Komentářový spam, jak se bráníte?

[fr33k]

Zajimavy clanek k tematice - http://blog.synopsi.com/2008-02-26/g...esne-prelomena (nejedna se o prakticke reseni, jen uvahy o prolomeni capchy).

Capchy jako uzivatel bytostne nesnasim, u nekterych mam uspesnost mensi nez robot

[Jey]

musim podotknout, ze captchu take bytostne nesnasim. posledni dobou navic hojne pribyva webu, kdy se ty znaky musi doslova a do pismene lustit a i kdyz dobre vidim, tak u toho fakt dost casto jsem na nervy. pritom takova blbost, ale ty vygenerovane zacmarane znaky kolikrat nejdou rozumne precist.

http://hanspaulka.wz.cz/index.php?forum

na svem webu jsem z javascriptem predvyplneneho a stejne tak i javascriptem schovaneho pole ve formulari(reseni jsme zde popisoval a nekteri z vas ho i pouzili) presel na vygenerovani 5mistneho cisla a nuceni navstevniku ho opsat do pole vedle. myslim, ze si to mohu dovolit. captcha je dneska temer vsude a to i v daleko mene uzivatelsky prijemnych podobach. rozumny navstevnik to pochopi. navic u me je to user friendly, ze se nemusi znaky lustit z obrazku, ktery by byl jeste zacmarany, ale generuji se jako text. myslim ze hodne dlouho nebudou existovat roboty ktere by vedely co s tim. na mojem webu to asi louskat nikdo nebude. ale samo chapu, ze treba pro google je toto me reseni nepouzitelne.

[pavelch]

Připíšu pár poznámek o tom, jak se chovají moji známí komentářoví roboti, kteří se snaží zasvinit moje diskusní fóra:

1. Prvotní GET na zadávací form přichází s prázdným "referer", kdežto lidský vstup má vždy regulérně referer=stránka s odkazem "vložit příspěvek".

2. POST následuje vždy do max. 15 sekund (typicky 2-7), člověk potřebuje alespoň minutu na vyplnění formuláře, i kdyby měl text připravený a jen ho tam vlepil ze schránky. Referer je zde už správně z předchozího GETu.

3. Jestliže je tento POST odmítnut (chyba při opsání verifikačního kódu apod.) a stránka obsahuje také form, následuje do 15 sekund další POST. Jestliže je spolehlivě detekován spambot a na stránce už není form, ale jen text a odkaz "pokračuj", je tento odkaz také následován do 15 sekund. Další pokusy už nedělá.

5. Obsah textu: vždy je tam alespoň jeden odkaz <A href=..., obvykle ale až pět.

6. IP: spamy chodí vždy z různých IP, asi aby se nemohly zabanovat. Tyhle IP jsou většinou obsaženy v různých blacklistech jako open proxy. Mnohdy také přijde sekvence GET-POST-POST ze vzájemně různých IP.

7. Spambot si nedělá vrásky s JavaScriptem, který by případně skrýval falešné ovládací prvky nebo nastavoval jejich hodnotu apod. Styly, které by je skrývaly, jsem nezkoušel, ale nejspíš na ně ten spambot také ignoruje.

8. V textu nebylo použito žádné slovo ze slovníku, který uvádí Smitka (viz příspěvek výše, 27.1.200.

Z toho je patrné, že můj spambot je nejspíš jen jeden, a hodně hloupý.
Protože mám snahu příliš nebuzerovat uživatele opisováním nějakých nesmyslů nebo je zkoušet z násobilky, koketuji s myšlenkou identifikovat robota na základě uvedených vlastností. Z toho je asi zásadní především existence odkazu v textu - spam bez odkazu totiž nemá zřejmě vůbec smysl.

Jako schůdný mi vychází tento scénář:
- zpočátku nabídnout formulář bez verifikace, pokud v požadavku bude korektní referer, jinak ještě přidat Captchu nebo něco podobného. Dotaz na open-relay databáze by se taky dal udělat, ale bojím se, že by to bylo časově náročné.
- pokud bude v textu odkaz, pokračovat potvrzením, ve kterém už bude Captcha, jinak ho normálně zpracovat.

Celkově mám dojem, že účelem tohoto spamu ani tak není přimět čtenáře ke kliknutí, jako zvyšovat skóre v Googlu.

[Smitka]

Tak ze slovníku muselo být uvedeno minimálně http

Jinak prozatím mi moje nová trojitá ochrana drží a ke zpracování pomocí slovníku se zatím nic nedostalo, což mě prozatím těší, ale musím zaklepat

Na mojich stránkách řádí boti a ti referal vyplňují korektně takže to na univerzální ochranu nelze použít.

Capcha mi poslední dobou přijde dost šílená, čím dál více toho prostě nerozluštím...

[pavelch]

HTTP ze slovníku: jo, jasně, to tam je, já mám detekci odkazu jinde.
Už se mi taky spamy na ten slovník chytly, předtím jsem měl málo vzorků.
Slovník jsem ještě doplnil: horny, ephedrine, dude, topless
Taky jsem (provizorně) zahodil Captchu a dělám to tak, že když příspěvek nasbírá "tutové" skóre z těchto faktorů:
- nekorektní referer
- POST následuje po GET dříve než 15 s
- slovník
- existence odkazu v textu
tak ho zahodím. Když nasbírá skóre "pravděpodobně", tak ho zapíšu s příznakem "Nezobrazovat", do textu dalšího kroku, kde normálně je "děkujeme za zaslání příspěvku.." taky červeně napíšu něco ve smyslu "příspěvek bude zobrazen až po kontrole moderátorem" a pošlu si e-mail. Na tom budu pár dní ladit váhy pro skóre a pak se uvidí, jak to funguje.
Další zajímavá věc: zkoušel jsem odkazy v těch spamech a ejhle: na 90% z nich dostanu 404 not found...

[Camillek]

...
- POST následuje po GET dříve než 15 s

Dal bych tam alespoň nějaké textové upozornění, že pokud na to klikne do 15 vteřin, tak se to zahodí. Nejlépe pomocí JS do odesílacího buttonu --- počkejte ještě [7s]... Očas se to prostě stát může, že někdo bude rychlejší než 15s. Samozřejmě, že to nebude blokovat to tlačítko... ...I když... proč ne, že?

[lepermessiah]

mne funguje skryta kontrolna otazka, presne tak to mam ako Jey... a odkedy to mam tak ziadny spam. niekde som cital ze boti JS nevidia, a ziaden bot asi nebude vymyslat retazec aaa111

[ripper]

Dal bych tam alespoň nějaké textové upozornění, že pokud na to klikne do 15 vteřin, tak se to zahodí. Nejlépe pomocí JS do odesílacího buttonu --- počkejte ještě [7s]... Očas se to prostě stát může, že někdo bude rychlejší než 15s. Samozřejmě, že to nebude blokovat to tlačítko... ...I když... proč ne, že?

Timeout na submit tlačítko jsem taky zkoušel, myslím na 10s, ale něco tím proklouzlo a přišlo mi, že pro člověka (zvlášť, pokud na ty stránky chodí často) je to zas už moc... S filtrem na poměr počtu odkazů a celkového textu jsem zatím docela spokojen.