Cīņa ar foruma spambotiem
Ja gatavajos risinājumos (piem., wordpress), kur pastāv risks, ka formas (diskusiju, reģistrācijas, u.c.) aizpildīšanā varētu piedalīties arī foruma spambots, ir par to padomāts, tad risinājumos, kuri tiek veidoti pašu spēkiem, par šādu aizsardzību ir jādomā pašam.
Ja gatavajos risinājumos (piem., wordpress), kur pastāv risks, ka formas (diskusiju, reģistrācijas, u.c.) aizpildīšanā varētu piedalīties arī foruma spambots, ir par to padomāts, tad risinājumos, kuri tiek veidoti pašu spēkiem, par šādu aizsardzību ir jādomā pašam.
Foruma spambots līdzīgi kā e-pasta spambots izsūta tiešā vai pastarpinātā veidā nevēlamus komerciālus sūtījumus. Rezultātā, ja tā ir diskusiju forma, tad iegūstam daudz un dažādu ziņojumus ar saitēm uz citām lapām vai saturu, kas neattiecas uz tēmu.
Principā, foruma spambots ir programmiņa, kur kaut kādā veidā sapratusi, ka lapā ir aizpildāmā forma un to sāk izmantot, pievienojot dažāda tipa tekstus. Lai situācija nebūtu triviāla, šāda izsūtīšana var notikt (kas parasti tā arī ir) caur inficētiem datoriem. Rezultātā, iegūstam pavisam legālas IP adreses ar pilnīgi crazy ziņojumiem, kuras tā īsti nobanot nesanāks.
Daži mīti
- Kāds speciāli (un manuāli) kopē visādu drazu.
- Spambots apzināti izvēlējies tieši jūsu lapu.
- Spambotiem piemīt loģika. Respektīvi, spamboti saprot, kā un ko formā jāaizpilda.
- No spambotiem var atrakstīties atverot kādu no norādītām saitēm.
Dažas patiesības
- Reti kurš spambots izpilda JavaScript, Java, ActiveX vai Flash.
- Spamboti parasti „nerunā” latviešu valodā, toties var runāt krievu valodā :(
- Daži spamboti spēj atpazīt attēla kodu (capcha).
- Spambota patiesā IP adrese parasti nav nosakāma.
- Lielākoties spambots aizpilda visus formas lauciņus.
Cīņa ar spambotiem (forums, komentāri)
1. Vienā sesijā (vai no vienas IP) var pievienot tikai vienu ziņojumu.
2. Grafiskais kods (CAPCHA).
3. Tekstuālā validācija - uzdod jautājumu, uz kuru lietotājam jāatbild.
4. Grafiskā validācija - parāda attēlu un jāizvēlas viens no variantiem, kas tur attēlots.
5. Trešo pušu rīki. Piemēram – Aksimet (http://akismet.com/). Šeit vēlos vērst uzmanību, ka DNSBL nederēs. Jo, ja upura dators ir inficēts, tad tas visticamāk būs BlackListē, līdz ar ko e-pastu izsūtīt nevarēs (kas ir loģiski), savukārt kāpēc lai šāds lietotājs nevarētu aizpildīt formu?
6. Iepriekšējā reģistrācija. Ņemot vērā, ka tā arī ir forma, tad arī šeit pastāv risks, ka aktīvu dalību var ņemt spamboti.
7. Vienotās reģistrācijas izmantošana (piem., openID).
8. Atslēgas vārdu čekošana (url, sex, porno, viagra, u.c.).
9. Ar javascript palīdzību nospiežot uz submit pogas pārprasa – „nēesi bots?”, ja atbilde pozitīva, hidden lauciņā ieraksta kādu vērtību. Ja vērtība nav norādīta vai nav īstā, tad forma netiek apstrādāta.
Cīņa ar spambotiem (reģistrācija)
1. Reģistrācija vairākos soļos.
2. Grafiskais kods (CAPCHA).
3. Ierobežojums pēc valstīm (piem., LV only).
4. Grafiskā validācija.
5. Tekstuālā validācija.
6. DNSBL un e-pasta validācija.
7. Reģistrācijas apstiprinājums (izsūtot e-pastu, kur norādīta aktivizācijas saite).
Pirms kāda laika man katru nedēļu uz e-pastu nāca 2 paziņojumi:
1. Ka esmu laimējusi pāris miljonus (money)
2. Aicinājums uzlabot savas privātās dzīves pusi ar Viagru utml. (puzzled)
Atteicos no abiem super piedāvājumiem (gangster_she). Par miljonāri neesmu kļuvusi un arī par dzīvi nesūdzos (hallo)
Ar e-pasta spamu kautkādā ziņā pat vienkāršāk cīnīties nekā ar forumu spamu... Tas tā - pa tehnisko.
Nekad nēesmu sapratis, vai tiešām vēl joprojām ir tik lētticīgi cilvēki kas uz to visu pavlekas?!
Cilvēki, manuprāt, tic tam, kam grib ticēt. Atceries to bedīgi slaveno \"I love you\" spamu? Man tas likās stulbi. Bet kādam tas izskatījās pēc vesela notikuma dzīvē...
Vēl viens veids - ieleik formā lieku hidden textfield, bots to aizpildīs. Tālāk servera vai klienta pusē pārbauda, vai lauka vērtība ir tukša.