-->
Úterý 13. 2. 2007 (02:16)
Počítače, internet, IT
Za vytvoření spambota useknout obě ruce!
Pomalu ztrácím víru, že fórum postavené na phpBB lze stoprocentně zabezpečit proti nájezdům spamovacích robotů. Všechny způsoby ochrany jsou dříve či později úspěšně překonané. Před rokem mi stačilo zakázat přispívání neregistrovaným uživatelům, při registraci vyžadovat opsání kontrolního kódu, chtít registraci potvrdit přes odkaz zaslaný na zadanou e-mailovou adresu a nakonec filtrovat v příspěvcích vybraná slova. To už je dnes pro spamboty zívačka.Díky stále dokonalejším OCR skenerům obejdou ochranu CAPTCHA a nějakým záhadným způsobem si potvrdí registraci. Filtr proti vybraným slovům (viagra, xanax, casino apod.) chvíli odolával, ale spammeři zvolili trochu jiný přístup než dříve. Vkládají přispěvky na první pohled smysluplné a na cizojazyčném fóru by si jich zřejmě nikdo nevšiml (zrovna jsem smazal komentář od robota, který sháněl nějakou literaturu do školy). Tedy kromě vyhledávače, který by zaindexoval jeden nebo dva nenápadně propašované odkazy a o to spammerům jde.
Vyzkoušel jsem i další triky včetně všemožných skrytých prvků formuláře nebo přejmenování těch původních, ale ani to není pro spamboty překážka. Zde na blogu používám kontrolu na straně klienta, kterou zatím spambot neumí projít, protože jí jednoduše vůbec nevidí. Teď pracuji na něčem podobném pro phpBB, ale jde o robustnější řešení. Hodiny samostudia se tedy konečně zúročují
Cílem je vytvořit takovou ochranu, která by vůbec nepřekážela uživatelům a umožňovala by vypnout všechny ostatní antispamové ochrany výrazně snižující komfort uživatelů. Teď testuju první základní verzi.Reagoval nobunaga: Ahoj, to jsi mi vzal iluze, na svých stránkách používám CAPTCHA ochranu v návštěvní knize, bez ní jsem byl zahlcen spamem. Nenapadlo by mě, že je to průstřelný, ale na 100 % není bezpečný samozřejmě nic.
Reagoval Pilda: A ochranu co je třeba na foru jakpsatweb jsi zkoušel? Ta zatim funguje myslim 100%. Já osobně jako hlavní antispam používám doplnění chybějící slova ve větě a zatim mi to žádný bot neprolomil. Ale to musí zadat člověk a uživatele to obtěžuje, to je pravda, řešení co je na výše jmenovaném fóru nikoho neobtěžuje. PS: osobně bych usekal ruce i lidem co dělají captcha text a používají tam jak nuly, tak písmena O, různé velikosti písmen a člověk neví co doplnit...
Reagoval soja: Nezapomen se pochlubit s vysledkem. ;-)
Reagoval Jakub Dvořák: Na ScoPoradně byla taky spousta spambotů a stačilo, když jsem při registraci a potvrzování toho, jestli je člověku více jak 13 let, změnil proměnnou "agree" na "souhlasim" a máme (zatím) od spamu klid, protože spambot je na phpBB naučený, vždy poslat proměnnou "agree", kterou ale phpBB po zásahu nevyhodnocuje. Otázka je, jak dlouho to může vydržet. V praxi si nedokážu představit, jak by to mohl spambot obejít, ale jak víme, spamboti dokážou být chytří. Ovšem v phpBB 3 (v současné době v beta verzi ke stáhnutí) se chystají prý nějaké novinky ohledně ochrany proti spamu. Btw: Někde jsem četl, že některé firmy zaměstnávají lidi, kteří fungují jako spamboti.
Má odpověď: Přepsání agree mi pomohlo asi na 14 dnů ...
Reagoval Vojtěch Audy: A co takhle zapojit logiku do CAPTCHA? Třeba udělat větší obrázek, a na něm čtverec, kruh, trojúhelník, obdelník... a potom pod ním otázku, co je napsáno v kruhu atd.
Má odpověď: CAPTCHA je už takhle zlo, ještě tohle ... :-)
Reagoval Vladimír: mě pomohlo přidání prázdného políčka, které je pak pomocí css skryto, ale myslím že je velký rozdíl mezi malou stránkou (třeba kolem 100 lidí na den) a velkým fórem s tisícovou návštěvností
Má odpověď: Vyzkoušeno, ale překonáno :-(
Reagoval Pilda: A ochranu co je třeba na foru jakpsatweb jsi zkoušel? Ta zatim funguje myslim 100%. Já osobně jako hlavní antispam používám doplnění chybějící slova ve větě a zatim mi to žádný bot neprolomil. Ale to musí zadat člověk a uživatele to obtěžuje, to je pravda, řešení co je na výše jmenovaném fóru nikoho neobtěžuje. PS: osobně bych usekal ruce i lidem co dělají captcha text a používají tam jak nuly, tak písmena O, různé velikosti písmen a člověk neví co doplnit...
Reagoval soja: Nezapomen se pochlubit s vysledkem. ;-)
Reagoval Jakub Dvořák: Na ScoPoradně byla taky spousta spambotů a stačilo, když jsem při registraci a potvrzování toho, jestli je člověku více jak 13 let, změnil proměnnou "agree" na "souhlasim" a máme (zatím) od spamu klid, protože spambot je na phpBB naučený, vždy poslat proměnnou "agree", kterou ale phpBB po zásahu nevyhodnocuje. Otázka je, jak dlouho to může vydržet. V praxi si nedokážu představit, jak by to mohl spambot obejít, ale jak víme, spamboti dokážou být chytří. Ovšem v phpBB 3 (v současné době v beta verzi ke stáhnutí) se chystají prý nějaké novinky ohledně ochrany proti spamu. Btw: Někde jsem četl, že některé firmy zaměstnávají lidi, kteří fungují jako spamboti.
Má odpověď: Přepsání agree mi pomohlo asi na 14 dnů ...
Reagoval Vojtěch Audy: A co takhle zapojit logiku do CAPTCHA? Třeba udělat větší obrázek, a na něm čtverec, kruh, trojúhelník, obdelník... a potom pod ním otázku, co je napsáno v kruhu atd.
Má odpověď: CAPTCHA je už takhle zlo, ještě tohle ... :-)
Reagoval Vladimír: mě pomohlo přidání prázdného políčka, které je pak pomocí css skryto, ale myslím že je velký rozdíl mezi malou stránkou (třeba kolem 100 lidí na den) a velkým fórem s tisícovou návštěvností
Má odpověď: Vyzkoušeno, ale překonáno :-(
SLEDOVAT ZMĚNY | VYTISKNOUT | Podělte se o odkaz na linkuj.cz nebo del.icio.us
Stálý odkaz (permalink): Stálá adresa tohoto zápisku je http://blog.macich.net/1171332968-za-vytvoreni-spambota-useknout-obe-ruce.html (pro IE: vložit do schránky | přidat k oblíbeným). Chcete-li na zápisek odkázat, použijte ji.
Další zápisky: Následujícím zápiskem je spot Spyware Doctor bojuje s NOD32 a bezpečnost trpí Předešlým zápiskem je spot Studenti dostanou USB klíčenku s open source Další pak naleznete při navigaci z hlavní stránky. Můžete se také podívat na seznam všech zápisků.
Aktuální místo vašeho pobytu: Macich.NET » Blog počítačového nadšence » Počítače, internet, IT » Za vytvoření spambota useknout obě ruce!
