では、コンテンツをまったく調べません。Akismet などのコンテンツベースの防御を使用して強化することもできますが、単独でも非常にうまく機能することがわかりました。

Answer 7

http://chongqed.org/ アクティブなスパム送信元とスパムで宣伝されている URL のブラックリストを管理します。フォーラムでは、後者の投稿をフィルタリングすることが非常に効果的であることがわかりました。

Answer 8

私が観察した最も一般的なものは、単純なパズルを解くためにユーザー入力を中心にしています。次の写真は猫の写真です。（猫を囲む犬のサムネイル写真を表示）。または簡単な数学の問題。

興味深い一方で、軍拡競争によってこれらのシステムも圧倒されるだろうと私は確信しています。

Answer 9

使用できます 再キャプチャ 少なくともキャプチャを便利にするために。次に、簡単な口頭数学の問題などを使って質問を作成できます。マイクロソフトの アシラ 猫や犬の写真を見つけることができます。アカウントのアクティブ化に有効な電子メール アドレスを要求すると、サービスから十分なメリットが得られない場合にスパム送信者を阻止できますが、通常のユーザーも阻止する可能性があります。

Answer 10

以下は現在の技術では実現不可能ですが、それほど遠くないと思います。また、フォーラムのスパムに対処するには過剰かもしれませんが、アカウントのサインアップや、人間とやり取りしていることを確実に確認したい場合や、人間が完了するまでに数分かかることを覚悟している場合には便利かもしれません。プロセス。

自分が人間であることを証明しようとしている 2 人のユーザーに、ウェブカメラを介して互いに接続し、見ている人が人間で生きているかどうかを尋ねさせます (つまり、記録ではありません）、たとえば、お互いの動きを映したり、紙に何かを書いたりすることで実現します。全員にこれをさまざまなユーザーで数回実行してもらい、いくつかの録音をミックスに投入し、それを正しく識別する必要があります。

Answer 11

フォーラムでよく使われる方法は、投稿数が 10 未満のメンバーのスレッドをモデレーション キューに単純にキューに入れることです。もちろん、モデレータがいない場合、またはフォーラムではない場合、これは役に立ちません。より一般的な方法は、ハイパーリンクとテキストの比率を計算することです。多くの場合、スパム投稿には大量のハイパーリンクが含まれており、この方法で多くのリンクを見つけることができます。連続した投稿の内容を比較することも同様です。非常に類似した連続投稿を許可しないでください。

もちろん、あなたが講じる対策を知っている人なら誰でも、それらを回避できるでしょう。正直に言うと、特定の攻撃のターゲットになった場合にできることはほとんどありません。むしろ、より一般的で未熟な攻撃を防ぐことに重点を置く必要があります。

Answer 12

人間のモデレータにとって、ある IP からのすべての投稿、または登録済みアカウントを使用できるボットの賢さがある場合は、あるユーザーからのすべての投稿を簡単に見つけて削除できることは確かに役立ちます。同様に、それ以上の管理を行わずに、IP アドレスまたはアカウントをしばらく簡単にブロックするオプションにより、人間のモデレーターの管理負担が軽減されます。

Cookie を使用してボットや人間のスパマーに自分の投稿が実際に表示されていると信じ込ませることで (自分たちだけがそれを見ることができます)、ボット (または荒らし) が手法を変更するのを防ぐことができます。スパマーや荒らしに他のスパムや荒らしのメッセージが見えるようにしましょう。

Answer 13

このような JavaScript 評価テクニック 非表示のキャプチャ システムでは、ページの送信が受け入れられる前に、ブラウザーが Javascript を評価する必要があります。ユーザーが Javascript を有効にしていない場合は、従来の CAPTCHA テストを表示するだけでうまくフォールバックします。

Answer 14

アニメーション キャプチャ - スクロール テキスト - は人間にはまだ簡単に認識されますが、どのフレームも認識できる完全なものを提供していないことを確認した場合。

多肢選択式の質問 - 必要なのは、______ と笑顔だけです。ここでの考え方は、ユーザーが選択/理解する必要があるということです。

セッション変数 - セッションに入力した変数がリクエストの一部であることを確認します。単純にリクエストを生成する愚かなボットは阻止できますが、ブラウザのようにモデル化されたボットはおそらく阻止できません。

数学の質問 - 2 + 5 = - これも、簡単に解決できる質問ですが、ボットが応答を生成することはできません。

画像グリッド - 画像のグリッドを作成します - 動物の 3x3 グリッド写真などの特定のタイプを 1 つまたは 2 つ選択し、グリッド上のすべての鳥を選択する必要があります。

この記事が新しいソリューションのアイデアにつながることを願っています。

Answer 15

友人は最も簡単なスパム対策方法を持っており、それがうまく機能しています。

彼には「数字の 4 を入力してください」というカスタム テキスト ボックスがあります。

彼のブログはかなり人気がありますが、ボットがそれを認識できるほど人気はありません (まだ)。

Answer 16

従来のブラウザを使用していない人でもソリューションにアクセスできるようにしてください。iPhone 群衆を無視すべきではありません。また、視覚や認知機能に問題がある人々も排除すべきではありません。

Answer 17

ハニーポットは効果的な方法の 1 つです。フィル・ハークが 1 つを提供 良いハニーポット手法, 、原則としてあらゆるフォーラム/ブログなどに使用できます。

スパム リンクをたどり、そのページを分析してそれが本物のリンクかどうかを確認するクローラーを作成することもできます。最もわかりやすいのは、コンテンツの正確なコピーが含まれるページですが、他の指標を選択することもできます。

モデレーションとブラックリスト、特にこれらのようなプラグインを使用した場合 ワードプレス (または、使用しているものは何でも、同様のソフトウェアがほとんどのプラットフォームで利用可能です) は、低ボリューム環境で動作します。使用量が少ない環境の場合、これによってもたらされる利点を過小評価しないでください。時間があれば、何が適切なコンテンツで何がそうでないのかを個人的に判断することで、スパム制御を最大限に柔軟に行うことができます。

他の人が指摘しているように、CAPTCHA は画像からのテキスト認識に限定されないことを忘れないでください。視覚的な連想、数学の問題、画像を通じて伝えられるその他の非主観的な質問も対象となります。

Answer 18

スブラム は興味深いプロジェクトです。

Answer 19

非表示のフォームフィールド。ユーザーに対して画面に表示されないフォームフィールドを作成します。ディスプレイを使用して:CSS スタイルとして none を指定すると、表示されなくなります。アクセシビリティのために、スクリーン リーダーを使用している人にテキストを入力しないように知らせるために、隠しテキストを挿入することもできます。ボットはほとんどの場合、すべてのフィールドに入力されるため、非表示のフィールドに入力された投稿をブロックすることができます。

Answer 20

スパマー IP アドレスのブラックリストに基づいてアクセスをブロックします。

Answer 21

ハニーポット手法では、ページの上部に目に見えないおとりフォームを配置します。ユーザーはそれを認識せずに正しいフォームを送信しますが、ボットは何も行わないか、IP を禁止する間違ったフォームを送信します。

Answer 22

次のような素晴らしいアイデアをいくつか見てきました。 アシラ どの写真が猫であるかを特定するよう求められます。このアイデアの起源は次のとおりだと思います 子猫認証 少し前に..

Answer 23

のようなものを使用してください Googleイメージラベラー 人間が認識できる主な特徴をコンピューターが認識できないように、適切に選択された画像を使用します。

ユーザーには画像が表示され、それに関連する単語を入力する必要があります。以前のユーザーが同じ画像に対して入力した内容と一致する十分な単語を入力するまで、画像が表示され続けます。一部の画像は、テストされていない新しい画像ですが、どのような単語が関連付けられているかを記録するために含まれています。視聴者に応じて、視聴者だけが認識できる画像を選択することもできます。

Answer 24

モロム スパムを阻止するのに優れていると考えられています。個人版 (無料) とプロフェッショナル版の両方が利用可能です。

Answer 25

ASIRRA について言及した人もいると思いますが、画像の養子縁組リンクにすべてアクセスすると、リンク先のページにそれが猫なのか犬なのかが表示されます。したがって、ボットがすべての Adoptme リンクにアクセスするのは比較的簡単です。したがって、そのプロジェクトが実現するのは時間の問題です。

Answer 26

メールアドレスを確認するだけで、Google/Yahooなどに任せることができます。

Answer 27

デバイス ID ソフトウェアを入手することもできます。the41 には、サイトへのアクセスに使用されているハードウェアを検出できる詐欺防止ソフトウェアが含まれています。彼らは詐欺師を捕まえるためにこれを使用していると思いますが、ボットを阻止するためにも使用される可能性があります。ボットによって使用されているデバイスを特定したら、そのデバイスをブロックするだけです。最後にチェックを入れると、電話ネットワークを介してルートを追跡することもできます (Geo-IP ではありません !!)。) 必要に応じて郵便番号をブロックすることもできます。

そのため小道具を通して高価です。もう少し優れた、より安価なソリューションです。