Jak funguje ochrana proti robotům na DJPW?*

Reaguji na Darkera:
„Spambot asi nebude mít problém opsat ten text“
Bude. Ty bys na místě robota porozuměl slovům dvacet-čtyři?

Darker:
A právě tohle jednoduché řešení jsem měl na mysli. Důkazem toho, že to funguje, je mimojiných také tato diskuse.

jenikkozak:
„Důkazem toho, že to funguje, je mimojiných také tato diskuse.“

Funguje, ale jenom protože se na to žádný spambot nezaměřil. A asi taky nezaměří, když je to takhle konkrétně řešeno jen ná téhle diskusi. Je to sice účinné, ale jenom takhle lokálně. Není to nic ve stylu hurá vyřešili jsme univerzálně problém se spamboty. Kdyby se na to spambot zaměřil a spamoval vám tu z různých IP adres, tak by to chtělo sofisitikovanější řešení.

ShiraNai7:
„tak by to chtělo sofisitikovanější řešení.“
V případě nouze by stačilo i tu otázku generovat z nějaké databáze. Do formuláře bys přidal další skrytý input s číslem otázky a při zpracování scriptu bys věděl, že je-li číslo otázky např. čtyři, odpověď musí být "kuře".
Toto řešení je účinné a elegantní právě proto, že nijak neobtěžuje uživatele, kteří o něm většinou ani neví. Narozdíl od stále nečitelnějších a otravnějších captcha obrázků, u kterých někdy uživatel potřebuje hodně fantazie, aby poznal, která písmena se vlastně v obrázku ukrývají.

VitaZ:
„Toto řešení je účinné a elegantní právě proto, že nijak neobtěžuje uživatele“

No ono z není pro robota nemožné si stránku vyhodnotit přes prohlížeč.. nemám nic proti tomu řešení, jen vždycky bude neúplné a pro robota bude možné se tomu složitěji nebo jednodušeji přispůsobit, což u captchy právě nejde.

ShiraNai7:
„není pro robota nemožné si stránku vyhodnotit přes prohlížeč.“
A co by tím ten robot získal? Captcha má několik nevýhod, obtěžuje uživatele (někdy nad rozumnou míru), roboti ji bez problémů čtou, jejich OCR to mnohdy zvládají rychleji a lépe než člověk.

„není pro robota nemožné si stránku vyhodnotit přes prohlížeč.“
VitaZ:
„A co by tím ten robot získal?“

Dostal by sem svůj spam, o to mu jde. Vyhodnocení stránky prohlížečem by byl jen způsob, jak toho dosáhnout (prohlížeč by spustil javascript, který by vyplnil odpověď na kontrolní otázku).

ShiraNai7:
„Kdyby se na to spambot zaměřil a spamoval vám tu z různých IP adres, tak by to chtělo sofisitikovanější řešení.“
Stačilo by sofistikovaně změnit otázku.

„není pro robota nemožné si stránku vyhodnotit přes prohlížeč“
To sice ano, ale vzniknou další problémy.
Řekněme, že jsem spambot. Načtu stránku, vyhodnotím skripty. Vznikne formulář, kde třeba všechna políčka budou nějak předvyplněna (třeba „Zde napište text příspěvku“). A teď, kam umístím spam? Budu-li se řídit názvy políček, stačí políčku s antispamovou ochranou dát zavádějící pojmenování (což se už často děje, že antispam má třeba name="url").

Ale v každém případě je takový postup řádově složitější.
Dnes spousta robotů funguje tak, že si ze stránky zjistí názvy políček a adresu kam se formulář odesílá a pak na tu adresu spamují požadavky s nějak vyplněnými políčky.
Kdyby měl robot pokaždé načíst stránku (a čekat až se stáhne), vyhodnotit skripty, vyplnit políčka a odeslat, potrvá to řádově déle.
A spammerovi rozhodně nebude jedno, jestli zpracovat dávku spamu místo třeba 10 sekund potrvá několik hodin a ještě navíc k tomu bude potřeba poměrně velký download.

Koneckonců jakákoliv antispamová ochrana jde nějak obejít. Přinejhorším luštění antispamu předhodím lidem (což už se taky děje: „Pro přístup k pornu zdarma zadejte text na obrázku (+captcha kterou spambot nemohl rozluštit)“)

„pro robota bude možné se tomu složitěji nebo jednodušeji přispůsobit, což u captchy právě nejde“
No prosím, já bych to řekl přesně opačně. Captcha je tak rozšířená, že kdejaké script-kiddie si stáhne balíček „Obcházení captchy snadno a rychle“ a prolomí třeba 80% kódů.
Pochopit smysl textu je daleko větší problém.

Rozluštit může robot cokoliv. Zdejší řešení je výhodné v tom, že neobtěžuje uživatele. Nicméně po nějaké době se může stát, že se robot odpověď naučí. Asi před 2,5 roky to zde bylo ohledně spamu neúnosné, ale změna požadovaného čísla ze 4 na 24 to vyřešila.

Tunajšia ochrana funguje veľmi dobre proti univerzálnym spamovacím robotom, ktorým sa nevyplatí so sebou ťahať interpréter JS.
Na oveľa navštevovanejšie weby je však nepoužiteľná, lebo tie musia byť odolné aj voči ľudským spamerom, ktorým sa vtedy vyplatí si pozrieť kód.

_es:
„musia byť odolné aj voči ľudským spamerom“
Obávám se, že na lidského spamera Ti žádná automatická ochrana dokonale stačit nebude. Jak chceš rozpoznat návštěvníka, který chce napsat komentář, od toho, který chce jen vložit spam s odkazy? Můžeš sice např. zahazovat příspěvky, které byly vloženy příliš brzy po načtení formuláře (uživatel místo psaní použil jen Ctrl+V), ale moc dalších možností nemáš. Pak už musí nastoupit lidská ochrana, moderátoři, zákaz IP, povolení vkládání jen registrovaným, registrace přes mail, schvalování registrací..., ale to už jsme pak někde úplně jinde ;-(

VitaZ:
Myslel som spamera, ktorý vytvorí automatizované pridávanie príspevkov či komentárov, napasované na konkrétny web, na rozdiel do univerzálneho robota. Spamer, ktorému sa vyplatí aj ručné odosielanie spamu je až ďalší stupeň.

_es:
„ktorý vytvorí automatizované pridávanie príspevkov či komentárov“
To už je ale zase robot, ne?

„napasované na konkrétny web“
proti napasovanému konkrétnímu útoku napasovaná konkrétní obrana ;-)

VitaZ:
Skús sa nad tým trochu zamyslieť, ide o opatrenia vzhľadom na pravdepodobnosť rôznych prípadov pre weby s rôznou návštevnosťou. Nemá zmysel rozvádzať veľmi nepravdepodobné prípady.

Reaguji na Darkera:
„to bych nečekal, že se tu hned rozjede taková diskuse“
Měl jsem ji nějak rozumně zahnat do autu, protože podobné debaty o antispamech se vždy stočí k vleklému vymýšlení těch nejzáludnější a nejpromyšlenějších (nebo nejotravnějších) chytáků a postupů, jak je obejít.

Náš antispam funguje perfektně. I před těmi dvěma roky, kdy se pár robotů naučilo vyplňovat údaje, které jim po tisících pokusů úspěšně prošly, to nebylo tak strašné, jako před pěti lety, kdy tu žádný antispam nebyl — to tu bývalo třeba i 10 spamů denně (dnes by to byly stovky). Vážně ti vrtá hlavou, k čemu tento antispam je?


Reaguji na Jokera:
„Přinejhorším luštění antispamu předhodím lidem (což už se taky děje […]“
Ono se to děje dokonce i tak, že spammer zaměstná na prolamování CAPTCHy tlupu lidí v nějakém chudém africkém státečku. Musí to být úžasná práce, celý den opisovat písmenka z obrázků, aby si pak pět lidí z milionu obeslaných objednalo prodloužení penisu :-)

Dobře, vysvětlím. Ostatně viz popisek „Narazili jste na závadu? Napadlo vás vylepšení?“ — zkrátka si pod obsahem té kategorie představuji něco jiného. Navíc ono se to ani netýká jen tohoto diskusního fóra, protože se stejné řešení používá na mnoha dalších webech, ale to není podstatné. Jde o to, že pokud se ptáš na vysvětlení nějakého technického řešení této diskuse, neznamená to, že téma automaticky patří do sekce „O této diskusi“.

_es:
„Myslel som spamera, ktorý vytvorí automatizované pridávanie príspevkov či komentárov, napasované na konkrétny web“
Právě databáze otázek mi přijde jako jednoznačně lepší řešení než CAPTCHA.
Jediný problém samozřejmě nastává u webu s mezinárodní působností.

Darker:
„No databáze českých číslovek bude na výrobu docela rychlá.“
Ale k ničemu, otázky jde libovolně upravovat. „Napište počet písmen ve slově spam (číslovkou)“, „Napište číslovkou kolik Kč dají dvě dvoukoruny“

No a kdybychom si vymýšleli extrémně sofistikovaná řešení, doplnil bych antispam analýzou textu příspěvku, množství odkazů, podíl odkazů k textu. A když si budu dál vymýšlet, whitelist legitimních adres, odkazy jinam by antispam následoval a analyzoval cílovou stránku.