Еще один горе-Кулибин
6 February 2007 | Рубрика: PrimaryВсе хотят произвести революцию, но таким хотелкиним еще бы не помешало желание не облажаться.
Некий Damien Katz предлагает метод борьбы со спамом под азванием “CAPTCHA наоборот” и тут же демонстрирует всю глубину своего непонимания того, как работают спам-боты.
Damien Katz предложил бороться со спамом при помощи CSS. Для этого, говорит он, нужно использовать поле ввода email, скрытое от пользотателя средствами CSS. Когда человек заполнит форму, скрытое поле он заполнить не сможет, оно будет пустое. Но, если форму заполнит бот, он вставит в это поле какой-нибудь текст(он ведь не узнает, что это поле скрыто) и засабмитит её.
А почему CSS? Почему не Javascript, например? C помощью JS можно придумать антиспам штук больше чем всего ботов существует. Например, можно динамически создавать форму при помощи JS - тогда в оригинальном документа формы вообще не будет - она появится после того, как загрузится документ. Еще метод с JS - таймер, но он не попадает ни в какое сравнение с серверным таймером, когда вычисляется время между моментом выдачи документа и моментом отправки формы ((С) SpamKarma) - ясно, что бот делает все оочень быстро и его легко вычислить. Много методов я могу придумать просто болтая с любым из вас прямо сдесь и все они в 99,9% случаев будут рабочими (универсального механизма еще не придумали). То, что предложил автор - больше чем чушь. Простой и самый актуальный пример - блоги. Бот знает все поля, которые есть, которые вводить обязательно и которые вводить не обязательно. Бот заполнит name, e-mail и URL, а на скрытое поле даже не посмотрит. Куда более эффективнее в защите блогов простое переименование полей формы и тогда, если запретить трекбеки во всех записях, антиспам-плагины можно удалять (проверено).
February 6th, 2007 10:55 pm
ты все-таки не переоценивай js. если существует группа ресурсов на одном движке, которая представляет повышенный интерес, прикрутить к спам-боту поддержку этих ресурсов будет не так уж затратно, если спам-бот написан, что называется, с умом.
Короче, js-машина нынче не такая уж роскошь, чтобы js мог представлять реальную защиту от спама, не требуя при этом относительно изощренных действий от пользователя.
Кстати, лучшая разновидность капчи, которую я видел, просила кликнуть по четырем небольшим фотографиям из девяти, на которых были изображены девушки (на остальных - мальчики).
February 7th, 2007 9:54 am
С помощью js можно распознавать живых людей. Может хочешь посоперничать? Я делаю защиту, а ты ее попытаешься обойти ботом. Но бот должен не просто быть заточен под мою защиту, а как бы уметь ее обходить.
February 7th, 2007 4:04 pm
>простое переименование полей формы
нихрена не работает… как сыпался спам так и сыпецца
February 7th, 2007 4:26 pm
Number One , а ты трекбеки отмени во ВСЕХ записях и проверь снова
February 7th, 2007 4:28 pm
не, трекбеки - это важно…
February 8th, 2007 3:23 pm
А тебе не помешало бы читать такие посты внимательнее, прежде чем поливать автора грязью. Ты этим показываешь себя не с лучшей стороны.
Во-первых, автор не трубил вокруг “Сенсация! Я, великий гений, изобрёл панацею от спама!”, а просто скромно поделился небольшим трюком, который успешно применяет на своём сайте. Ты бы на него посмотрел хотя бы - именно в таких случаях трюк работает отлично.
Во-вторых, никто не говорил, что его стоит использовать вместо других проверенных приемов, а не совместно - например, совместно с тем же переименованием полей этот трюк начинает здорово работать - бот видит поле “email”, которое обычно стоит в стандартных блоговых движках, и заполняет его, а вот юзер видит в качестве поля для e-mail переименованное поле.
Ты же, не разобравшись как следует, что хотел сказать Дэниел, но сразу начал сыпать оскорблениями (”горе-Кулибин”, “хотелкин”, “облажался”, “демонстрирует глубину непонимания” етс.). А ты подумал, что этим ты оскорбляешь не только его, но и всех людей, которые успешно используют эту технику? Среди них, между прочим, Юра Артюх - человек, который стоит на первом месте твоего блогролла. Он сам мне о ней недавно говорил.
Предлагаю публично извиниться. :)
February 8th, 2007 4:35 pm
Mourner, значит Юра Артюх тоже не отличается пониманием того, как работают роботы. И Вы не предъявили ни одного веского аргумента в защиту идеи. То, что Юра применяет этот метод и доволен результатом говорит о том, что он тоже переименовал настоящее поле email. И с точки зрения “спам-робототехники” переименованное поле “email” - это значит его отсутствие, а наличие рядом фальшивого поля говорит только об одном - “в html коде какая-то лишняя фигня”.
February 8th, 2007 5:07 pm
Предьяви доказательства своих столь глубоких познаний в спамробототехнике :) Переименование поля мне как раз не помогло. Простые боты которые курлом отправляют запрос на /wp-comments.php со всеми нужными переменными - позапрошлый век.
Но у всех свои боты..
February 8th, 2007 5:10 pm
Дабы не быть голословным:
http://www.nedbatchelder.com/text/stopbots.html
February 8th, 2007 5:12 pm
В предыдущем комментарии я говорил о морально-этических нормах, внимательности и уважении чужого мнения, а не технической стороне спам-защиты. Это куда важнее в контексте данного поста, я считаю.
Но раз так ты хочешь, хорошо, давай об этом.
Подавляющее большинство ботов, различающих поля по смыслу, делают это по его названию (теоретически могут и по label for, но таких я не встречал). Если “фальшивое” поле имеет name=”email”, у такого бота нет средств для определения его фальшивости - он просто его заполняет и идёт дальше.
Есть еще другой класс ботов - заполняющие всё подряд. Именно такие действовали на сайте, о котором говорил Кац - там на формах нет поля email в принципе, - только Subject, Message и Name. А вот в коде оно есть и все боты его заполняют.
February 8th, 2007 5:29 pm
Ок. Вы меня победили :-) Скажите спасибо http://www.nedbatchelder.com/text/stopbots.html
:-)
А метод от Damien’a в чистом виде таки плох.
February 8th, 2007 6:50 pm
Обрати внимание. Он подразумевал переименование полей - об этом говорит эта фраза и то, как это реализовано на том сайте.
Так что ни о каком “чистом виде” речи не идёт - ты просто его неправильно понял, признай.
February 9th, 2007 6:05 pm
Вот кстати смотри какую книжку интересную нашёл. :)