Nešlo by blokovat spam využívající přesměrování?*

Nešlo by tohle řešit nějakým systémovým opatřením? Fintu s přesměrováním už tu použilo víc lidí (víc IP).

-- Uživatelský účet koxzik odstraněn --

Nešlo by tohle řešit nějakým systémovým opatřením?
Například?

Reaguji na DoubleThinka:
Bylo by možné se na straně serveru mrknout na odkázanou URL? Jeden HTTP požadavek typu HEAD by zjistil HTTP kód a typ/velikost odpovědi, což jsou údaje využitelné i k jiným účelům, než je boj proti spamu. Při zjištění přesměrování by šlo změnit URL v příspěvku (která by pak v tomto případě neprošla antispamem), při zjištění čtyřstovkové chyby by byl uživatel upozorněn, že vkládá nefunkční odkaz. Další jiný druh využití: U odkazů na obrázky či jiné typy zdrojů by se mohlo do textů odkazů automaticky přidávat něco jako „[PDF, 740 kB]“ atd.

Asi velká utopie, že?

Technicky by to nebyl žádný problém, ale obávám se, že při větším počtu odkazů by mohl script lehce překročit max execution time. A i normálně by se to asi podepsalo na, už tak dost chatrném, výkonu diskuse. Takže to asi neproskočí.

Kromě toho - jak odlišíš podvodné přesměrování od normálního (třeba ze složky do složky/)?

Toto vlákno bychom mohli zastrčit do kategorie „O této diskusi“, začíná být moc konstruktivní :-)

Reaguji na DoubleThinka:
„při větším počtu odkazů by mohl script lehce překročit max execution time“
Požadavkům nejde nastavit krátký timeout? Čím víc odkazů, tím menší timeout.

„i normálně by se to asi podepsalo na, už tak dost chatrném, výkonu diskuse“
Výkonnostními problémy trpí zejména databáze, ne? Máme přibližně 400 příspěvků denně a externí odkaz je (odhadem) v každém osmém, takže by se tahle HTTP omáčka vykonávala jen padesátkrát denně.

„jak odlišíš podvodné přesměrování od normálního (třeba ze složky do složky/)?“
Neodlišoval bych ho. V příspěvcích bych vždy změnil adresu odkazu na tu finální. Tudíž by „složka“ byla „složka/“ a „podvodne-presmerovani.wz.cz“ by bylo „gladiatus/?ref=12345“. Po takovéto chytré autokorekci by teprve příspěvek procházel filtrem sprostých slov, který by jméno problematického serveru zachytil.

Čím víc odkazů, tím menší timeout.
To znamená při dosažení prahové hodnoty nestihnout analyzovat odkaz a co pak s ním? Smazat, nechat tak?

takže by se tahle HTTP omáčka vykonávala jen padesátkrát denně.
Možná by to nevadilo, ale já nejsem člověk, který to může rozhodnout.

V příspěvcích bych vždy změnil adresu odkazu na tu finální.
Co když bude mezi počáteční a koncovou adresou 5 redirectů? Nebo 20? To je chceš všechny procházet?

Promňte páni moderátoři, že se vám pletu do vaší diskuse ale...
... většina těch přesměrování jde přes er.cz nebo czin.cz - oni tuto službu nabízejí. Tak třeba by nebylo marné zablokovat (nebo něco prostě) tyhle slova. Pochybuji o tom, že by si to někdo, kdo takhle sbírá body do hry, dokázal sám naprogramovat.

Reaguji na DoubleThinka:
„nestihnout analyzovat odkaz a co pak s ním? Smazat, nechat tak?“
Nechat. Analyzovat pár odkazů je pořád lepší než neanalyzovat nic. Pokud je v příspěvku více odkazů, je i menší pravděpodobnost, že je bude někdo všechny proklikávat.

„Co když bude mezi počáteční a koncovou adresou 5 redirectů? Nebo 20?“
Žádný užitečný odkaz nevede přes 20 přesměrování. I těch 5 už docela smrdí.

Reaguji na Mattyho:
Je ovšem možné, že služeb er.cz a czin.cz využívá i někdo normální, nebo ne?

Chamurappi
Ti, co využívají služeb er.cz normálně, můžou zadat finální adresu.

Přimlouvám se za řešení navrhované Chamurappem (třeba projde narozdíl od jeho vychytávky proti vytahování starých postů :).

Žádný užitečný odkaz nevede přes 20 přesměrování. I těch 5 už docela smrdí.
Stejně jako žádný užitečný odkaz nevede na tr@vian.

Je to zajímavý nápad, jenže málo konzistentní. Co udělá spamer, když bude chtít zamaskovat redirect?
a) nastaví jej až po vytvoření příspěvku
b) udělá mu 50 redirectů a dá našemu scriptu pokouřit.
c) skryje ho před IP diskuse
d) udělá jej javascriptem
e) udělá jej meta tagem
f) udělá mu vstupní stránku "pokračujte zde"
g) udělá jej formou iframu, takže si toho nikdo ani nevšimne

Kromě toho - uvědomujete si, že náš script by ty stránky navštěvoval (sice jen metodou HEAD, ale přece)? Nevím jestli se chce Yuhů dočkat dne, kdy budou hackeři přes jeho diskusi odpalovat XS útoky.

Jsem proti návrhu.

Chamurappi
použilo víc lidí (víc IP)
Jinak, poslední tři případy možná byly z víc IP, ale pořád od jednoho člověka.

Zajímavý nápad, ale DoubleThink má pravdu.
Ta vychytávka na strará témata se mi líbí mnohem více :)

Reaguji na DoubleThinka:
Vím, že každé takové opatření půjde obejít. Ale bylo by to obtížnější (byť ne o moc) a ten vedlejší efekt s rozpoznáním neplatných odkazů / obrázků v okamžiku vkládání příspěvků by byl docela fajn.

„udělá mu 50 redirectů a dá našemu scriptu pokouřit“
Po čtvrtém přesměrování by měl smůlu, odkaz by se zrušil.


Reaguji mimo téma na Jana Tvrdíka:
„Chamurappem“
Brr :-)
Jsem raději nesklonný.

Vzhledem k tomu, že…

a) příspěvky tohoto typu tu nejsou na denním pořádku,
b) navrhované řešení není úplně triviální na stvoření (narozdíl od nahrání/odkázání jednoho *.js souboru),
c) řešení lze stejně snadno obejít mnoha způsoby,
d) znemožnilo by mi odkázat nějaký web „tajně“ třeba přes jdem.cz.

…si myslím, že navrhované řešení je zbytečné a neefektivní a teplý bonz nevhodného příspěvku stačí.