Comments 59
удобным для пользователя подходом в таком случае будет премодерация (точнее, скрытие от других пользователей) сообщений до момента подтверждения аккаунта. В этом случае и волки сыты, и овцы целы.
Но ведь, по сути, это тот же запрет на публикацию контента до подтверждения почты?
Сильно отличается. Сравните:
1. Пользователь приходит на сайт с гениальной идеей комментария. Регистрируется, собирается писать - получает отлуп. Ждет письмо подтверждения 10 минут, за это время успевает забыть идею и погрузиться в пучину депрессии.
2. Пользователь приходит на сайт с гениальной идеей комментария. Регистрируется, пишет комментарий. Через 10-20 минут подтверждает аккаунт, после чего его гениальные мысли видят все остальные. Все счастливы.
1. Пользователь приходит на сайт с гениальной идеей комментария. Регистрируется, собирается писать - получает отлуп. Ждет письмо подтверждения 10 минут, за это время успевает забыть идею и погрузиться в пучину депрессии.
2. Пользователь приходит на сайт с гениальной идеей комментария. Регистрируется, пишет комментарий. Через 10-20 минут подтверждает аккаунт, после чего его гениальные мысли видят все остальные. Все счастливы.
А если гениальную мысль уже озвучат до этого и автор получит за это минусы?
А если пользователь сможет подтвердить почту только вечером, из дома? Тогда надо писать явно, что он ничего видимого не может сделать, пока не подтвердит почтовый адрес.
А если пользователь сможет подтвердить почту только вечером, из дома? Тогда надо писать явно, что он ничего видимого не может сделать, пока не подтвердит почтовый адрес.
Есть минус: если 10 человек напишут одинаковую мысль с интервалом в минуту и затем пройдут авторизацию, получится 10 одинаковых комментариев
Ну-у-у... 10 новых пользователей в минуту для однго топика - это очень мощный ресурс. В этом случае можно и человека-модератора посадить на ручное премодерирование. "Извините, вы тут припоздали с высказыванием гениальной мысли".
Это же бывает на хабре, когда читаешь большой пост, а потом хочешь откомментировать. На прочтение и обдумывание может уйти 10-15 минут, например. За это другие успевают написать свои мысли.
Я сейчас пишу один проект, там будет почти как в (2). То есть неделю (может чуть меньше — пока не решил) пользователь сможет делать все, что угодно. Если за неделю он не подтвердит по почте свой аккаунт — все его данные удаляются.
Но у меня нет топиков и комментариев, поэтому в данном случае сложнее.
Но у меня нет топиков и комментариев, поэтому в данном случае сложнее.
А если за неделю завалят ресурс мусором? Ну, напрмер, сто тыщь мульёном сообщений/действий или что у вас там от пользователся + 100 липовый пользователей. Этак можно сугубо из вредности по два виртуала в день регистрорвать и обновлять всю срань на сайте. По мере удаления старой, уже будет выалено новая (срань).
Ну раньше было модно на каком-нибудь сайте писать «hacked by vasya», но никакому же идиоту не пришло в голову несколько лет спустя писать на форуме такой же текст =) А сейчас вон можно на Хабре том же новостьи свои публиковать — никто ведь не создает виртуалов только ради того, чтобы все загадить =)
В отрыве от контекста (т.е. не зная тематики и масштабности ресурса) довольно сложно выбрать эффективную политику. Однако наличие простейшей CAPTCHA и возможность писать без регистрации вкупе с авторизацией средствами OpenID (если есть аккаунт) и подобных сервисов на, мой взгляд, значительно улучшили бы ситуацию.
Забивать базу сообщениями от пользователей, которые так и не активируются никогда — не очень хорошо. Да и показывать такие сообщения, когда уже прошло обсуждение — тоже плохо. Лучше просить ввести код активации прямо в момент отправки первого сообщения.
Подтверждение емейлом мало что решает. Спасает только от самых ленивых троллей, которым лень написать программу для автоматического подтверждения емейла. Кто захочет - создаст себе емейл на одном из сервисов, позволяющих делать себе одноразовые емейлы, изменяя префиксы/суффиксы основного и подтвердить столько аккаунтов сколько захочет.
В общем, лучше каптчи ещё ничего не придумали :)
В общем, лучше каптчи ещё ничего не придумали :)
По-моему хуже капчи ещё ничего не придумали, потому что во многих случаях прочитать то, что там изображено невозможно.
В недавней теме про капчи была сказана одна хорошая фраза: "процесс защиты от левой регистрации надо переложить на плече разработчиков, а не на плечи пользователей"
В недавней теме про капчи была сказана одна хорошая фраза: "процесс защиты от левой регистрации надо переложить на плече разработчиков, а не на плечи пользователей"
Ну, у них есть капча, только она появляется после 3-й регистрации с одного IP, и по сути ни от чего не спасает. А ведь можно её отсылать в письме вместо ссылки активации каждому пользователю и просить ввести прямо в этом письме (предусмотреть форму), на специальной странице сайта или при отправке первого сообщения.
Не плохо, но для меня бесопастность на моих сайтах главнее
капча в данном случае это только один из вариантов...
и далеко не самый надежный:
- простая капча - посчитывается практически любым ботом
- сложная - не читается юзером, но все равно в некоторых случаях читается ботом.
Решение должно быть комплексным. Наверное ни кому не надо лишний раз говорить что пользовательский ввуод нужно проерять в любом случае... И в месте с тем использовать другие средства защиты:
- нестандартные капчи
- нестандартные, а еще лучше случайные названия полей в форме
- скрытые с помощью стилей поля со стандартными названиями.
Использование этих и других решений в комплексе резко снижает вероятность прохождения бота (практически до нуля).
И вопрос не в том, что я сейчас перечислил давно уже известные варианты защиты, а в том чтобы случайным образом комбинировать ее.
и далеко не самый надежный:
- простая капча - посчитывается практически любым ботом
- сложная - не читается юзером, но все равно в некоторых случаях читается ботом.
Решение должно быть комплексным. Наверное ни кому не надо лишний раз говорить что пользовательский ввуод нужно проерять в любом случае... И в месте с тем использовать другие средства защиты:
- нестандартные капчи
- нестандартные, а еще лучше случайные названия полей в форме
- скрытые с помощью стилей поля со стандартными названиями.
Использование этих и других решений в комплексе резко снижает вероятность прохождения бота (практически до нуля).
И вопрос не в том, что я сейчас перечислил давно уже известные варианты защиты, а в том чтобы случайным образом комбинировать ее.
> нестандартные, а также скрытые с помощью стилей поля
- ни разу не улучшают безопасность сайта. Это самообман. Это может помочь только от совсем тупых ботов, которые наугад бродят по инету и ищут незакрытые формы. От таких 100% помогает капча (любая).
Если же бот пишется специально под ваш сайт, то никакие скрытые поля не помогут. Капча - да поможет, но чем популярнее ваш сайт, тем больше вероятность, что ботам прочесть ее будет проще чем пользователям.
К сожалению, идеального решения нет и не предвидеться.
- ни разу не улучшают безопасность сайта. Это самообман. Это может помочь только от совсем тупых ботов, которые наугад бродят по инету и ищут незакрытые формы. От таких 100% помогает капча (любая).
Если же бот пишется специально под ваш сайт, то никакие скрытые поля не помогут. Капча - да поможет, но чем популярнее ваш сайт, тем больше вероятность, что ботам прочесть ее будет проще чем пользователям.
К сожалению, идеального решения нет и не предвидеться.
а вы ресурсу об этом сообщили до написания статьи ?
они обидчивые, сразу адвокатов вызывают :)
они обидчивые, сразу адвокатов вызывают :)
автор топика предложил сделку разработчикам сайта? Денег не постеснялся взять?
Это в продолжение http://habrahabr.ru/blog/i_am_clever/47354.html
Это в продолжение http://habrahabr.ru/blog/i_am_clever/47354.html
Выше уже написали часть решения.
Давать авторегистрацию ОДИН раз с ОДНОГО IP в сутки. Каждую последующую пояснять:
"Извините, с этого IP-адреса сегодня уже было сделано 3 регистрации.
Мы заботимся о наших посетителях, стараемся упростить им жизнь с самого начала работы на проекте, но в то же время хотим уберечь их от нашествия троллей.
Поэтому Ваш вновь создаваемый аккаунт на проекте потребует подтверждение регистрации.
Извините за доставленные неудобства."
Давать авторегистрацию ОДИН раз с ОДНОГО IP в сутки. Каждую последующую пояснять:
"Извините, с этого IP-адреса сегодня уже было сделано 3 регистрации.
Мы заботимся о наших посетителях, стараемся упростить им жизнь с самого начала работы на проекте, но в то же время хотим уберечь их от нашествия троллей.
Поэтому Ваш вновь создаваемый аккаунт на проекте потребует подтверждение регистрации.
Извините за доставленные неудобства."
Даже после рихтования угадывается что это за ресурс :). На манеже все те же.
Для пользователя - такая фишка, вне всякого сомнения, удобней. Для администратора/владельца - быстрейший путь к захламливанию сайта.
Для пользователя - такая фишка, вне всякого сомнения, удобней. Для администратора/владельца - быстрейший путь к захламливанию сайта.
Изв, дайте адресок сайта, не все знают все :)
можно скрывать сам комментарий и писать "комментарий от ползователя ожидающего активации" (показать)
оценки выставленные тоже включаются тока после активации.
собственно и всё решение вопроса.
оценки выставленные тоже включаются тока после активации.
собственно и всё решение вопроса.
Капча спасает от ленивых.
Мне както очень нужно было по работе 30-40 аккаунтов на одном ресурсе и там как раз была капча при регистрации. Делать нечего, написал скрипт который все сам делает только выводит мне на одной страничке десяток капч, я их быстро заполняю. И у меня есть 10 акков.
Мне както очень нужно было по работе 30-40 аккаунтов на одном ресурсе и там как раз была капча при регистрации. Делать нечего, написал скрипт который все сам делает только выводит мне на одной страничке десяток капч, я их быстро заполняю. И у меня есть 10 акков.
Ура, Рунет нашёл козла отпущения! =)
Во-первых, ресурс рассчитан на нормальных людей, а не тех, кому делать нечего и ищет никому ненужные недочеты, чтобы порадовать своего эго на волне критике к известному ресурсу.
Во-вторых, это действительно удобно для конечного пользователя, а вот админам, конечно, будет тяжко, но за все удобства, как правило, надо платить)
Во-вторых, это действительно удобно для конечного пользователя, а вот админам, конечно, будет тяжко, но за все удобства, как правило, надо платить)
У меня нет дневников на lj, меня нет на вконтакте и одноклассниках, поэтому я не зарегистрирован на bestpersons.
Но почему-то сегодня мне, наконец, захотелось сказать: «Дорогие кулхацкеры. Отъебитесь уже от bestpersons!».
Значков «почетный кулхацкер» все равно на всех не хватит.
Но почему-то сегодня мне, наконец, захотелось сказать: «Дорогие кулхацкеры. Отъебитесь уже от bestpersons!».
Значков «почетный кулхацкер» все равно на всех не хватит.
Значок один - переходящий. Чтобы его получить, надо найти и раскрыть на Хабре уязвимость сайта текущего "почетного кулхацкера" ;)
Вы явно не тот топик выбрали для своего послания. От bestpersons кроме благодарности и просьбы сообщать о подобных ошибках в дальнейшем я ничего не услышал. Значки, ярлычки прочие фенечки можете оставить себе. ;)
Я выбрал явно самый подходящий топик.
В цивилизованных интернетах, когда кто-то помогает устранить ошибку, он сообщает об этом разработчику. Разработчик фиксит неполадки, а затем, если считает это возможным, публикует где-нибудь, что то-то то-то исправлено, большое спасибо замечательному человеку тому-то тому-то.
А вы делаете, как кулхацкер. Нашли уязвимость (притом ни разу не критическую) и голосите на весь Хабр, что вы: а) якобы воспитанный (сообщили разработчикам), б) якобы сообразительный (вывели обратную зависимость количества спама от простоты регистрации).
Так что фенечки и ярлычки — это вам. Кулхацкеров должно быть видно издалека.
В цивилизованных интернетах, когда кто-то помогает устранить ошибку, он сообщает об этом разработчику. Разработчик фиксит неполадки, а затем, если считает это возможным, публикует где-нибудь, что то-то то-то исправлено, большое спасибо замечательному человеку тому-то тому-то.
А вы делаете, как кулхацкер. Нашли уязвимость (притом ни разу не критическую) и голосите на весь Хабр, что вы: а) якобы воспитанный (сообщили разработчикам), б) якобы сообразительный (вывели обратную зависимость количества спама от простоты регистрации).
Так что фенечки и ярлычки — это вам. Кулхацкеров должно быть видно издалека.
Вы явно неадекватны.
Вот, кстати, вы зачем-то прочитали этот топик, раз. Прочитали бОльшую часть комментариев ещё зачем-то, два (иначе как бы вы догадались, что речь шла о БП). Зачем? Вам было интересно? Тогда к чему эти претензии? Неинтересно? Тогда зачем вы это всё читали???
Вот, кстати, вы зачем-то прочитали этот топик, раз. Прочитали бОльшую часть комментариев ещё зачем-то, два (иначе как бы вы догадались, что речь шла о БП). Зачем? Вам было интересно? Тогда к чему эти претензии? Неинтересно? Тогда зачем вы это всё читали???
Про неадекватность оставлю без комментариев (сомневаюсь в вас, как в психологе).
По сути вашего комментария. Было бы адекватным с вашей стороны понимать, что не только интерес заставляет читать топики и писать претенциозные комментарии. Есть еще куча других мотивов. Я, например, читаю все топики подряд в нескольких блогах, потому что мне интересна их тематика.
Вопросы отпали?
По сути вашего комментария. Было бы адекватным с вашей стороны понимать, что не только интерес заставляет читать топики и писать претенциозные комментарии. Есть еще куча других мотивов. Я, например, читаю все топики подряд в нескольких блогах, потому что мне интересна их тематика.
Вопросы отпали?
Вашу мать! Прошу прощения, но всем известный ресурс уже заставляет нервничать. Ладно одна-две ошибки. Но это уже какая-то халатность. Ну правда, неужели им не хватает тестеров? Я бы с удовольствием изпользовал бы их сервис, но увы, 9c951267 :(
хорошая возможность спамить ботами
Sign up to leave a comment.
«Удобная» регистрация