Комментарии 32
в лучших традициях, пока топик лежал в премодерации, у меня отшили одного человека: он отписался с вопросом, что делать. Глянул ip, выяснялось, что он работает с оперы с режимом турбо (так он называется, если не ошибаюсь) и вот эти адреса попали в черные списки.
добавлю в сообщение об ошибке, чтобы отключали режим турбо в случае чего.
добавлю в сообщение об ошибке, чтобы отключали режим турбо в случае чего.
Определяете hostname IP адреса, если User Agent оперовский. Если hostname оперовский, подменяете IP прокси, страну и т.д. на реальные.
И не надо никаких сообщений об отключении режима турбо.
И не надо никаких сообщений об отключении режима турбо.
ну тут спорный вопрос: можно просто выбрать диапазоны и добавить их в вайт лист как вариант. но можно, к примеру, отгрести спама.
надо поставить оперу, глянуть какие заголовки присылают: может он реальный адрес тоже отдает.
надо поставить оперу, глянуть какие заголовки присылают: может он реальный адрес тоже отдает.
Отдает он реальный адрес, — как раз так и происходит подмена, как раз об этом я и говорил.
ага, хорошо!
тогда переделаю, спасибо.
тогда переделаю, спасибо.
Если на PHP пишете, будьте внимательней — не испольутей gethostbyaddr — иногда эта функция может резолвить хост очень долго. Конечно, это реально Opera, будет разолвиться несколько десятков миллисекунд, но если UA подделан, можете повесить юзера на некоторое время. UA может быть подделан в разных целях — это не обязательно грабберы или боты, — могут быть и вполне реальные люди.
Мы у себя используем вызов внешней программы. Выглядит примерно так:
$res=`nslookup -timeout=$timeout -retry=1 $ip`;
где timeout у нас по дефолту 2 сек.
Мы у себя используем вызов внешней программы. Выглядит примерно так:
$res=`nslookup -timeout=$timeout -retry=1 $ip`;
где timeout у нас по дефолту 2 сек.
Раньше тоже пользовался всякими капяами, соответственно воевал с ботами, но после забил и включил регистрацию по ответу, например: «два прибавить адин» — еще ни один бот не пробился за последние пол года. ))
Или «семь памножить на два» :)
Согласен, данный вариант отлично работает с посещалкой 8-19 тыс в день уже как лет 5, и ни о каких ботах я давно не запариваюсь )
я писал уже:
если есть возможность лишний раз пользователя не дергать с капчами / вопросами надо воспользоваться :)
если есть возможность лишний раз пользователя не дергать с капчами / вопросами надо воспользоваться :)
А вот такую штуку — rpxnow.com/ не пробовали? Имхо, спамботов должно только так отсекать, и все действия пользователя при регистрации сведены практически к паре кликов.
любопытная штука. правда она не наша: контакта нет, яндекса нет.
но дело даже не в этом:
во-первых, не у всех есть учетки в соц сетях, т.е. в любом случае надо оставлять регистрацию обычную, не гнать же их заводить, к примеру, стр на фейсбуке.
и во-вторых, есть вероятность, что человек по каким-то причинам не хочет светить свою учетку, так тоже можно потерять пользователя.
но дело даже не в этом:
во-первых, не у всех есть учетки в соц сетях, т.е. в любом случае надо оставлять регистрацию обычную, не гнать же их заводить, к примеру, стр на фейсбуке.
и во-вторых, есть вероятность, что человек по каким-то причинам не хочет светить свою учетку, так тоже можно потерять пользователя.
Аналогично. У Хрумера проблемы только с «текстовыми капчами». Все остальное он пробивает (и Recaptcha в том числе).
У меня за последний месяц эта штука каким-то образом перестала работать. Ума не приложу как, но раньше с контрольными вопросами было 0 спама, сейчас — каждый день килотонны фейковых пользователей с адресами типа 12736478123578647823+asdfas@gmail.com и спамом на форуме. Капчу отрубил уже много лет назад, ибо это худшее, что придумало человечество в плане защиты, но есть валидация учетки по мылу. То есть это, похоже, не боты, а вполне себе китайцы по юаню за штуку.
> контакта нет, яндекса нет.
У них есть свои API для аналогичных целей, вполне реально своими силами реализовать регистрацию/авторизацию.
> т.е. в любом случае надо оставлять регистрацию обычную
Ну вот тут мы и упираемся в проблему — если сильно упростить процедуру регистрации и позволять такие «анонимные» аккаунты — то будет нашествие ботов.
Имхо, для российских условий, достаточно будет ВК, майл.ру, гугл, твиттер, фейсбук. У 90-95% посетителей будет аккаунт в одном из этих мест. Для оставшихся 5-10% можно оставить обычную процедуру регистрации, но с вопросами/капчами и обязательным подтверждением через электропочту.
У них есть свои API для аналогичных целей, вполне реально своими силами реализовать регистрацию/авторизацию.
> т.е. в любом случае надо оставлять регистрацию обычную
Ну вот тут мы и упираемся в проблему — если сильно упростить процедуру регистрации и позволять такие «анонимные» аккаунты — то будет нашествие ботов.
Имхо, для российских условий, достаточно будет ВК, майл.ру, гугл, твиттер, фейсбук. У 90-95% посетителей будет аккаунт в одном из этих мест. Для оставшихся 5-10% можно оставить обычную процедуру регистрации, но с вопросами/капчами и обязательным подтверждением через электропочту.
У себя на форуме сделал очень просто — к базовой капче добавил чекбокс «Я подтверждаю, что я не бот» (большими красными буквами).
Если при регистрации этого флажка не поставить, то пользователь попадает в группу «Боты», которой запрещено писать куда-либо.
Это очень странно, но за последний год прорвалось (и запостили спам) буквально 5-10 ботов. Остальные успешно регистрируются, периодически логинятся, понимают что нет ни одной темы куда можно постить (или делают неуспешные попытки постинга) и отваливаются.
p.s. И за тот же год набралось довольно много невнимательных товарищей, которые в личку писали «Ой, а почему я не могу никуда комментить?». Каждого вручную переносил в группу «пользователи» и всё.
Если при регистрации этого флажка не поставить, то пользователь попадает в группу «Боты», которой запрещено писать куда-либо.
Это очень странно, но за последний год прорвалось (и запостили спам) буквально 5-10 ботов. Остальные успешно регистрируются, периодически логинятся, понимают что нет ни одной темы куда можно постить (или делают неуспешные попытки постинга) и отваливаются.
p.s. И за тот же год набралось довольно много невнимательных товарищей, которые в личку писали «Ой, а почему я не могу никуда комментить?». Каждого вручную переносил в группу «пользователи» и всё.
в свое время, работал с smf, проблему с ботами решил просто:
весь форум, кроме одного раздела, в режим «постинг только для зарегистрированных», один раздел остается открытым, показывается только гостям, постить туда разрешается всем. Раздел помещается первым. Каждые 15 минут срабатывает скрипт который удаляет все топики оттуда. 99% ботов отсекалось и они даже не регистрировались.
весь форум, кроме одного раздела, в режим «постинг только для зарегистрированных», один раздел остается открытым, показывается только гостям, постить туда разрешается всем. Раздел помещается первым. Каждые 15 минут срабатывает скрипт который удаляет все топики оттуда. 99% ботов отсекалось и они даже не регистрировались.
Самому приходится заниматься форумом на движке smf, спам ботов было очень много, надоело подчищать за ними, внедрил особую капчу — нужно собрать паззл из нескольких деталей. Flash/HTML5. Бесплатно и эффективно. www.keycaptcha.com/ За три месяца — 3 бота. И то, подозреваю, что эти регистрации были ручками.
А сколько людей отсекли?
Я не веду статистику, если честно; раньше каждый день было порядка 20—30 сообщений от 5—6 новых ботов. Если вы о реальных посетителях, то, учитывая, что среднее количество полезных сообщений 1—2 в день, тенденция сохранилась, т. е. из новых пользователей никто не отслеялся. ИМХО, паззл собрать гораздо проще. чем заполнить re-capcha, которую я заполняю со второго раза, как правило.
Пазл собирать долго — это раз. Джаваскрипт — это два. Айпады/мобилки — это три. Перечислять можно больше. Как мне кажется, наилучший способ — задавать разные, но простые вопросы на человеческом языке (типа «Как называется наша планета?»). Для пущей защиты текст вопроса отдавать картинкой.
Еще вариант — не знаю, как сейчас, но раньше на сайте Киевстара была такая защита: Несколько картинок, и нужно было выбрать только те, на которых изображена 2живая природа.
Еще вариант — не знаю, как сейчас, но раньше на сайте Киевстара была такая защита: Несколько картинок, и нужно было выбрать только те, на которых изображена 2живая природа.
akismet проверяет пользователя при регистрации? проверяется только email?
Хм, у меня тоже есть форум на SMF, в начале было много ботом (просто регистрировались и ничего не делали), потом настроил стандартную капчку (там можно выбрать уровень сложности изображений) — и боты сами пропали.
А во второй версии SMF можно задавать вопросы при регистрации — это еще сильнее ограничит спамеров.
А во второй версии SMF можно задавать вопросы при регистрации — это еще сильнее ограничит спамеров.
А капчу я отключил…
+1
только вот замечание по анализу эффективности — спам фильтр, который использует краудсорсинг, не должен показывать 100%, и чем популярнее форум/блог тем больше на нем будет спама, потому что фильтру надо спамера сначала поймать и только потом он может быть отфильтрован.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Еще одна исторя войны со спамом на форуме