Autor Zpráva
Darker
Profil
Moderátor Str4wberry: Přesunuto z O této diskusi


Už mi to vrtalo hlavou dříve... K čemu div s id spamprotirobotum vlastně je? Spambot asi nebude mít problém opsat ten text, leda že by útočil náhodně...
Chamurappi
Profil
Reaguji na Darkera:
Spambot asi nebude mít problém opsat ten text
Bude. Ty bys na místě robota porozuměl slovům dvacet-čtyři?
jenikkozak
Profil
Darker:
A právě tohle jednoduché řešení jsem měl na mysli. Důkazem toho, že to funguje, je mimojiných také tato diskuse.
ShiraNai7
Profil
jenikkozak:
Důkazem toho, že to funguje, je mimojiných také tato diskuse.

Funguje, ale jenom protože se na to žádný spambot nezaměřil. A asi taky nezaměří, když je to takhle konkrétně řešeno jen ná téhle diskusi. Je to sice účinné, ale jenom takhle lokálně. Není to nic ve stylu hurá vyřešili jsme univerzálně problém se spamboty. Kdyby se na to spambot zaměřil a spamoval vám tu z různých IP adres, tak by to chtělo sofisitikovanější řešení.
VitaZ
Profil
ShiraNai7:
tak by to chtělo sofisitikovanější řešení.
V případě nouze by stačilo i tu otázku generovat z nějaké databáze. Do formuláře bys přidal další skrytý input s číslem otázky a při zpracování scriptu bys věděl, že je-li číslo otázky např. čtyři, odpověď musí být "kuře".
Toto řešení je účinné a elegantní právě proto, že nijak neobtěžuje uživatele, kteří o něm většinou ani neví. Narozdíl od stále nečitelnějších a otravnějších captcha obrázků, u kterých někdy uživatel potřebuje hodně fantazie, aby poznal, která písmena se vlastně v obrázku ukrývají.
ShiraNai7
Profil
VitaZ:
Toto řešení je účinné a elegantní právě proto, že nijak neobtěžuje uživatele

No ono z není pro robota nemožné si stránku vyhodnotit přes prohlížeč.. nemám nic proti tomu řešení, jen vždycky bude neúplné a pro robota bude možné se tomu složitěji nebo jednodušeji přispůsobit, což u captchy právě nejde.
VitaZ
Profil
ShiraNai7:
není pro robota nemožné si stránku vyhodnotit přes prohlížeč.
A co by tím ten robot získal? Captcha má několik nevýhod, obtěžuje uživatele (někdy nad rozumnou míru), roboti ji bez problémů čtou, jejich OCR to mnohdy zvládají rychleji a lépe než člověk.
imploder
Profil
není pro robota nemožné si stránku vyhodnotit přes prohlížeč.
VitaZ:
A co by tím ten robot získal?

Dostal by sem svůj spam, o to mu jde. Vyhodnocení stránky prohlížečem by byl jen způsob, jak toho dosáhnout (prohlížeč by spustil javascript, který by vyplnil odpověď na kontrolní otázku).
Joker
Profil
ShiraNai7:
Kdyby se na to spambot zaměřil a spamoval vám tu z různých IP adres, tak by to chtělo sofisitikovanější řešení.
Stačilo by sofistikovaně změnit otázku.

není pro robota nemožné si stránku vyhodnotit přes prohlížeč
To sice ano, ale vzniknou další problémy.
Řekněme, že jsem spambot. Načtu stránku, vyhodnotím skripty. Vznikne formulář, kde třeba všechna políčka budou nějak předvyplněna (třeba „Zde napište text příspěvku“). A teď, kam umístím spam? Budu-li se řídit názvy políček, stačí políčku s antispamovou ochranou dát zavádějící pojmenování (což se už často děje, že antispam má třeba name="url").

Ale v každém případě je takový postup řádově složitější.
Dnes spousta robotů funguje tak, že si ze stránky zjistí názvy políček a adresu kam se formulář odesílá a pak na tu adresu spamují požadavky s nějak vyplněnými políčky.
Kdyby měl robot pokaždé načíst stránku (a čekat až se stáhne), vyhodnotit skripty, vyplnit políčka a odeslat, potrvá to řádově déle.
A spammerovi rozhodně nebude jedno, jestli zpracovat dávku spamu místo třeba 10 sekund potrvá několik hodin a ještě navíc k tomu bude potřeba poměrně velký download.

Koneckonců jakákoliv antispamová ochrana jde nějak obejít. Přinejhorším luštění antispamu předhodím lidem (což už se taky děje: „Pro přístup k pornu zdarma zadejte text na obrázku (+captcha kterou spambot nemohl rozluštit)“)

pro robota bude možné se tomu složitěji nebo jednodušeji přispůsobit, což u captchy právě nejde
No prosím, já bych to řekl přesně opačně. Captcha je tak rozšířená, že kdejaké script-kiddie si stáhne balíček „Obcházení captchy snadno a rychle“ a prolomí třeba 80% kódů.
Pochopit smysl textu je daleko větší problém.
Str4wberry
Profil
Rozluštit může robot cokoliv. Zdejší řešení je výhodné v tom, že neobtěžuje uživatele. Nicméně po nějaké době se může stát, že se robot odpověď naučí. Asi před 2,5 roky to zde bylo ohledně spamu neúnosné, ale změna požadovaného čísla ze 4 na 24 to vyřešila.
_es
Profil
Tunajšia ochrana funguje veľmi dobre proti univerzálnym spamovacím robotom, ktorým sa nevyplatí so sebou ťahať interpréter JS.
Na oveľa navštevovanejšie weby je však nepoužiteľná, lebo tie musia byť odolné aj voči ľudským spamerom, ktorým sa vtedy vyplatí si pozrieť kód.
VitaZ
Profil
_es:
musia byť odolné aj voči ľudským spamerom
Obávám se, že na lidského spamera Ti žádná automatická ochrana dokonale stačit nebude. Jak chceš rozpoznat návštěvníka, který chce napsat komentář, od toho, který chce jen vložit spam s odkazy? Můžeš sice např. zahazovat příspěvky, které byly vloženy příliš brzy po načtení formuláře (uživatel místo psaní použil jen Ctrl+V), ale moc dalších možností nemáš. Pak už musí nastoupit lidská ochrana, moderátoři, zákaz IP, povolení vkládání jen registrovaným, registrace přes mail, schvalování registrací..., ale to už jsme pak někde úplně jinde ;-(
_es
Profil
VitaZ:
Myslel som spamera, ktorý vytvorí automatizované pridávanie príspevkov či komentárov, napasované na konkrétny web, na rozdiel do univerzálneho robota. Spamer, ktorému sa vyplatí aj ručné odosielanie spamu je až ďalší stupeň.
VitaZ
Profil
_es:
ktorý vytvorí automatizované pridávanie príspevkov či komentárov
To už je ale zase robot, ne?

napasované na konkrétny web
proti napasovanému konkrétnímu útoku napasovaná konkrétní obrana ;-)
_es
Profil
VitaZ:
Skús sa nad tým trochu zamyslieť, ide o opatrenia vzhľadom na pravdepodobnosť rôznych prípadov pre weby s rôznou návštevnosťou. Nemá zmysel rozvádzať veľmi nepravdepodobné prípady.
Darker
Profil
Juj, to bych nečekal, že se tu hned rozjede taková diskuse, aniž bych stihl zareagovat.
Pojedu tedy odhora:

[#ě]Chamurappi:
Bude. Ty bys na místě robota porozuměl slovům dvacet-čtyři?
No databáze českých číslovek bude na výrobu docela rychlá. Mluvím zde o botovi na toto konkrétní fórum, na činnost autobota jsem zatím osobně nenarazil (to není zpochybnění). A nemluvím o tom, že je odpověď v kódu.

[#3] jenikkozak
A právě tohle jednoduché řešení jsem měl na mysli.
Další level, který plánuju, je databáze nějakých jednoduchých otázek, které nedokáže ani cílený robot odpovídat automaticky - autor bota si bude muset odpovědi ukládat.

[#4] ShiraNai7 Má naprostou pravdu.

VitaZ:
„ktorý vytvorí automatizované pridávanie príspevkov či komentárov“
To už je ale zase robot, ne?
Ne ten co to vytváří. Robot je výsledný produkt.

proti napasovanému konkrétnímu útoku napasovaná konkrétní obrana ;-)
To by tu bylo veselo.

Str4wberry:
Trošku mi teď není jasné, proč jsi to přesunul do Jak to udělat, když se téma naprosto jasně týká tohoto konkrétního fóra (ačkoli to ledaskdo zobecnil), a nikdo se tu nedoví jak něco udělat. Nicméně je to snad fuk.
Chamurappi
Profil
Reaguji na Darkera:
to bych nečekal, že se tu hned rozjede taková diskuse
Měl jsem ji nějak rozumně zahnat do autu, protože podobné debaty o antispamech se vždy stočí k vleklému vymýšlení těch nejzáludnější a nejpromyšlenějších (nebo nejotravnějších) chytáků a postupů, jak je obejít.

Náš antispam funguje perfektně. I před těmi dvěma roky, kdy se pár robotů naučilo vyplňovat údaje, které jim po tisících pokusů úspěšně prošly, to nebylo tak strašné, jako před pěti lety, kdy tu žádný antispam nebyl — to tu bývalo třeba i 10 spamů denně (dnes by to byly stovky). Vážně ti vrtá hlavou, k čemu tento antispam je?


Reaguji na Jokera:
Přinejhorším luštění antispamu předhodím lidem (což už se taky děje […]
Ono se to děje dokonce i tak, že spammer zaměstná na prolamování CAPTCHy tlupu lidí v nějakém chudém africkém státečku. Musí to být úžasná práce, celý den opisovat písmenka z obrázků, aby si pak pět lidí z milionu obeslaných objednalo prodloužení penisu :-)
Str4wberry
Profil
Dobře, vysvětlím. Ostatně viz popisek „Narazili jste na závadu? Napadlo vás vylepšení?“ — zkrátka si pod obsahem té kategorie představuji něco jiného. Navíc ono se to ani netýká jen tohoto diskusního fóra, protože se stejné řešení používá na mnoha dalších webech, ale to není podstatné. Jde o to, že pokud se ptáš na vysvětlení nějakého technického řešení této diskuse, neznamená to, že téma automaticky patří do sekce „O této diskusi“.
Darker
Profil
Str4wberry:
Jde o to, že pokud se ptáš na vysvětlení nějakého technického řešení této diskuse, neznamená to, že téma automaticky patří do sekce ‚O této diskusi‘.
O tom se už dá polemizovat, což nemám v plánu.

Chamurappi:
Vážně ti vrtá hlavou, k čemu tento antispam je?
Moje otázka byla zodpovězená. Podceňoval jsem roboty...
Joker
Profil
_es:
Myslel som spamera, ktorý vytvorí automatizované pridávanie príspevkov či komentárov, napasované na konkrétny web
Právě databáze otázek mi přijde jako jednoznačně lepší řešení než CAPTCHA.
Jediný problém samozřejmě nastává u webu s mezinárodní působností.

Darker:
No databáze českých číslovek bude na výrobu docela rychlá.
Ale k ničemu, otázky jde libovolně upravovat. „Napište počet písmen ve slově spam (číslovkou)“, „Napište číslovkou kolik Kč dají dvě dvoukoruny“

No a kdybychom si vymýšleli extrémně sofistikovaná řešení, doplnil bych antispam analýzou textu příspěvku, množství odkazů, podíl odkazů k textu. A když si budu dál vymýšlet, whitelist legitimních adres, odkazy jinam by antispam následoval a analyzoval cílovou stránku.
Darker
Profil
Joker:
Právě databáze otázek mi přijde jako jednoznačně lepší řešení než CAPTCHA.
Jediný problém samozřejmě nastává u webu s mezinárodní působností.
Souhlasím. ([#16]) Mezinárodní weby mají buď nastavitelnost jazyka, a nebo jsou anglicky. Otázky by se chovaly stejně.

Ale k ničemu, otázky jde libovolně upravovat
A to jsme zase u databáze otázek.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: