Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 94
Гениально!
Задумка интересная. Будет работать до тех пор, пока кто-нибудь это не просечет и не настроит своих ботов специально для вас.
Мне кажеться, что если раз в неделю менять название поля, то устанут настраивать.
а вы название поля менять не устанете? :)
Можно сделать чтоб боты не заполняли скрытые поля.
У меня названия полей при каждой загрузке страницы меняются, но всё равно часть ботов пролазит, ибо они цепляются к настоящему браузеру и заполняют видимые поля. Притом что у меня ещё и js-защита стоит, а урл в форме комента фейковый. Лезут всё равно, суки.
Поздравляю, вы открыли Honeypot Captcha, в этой статье возрастом почти в 4 года, хорошо описывается как и что haacked.com/archive/2007/09/11/honeypot-captcha.aspx
Нет ли подобной штуки в виде плагина для Wordpress?
Есть.
wordpress.org/extend/plugins/ptis-hidden-field-antispam-for-comment/
Хотя лично я поставил Disqus+Akismet и не парюсь.
wordpress.org/extend/plugins/ptis-hidden-field-antispam-for-comment/
Хотя лично я поставил Disqus+Akismet и не парюсь.
Конечно есть, называется Antispam Bee. Давно им пользуюсь. Забыл, что такое автоспам.
возможно, но на Хабре об этом не много информации =)
Кхм...
Это наиболее содержательная статья из известных мне. Можно нагуглить и ещё парочку, если постараться.
Это наиболее содержательная статья из известных мне. Можно нагуглить и ещё парочку, если постараться.
Вроде это один из самых известных способов обмануть бота…
Экспериментировал подобным образом.
Работает до поры до времени. Потом — все больше спама проходит. К сожалению. :(
Работает до поры до времени. Потом — все больше спама проходит. К сожалению. :(
Скоро боты выйдут из под контроля, начнут само обучаться и загадят все интернеты спамом ))
У MODX есть стандартное расширение для обратной связи FormIt с такой защитой. Давненько уже, кстати.
алЬОша???
От ботов спасает, а от спамеров?)
Методу сто лет в обед… Он даже используется в готовых движках из коробки, например в ShopCMS. Выше упоминали MODx
Методу возможно и сто лет в обед, но если автор допер до него своим умом — то честь ему и хвала. Правда красивое и простое решение.
Ничего личного, но современный мир таков, что если между между «какая хорошая идея» и «я уверен, вы оцените оригинальность» открыть гугль, то можно увидеть, что особо никакой оригинальностью и не пахнет.
Я похожую защиту использую уже несколько лет. Если интересно — выложу готовый код для wordpress.
Я похожую защиту использую уже несколько лет. Если интересно — выложу готовый код для wordpress.
понимаете… кто-то открывает гугль для решения проблемы, а кто-то напрягает мозги. 1-2 века назад математики изобретали одинаковые методы решения и ничего страшного =)
Проблема в том, что я люблю изобретать, когда на это есть время. Это захватывает и мотивирует.
P.S.: ничего личного, сам часто ищу решение в гугле
Проблема в том, что я люблю изобретать, когда на это есть время. Это захватывает и мотивирует.
P.S.: ничего личного, сам часто ищу решение в гугле
в данном случае вы изобрели изобретенный велосипед. причем сомнительного качества :)
У математиков была отмазка — отсутствие гугла.
А у вас ее нет, к сожалению.
А у вас ее нет, к сожалению.
Вообще-то, напрягать мозги полезно, и потому, прежде чем писать про оригинальность стоит подумать и проверить, насколько это оригинальность.
Да Вы абсолютно правы. Но знаете… Статья вызвала очень много разных, эмоций и мнений. Суджу по тому, что моя карма еще ни разу так не прыгала то вверх, то вниз. Аналогично и с рейтингом статьи.
По-этому можно сказать, что к-во людей которые знали и не знали о способе приблизительно одинаковое.
Думаю статья все-таки имеет определенный процент полезности =)
По-этому можно сказать, что к-во людей которые знали и не знали о способе приблизительно одинаковое.
Думаю статья все-таки имеет определенный процент полезности =)
Меня все больше возмущает, что за интересные статьи или работы по тематике на современном хабре возникают претензии и недовольства к автору. Но зато на всякую хрень половина сообщества реагируют положительно…
Автор молодец, умеет думать и рассуждать. Материал представлен на хорошем уровне. (Уж извините любители острых шуток и поедателей красивой «воды»). Текста не много и по делу. Успехов автору в других интересных открытиях ;)
Автор молодец, умеет думать и рассуждать. Материал представлен на хорошем уровне. (Уж извините любители острых шуток и поедателей красивой «воды»). Текста не много и по делу. Успехов автору в других интересных открытиях ;)
Я похожую защиту использую уже несколько лет. Если интересно — выложу готовый код для wordpress.
Выкладывайте.
Выкладывайте.
А чего Вы так заинтересованы кодом? Алгоритм есть, реализуйте сами. Делается проще, чем капча. Да и к тому же, на своем велосипеде, пусть даже худшего качества, все равно легче кататься.
Там ничего сложного нет, но это работает
kartz.ru/2011/04/14/stop-spam-wp/
Опасаюсь, что после этой статьи такие методы защиты станут масовыми и спамеры ниучатся их обходить. Тогда придётся приделывать к велосипеду стол для блек-джека.
Получается, что это даже хорошо, что каждый изобретает свой простой способ борьбы со спамом. Все способы простые, но они разные… И спамерам сложнее массово их обходить.
Так что в этой области я ОДНОЗНАЧНО ОДОБРЯЮ ВЕЛОСИПЕДЫ. Хотя автор поста и не совсем оригинален — но свою задачу он успешно решил.
kartz.ru/2011/04/14/stop-spam-wp/
Опасаюсь, что после этой статьи такие методы защиты станут масовыми и спамеры ниучатся их обходить. Тогда придётся приделывать к велосипеду стол для блек-джека.
Получается, что это даже хорошо, что каждый изобретает свой простой способ борьбы со спамом. Все способы простые, но они разные… И спамерам сложнее массово их обходить.
Так что в этой области я ОДНОЗНАЧНО ОДОБРЯЮ ВЕЛОСИПЕДЫ. Хотя автор поста и не совсем оригинален — но свою задачу он успешно решил.
Т.е. капчу взломали дважды, и вы думаете что простейшее скрытое поле не взломают?
Разница в том, что ботоводам невыгодно настраивать свои программы под каждый сайт. А взламывать капчу — дело, поставленное на поток и усилий не отнимает.
Я в свое время защитился от спама похожим способом — сделал флажок «Я не бот» в форме заполнения комментария.
Я в свое время защитился от спама похожим способом — сделал флажок «Я не бот» в форме заполнения комментария.
Интересно, я думал капчи нужно ломать каждую индивидуально. Ну или китайцам отдавать, тогда тип капчи не влияет… :)
И странно ещё что, действительно, этому способу уже много лет, ботописатели могли бы добавить распознавание медовых горшочков.
И странно ещё что, действительно, этому способу уже много лет, ботописатели могли бы добавить распознавание медовых горшочков.
А как?
Проверять поля формы на скрытость? Лично я делаю несколько таких полей со служебной инфой, и javascript при заполнении в некоторые поля кое-что пишет.
Откуда боту знать, какое именно поле я буду проверять на заполненность?
Метод простой и прикольный, но не новый.
Проверять поля формы на скрытость? Лично я делаю несколько таких полей со служебной инфой, и javascript при заполнении в некоторые поля кое-что пишет.
Откуда боту знать, какое именно поле я буду проверять на заполненность?
Метод простой и прикольный, но не новый.
Ну да, обычно же это секретное поле заворачивают во что-то вроде
<div style="display: none;"><input name="haha_stupid_bot" /></div>Дык я и говорю, что надо делать 5 инпутов с type='hidden' и всех делов.
Если заполняет человек, то 4 из них, нужных, заполнит javascript, а пятый — нет.
А если бот — то либо заполнит все, либо ничего.
Он же не знает, какое именно поле я проверю на заполненность? Тут можно много нафантазировать.
Если заполняет человек, то 4 из них, нужных, заполнит javascript, а пятый — нет.
А если бот — то либо заполнит все, либо ничего.
Он же не знает, какое именно поле я проверю на заполненность? Тут можно много нафантазировать.
любой способ имеет как + так -. Например это можно обойти если написать бота на JS и заюзать броузер =)
но обычно так не делают
но обычно так не делают
Да, это уже улучшенный honeypot :) Я имел в виду научить бота бороться с самым простым скрытым полем — просто не заполнять скрытое поле.
Если заполняет человек, то 4 из них, нужных, заполнит javascript, а пятый — нет.… если заполняет бот без js. Что-нибудь на основе селениума по-идее должно обходить такие защиты — такой бот будет выглядеть почти как человек.
вы сами придумали про заворачивание в скрытый див или подсказал кто-то?
или input[type=hidden] {display:none;} в css кто-то отменил уже?
или input[type=hidden] {display:none;} в css кто-то отменил уже?
Думаю ваш следующий ход это сделать флажок скрытым.
Хорошая идея пришедшая в голову это круто. Но можно было погуглить да. Хотя лучше, наверное, самому додуматься. Греет лучше.)
я думаю, что этот способ, в моем случае, оказался лучше за капчу =)
можно еще сделать шаблоны инпута и рандомно вводить их в скрытые поля, это должно усложнить самообучаемость…
Года 2-3 назад подумывали над такими системами защит. По мимо этой ещё есть хороший вариант при генирации формы ставить тайм штамп в сессию, а при получении формы сравнивать его с временем отправленной формы. Шанс, что пользователь введет форму за 2-5 секунд ничтожно мала.
П.с. Такой вариант стоит использовать без валидаторов на стороне сервера или же с дополнительными валидаторами на стороне браузера, что бы при повторной отправки формы с быстрым изменением ошибки в поле не перепутать юзера с ботом.
П.с. Такой вариант стоит использовать без валидаторов на стороне сервера или же с дополнительными валидаторами на стороне браузера, что бы при повторной отправки формы с быстрым изменением ошибки в поле не перепутать юзера с ботом.
Ну, как вариант. Хотя спам-боты тоже не стоят на месте в развитии. У меня, например, это — один из десятка признаков на спам, и все равно периодически идет протечка: один-два из тысячи примерно.
А как же этот плагин, который реально постоянно подпиливается и даже от «человеческих комментариев» защищает? parasite-eliminator.ru/bloggers/magic/
лучше бы акисмет пользовали. Лучшая защита от ботов — краудсорсинг.
Вы открыли honeypot.
а вы не читаете предыдущие комментарии habrahabr.ru/blogs/spam/127604/#comment_4213601
Я давным-давно добавил такое же скрытое поле, только назвал его «Url». Но зачем так палить контору и афишировать лишний раз этот метод? Чтобы авторы ботов приналегли на разработку обходных путей?
Почему вы считаете авторов ботов тупыми? Им известно об этом методе давно. Сейчас боты скачивают параллельно еще и js/css, отыскивая в них конструкции, связанные со всеми элементами атакуемых форм.
«Приналечь» — не значит открыть для себя этот метод. Это значит выделить на его обход больше ресурсов. Так что, пожалуйста, не приписывайте мне утверждений, которых я не делал, относительно их тупости.
Я знаю, что боты пытаются парсить css и js.
Но описанный метод до сих пор работает на всех моих сайтах, а значит, спамеры все еще недостаточно уделяют внимания этой области. И хочется, чтобы это продлилось как можно дольше.
Я знаю, что боты пытаются парсить css и js.
Но описанный метод до сих пор работает на всех моих сайтах, а значит, спамеры все еще недостаточно уделяют внимания этой области. И хочется, чтобы это продлилось как можно дольше.
А зачем вообще поле скрывать? Как говорили древние — лучший тайник это тот, что на виду. Достаточно оставить открытым, просто пометить его необязательным к заполнению — как обычно делают в формах, подсвечивая обязательные поля, или меняя цвет названия поля, и тп. Уверен, что никто из человеков не будет оставлять реальный телефон или париться чтобы ввести набор цифр в необязательное поле. А вот бот, как вы заметили, будет заполнять все.
Профит — не надо бояться ботов наученных не реагировать на скрытые поля.
Профит — не надо бояться ботов наученных не реагировать на скрытые поля.
" Уверен, что никто из человеков не будет...", — как же завидую вашей уверенности!
Я-то, в массовых проектах, всегда страдаю, пытаясь удовлетворить всю аудиторию, а не только те ~10%, о которых имею более-менее сносное представление.
Я-то, в массовых проектах, всегда страдаю, пытаясь удовлетворить всю аудиторию, а не только те ~10%, о которых имею более-менее сносное представление.
Вообще-то интернет не вчера пришел в массы, и остальные 90% вашей аудитории совсем не гламурные секретарши готовые на всех подряд форумах оставлять свои телефоны/адреса/номера кредиток. Хотя было бы интересно провести эксперимент — на каком-то ресурсе проверить сколько пользователей все-таки оставят свои телефоны или другую личную информацию, не требующуюся для регистрации.
«Если есть люди, которые в солнечный день смотрят на людей в бейсболках, которые ганяют шарик по полю, то поверьте 100% найдутся люди, которые днями на пролет будут смотреть суицид по кабельному».
Джон Карлин
Джон Карлин
Есть способ проще. Боты обычно обращаются напрямую к файлу, содержащему форму комментариев, а пользователи обращаются к ней через страницу с постом. Запрет прямого обращения к файлу с формой такой же древний метод, как ваш.
Хехе, все гениальное просто :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Алеша Попович vs Тугарин Змей или как я боролся со спамом