Защита phpBB от регистрационных ботов

Недавно установил у себя на сайте форум phpBB. И тут же куча новых регистраций. Немного подумав, пришёл к такому решению.

Первым делом ищем и открываем файл

Код (Text):

1. templates/subSilver/profile_add_body.tpl.

Находим блок начинающийся с

Код (Text):

1. <!-- Visual Confirmation -->

Редактируем его следующим образом:

Код (Text):

1. <!-- Visual Confirmation -->
2. <!-- BEGIN switch_confirm -->
3. <tr style="display: none;">
4.     <td class="row1" colspan="2" align="center"><span class="gensmall">{L_CONFIRM_CODE_IMPAIRED}</span><br /><br />{CONFIRM_IMG}<br /><br /></td>
5. </tr>
6. <tr style="display: none;">
7.     <td class="row1"><span class="gen">{L_CONFIRM_CODE}: * </span><br /><span class="gensmall">{L_CONFIRM_CODE_EXPLAIN}</span></td>
8.     <td class="row2"><input type="text" class="post" style="width: 200px" name="confirm_code" size="6" maxlength="6" value="" /></td>
9. </tr>
10. <!-- END switch_confirm -->

Теперь блок CAPTCHA не виден простому пользователю и следовательно он не станет его заполнять, в отличие от бота.
Дальше открываем файл

Код (Text):

1. includes/usercp_register.php

Находим

PHP:

1. if ($row['code'] != $confirm_code)
2. {
3.     // ...
4. }

Заменяем на

PHP:

1. if (!empty($confirm_code))
2. {
3.     $error = TRUE;
4.     $error_msg .= ( ( isset($error_msg) ) ? '<br />' : '' ) . 'Для ботов регистрация закрыта!';
5. }

Теперь если кто-то введёт код показанный на картинке, то он будет распознан как бот.
Небольшая статистика неудачников:

 

Пускай он её распознаёт. В этом-то и суть - ловушка. Пройдёт только ручная регистрация, от которой не спасёт ни одна каптча. А начстоящий посетитель посчитает это даже плюсом, так как его избавять от разглядывания и угадывания(встечал и такие каптчи) символов на картинках.

 

Чтобы отличить автомат от человека. Ты видил стандартную каптчу phpBB? Не трудно написать срипт, который распознает её. Я предлагаю один из вариантов решения данной проблемы без смены каптчи.

 

Всё основано на фактах. За 5 дней остановлено 30 ботов. Только один прошёл регистрацию. Либо это был бот, который не заполнил поле, либо это был человек. Бот затачивается под определённый движок. Ему известны поля, которые надо заполнить. Он их и заполняет. Я не сомневаюсь, что если изменить имена всех полей, то это также даст положительный эффект.
ЗЫ да и откуда боту знать, что данное поле заполнять не надо? Или данное решение используется уже массово?

 

Что не важно?

 

armadillo Одно дело защита каптчей, а другое дело защита обманом бота. Чем не защита? Данную защиту боты не могут обходить ввиду их унификации. Они уже запрограммированы на то, какие данный нужно отправлять на сервер.

Есть вариант обхода любой каптчи. Пользователю показывается каптча, он вводит её, после чего получает доступ к какому-нибудь ресурсу сайта, а боту становится известно, что же там скрывалось под затейливой картинкой. В данном случае мой вариант справится даже с таким "взломом".

 

Ну да. С этим не поспоришь. Если используется каптча и им так захочется завалить мой сайт лишними пользователями, то могут прибегнуть и к ручной регистрации.

 

Ок. Подправь строчку в каком-нибудь боте, чтобы он распознал KCAPTCHA. Слабо? Я сейчас говорю, про использование каптчи!

 

Вы хатите пакаварить ап этом?

ЗЫ кому прийдёт в голову валить форум сразу с кучи компов? Понимаю там сайта майкрософт или пентагона.

 

Это не DDoS! DDoS атака производится одновременно! с кучи IP.

 

Повторю:

С одним компьютером ты никогда не проведёшь DDoS атаку, DoS да, но не DDoS!