Quando os bots atacam!

Quais são alguns methods populares de prevenção de spam além do CAPTCHA?

Eu tentei fazer ‘honeypots’ onde você coloca um campo e depois o esconde com CSS (marcando como ‘deixar em branco’ para qualquer pessoa com folhas de estilo desativadas), mas eu descobri que muitos bots são capazes de passar rapidamente. Há também técnicas como definir campos para um determinado valor e alterá-los com JS, calcular os tempos entre o tempo de carregamento e o tempo de envio, verificar o URL do referenciador e um milhão de outras coisas. Todos eles têm suas armadilhas e praticamente tudo o que você pode esperar é filtrar o máximo que puder com eles, sem deixar de lado quem você está aqui: os usuários.

No final do dia, porém, se você realmente não quer que os bots enviem as coisas através do seu formulário, você vai querer colocar um CAPTCHA nele – o melhor que eu já vi que cuida de principalmente tudo é reCAPTCHA – mas graças ao mercado de soluções CAPTCHA da Índia e à criatividade dos spammers em todos os lugares que nem sequer são bem-sucedidos o tempo todo. Eu ficaria atento ao uso de algo que é ‘engenhoso’, mas meio que ‘lá fora’, pois seria mais um ‘wtf’ para usuários que estão, pelo menos, um pouco acostumados com seus CAPTCHAs usuais.

Chocante, mas quase todas as respostas aqui incluíam alguma forma de CAPTCHA. O OP queria algo diferente, acho que talvez ele quisesse algo que realmente funcionasse e talvez até resolvesse o verdadeiro problema.
CAPTCHA não funciona, e mesmo se isso acontecesse – é o problema errado – os humanos ainda podem inundar o seu sistema, e por definição o CAPTCHA não vai parar com isso (porque é projetado apenas para saber se você é humano ou não – não que faz isso bem …)

Então, quais outras soluções existem? Bem, isso depende … do seu sistema e das suas necessidades. Por exemplo, se tudo o que você está tentando fazer é limitar quantas vezes um usuário pode preencher um formulário “Fale comigo”, você pode limitar quantas solicitações cada usuário pode enviar por hora / dia / o que for. Se seus usuários são anônimos, talvez você precise regularizar de acordo com os endereços IP e, ocasionalmente, colocar um IP na lista negra (embora isso também possa ser evitado e cause outros problemas).
Se você está se referindo a um fórum ou blog comentários (como este), bem, quanto mais eu uso, mais eu gosto da solução. Uma mistura entre usuários autenticados, autorização (baseada na reputação, que provavelmente não será acumulada por inundação), afogamento (quantos você pode fazer por dia), o CAPTCHA ocasional e, finalmente, moderação da comunidade para limpar os poucos que passarem. para fornecer uma solução decente. (Eu me pergunto se Jeff pode fornecer algumas informações sobre o quanto spam e outros malposts realmente passam …?)

Outro controle a considerar (não sei se eles têm isso aqui), é alguma forma de IDS / IPS – se você pode detectar e reconhecer spam, você pode bloquear esse padrão. A moderação preenche essa necessidade manualmente, aqui …

Observe que qualquer um deles não evita o spam, mas reduz a probabilidade e, consequentemente , a lucratividade. Isso muda a equação econômica e deixa o CAPTCHA para realmente fornecer valor suficiente para valer a pena – já que não vale mais para os spammers se incomodarem em quebrá-lo ou contorná-lo (graças aos outros controles).

Dê ao usuário a possibilidade de calcular:

Qual é a sum de 3 e 8?

By the way: Apenas surfou por uma abordagem interessante da Microsoft Research: Asirra.

http://research.microsoft.com/asirra/

Ele mostra várias fotos e você precisa identificar as imagens com um determinado motivo.

Experimente o Akismet

Captchas ou qualquer forma de perguntas somente humanas são horríveis de uma perspectiva de usabilidade. Às vezes eles são necessários, mas eu prefiro matar spam usando filtros como o Akismet.

O Akismet foi originalmente criado para impedir comentários de spam em blogs do WordPress, mas a API é capaz de ser adaptada para outros usos.

Atualização : Começamos a usar a biblioteca Ruby Rakismet em nosso aplicativo Rails, Yarp.com . Até agora, tem trabalhado muito bem para frustrar os robôs de spam.

Um método muito simples que não sobrecarrega o usuário é apenas desativar o botão de envio por um segundo após a página ter sido carregada. Eu usei em um fórum público que tinha posts contínuos de spam, e os parou desde então.

Ned Batchelder escreveu uma técnica que combina hashes com honeypots para uma prevenção de bots maliciosamente eficaz. Não captchas, apenas código.

É para parar spambots com hashes e honeypots :

Em vez de parar os bots fazendo com que as pessoas se identifiquem, podemos parar os bots dificultando que eles façam um post bem-sucedido, ou fazendo com que eles se identifiquem inadvertidamente como bots. Isso elimina o fardo das pessoas e deixa o formulário de comentários livre de medidas anti-spam visíveis.

Esta técnica é como eu evito spambots neste site. Funciona. O método descrito aqui não analisa o conteúdo. Ele pode ser aumentado com prevenção baseada em conteúdo, como o Akismet, mas acho que funciona muito bem por si só.

http://chongqed.org/ mantém listas negras de fonts ativas de spam e os URLs sendo anunciados nos spams. Eu encontrei posts de filtragem para o último ser muito eficaz em fóruns.

Os mais comuns que eu observei orientam em torno da input do usuário para resolver quebra-cabeças simples, por exemplo, a seguinte é uma imagem de um gato. (exibindo fotos de miniaturas de cães ao redor de um gato). Ou simples problemas de matemática.

Embora interessante, tenho certeza de que a corrida armamentista também sobrecarregará esses sistemas.

Você pode usar o Recaptcha para pelo menos tornar um captcha útil. Então você pode fazer perguntas com problemas simples de matemática verbal ou similar. Asirra da Microsoft faz você encontrar fotos de cães e gatos. A exigência de um endereço de e-mail válido para ativar uma conta impede os remetentes de spam quando eles não obtêm benefícios suficientes do serviço, mas também podem dissuadir os usuários normais.

O que se segue é inviável com a tecnologia atual, mas não acho que seja muito longe. Também é provavelmente um exagero para lidar com o spam no fórum, mas pode ser útil para cadastros de contas, ou qualquer situação em que você queria ter certeza de que estava lidando com humanos e eles estariam preparados para levar alguns minutos para concluir o processo. processo.

Ter 2 usuários que estão tentando se provar humanos se conectarem através de suas webcams e perguntar se a pessoa que eles estão vendo é humana e viva (isto é, não uma gravação), fazendo-os, por exemplo, espelhar os movimentos uns dos outros ou escreva algo em um pedaço de papel. Faça com que todos façam isso algumas vezes com usuários diferentes, e jogue algumas gravações no mix que eles também precisam identificar corretamente.

Um método popular em fóruns é simplesmente enfileirar os segmentos de membros com menos de 10 postagens em uma fila de moderação. Claro, isso não ajuda se você não tiver moderadores ou não for um fórum. Um método mais geral é o cálculo de relações de hiperlink para texto. Muitas vezes, os posts de spam contêm uma tonelada de hiperlinks, e você pode pegar muito dessa maneira. Na mesma linha está comparando o conteúdo de posts consecutivos. Simplesmente não permita postagens consecutivas que sejam extremamente semelhantes.

Naturalmente, qualquer pessoa com conhecimento das medidas que você tomar será capaz de contorná-las. Para ser honesto, há pouco que você pode fazer se você for alvo de um ataque específico. Em vez disso, você deve se concentrar na prevenção de ataques mais gerais e não qualificados.

Para moderadores humanos, certamente ajuda a encontrar e excluir facilmente todas as postagens de algum IP, ou todas as postagens de algum usuário, se o bot for esperto o suficiente para usar uma conta registrada. Da mesma forma, a opção de bloquear facilmente endereços IP ou contas por algum tempo, sem administração adicional, diminuirá a carga administrativa para os moderadores humanos.

Usando cookies para fazer bots e spammers humanos acreditarem que sua postagem é realmente visível (enquanto apenas eles mesmos a vêem) impede que eles (ou trolls) alterem as técnicas. Deixe que os spammers e os trolls vejam as outras mensagens de spam e trolls.

Técnicas de avaliação de Javascript como este sistema Captcha Invisível exigem que o navegador avalie o Javascript antes que o envio da página seja aceito. Ele retrocede muito bem quando o usuário não tem o Javascript habilitado apenas exibindo um teste CAPTCHA convencional.

Os captchas animados – texto de rolagem – ainda são fáceis de reconhecer por humanos, mas se você se certificar de que nenhum dos frames ofereça algo completo para reconhecer.

pergunta de múltipla escolha – basta um ______ e um sorriso. A ideia aqui é que o usuário terá que escolher / entender.

variável de session – verificando se uma variável inserida em uma session faz parte da solicitação. vai frustrar os robôs idiotas que simplesmente geram solicitações, mas provavelmente não os bots que são modelados como um navegador.

questão de matemática – 2 + 5 = – isso novamente é fazer uma pergunta que é fácil de resolver, mas impede a habilidade de bots de gerar uma resposta.

grade de imagem – você cria uma grade de imagens – selecione 1 ou 2 de um tipo específico, como uma imagem de grade de 3×3 de animais e você tem que escolher todas as aves na grade.

Espero que isso lhe dê algumas ideias para a sua nova solução.

Um amigo tem o método anti-spam mais simples e funciona.

Ele tem uma checkbox de texto personalizada que diz “por favor digite o número 4”.

Seu blog é bastante popular, mas ainda não é popular o suficiente para os bots descobrirem (ainda).

Por favor, lembre-se de tornar sua solução acessível para aqueles que não usam navegadores convencionais. A multidão do iPhone não deve ser ignorada, e aqueles com problemas visuais e cognitivos também não devem ser excluídos.

Os honeypots são um método eficaz. Phil Haack dá um bom método honeypot , que poderia ser usado em princípio para qualquer fórum / blog / etc.

Você também pode escrever um rastreador que segue links de spam e analisa sua página para ver se é um link genuíno ou não. O mais óbvio seria páginas com uma cópia exata do seu conteúdo, mas você poderia escolher outros indicadores.

Moderação e lista negra, especialmente com plugins como esses para o WordPress (ou o que você estiver usando, software similar está disponível para a maioria das plataformas), funcionará em um ambiente de baixo volume. Se o seu ambiente é de baixo volume, não subestime a vantagem que isso lhe dá. Pessoalmente, decidir o que é conteúdo razoável e o que não é, oferece a máxima flexibilidade no controle de spam, se você tiver tempo.

Não se esqueça, como outros salientaram, que os CAPTCHAs não estão limitados ao reconhecimento de texto de uma imagem. Associação visual, problemas de matemática e outras questões não subjetivas transmitidas por meio de uma imagem também se qualificam.

Sblam é um projeto interessante.

Campos de formulário invisíveis. Faça um campo de formulário que não apareça na canvas para o usuário. usando display: none como um estilo css para que ele não apareça. Por questões de acessibilidade, você poderia até mesmo colocar texto oculto para que as pessoas que usam leitores de canvas soubessem não preenchê-lo. Os robôs quase sempre preenchem todos os campos, para que você possa bloquear qualquer postagem que preencha o campo invisível.

Bloqueie o access com base em uma lista negra de endereços IP de spammers.

As técnicas de Honeypot colocam uma forma de chamariz invisível no topo da página. Os usuários não vêem e enviam o formulário correto, os bots enviam o formulário errado que não faz nada ou bane seu IP.

Eu vi algumas idéias interessantes ao longo das linhas de Asira, que pedem para você identificar quais fotos são gatos. Eu acredito que a ideia surgiu de KittenAuth há um tempo atrás.

Use algo como o rotulador de imagens do google com imagens apropriadamente escolhidas, de modo que um computador não seja capaz de reconhecer as características dominantes que um ser humano poderia ter.

O usuário mostraria uma imagem e teria que digitar palavras associadas a ela. Eles continuariam sendo mostrados imagens até que tivessem typescript palavras suficientes que concordassem com o que usuários anteriores haviam typescript para a mesma imagem. Algumas imagens seriam novas que não estavam sendo testadas, mas foram incluídas para registrar quais palavras estão associadas a elas. Dependendo do seu público, você também pode escolher imagens que só eles reconheceriam.

Mollom é supostamente bom em parar o spam. Ambas as versões pessoal (gratuito) e profissional estão disponíveis.

Eu sei que algumas pessoas mencionaram o ASIRRA, mas se você for a todos os links de adoção das imagens, ele dirá na página relacionada se é um gato ou um cachorro. Por isso, deve ser relativamente fácil para um bot ir a todos os links do adote. Então é só uma questão de tempo para esse projeto.

basta verificar o endereço de e-mail e deixar o Google / Yahoo etc. se preocupar com isso

Você pode obter algum software de identificação de dispositivo. O 41 tem algum software de prevenção de fraude que pode detectar o hardware sendo usado para acessar seu site. Acredito que eles o usam para capturar fraudadores, mas poderiam ser usados ​​para parar bots. Depois de identificar um dispositivo sendo usado por um bot, basta bloquear esse dispositivo. A última vez que verificou, pode até traçar a sua rota através da rede telefónica (não o seu Geo-IP !!), pelo que pode até bloquear um código postal, se assim o desejar.

É caro por isso prop. uma solução melhor e mais barata que é um pouco menos grande irmão.

    Intereting Posts