[AMBA]

Обнаружил ещё один интересный случай прорыва.. На вопрос введён ответ:

крыша

боты отвечают

ĸpƅiшa

и регистрируются. Для модуля это абсолютно идентичные слова??

[Борис Бердичевский]

На оставшиеся мои вопросы уже долгое время боты не дают правильных ответов!

[Петрович]

Garret_Dark писал(а):Петрович, общепризнанный факт.

Тогда мне кажется несколько странным использование рекапчи на офф.сайте. Не могут найти решение эффективнее?

[МайскийЖук]

Не могут найти решение эффективнее?

Нет. Просто то, что у некоторых «общепризнанный факт», у других людей вызывает сомнения. Вот и все. Некоторые люди просто привыкли расписываться за всех.

[MAzZY]

Вот еще неплохая штука - http://notcaptcha.webjema.com/
Не знаю, есть ли мод такой для phpbb

[Петрович]

Петрович писал(а):Там из нескольких частей картинок требовалось собрать целый рисунок.

Сайт заработал, и теперь я увидел что это key-captcha. Насколько этот инструмент будет эффективен? Кто-нибудь пользовался?
MAzZY, это которая отображается при добавлении коммента? Хм, забавно, такого не встречал.

[djalin]

Может я ошибаюсь но ИМХО бан (или черные списки) по урлах более ефективен -причем обязательно временный -так как хоть раз в год но домен могут продать.

[Борис Бердичевский]

Уже довольно длительное время наши форумы хорошо защищены от ботов.
Анализ ответов показывает, что боты не пытаются отвечать на вопросы, ища ответы в гугле, а в лучшем случае идут "на дело" с кокретным заготовленным ответом, может, пройдёт!

[pwn_st]

Mr. Anderson писал(а):

MAzZY писал(а):Еще один форум видел специализированный, но сейчас не найду его

http://monitor.net.ru/forum/profile.php ... greed=true же?

Идея хороша, но не без изъяна. В чем он? капча и вопросник отдаются на одной странице, а значит оба доступны для анализа. Есть такая поговорка, что хуже спама может быть только борьба со спамом, и она верна на все сто если такая борьба проводиться тупо. Допустим мы усложняем встроенную GD капчу до состояния когда ни один спамбот не сможет ее разобрать. Что получается? Пользователи также нифига не могут понять что там реально в этом мусоре, но боты один фиг пролазят, ибо вероятность разобрать эту капчу для бота все равно не нулевая. И вот тут как раз стоит поговорить про такой раздел математики, как теория вероятности. Усложняя капчу, мы лишь линейно уменьшаем вероятность ее подбора, но в прогрессии увеличиваем количество ошибок пользователя. В итоге для него регистрация либо вход становятся пыткой. Далее - берем и усложняем форму регистрации дополнив ее вопросником (пусть даже не узкопрофильным как в примере) - вопросник также доступен боту, и защищенность формы есть сумма защищенности капчи и самого вопросника. Теперь берем и делаем иначе: пока пользователь не прорвется через капчу - вопросника он не увидит. Капча может быть относительно несложной для пользователя, но даже при этом спамбот все равно пройдет ее не с первой попытки, да и по любому ему придется на это тратить ресурсы проца где он выполняется, а значит число таких подборов для него ограничено. Ему можно дополнительно усложнить жисть введя таймаут перед генерацией капчи. 2-3 секунды. Пользователя не напряжет, а вот боту создаст массу проблем. Далее, с N-й попытки бот прорвался и получил вопросник. У него ровно одна попытка ответить на него правильно. После чего ему придется опять N число раз подбирать капчу. Чтобы получить возможность еще раз подобрать ответ на вопрос (при том что вопросы могут быть не тупые из списка, а генериться динамически) Что тут будет с вероятностью? А она будет равна произведению вероятности взлома капчи и вероятности взлома вопросника. Так как обе цифири 0(.х нулей)N, то итоговая цифирь содержит еще больше нулей перед значащими цифрами и взломать такое гораздо сложнее. Придется нанимать живых мартышек. Это на мой взгляд как раз таки и основной недостаток в phpBB - текстовый опросник должен не заменять капчу а дополнять ее. Но - это только на форме регистрации. На форме ввода логина и пароля это избыточно, и там достаточно просто капчи с таймаутом, ибо вероятность взлома пароля ботом или еще кем есть то же произведение вероятности взлома капчи и вероятности угадать пароль.

[MAzZY]

Вариант с разносом антиспам средств на разные страницы хорош. Он помогает бороться и ботами, и с реальными пользователями, которые хотели зарегистрироваться на форуме, но им очень не хочется тыкаться сначала в сложную капчу, потом в сложный вопрос. Используя теорвер можете посчитать, сколько регистраций будет потеряно.
Очень неплохо применять логинзу или OpenID. Аккаунты в социалках и/или почтовиках есть у 95% человек. И пусть проблему спама решают в этих сервисах. Проблема только в том, что регистрацию на форуме всё равно не отключишь. Да и получается нехорошая зависимость от стороннего сервиса.

[svf1]

Петрович писал(а):Сайт заработал, и теперь я увидел что это key-captcha. Насколько этот инструмент будет эффективен? Кто-нибудь пользовался?
MAzZY, это которая отображается при добавлении коммента? Хм, забавно, такого не встречал.

У меня установлена keycaptcha, с момента запуска ни одного нежелательного пользователя, хотя до этого было 1-2 регистрации в день... мой форум не самый посещаемый, по-этому не могу сказать насколько он хорош для обычных регистраций, но пока вроде трудностей ни у кого не вызвало...

Игрался после установки этого модуля, он позволяет зарегистрироваться, если вы даже не слишком точно рассавили мозайку, т.е. картинки могут иметь зазоры или находить друг на друга (с какой-то погрешностью), главное чтобы основной порядок был соблюден...

сам этот модуль увидел на форуме Винского... а там посещаемость очень неплохая, а соответственно можно предположить, что тестирование уже прошло неплохое

[MIT]

svf1 писал(а):Игрался после установки этого модуля, он позволяет зарегистрироваться, если вы даже не слишком точно рассавили мозайку, т.е. картинки могут иметь зазоры или находить друг на друга (с какой-то погрешностью), главное чтобы основной порядок был соблюден...

Смотрел я этот мод...
Это всего лишь еще одна разновидность капчи. Она не решает проблемы с вероятностью ее взлома. Да нестандартная, да пока спамботы ее еще не научились ломать, но так будет до тех пор, пока число сайтов с такой капчей не превысит некоторый предел терпения авторов спамботов и они найдут и к ней ключик (если уже не занялись).

Это в принципе возможно и даже проще будет чем обычную капчу ломать выискивая среди мусора буковки: картинок бесконечное количество на сервере держать не будешь. Далее берем и для каждой делаем че нить типа цифровой подписи. Но не тупо мд5 или че нить из этой оперы, а используя алгоритмы "узнавания", коими пользуются проги ищущие дубликаты картинок на диске. Математика есть, и давно, главное не полениться у гугля спросить где брать.
После чего все тривиально просто - тестируем для каждого фрагмента местоположение и в случае удачного попадания сохраняем в базе.

Понятно на деле будет сложнее, но вполне реально. Мораль? Эта капча тоже пробиваема. И спать спокойно можно до некоторого часа Х, когда ее научатся ломать. А веть научатся, иначе все сайты свалят на эту капчу и что тогда будут делать те, кто на спаме строит свой бизнес?
Поэтому на мой взгляд только один путь верный - делать каскад простых средств (2,3,N, но не до фанатизма ), которые для человека были бы простые, а для бота трудно проходимыми, а в целом и очень трудно проходимыми за счет умножения вероятностей. И если за месяц такой барьер пробьет один бот - так его почистить и руками можно.
Основное зло то в том, что они регаются иной раз десятками в день, и приходится время жизни (драгоценное, за все бабки мира не купить лишней секунды к тому что отмерено ) тратить на их тупую зачистку. Вот тут как раз и надо изменить баланс сил. И пусть себе долбятся, если трафик анлим - совсем не жалко

То есть я не предлагаю средства, которое бы свело бы вероятность регистрации бота к нулю, вовсе нет - это как раз таки тупой путь, когда борьба со спамом хуже самого спама и админа начинают доставать слепые юзеры и блондинки, которые не знают что делать с этой капчей. Я лишь предлагаю "передвинуть ползунок" на шакале вероятностей в зону более комфортную для админа и пользователей и весьма не комфортную для ботов
И это вполне реально сделать. Более того, я мог бы сделать все сам, так как пишу на пхп и хорошо его знаю, но phpBB для меня чужой проект, который я стараюсь сильно не потрошить. Тем более в местах, где можно прощелкать че нить и вместо блага сделать дырку в системе.
Т.е. мне чтобы такое проделать придется в изучение нутра залезть более глубоко, а это время, которого у меня сейчас нет (а боты не ждут пока оно появится ). Поэтому я и озвучил идею как есть в надежде что понравится и те кто пишет под phpBB не один год за это возьмутся. Я же вполне могу в сем поучаствовать, и как тестер и как программер, но не с нуля тащить

[MAzZY]

pwn_st, key-captcha выводится с помощью js. Подавляющее большинство спам-прог не умеют его исполнять, потому что он исполняется в браузере.

[Mr. Anderson]

MAzZY писал(а):Подавляющее большинство спам-прог не умеют его исполнять

Внезапно, именно что !подавляющее! большинство прог умеет (если надо) юзать "встроенный" в винду trident (движок ИЕ если чо) для парсинга - потому что нахаляву + "вывод" читается через ОТКРЫТЫЙ API на раз.
Есть даже маргиналы полные Например особо задротствующие китайцы так вообще "пошли в обход" (ну как нормальные герои) и их недософтинка вывод ИЕ парсит по файлам кеша и Иешному префетчу

[pwn_st]

MAzZY писал(а):pwn_st, key-captcha выводится с помощью js. Подавляющее большинство спам-прог не умеют его исполнять, потому что он исполняется в браузере.

Сейчас не умеют - завтра научатся абсолютно все. Даже не юзая апи ослика (типа как ради скорости обработки или может престиж поднять ). Мы о разных вещах говорим. Вы говорите что Джо неуловим потому, что его пока еще не научились ловить. А я говорю о том, как сделать так чтобы Джо стал в принципе неинтересен