Форум испытывает просто нашествие китайского спама какого-то хлама. Мне даже кажется, что я случайно затёр какого-то живого человека под это дело... В сутки родят по десятку сообщенек на английском языке. Жуть.
Это ещё что. Есть несколько проектов с разными отраслевыми досками объявлений. Так там последнее время вообще жуть. Никакие каптчи-маптчи не останавливают. Ставим самые модные с картинками и проч. на каждую публикацию незарегистрированного пользователя, поток спама временно спадает и через месяц вновь с новой силой уже с зарегистрированных учеток. Всерьёз думаю об использовании звуковой каптчи с русскими народными загадками в качестве проверочных вопросов
тк и руками постят виагру и спайсы не меньше ботов. Для чего можно ввести премодерацию там и вводим, для остального какие решения. Модули на нгинсах стоят, но боты хитрожопые мало кто работает с 1 ипа, самоделкины какие-нибудь разве что. Удаления по маскам тоже делаем, но чем площадка лучше тем больше стали натачивать ботов конкретно под неё, да и невинные юзвери иной раз жертвами чисток становятся. Сажать надо, как жирик говорит.
Если бот не мимокрокодиловый, а спецом натравленный, то это труба. У меня как-то было, на форум за сутки пробилось больше тысячи упырей. Благо, форум был "закрытый", все учетки активируются только руками модераторов/админов. Представляю, что эта братия натворила бы. Вчера увидел интересную капчу. Надо мышкой сдвинуть ползунок от края до края, как разблокировка яблоОСи. Как думаете, торт? Вообще как считаете, JS-капчи являются хоть какой-то защитой, в надежде, что бот не может в JS?
как и со всем остальным: это должно повышать порог преодоления, но серебряной пулей не будет. а если реализация корявая, то и порог не повысится ) результат работы JS это скорее всего значение в hidden поле. атакующий скрипт может имитировать конечный результат. я рассуждаю "в общем случае", не обязательно тут же объяснять почему у тебя такого не случится ))) я считаю, что нормальный сайт должен соблюдать принцип graceful degradation. если по каким-то причинам у пользователя не работает JS, то у него должна быть возможность войти хотябы более сложным и долгим путем. http://habrahabr.ru/post/157115/
всё так ещё никто и не показал еще ни одного живого юзера, если не считать тех, кто сам себе его отрезал.
ты легко можешь сам стать (и был) таким юзером: адблок, корпоративные файрволы, кеширующие прокси, роскомнадзор забанивший CDN, кривой некросбраузерный код — причин до х*.
Ползунок может быть глубже, чем кажется. Может состоять из N узлов, при прохождении каждого из которых, запоминается время прохождения. По достижении финального узла отсылать AJAXом полученные данные. На сервере можно проанализировать, человек тащил ползунок или нет. Ну и еств, все грамотно собрать, чтобы через консоль нельзя было сэмитировать протаскивание. Да, я даже сам писал бота, который за меня выкладывал заранее подготовленный контент на указанный сайт. Так сказать, себе в помощь. Другое дело, что для атакой таким ботом на указанный ползунок надо задействовать курсор мыши. То есть 1 бот на 1 комп. В то время, когда классическими консольными ботами можно с одной машины дрочить жертву в 100 потоков. А если 1 бот требует 1 компа с монопольным владением мышью, то на таком не построить бот-раш. Это не будет отличаться от простых пользователей-мудаков. В то время как "классические" боты могут работать с машины ничего не подозревающего пользователя, словившего себе ботнет-агента.
ты такой предсказуемый ))) конечно, на твоём сайте JS будет очень умный. а на 90% сайтов будет 10 вариантов ответа и абсолютно тупые боты будут с вероятностью 10% проходить сквозь него. анализ поведения это да, красиво, перспективно, научно, позволяет качнуть бабла с заказчика.
Вероятно именно так, что ползунок нельзя сдвинуть программными средствами. Добавлено спустя 19 секунд: Добавлено спустя 53 секунды: Собсно, сабж - https://www.playhawken.com//enlist
состояние до и после сдвига ползунка Код (Text): <input name="aPj5ceh_PXBsTbxgm3R6qmhJ54tFN2vd" value="E2rf4kd" type="hidden"> <input name="aPj5ceh_PXBsTbxgm3R6qmhJ54tFN2vd" value="" type="hidden"> мне лениво писать бота, но кажется это было бы несложно.
http://rmcreative.ru/files/src/asciigen.rar Внезапно обламывает практически всех ботов, при этом человек чётко видит, что нужно ввести. Примеры использования: http://rmcreative.ru , https://www.xmlgold.eu
Сейчас вечер может я уставший и мне наплевать на все, но я посмотрел отталкиваясь от класса fld можно написать парсер и бота. А вот что бы гугл капчу обойти тут без магии не обойтись
трудозатраты на бота должны как-то окупаться. пока эта штука не особо распостранена, она не очень интересна ботостроителям. при необходимости можно изменить реализацию на, к примеру, полупрозрачные картинки с точками или на абсолютно позиционируемые дивы. есть куда развиваться когда понадобится.
Согласен, но реализация вроде не сложная если конкретно тебя захотят заспамить то даже напрягаться не будут напишут.
Имхо, капча должна быть сугубо JS-ная. У пользователя нет JS? 1) Попросить включить. 2) Послать нахрен, сказав ему, что он бот. Но мягко. Как бы намекнув на то, что все же надо бы включить. Добавлено спустя 46 секунд: таки если посылать нахрен всех, у кого отключен JS, процент потерь аудитории поменьше будет, угу