בוטים-כיצד לחסום אותם(שאלה).
 

http://www.safe-house.us/TreeForum/?act=showforum&id=1
ההודעות הבאות מופיעות מחדש למרות שאני מוחק אותם כמעט כל יום.
הם באים מ-IP שונה, אבל מבזקינט.
יש לכם רעיון כיצד לחסום את זה? אני כרגע עשיתי ביטוי בדיקה פשוט אשר בודק משפט שמופיע כל פעם, ובמידה זה מוצא אותו, זה לא נותן לשלוח את ההודעה.

אבל אני מעדיף מנגנון חכם יותר, למישהו יש רעיון איך להגיד לי באופן תיאורטי, איך אני אפתח מערכת שתדע להבין האם זה הודעת ספאם/בוט, או האם זה לא.

תמונה אבטחה, אני יודע שזה מוזר..

בעיקרון אם זה בוט אתה יכול לחפש רשימה באינטרנט של כל הבוטים ולחסום אותה (אם אני לא טועה פירססמו פה פעם)

בהודעה בפורום כזה? זה סתם מציק.


"בעיקרון אם זה בוט אתה יכול לחפש רשימה באינטרנט של כל הבוטים ולחסום אותה (אם אני לא טועה פירססמו פה פעם)"
מישהו יוסיף לשם של הבוט רווח וזה כבר לא יהיה תקף.

אין דבר כזה רשימה של כל הבוטים.

כמו שגל אמר לך תוסיף לטופס שדה של אימות תמונה, התמונה צריכה להיות מורכבת כי היום יש בוטים מאוד חכמים שהיכולות זיהוי שלהם מאוד גבוהות פרטים נוספים: http://en.wikipedia.org/wiki/Captcha

זה פורום תגובות, זה מעיק.

שאלת אבטחה...
למרות שדי פשוט לעקוף את זה אבל זה עובד בwordpress ככה אני חושב
(שתיים כפול שלוש שווה?) בוט לא יודע לקרוא את זה אל אם כן הבוט נכתב במיוחד נגד הפורום שלך

אפשר קצת הסבר, מי מה מו? :)

פשוט מאוד
שדה נוסף עם שאלה כמו שתיים כפול שלוש
אם המשתמש הכניס 6 אז תבצע את הפעולה
אחרת זה בוט או בן אדם ממש טיפש שלא יודע מתמטיקה של כיתה א'

אם אתה עושה את הרעיון של ה 2*3 אז תעשה אם כבר שיהיו לך מאגר של כמה שאלות וכל פעם תופיעה שאלה אחרת של*/+/-
ואם הוא טועה 2-3 פעמים הוא נחסם
ככה שאפילו אם מישהו בונה בוט במיוחד בשבילך יהיה לו ממש קשה
כי אם תעשה רק שאלה 1 לא יהיה קשה לבנות בוט בשבילך

תכריח לפני הודעה באנגלית לכתוב בעברית [אנגלית] או שתכריח לכתוב לפחות אות אחת בעברית/ תספור את הזמן שלוקח למשתמש לכתוב את ההודעה. זה מה שלה לי בראש.. זה די מסובך (הזמן) אבל נראה לי רע.

חצי מהתגובות כאן הם פשוט ללא שום מחשבה.

הראשון הציע, בסדר, אמרתי לו שזה אמור להיות "עמוד תגובות", זה לא פורום.

השני, מילא.

אבל כש-5 אנשים מציעים אותו רעיון?


Pentagon:
סוף סוף רעיון טוב :)
הקטע של העברית לא ממש טוב, כי אני לא רוצה למנוע אפשרות של כמה שפות ראשיות,
אבל הקטע של הזמן שליחה זה פשוט גאוני.
כי בוט שולח בפחות משניה.... :), תודה.

אני כמה וכמה פעמים השתמשתי בדבר כזה:
בתוך התנאי שאם הטופס נשלח אתה רושם תנאי חדש שבודק אם ה-HTTP_HOST שווה למחרוזת מארח ב-HTTP_REFERER.
כמובן שתעשה בדיקה גם עם החלפת www.

אפשרי לזייף את הHTTP_REFERER בקלות אם אני לא טועה.

נכון, אתה לא טועה.
אבל עדיף לנסות להגביל מאשר לא לנסות בכלל.
שמתי קוד כזה במערכת תגובות של אתר עם הרבה כניסות בחו"ל וכבר חודשיים אין בו ספאם.

עוד רעיון נחמד שיכול להיות מועיל ואולי הכי פשוט מכולם.

כשבוט שולח הודעה הוא פשוט עושה POST לדף מהתוכנה שעליה הוא מוגדר.

אפשרות ראשונה זה לבדוק אם ה POST אכן הגיע מאותו הוסט
אבל כמו שנאמר לא בעיה לעקוף את זה.

אפשרות אולי טיפה יותר חכמה (שגם שקופה למשתמש) היא לעשות כזה דבר
כל פעם שאתה מציג את הדף אז אתה מציג גם INPUT מסוג HIDDEN.

הרעיון הוא שכל פעם גם השם של השדה וגם ה VALUE שלו משתנים ככה אי אפשר לעלות על זה

כלומר נעשה :

בשביל לייצר מחרוזות ראנדומליות.

ואז נעשה כזה דבר :

בשביל להציג את זה כחלק מהטופס.

כשאנחנו עושים _POST
אז נעשה את הבדיקה הפשוטה :
if ((!isset($_POST[$fieldname])) OR ($_POST[$fieldname] != $fieldvalue))
{
die('POST NOT ALLOWED');
}

כשאתה עושה את זה יש לך בעיה שבריענון של הדף אז ה VALUE כל הזמן משתנה
ולכן נשתמש ב SESSION בשביל לשמור את זה על המשתמש
כאשר מה שנשמר על המשתמש הוא ה SESSIONID שלא אומר כלום לגבי ה NAME ו VALUE
שיש בFORM.

בנוסף הייתי ממליץ לך להגן על ה SESSION מפני גניבות, וגם לוודא HTTP_USERAGENT
נכון שלא בעיה להמציא AGENT אבל בד"כ בוטים משתמשים ב AGENT קבוע שלא תהיה לך בעיה לחסום אותו, גם אם הם ישנו את ה AGENT, יש לך את הדרכים האחרות שהם מקשות.

סביר להניח שאחרי שהבוט יבין שהוא לא יכול להספים אותך, אז הוא פשוט יעבור לאתר אחר.

תודה רבה לכולם, ושיפרתי את הכל, מקווה שזה יעצור אותם :)
אפשר לנעול.