Zabezpieczenie antyspamowe

[skipperskipper]

W kolejnych narzędziach i botach tworzone są coraz lepsze sposoby na omijanie zabezpieczeń antyspamowych, o OCR, antigatach itp już dużo na PiO napisane.

Natomiast ja teraz stanąłem z drugiej strony i muszę stworzyć formularz, w którym zminimalizuję dostęp dla botów. Nie chcę używać captcha, te proste łatwe są do ominięcia, a te w stylu re-captcha potrafią zirytować tak użytkowników, że porzucą wypełnienie formularza, do czego ja dopuścić nie chcę.

W związku z tym chciałbym stworzyć zabezpieczenie, które jest w miarę przyjazne dla użytkownika, ale też uniemożliwi pracę większości robotów. A przy okazji pomyślałem sobie, że można by zebrać w jednym miejscu takie pomysły:

Ja aktualnie rozważam wprowadzenie takich zabezpieczeń (wszystkie na raz):

- minimalny czas wypełniana formularza: 45 s (użytkownik tego szybciej nie wypełni)

- pomieszane tagi pól (czyli zamiast tagów email, ,name, wpisuję kot pies itd)

- z jednego IP nie można wypełnić więcej niż 5 formularzy na stronie w ciągu 1 dnia

- ukryte pole email, którego użytkownik nie widzi, więc nie wypełni, a robot je wypełni i wpadnie pułapkę

- formularz na JS, którego nie wszystkie roboty obsługują

Czy uważacie, że to wystarczy, żeby wyeliminować 99% robotów? Czy któreś z nich są tak proste do ominięcia że zdecydowana większość robotów od razu sobie z tym poradzi i nie warto tego wprowadzać?

Rozważałem też puzzle captcha czy slider captcha (są dość przyjazne, czy jakiś robot sobie z nimi radzi?) w ostateczności, ale im mniej przerzucamy na użytkownika tym lepiej. Zakładajmy, że nie jest to strona, dla której ktoś specjalnie stworzy robota, bo wtedy to żadne zabezpieczenie nie zadziałają. Chętnie usłyszę Wasze komentarze

[Mion]

Czy uważacie, że to wystarczy, żeby wyeliminować 99% robotów? Czy któreś z nich są tak proste do ominięcia że zdecydowana większość robotów od razu sobie z tym poradzi i nie warto tego wprowadzać?

Uważam, że są to bardzo kiepskie założenia. Do tego przedstawione zabezpieczenia jak "formularz na JS | kryte pole email" są minionego wieku ...

Zakładajmy, że nie jest to strona, dla której ktoś specjalnie stworzy robota,

Ale "stworzone" boty już od dawna radzą sobie z takimi "zabezpieczaniami" jak Twoje i nie wybierają czy jest, to specjalnie stworzona strona.

[skipperskipper]

dziękuję za odpowiedź. Z kolei Antigate radzi sobie z catchami obrazkowymi. Re-captcha jest moim zdaniem niezbyt przyjazna dla użytkownika. Rozważam zatem captcha slider czy captcha puzzle. Co myślicie o nich? Czy macie może jakiś inny pomysł na zabezpieczenie antyspamowe? Moja strona nie jest wymarzonym miejscem robotów, więc nie spodziewam się masowych botów jak na wordpressach, ale chcę ją zabezpieczyć od tych, które mimo wszystko na nią trafią.

[qlwik]

Wymienione zabezpieczenia spokojnie Ci wystarczą.

[JBurza]

puzzle captcha są irytujące może captch taki jak ma proxymarket z polskimi znakami, jeżeli użytkownicy są z PL.

[Karlosky]

puzzle captcha są irytujące

captch taki jak ma proxymarket

Captcha w Proxymarkecie jest jeszcze bardziej irytująca. A do tego pojawia się podczas logowania, jakby nie wystarczyła sama weryfikacja usera.

[qlwik]

@up

fakt, ta captcha była irytująca, dlatego poświęciłem 1-2 dni na własny sposób na proxy, no i się opłaciło

[okazwłoka]

Captcha w proxymarkecie jest bardzo łatwa do odczytania.

Najlepiej zastosuj jakieś pytanie, na które odpowiedź będą znali użytkowicy strony - pomysłów może być tysiąc np "podaj adres tej strony bez kropek", "jaki jest dzisiaj dzień miesiąca" etc. Dodatkowo wyświetlaj pytanie jako obrazek, a najlepiej część pytania jako tekst, a część jako obrazek.

[MKucinski]

Myślę, że to może być niezłe: https://cleantalk.org/blacklists bardzo szybko wyłapało prywatne prosiaki, dosłownie po kilku tysiącach dodań bez blog commentów i guestbooków.

[~larry]

Wypowiem się jako osoba tworząca boty. W swojej karierze nie spotkałem zbyt wielu stron, które by mi się nie udało zautomatyzować. Wszystkie wymienione kwestie z wyjątkiem captcha puzzle i captcha slider są spokojnie do ominięcia.

Pytanie i odpowiedź jeżeli będzie w formie tekstowej zescrapowanie wszystkich pytań choćbyś miał ich tysiące zajmuje chwilę. Jedyną opcją, która by sprawiała trudność to przygotowanie bazy ok 200 pytań i serwowanie codziennie innych partiami. Pytania w formie obrazków to również żaden problem --> wysłać do antigate i zapisać u siebie w formie tekstowej. Zrobić listę wszystkich pytań, dopisać raz odpowiedzi i po zabawie. Osobie tworzącej zawodowo boty przygotowanie takiej listy zajmie tyle samo, jak nie mniej czasu niż osobie, która wymyśla pytania.

[qlwik]

@up

mówisz o zrobieniu bota dedykowanego pod ten formularz, chyba nikt normalny tego nie będzie robił?

[MaxPan]

Kończą się pracy nad nowym wielowątkowym softem co działa używając emulatora przeglądarki z pełna obsługa jawa i flash, tekst zabezpieczeń więc to nie jest problemem. Tak jak mówi kolega wyżej najlepszym zabezpieczeniem bedzie dedykowany formularz jaki ktoś będę musiał pojedyncze "zrobić" a mało komu bedzie to opłacać się.

[~larry]

@up

mówisz o zrobieniu bota dedykowanego pod ten formularz, chyba nikt normalny tego nie będzie robił?

To czy ktoś normalny będzie robić czy nie to już inna sprawa. Na bazie własnych doświadczeń podałem jedynie możliwości technologiczne, które obecnie są dostępne i w sumie szybko można zrobić.

[Mion]

escrapowanie wszystkich pytań choćbyś miał ich tysiące zajmuje chwilę.

To zależy od tego jakie są faktycznie zabezpieczenia, bo jak system pytania odpowiedzi będzie odpowiednio napisany, to może zająć dni, a nawet tygodnie.

Jest też w miarę proste zabezpieczenie na zasadzie captcha które automat w produkcyjnym czasie nie obejdzie tym bardziej ludzkie decaptchery, a człowiek znający dany język powinien nie mieć z tym problemu.

mówisz o zrobieniu bota dedykowanego pod ten formularz, chyba nikt normalny tego nie będzie robił?

Wszystko zależy od skali serwisu. Prosty przykład wordpress.com też jest jeden serwis + tysiące botów pod niego pisanych

[skipperskipper]

Chodzi mi o zabezpieczenie, którego nie obejdą tzw. masowy boty. Nie zakładam bota, którego by ktoś zrobił specjalnie pod moją stronę, tym bardziej że wypełnienie tego formularza nie daje nic spamerowi, bo to specyficzny formularz kontaktowy, a nie miejsce na komentarz.

Podsumowując, Captch Slider i Puzzle są faworytami, ale skoro trwają już prace nad botami obsługującymi technologie jawa i flash, to oznacza, że i te captche wkrótce padną, bo hindusi zamiast przepisywać obrazki będą dostawać puzzle, a to nawet dla nich przyjemniejsze

Skłaniam się ku zestawowi dedykowanych pytań, na które każdy potrafi odpowiedzieć. Czy jest jakiś serwis a'la antigate, któremu można przesłać takie pytanie i siedzi tam ludek przeszukujący wikipedię czy używający Google Tłumacza w celu znalezienia odpowiedzi na takie pytania? Ocztywiście mówię o masowym serwisie, który obsługuje taką funkcjonalność. Jeśli by takiego nie było (albo większość botów by nie miała opcji jego wyboru ze względu na małą popularność), to chyba mam rozwiązanie mojej zagadki.