Код в смс — не лучшая защита от спама во первых, а во вторых номер может быть приватным, как и другие данные, которые могут помочь определить спамера. Кстати, номера может и не быть, мессенджеры разные бывают.
Нет, не может, номер телефона может быть приватным, а сообщения для анализа их на спам и другие данные вроде количества похожих пользователей(отпечаток и IP) на предмет ботов так тем более, капча как-то поможет, но не идеально, полно индусов, разгадывающих за копейки.
Не то что параноидально, а бредово, 7.5 лярдов никто не будет тратить, чтоб просто поднасрать open-source'у, тем более что есть куча альтернатив, худшее, что они сделают, это испоганят интерфейс, введут какие-то ограничения или идиотские правила.
Если в мессенджере есть защита от спама, то она точно так же может работать и на шлюзе. Не вижу принципиальной разницы между фильтрацией сообщений собственных клиентов и сообщений «со стороны».
Оно будет работать, но не так хорошо, разница в том, что про «пришельцев» мы не знаем ничего, кроме ника и их истории в нашем мессенджере, писал тут об этом: habr.com/post/412985/?reply_to=18731265#comment_18731507
Ну и конечно под них нужно место в БД, но это не будет проблемой для крупных мессенджеров вроде телеграма.
В клиент — только для адреса, клиент не должен отсылать ничего никуда, кроме своего сервера (где он авторизован), а уже сервер отсылает шлюзу «это от Иванова, ручаюсь».
Это не отменяет кучу работы на сервере и всё равно некоторую на клиенте.
Какая проблема спама? Отсылает основной сервер на шлюз, отсылает спам — получает отлуп, много отлупов — начинает смотреть за спамом, не начинает смотреть — отключается, как SMTP-сервера спамеров, с которых уже никто приличный не принимает соединений (только тут помимо просто создания сервера нужно ещё объявить о себе на шлюзе).
Проблема с тем, что в стороннем мессенджере могут быть пользователи maria, boris и nikita и сторонний мессенджер может узнать, что boris спамер, например увидев, что он внутри этого мессенджера рассылает спам, на который жалуются пользователя, мой мессенджер не может знать ничего кроме их никнеймов(или других идентификаторов), следовательно, если сторонний мессенджер не заботится о проверке пользователей на спам, мой этого сделать не может аж никак и если в том мессенджере регистрация очень простая(можно автоматизировать), это становится проблемой, да можно при обнаружении массового спама отрубить весь мессенджер, но это не отменит того, что на какое-то время у пользователей будут проблемы из-за спамеров с другого мессенджера.
Также можно ставить у себя спам фильтр, но новых пользователей(которые до этого не общались с пользователями из моего мессенджера) он не отфильтрует, т.к. не знает о них ничего и спам фильтр — это не такая уж и простая система, если он уже есть, то можно как-то костылями прибить туда и пользователей с другого мессенджера, но это опять же работа. И подобных мелочей возникнет ещё немало.
Вот откуда такая привычка читать только часть комментария, я писал про шлюзы и какие с ними возникают проблемы, это только на первый взгляд так вот просто сделать, на деле же нужно добавлять костыли в каждый из клиентов мессенджера(в случае с телеграмом 8), плюс к этому добавлю проблему спама, т.к. если другой мессенджер не следит за этим, то спамеры смогут создавать проблемы и пользователям моего мессенджера, добавляясь ко всем в контакты или сразу посылая сообщения(если добавление в контакты не требуется), ну и конечно могут потребоваться серьёзные изменения на серверной стороне.
Можно не запрещать (не нужно запрещать), можно какие-то преференции дать поддерживающим, типа ведение госканалов информации только в поддерживающих.
Если так, то не вижу особых проблем, кто хочет, тот делает и решает возникшие при этом проблемы, если не хватает времени/сил/желания, не делает, тут просто топили за то, чтобы принуждать мессенджеры, а это крайне плохая затея.
Я не представляю, как сделать серверный рендеринг страниц, зависящих от пользователя, вроде списка моих комментариев, например, но оно вроде и не надо особо.
Я не говорил, что это гарантия, но это усложняет работу спамерам/ботам, способы есть, но они сложнее и дороже, чем если бы номера не было(например email и капча) и также в некоторых сервисах нужно авторизоваться по смс, что накладывает сложности(т.е. аренда номера не подходит).
что им мешает единоразово несколько центов в спамбота вложить
Пока не забанят этот акк, а потом вложить ещё раз и это опять же только аренда, если нужен постоянный доступ к номеру, всё сложнее.
А почему сразу выкинуть? Речь не об отказе от собственных плюшек. Речь о возможности послать простое сообщение пользователю другого мессенджера. Все.
Читай весь комментарий, а не только часть, я писал про шлюзы и какие возникают проблемы, это только на первый взгляд так вот просто сделать, на деле же нужно добавлять костыли в каждый из клиентов мессенджера(в случае с телеграмом 8), плюс к этому добавлю проблему спама, т.к. если другой мессенджер не следит за этим, то спамеры смогут создавать проблемы и пользователям моего мессенджера, добавляясь ко всем в контакты или сразу посылая сообщения(если добавление в контакты не требуется), ну и конечно могут потребоваться серьёзные изменения на серверной стороне.
Бесплатных мало и на всех спамеров не хватит, а платные дороже капчей, сильно, да и каждый раз платить за аренду нового номера, чтоб залогиниться(если сессия сбросилась), такое себе решение. Да и вредить могут не только спамеры, а например, если внутри сервиса есть опросы, то номера показывают более реальных пользователей, чем капча.
Лично я бы в своём проекте в первую очередь рассматривал такую схему: регистрироваться можно без особых проблем по email(или даже без него), но аккаунт считается недоверенным, с кучей ограничений(некоторые функции вроде опросов могут и вовсе не работать), подтверждение мыла делает его чуть более доверенным, также другие факторы вроде например случайной кнопки «я не бот» при загрузке первой страницы сайта, чтоб отсеять совсем тупых ботов, не умеющих рендерить js или даже рекапчи. Привязанный номер телефона также может служить показателем «реальности» пользователя, уменьшая ограничения, но при этом нельзя принуждать привязывать номер, как это делают соцсети вроде вк(по крайней мере раньше можно было иметь акк с не привязанным номером, но капча на каждый чих). Ну и естественно везде лимиты, для менее доверенных пользователей они выше и лимиты действуют и на IP и на пользователя. Ещё подозрительными бы считал пользователей, которые заходят из тора или с прокси(у меня есть база в 300к IP бывших когда-либо проксями и до 5к рабочих в зависимости от времени суток), прокси с некоторой вероятностью говорит, что это может быть бот, но не обязательно, т.к. это может быть вирус у пользователя, также помогут в борьбе с ботами и спамерами отпечатки браузера. Но это довольно сложная схема, которую не все захотят делать и не у всех есть время.
поддерживаю, на моём калькуляторе(pentium 3825U, 2Gb оперативки) достаточно открыть вкладок 5 и всё начинает тормозить, с нормальными же сайтами таких проблем нет.
Оно будет работать, но не так хорошо, разница в том, что про «пришельцев» мы не знаем ничего, кроме ника и их истории в нашем мессенджере, писал тут об этом:
habr.com/post/412985/?reply_to=18731265#comment_18731507
Ну и конечно под них нужно место в БД, но это не будет проблемой для крупных мессенджеров вроде телеграма.
Это не отменяет кучу работы на сервере и всё равно некоторую на клиенте.
Проблема с тем, что в стороннем мессенджере могут быть пользователи maria, boris и nikita и сторонний мессенджер может узнать, что boris спамер, например увидев, что он внутри этого мессенджера рассылает спам, на который жалуются пользователя, мой мессенджер не может знать ничего кроме их никнеймов(или других идентификаторов), следовательно, если сторонний мессенджер не заботится о проверке пользователей на спам, мой этого сделать не может аж никак и если в том мессенджере регистрация очень простая(можно автоматизировать), это становится проблемой, да можно при обнаружении массового спама отрубить весь мессенджер, но это не отменит того, что на какое-то время у пользователей будут проблемы из-за спамеров с другого мессенджера.
Также можно ставить у себя спам фильтр, но новых пользователей(которые до этого не общались с пользователями из моего мессенджера) он не отфильтрует, т.к. не знает о них ничего и спам фильтр — это не такая уж и простая система, если он уже есть, то можно как-то костылями прибить туда и пользователей с другого мессенджера, но это опять же работа. И подобных мелочей возникнет ещё немало.
Если так, то не вижу особых проблем, кто хочет, тот делает и решает возникшие при этом проблемы, если не хватает времени/сил/желания, не делает, тут просто топили за то, чтобы принуждать мессенджеры, а это крайне плохая затея.
вот не обязательно, никто ж не будет признаваться в бекдоре
ну, почти никто) Тем более, что баг в статье более серьёзный, чем мастер пароль, который ещё нужно угадать.
Пока не забанят этот акк, а потом вложить ещё раз и это опять же только аренда, если нужен постоянный доступ к номеру, всё сложнее.
Может стоит читать комментарии, на которые отвечаешь?
Читай весь комментарий, а не только часть, я писал про шлюзы и какие возникают проблемы, это только на первый взгляд так вот просто сделать, на деле же нужно добавлять костыли в каждый из клиентов мессенджера(в случае с телеграмом 8), плюс к этому добавлю проблему спама, т.к. если другой мессенджер не следит за этим, то спамеры смогут создавать проблемы и пользователям моего мессенджера, добавляясь ко всем в контакты или сразу посылая сообщения(если добавление в контакты не требуется), ну и конечно могут потребоваться серьёзные изменения на серверной стороне.
Лично я бы в своём проекте в первую очередь рассматривал такую схему: регистрироваться можно без особых проблем по email(или даже без него), но аккаунт считается недоверенным, с кучей ограничений(некоторые функции вроде опросов могут и вовсе не работать), подтверждение мыла делает его чуть более доверенным, также другие факторы вроде например случайной кнопки «я не бот» при загрузке первой страницы сайта, чтоб отсеять совсем тупых ботов, не умеющих рендерить js или даже рекапчи. Привязанный номер телефона также может служить показателем «реальности» пользователя, уменьшая ограничения, но при этом нельзя принуждать привязывать номер, как это делают соцсети вроде вк(по крайней мере раньше можно было иметь акк с не привязанным номером, но капча на каждый чих). Ну и естественно везде лимиты, для менее доверенных пользователей они выше и лимиты действуют и на IP и на пользователя. Ещё подозрительными бы считал пользователей, которые заходят из тора или с прокси(у меня есть база в 300к IP бывших когда-либо проксями и до 5к рабочих в зависимости от времени суток), прокси с некоторой вероятностью говорит, что это может быть бот, но не обязательно, т.к. это может быть вирус у пользователя, также помогут в борьбе с ботами и спамерами отпечатки браузера. Но это довольно сложная схема, которую не все захотят делать и не у всех есть время.